K8S集群中,不管是master(2379、2380、6443、10250)还是worker(10250)都存在SWEET32(远程服务支持使用中等强度的 SSL 密码)风险。
因为不同的端口,实际上是运行的不同的服务,所以修复中需要修改的地方会有多处。
etcd(2379、2380)
修改K8S配置文件/etc/kubernetes/manifests/etcd.yaml 添加如下内容
- --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
kube-apiserver(6443)
修改K8S配置文件/etc/kubernetes/manifests/kube-apiserver.yaml 添加如下内容
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
kubelet(10250)
修改K8S配置文件/var/lib/kubelet/config.yaml 添加如下内容
tlsCipherSuites: - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
修改以上内容完毕后,重启下Kublet服务
systemctl restart kubelet
转载请注明:LINUX服务器运维架构技术分享 » K8S TLS 安全风险修复