惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

A
About on SuperTechFans
Cloudbric
Cloudbric
C
CERT Recently Published Vulnerability Notes
G
GRAHAM CLULEY
V
Vulnerabilities – Threatpost
C
Cisco Blogs
T
Tenable Blog
P
Privacy International News Feed
T
The Exploit Database - CXSecurity.com
I
Intezer
AWS News Blog
AWS News Blog
IT之家
IT之家
博客园 - 司徒正美
C
Cybersecurity and Infrastructure Security Agency CISA
博客园 - 【当耐特】
The Hacker News
The Hacker News
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Spread Privacy
Spread Privacy
S
SegmentFault 最新的问题
博客园 - Franky
人人都是产品经理
人人都是产品经理
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
V
Visual Studio Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
H
Hacker News: Front Page
Latest news
Latest news
Scott Helme
Scott Helme
腾讯CDC
宝玉的分享
宝玉的分享
大猫的无限游戏
大猫的无限游戏
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
A
Arctic Wolf
S
Securelist
雷峰网
雷峰网
The GitHub Blog
The GitHub Blog
Project Zero
Project Zero
Google DeepMind News
Google DeepMind News
P
Palo Alto Networks Blog
F
Fortinet All Blogs
Schneier on Security
Schneier on Security
云风的 BLOG
云风的 BLOG
Security Archives - TechRepublic
Security Archives - TechRepublic
The Last Watchdog
The Last Watchdog
WordPress大学
WordPress大学
MongoDB | Blog
MongoDB | Blog
L
LINUX DO - 最新话题
S
Schneier on Security
NISL@THU
NISL@THU
Jina AI
Jina AI
M
MIT News - Artificial intelligence

Kubernetes

K8s 发布失败后,大家第一眼先看哪? - V2EX 基于终端 TUI 的 k8s 运维工具 运维 help 运维,开源一个桌面端 K8S 多集群管理工具: https://github.com/eryajf/kite-desktop - V2EX 基于 K8S 实现的无限扩展的 tikrok v3 企业版 - V2EX 怎么优化集群上大量 crontab 执行问题 - V2EX K8s Admin:一个轻量级的多集群 Kubernetes 管理平台 - V2EX 初学 k8s,如何解决网络下载慢的问题? - V2EX 在阿里云上搭建 K8S 的最佳实践是什么? - V2EX [求助] sealos 私有化部署失败 - V2EX K8s etcd 恢复 - V2EX 大家在生产环境使用 Redis on K8s 的方案是什么? - V2EX Claude Code Skill + K8S 安全审计有没有搞头? - V2EX 捡了点垃圾,打算在家里玩 K3S,求创意 - V2EX istio 的 ambient 模式现在成熟了吗? - V2EX 轻量的 K8s 镜像自动更新工具: kube-watchtower - V2EX openwrt + pve (pve 上部署 k8s) 能够实现 将 op 上的 ipv6-pd 动态的分配到 k8s svc 上吗?当 ra 通告到达时能够自动更新的程度。 - V2EX 有一些 Golang/k8s 基础,想转行做 云原生开发 我还需要学什么? - V2EX 求份搭建高可用 k8s 的教程 - V2EX 有什么可以快速验证应用部署 K8S 的办法么? - V2EX 有没有办法实现一个对外服务就可以访问 k8s 集群内的所有服务? - V2EX k8s ingress 转发会把 encode 后的 uri 还原成转义前的字符串 - V2EX k8s 下 nfs-provisioner 迁移 - V2EX K8S 中的 POD,如何安全的执行 docker build? - V2EX k8s 的一些问题 - V2EX 有人用过 victoria metrics stack 吗? - V2EX django 应用里面的脚本怎么在 k8s 平台启动更合适? - V2EX kubesphere 直接闭源下线 怎么看? - V2EX IDEA 本地调试 Spring Cloud 项目,如何调用 k8s 集群里的 svc ip - V2EX 有没有 k8s + ingress +frp 这种方案 - V2EX Gitops 中涉及敏感信息推荐用什么工具呢? - V2EX 你认为什么规模的公司适合使用 k8s? - V2EX 请问大家所在公司的 k8s 集群 cni 和 cri 选型是什么? - V2EX 求大神指点在 k3s 上面启动容器报错 libc.so.6: invalid ELF header milvus 应该怎么入手排查 - V2EX 搞了一个 kubernetes dashboard - V2EX gitlab runner in k8s 构建镜像的最佳实战是什么 - V2EX 认真请教有什么好的方式可以深入了解学习 k8s - V2EX 各位是如何在 k8s 中做镜像构建的? - V2EX KubeCon China 2025 见闻 单机能不能用来学习 K8S - V2EX k8s 使用调研 - V2EX 请问现在大佬们公司都是用的什么 k8s 可视化工具 [开源自荐] 搞了一个 SSH 和 K8s 连接信息的管理小工具(仅限 Mac) 开源小白,最近开源了个练手新项目 CILIKUBE,欢迎大佬们 Star! 再也不用记 k8s 的命令了 - V2EX 救救我~~, k8s 的 containerd 的镜像加速还有那些办法可以用呀 - V2EX 昨天 rancher 给我挖了一个大坑 - V2EX 不懂就问: kubeadm 能否用于生产?和 kubespray 区别是什么? - V2EX 新人练手请教 - V2EX 大家公司的基础服务有哪些是二进制包方式部署在服务器上的? - V2EX 想学习 K8S,请问大佬们应该怎么入门呢? 有人用过 open-local
K8S 网关求助, 兼容老 HTTP 协议和老 TLS 版本 - V2EX
soleils · 2026-03-23 · via Kubernetes

这是一个创建于 83 天前的主题,其中的信息可能已经有所发展或是发生改变。

客户大多数是银行的, 某些用的请求库都很老

最近我们迁移云资源, 在新 K8S 里用了 envoy-gateway 1.6.5, 问 Gemini 说可以通过设置:
tls:
minVersion: "1.0"
maxVersion: "1.3"
来兼容 TLS1.0, http 设置了 http10: {}来兼容, 我本地用 curl 测试也没问题(后来发现没用).

上线后少数银行客户报错: 要不然是 426, 要不然是 SSL 握手有问题. 现在我蛋疼的要死, 不能因为少部分客户又切回老云, 但线上想换 treafik 又来不及了, 现在怎么办

(还是应该敬畏生产环境)

  • k8s
  • TLS
  • 兼容

    8 条回复    2026-03-24 15:41:09 +08:00

    SingeeKing

    1

    SingeeKing      3 月 23 日

    加一下 GODEBUG=tlsrsakex=1 环境变量试试,因为新版本 Go 老的加密算法默认禁用

    v1

    3

    v1      3 月 24 日

    apiVersion: gateway.envoyproxy.io/v1alpha1
    kind: EnvoyProxy
    metadata:
    name: eg-proxy-config
    namespace: default
    spec:
    tls:
    minVersion: "1.0"
    maxVersion: "1.3"
    ciphers: # 要显式包含 TLS1.0 的加密套件
    - ECDHE-ECDSA-AES128-SHA
    - ECDHE-RSA-AES128-SHA
    - AES128-SHA
    - ECDHE-ECDSA-AES256-SHA
    - ECDHE-RSA-AES256-SHA
    - AES256-SHA
    - ECDHE-ECDSA-AES128-GCM-SHA256
    - ECDHE-RSA-AES128-GCM-SHA256
    - ECDHE-ECDSA-AES256-GCM-SHA384
    - ECDHE-RSA-AES256-GCM-SHA384

    -----

    apiVersion: gateway.networking.k8s.io/v1
    kind: Gateway
    metadata:
    name: eg
    namespace: default
    spec:
    gatewayClassName: eg
    envoyProxy:
    name: eg-proxy-config # 必须引用才可生效
    listeners:
    - name: https
    port: 443
    protocol: HTTPS
    tls:
    mode: Terminate
    certificateRefs:
    - kind: Secret
    name: example-cert

    soleils

    4

    soleils      3 月 24 日

    @v1 apiVersion: gateway.envoyproxy.io/v1alpha1
    kind: ClientTrafficPolicy
    metadata:
    name: legacy-http10-temp
    namespace: envoy-gateway-system
    spec:
    targetRefs:
    - group: gateway.networking.k8s.io
    kind: Gateway
    name: my-gateway
    sectionName: https-cn
    - group: gateway.networking.k8s.io
    kind: Gateway
    name: my-gateway
    sectionName: https-com
    http1:
    http10: {}
    tls:
    minVersion: "1.0"
    maxVersion: "1.3"
    alpnProtocols:
    - h2
    - http/1.1
    - http/1.0
    ciphers:
    - ECDHE-ECDSA-AES128-GCM-SHA256
    - ECDHE-RSA-AES128-GCM-SHA256
    - ECDHE-ECDSA-AES256-GCM-SHA384
    - ECDHE-RSA-AES256-GCM-SHA384
    - ECDHE-ECDSA-CHACHA20-POLY1305
    - ECDHE-RSA-CHACHA20-POLY1305
    - ECDHE-RSA-AES128-SHA
    - ECDHE-RSA-AES256-SHA
    - AES128-SHA
    - AES256-SHA

    我也是这样配置的, 但我用的是 kind: ClientTrafficPolicy , 你用的是 kind: EnvoyProxy, 是这个关键区别吗?

    pckillers

    5

    pckillers      3 月 24 日

    我比较惊奇于用户竟然能直接连接到 k8s 的网关。 k8s 之前已经没有 waf 之类的 7 层网关了? 如果有的话 TLS 与 cipher 就是 waf 决定的了。

    soleils

    6

    soleils      3 月 24 日

    @pckillers 这个问题是有些客户会配置域名+host 绑定, 还会给域名和 IP 开白名单, 因为腾讯云 waf 的 vip 不保证不变, 他们说 5 月底会出一个不变 IP 的 waf vip, 但我们等不了那么久了, 所以这次没有上 waf, 只用了云防火墙

    soleils

    7

    soleils      3 月 24 日

    我废了老鼻子劲终于搞懂了, 这次的兼容性问题是一些老客户端不会自动带上 SNI, 我们又有多个证书, 导致了连接被重置.
    上面的设置是可以让 envoy-gateway 支持 TLS1.0 1.1 的, 原因不是设置问题

    实际兼容性原因:
    1, 有些客户端需要手动指定 SNI (一个 IP 多个证书)
    2, 如果用了 TLS1.0 , 1.1 , 最好加上-cipher "AES256-SHA:@SECLEVEL=0"