14.5. 为 kubelet 配置 TLS 安全配置集

流程

1. 创建 KubeletConfig CR 来配置 TLS 安全配置集：

   Custom 配置集的 KubeletConfig CR 示例

   apiVersion: machineconfiguration.openshift.io/v1
   kind: KubeletConfig
   metadata:
     name: set-kubelet-tls-security-profile
   spec:
     tlsSecurityProfile:
       type: Custom 

   1

   
       custom: 

   2

   
         ciphers: 

   3

   
         - ECDHE-ECDSA-CHACHA20-POLY1305
         - ECDHE-RSA-CHACHA20-POLY1305
         - ECDHE-RSA-AES128-GCM-SHA256
         - ECDHE-ECDSA-AES128-GCM-SHA256
         minTLSVersion: VersionTLS11
     machineConfigPoolSelector:
       matchLabels:
         pools.operator.machineconfiguration.openshift.io/worker: "" 

   4

   
   #...

   Copy to Clipboard Toggle word wrap

   1

   指定 TLS 安全配置集类型（Old、Intermediate 或 Custom）。默认值为 Intermediate。

   2

   为所选类型指定适当的字段：

   • old: {}
   • intermediate: {}
   • modern: {}
   • custom:

   3

   对于 custom 类型，请指定 TLS 密码列表和最低接受的 TLS 版本。

   4

   可选：为您要应用 TLS 安全配置集的节点指定机器配置池标签。

2. 创建 KubeletConfig 对象：

   $ oc create -f <filename>

   Copy to Clipboard Toggle word wrap

   根据集群中的 worker 节点数量，等待配置的节点被逐个重启。

1. 为配置的节点启动 debug 会话：

   $ oc debug node/<node_name>

   Copy to Clipboard Toggle word wrap

2. 将 /host 设置为 debug shell 中的根目录：

   sh-4.4# chroot /host

   Copy to Clipboard Toggle word wrap

3. 查看 kubelet.conf 文件：

   sh-4.4# cat /etc/kubernetes/kubelet.conf

   Copy to Clipboard Toggle word wrap

   输出示例

     "kind": "KubeletConfiguration",
     "apiVersion": "kubelet.config.k8s.io/v1beta1",
   #...
     "tlsCipherSuites": [
       "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
       "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
       "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
       "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
       "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256",
       "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
     ],
     "tlsMinVersion": "VersionTLS12",
   #...

   Copy to Clipboard Toggle word wrap