我正在AWS上运行Kubernetes,并使用Service和type: LoadBalancer来公开服务,这提供了ELB。有什么方法可以通过此服务上的注释来控制ELB密码配置吗?我需要禁用TLS 1.0和1.1。
我知道我可以手动执行此操作,但是我希望Kubernetes可以为我执行此操作,否则我将不得不记住下次配置新的ELB时再次执行此操作(Kubernetes升级,配置更改等)。
答案 0 :(得分:2)
如果我理解正确,那么您想直接从Service.yml文件中调整安全策略。
从我所见,here可以找到当前支持的所有注释的列表。
有一个叫做“ aws-load-balancer-ssl-negotiation-policy”的文件。对我来说,它看起来完全符合您的需求。
// ServiceAnnotationLoadBalancerSSLNegotiationPolicy is the annotation used on
// the service to specify a SSL negotiation settings for the HTTPS/SSL listeners
// of your load balancer. Defaults to AWS's default
const ServiceAnnotationLoadBalancerSSLNegotiationPolicy = "service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy"
该文件的链接列在official documentation on K8s下。
此外,还有一个预定义策略ELBSecurityPolicy-TLS-1-2-2017-01,该策略仅使用TLS v1.2(禁用1.0和1.1)。
希望有帮助。
答案 1 :(得分:0)
在负载均衡器上的HTTPS侦听器上编辑安全策略。