ONTAP Tools 10：如何配置安全的 TLS 密码套件和防火墙规则

适用于

• 适用于 VMware vSphere (OTV) 10.x 的 ONTAP 工具

说明

注意：有一个脚本 可用，将执行过程中概述的步骤。

本知识库描述如何通过以下方式强化 OTV 10.x： 

• 使用永久主机防火墙规则限制对敏感 Kubernetes/etcd 端口的访问
• 为 Kubernetes API 服务器、kubelet 和 etcd 配置推荐的 TLS 密码套件 

这包括端口： 

• 6443/TCP - Kubernetes API 服务器
• 9345/TCP - RKE2 监督器 / 节点注册
• 10250/TCP - kubelet API
• 2379/TCP - etcd 客户端
• 2380/TCP - etcd 对等体 

适用的 OTV 网络地址 

根据部署和路由，这些端口可以通过以下方式访问： 

• OTV / ONTAP tools IP 地址（Gateway UI IP）
• 节点互连 IP 地址（HA / 内部）
• 通用 VM/节点 IP 地址 

注意：在验证规则和 TLS 时，请使用适用于设置的 IP。 

推荐的密码套件（基线） 

在支持的情况下使用这些强大的 TLS 1.2 AEAD 密码套件： 

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

注意：端点提供的证书类型会影响哪些套件可以协商/观察。 

注意： 使用 OTV10 远程诊断 shell diag 用户登录将使您能够执行本文中列出的任务