因此,我们正在一组 RHEL 8 服务器上设置一个大型 Rancher/Kubernetes 集群。我们已经安装了所有东西,并且 Rancher 在负载均衡器后面的 3 节点集群上运行。我们遇到的问题是将工作进程的其他节点注册到 Rancher 中。
每次我们尝试注册它们时,运行注册命令时都会出现错误:
OpenSSL/1.1.1l-fips: error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small
我知道这个错误是说 DHkey 太小,而且我能够确认 Rancher 向这些节点提供了 1024 位 DH 密钥。我正在尝试弄清楚需要做什么才能在这些盒子之间建立通信。我真的不想在 OpenSSL 中将 seclevel 设置为 1,我们甚至尝试过这样做,但没有成功。
我们理想的解决方案是尝试在牧场主端禁用 DH 以强制其采用 EC 协议,或者我们也生成了一个 2048 位 DHparam 文件,但我们无法弄清楚它需要在系统上去哪里或如何在牧场主端禁用 DH。
我们也在update-sec-policies --set LEGACY
客户端上进行了尝试,但是也出现了同样的错误。
有什么想法吗?