tls-cipher-suitesを使用して名前空間のdaemonset.apps/node-exporterを更新しようとしていますopenshift-monitoringoc edit daemonset.apps/node-exporter -n openshift-monitoring
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
tls-cipher-suitesが更新されると、node-exporter ポッドが再デプロイされていることがわかります。しかし、daemonset.apps/node-exporter使用を確認するoc get -o yaml daemonset.apps/node-exporter -n openshift-monitoringと、行われた更新tls-cipher-suitesが失われ、古い値にリセットされていることがわかります。この値を永続的に設定するにはどうすればよいですか?
注: 更新の目的tls-cipher-suitesは、Nessus スキャンがSWEET32中強度の暗号 (ECDHE-RSA-DES-CBC3-SHA および DES-CBC3-SHA) のポート 9100 の脆弱性を報告したことです。