Как найти настройки TLS для Traefik, работающего в контейнерах Kubernetes, чтобы запретить использование слабых наборов шифров?

tag-icon tag-icon ssl docker kubernetes containers traefik
Как найти настройки TLS для Traefik, работающего в контейнерах Kubernetes, чтобы запретить использование слабых наборов шифров?

У меня есть несколько серверов, которые были помечены как разрешающие небезопасные наборы шифров TLS/SSL и т. д. для HTTPS. Мне нужно это исправить. Однако веб-серверы на них работают из контейнеров Docker/Kubernetes, и я не могу найти, где вообще определена конфигурация TLS. Ниже приведен мой процесс на данный момент:

  1. Я запустил "sudo netstat -tulpn | grep 443", чтобы узнать, какой процесс прослушивает этот порт. Согласно Linux, на порту 443 нет процесса, который его прослушивает. Но я могу просматривать веб-сайты по HTTPS, так что это не может быть правильным.
  2. Я запустил "kubectl get svc --all-namespaces -o go-template='{{range .items}}{{range.spec.ports}}{{if .nodePort}}{{.nodePort}}{{.}}{{"\n"}}{{end}}{{end}}{{end}}'"
    Это то, что я получил из другого вопроса serverfault. Результат включал:
    30573map[name:websecure nodePort:30573 port:443 protocol:TCP targetPort:websecure]
    Я слышал, что websecure — это точка входа Traefik для трафика HTTPS. Поэтому я должен предположить, что Traefik — это то, что на самом деле обрабатывает этот трафик.
  3. Я запустил "kubectl get pods --all-namespaces", чтобы узнать, в каком pod работает Traefik. Было множество не связанных друг с другом pod, и я получил пятнадцать разных результатов, например: "kube-system svclb-traefik-c89bf034-5c9nz 2/2 Running 12 (17d ago) 187d" (с разными случайными сегментами в конце) и еще один результат ниже: "kube-system traefik-869787b8bc-nfqmt 1/1 Running 6 (17d ago) 186d". На данном этапе я не уверен, какой из этих pod traefik является тем, в котором запущен websecure, или все они каким-то образом с ним работают. Кроме того, я читал, что настройки TLS находятся в динамической конфигурации Traefik, и что динамическая конфигурация загружается из "Поставщика", который может быть файлом, веб-сайтом или другим источником. Но я не знаю, где это указано в случае этих серверов. Я пытался искать такие вещи, как файлы docker-compose.yml или traefik.toml с минимальной удачей и не нашел ничего, что определяло бы разрешенные шифры TLS или указывало бы на конфигурацию, которая это делает.

Итак, мой вопрос: как мне найти настройки TLS для Traefik, работающего в контейнерах Kubernetes, чтобы не допускать слабые наборы шифров? Заранее спасибо за помощь и извиняюсь за любые проблемы с форматированием этого вопроса... это мой первый вопрос на этом сайте!

Связанный контент