我的书签
添加书签
移除书签6 - 其他方法
Chart地址: https://github.com/xiaoluhong/server-chart.git
- 本Chart基于 修改,当前支持版本为。
- 不支持LetsEncrypt、cert-manager提供证书,需手动通过Secret导入证书, 默认开启审计日志功能。
- 仓库根目录有一键创建自签名证书脚本,会自动创建
cacerts.pem、tls.key、tls.crt;
- 如果使用权威认证证书,需要重命名crt和key为
tls.crt和tls.key。
二、部署架构
通过集群内安装的ingress服务,使用七层域名转发来访问rancher server,请求流量将转发到rancher server容器的80端口。
- 把服务证书和CA证书作为密文导入K8S
# 指定kubeconfig配置文件路径kubeconfig=xxx# 创建cattle-system命名空间kubectl --kubeconfig=$kubeconfig \create namespace cattle-system# 创建ssl证书密文kubectl --kubeconfig=$kubeconfig \-n cattle-system create \secret tls tls-rancher-ingress \--cert=./tls.crt --key=./tls.key# 创建CA证书密文kubectl --kubeconfig=$kubeconfig \-n cattle-system create \secret generic tls-ca \--from-file=cacerts.pem# 创建tiller serviceaccountkubectl --kubeconfig=$kubeconfig \-n kube-system create \# 创建tiller clusterrolebindingkubectl --kubeconfig=$kubeconfig \create clusterrolebinding \tiller --clusterrole cluster-admin \--serviceaccount=kube-system:tiller# 安装tillerhelm_version=`helm version |grep Client | awk -F""\" '{print $2}'`--skip-refresh --service-account tiller \--tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version
- 安装
有的场景需要使用IP去直接访问rancher server, 因为ingress默认不支持IP访问,所以这里禁用ingress。通过NodePort把rancher server容器端口映射到宿主机的端口上,这个时候rancher server容器作为ssl终止,请求流量转发到rancher server容器的443端口。
- 把服务证书和CA证书作为密文导入K8S
# 指定kubeconfig配置文件路径kubeconfig=xxx# 创建cattle-system命名空间kubectl --kubeconfig=$kubeconfig create namespace cattle-system# 创建ssl证书密文kubectl --kubeconfig=$kubeconfig -n cattle-system create \secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key# 创建CA证书密文kubectl --kubeconfig=$kubeconfig -n cattle-system create \secret generic tls-ca --from-file=cacerts.pem# 创建tiller serviceaccountkubectl --kubeconfig=$kubeconfig -n kube-system create \serviceaccount tiller# 创建tiller clusterrolebindingkubectl --kubeconfig=$kubeconfig create clusterrolebinding \tiller --clusterrole cluster-admin --serviceaccount=kube-system:tillerhelm_version=`helm version |grep Client | awk -F""\" '{print $2}'`helm --kubeconfig=$kubeconfig init \--skip-refresh --service-account tiller \--tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version
- 安装
有的场景,外部有七层负载均衡器作为ssl终止,常见用法是把负载均衡器的443端口代理到内部应用的非https端口上,比如80。为了保证网络转发性能,这里禁用了内置的ingress服务,以NodePort方式把rancher server容器的80端口映射到宿主机30303端口上。外部七层负载均衡器再把443端口反向代理到Rancher的NodePort端口上,请求流量将转发到rancher server容器的80端口。
把服务证书放在外部负载均衡器上,比如nginx。配置参考:
# 指定kubeconfig配置文件路径kubeconfig=xxx# 创建cattle-system命名空间kubectl --kubeconfig=$kubeconfig create namespace cattle-system# 创建ssl证书密文kubectl --kubeconfig=$kubeconfig -n cattle-system create \secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key# 创建CA证书密文kubectl --kubeconfig=$kubeconfig -n cattle-system create \secret generic tls-ca --from-file=cacerts.pem# 创建tiller serviceaccountkubectl --kubeconfig=$kubeconfig -n kube-system create \serviceaccount tiller# 创建tiller clusterrolebindingkubectl --kubeconfig=$kubeconfig create clusterrolebinding \tiller --clusterrole cluster-admin --serviceaccount=kube-system:tiller# 安装tillerhelm_version=`helm version |grep Client | awk -F""\" '{print $2}'`helm --kubeconfig=$kubeconfig init \--skip-refresh --service-account tiller \--tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version
