3 - 安装Rancher

    • 默认自签名证书安装

    默认情况下,Rancher会自动生成一个用于加密的自签名证书。从您的Linux主机运行Docker命令来安装Rancher,而不需要任何其他参数:

    • 使用自己的自签名证书

    Rancher安装可以使用自己生成的自签名证书,如果没有自签名证书,可一键生成自签名ssl证书

    先决条件:- 使用OpenSSL或其他方法创建自签名证书。- 这里的证书不需要进行加密。- 证书文件必须是格式。- 在您的证书文件中,包含链中的所有中间证书。有关示例,请参考SSL常见问题/故障排除

    您的Rancher安装可以使用您提供的自签名证书来加密通信。创建证书后,运行docker命令时把证书文件映射到容器中。

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v /var/log/rancher/auditlog:/var/log/auditlog \
    4.   -e AUDIT_LEVEL=3 \
    5.   -v <主机路径>:/var/lib/rancher/ \
    6.   -v /etc/<CERT_DIRECTORY>/<FULL_CHAIN.pem>:/etc/rancher/ssl/cert.pem \
    7.   -v /etc/<CERT_DIRECTORY>/<PRIVATE_KEY.pem>:/etc/rancher/ssl/key.pem \
    8.   -v /etc/<CERT_DIRECTORY>/<CA_CERTS.pem>:/etc/rancher/ssl/cacerts.pem \
    9.  <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG>
    • 使用权威CA机构颁发的证书

    如果您公开发布您的应用,理想情况下应该使用由权威CA机构颁发的证书。

    先决条件:1.证书必须是PEM格式,PEM只是一种证书类型,并不是说文件必须是PEM为后缀,具体可以查看。2.确保容器包含您的证书文件和密钥文件。由于您的证书是由认可的CA签署的,因此不需要安装额外的CA证书文件。3.给容器添加—no-cacerts参数禁止Rancher生成默认CA证书。4.这里的证书不需要进行base64加密。

    获取证书后,运行Docker命令以部署Rancher,同时指向证书文件。

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v <主机路径>:/var/lib/rancher/ \
    4.   -v /root/var/log/auditlog:/var/log/auditlog \
    5.   -e AUDIT_LEVEL=3 \
    6.   -v /etc/your_certificate_directory/fullchain.pem:/etc/rancher/ssl/cert.pem \
    7.   -v /etc/your_certificate_directory/privkey.pem:/etc/rancher/ssl/key.pem \
    8.   <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG> \
    9.   --no-cacerts

    • 首先在负载均衡器主机上安装NGINX,NGINX具有适用于所有已知操作系统的软件包。有关安装NGINX的帮助,请查阅其安装文档nginx安装文档.

    • 安装NGINX后,您需要使用节点的IP地址更新NGINX配置文件nginx.conf。复制下面的代码到文本编辑器,保存为nginx.conf。在nginx.conf配置中, 替换IP_NODE_1IP_NODE_2IP_NODE_3 为您主机真实的IP地址。

    NGINX配置示例:

    1. worker_processes 4;
    2. worker_rlimit_nofile 40000;
    4. events {
    5.     worker_connections 8192;
    6. }
    8. stream {
    9.     upstream rancher_servers_http {
    10.         least_conn;
    11.         server <IP_NODE_1>:80 max_fails=3 fail_timeout=5s;
    12.         server <IP_NODE_2>:80 max_fails=3 fail_timeout=5s;
    13.         server <IP_NODE_3>:80 max_fails=3 fail_timeout=5s;
    14.     }
    15.     server {
    16.         listen     80;
    17.         proxy_pass rancher_servers_http;
    18.     }
    19.     upstream rancher_servers_https {
    20.         least_conn;
    21.         server <IP_NODE_1>:443 max_fails=3 fail_timeout=5s;
    22.         server <IP_NODE_2>:443 max_fails=3 fail_timeout=5s;
    23.         server <IP_NODE_3>:443 max_fails=3 fail_timeout=5s;
    24.     }
    25.     server {
    27.         proxy_pass rancher_servers_https;
    28.     }
    29. }

    • 重新加载nginx配置

    • 默认自签名证书安装

    默认情况下,Rancher会自动生成一个用于加密的自签名证书。从您的Linux主机运行Docker命令来安装Rancher,而不需要任何其他参数:

    1. docker run -d --restart=unless-stopped \
    2. -p 80:80 -p 443:443 \
    3. -v <主机路径>:/var/lib/rancher/ \
    4. -v /root/var/log/auditlog:/var/log/auditlog \
    5. -e AUDIT_LEVEL=3 \
    6. <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG>
    • 使用自己的自签名证书

    Rancher安装可以使用自己生成的自签名证书,如果没有自签名证书,可一键生成。

    您的Rancher安装可以使用您提供的自签名证书来加密通信。创建证书后,运行docker命令时把证书文件映射到容器中。

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v /var/log/rancher/auditlog:/var/log/auditlog \
    4.   -e AUDIT_LEVEL=3 \
    5.   -v <主机路径>:/var/lib/rancher/ \
    6.   -v /etc/<CERT_DIRECTORY>/<FULL_CHAIN.pem>:/etc/rancher/ssl/cert.pem \
    7.   -v /etc/<CERT_DIRECTORY>/<PRIVATE_KEY.pem>:/etc/rancher/ssl/key.pem \
    8.   -v /etc/<CERT_DIRECTORY>/<CA_CERTS.pem>:/etc/rancher/ssl/cacerts.pem \
    9.  <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG>
    • 使用权威CA机构颁发的证书

    如果您公开发布您的应用,理想情况下应该使用由权威CA机构颁发的证书。

    先决条件:1.证书必须是PEM格式,PEM只是一种证书类型,并不是说文件必须是PEM为后缀,具体可以查看证书类型。2.确保容器包含您的证书文件和密钥文件。由于您的证书是由认可的CA签署的,因此不需要安装额外的CA证书文件。3.给容器添加—no-cacerts参数禁止Rancher生成默认CA证书。4.这里的证书不需要进行base64加密。

    获取证书后,运行Docker命令以部署Rancher,同时指向证书文件。

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v <主机路径>:/var/lib/rancher/ \
    4.   -v /root/var/log/auditlog:/var/log/auditlog \
    5.   -e AUDIT_LEVEL=3 \
    6.   -v /etc/your_certificate_directory/fullchain.pem:/etc/rancher/ssl/cert.pem \
    7.   -v /etc/your_certificate_directory/privkey.pem:/etc/rancher/ssl/key.pem \
    8.   <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG> \
    9.   --no-cacerts
    • 配置七层负载均衡器

    默认情况下,rancher容器会将80端口上的请求重定向到443端口上。如果rancher server通过负载均衡器来代理,这个时候请求是通过负载均衡器发送给rancher server,而并非客户端直接访问rancher server。在非全局https的环境中,如果以外部负载均衡器作为ssl终止,这个时候通过负载均衡器的https请求将需要被反向代理到rancher server http(80)上。在负载均衡器上配置X-Forwarded-Proto: https参数,rancher server http(80)上收到负载均衡器的请求后,就不会再重定向到https(443)上。

    负载均衡器或代理必须支持以下参数:

    • WebSocket 连接
    • SPDY/HTTP/2协议
    • 传递/设置以下headers:HeaderValue描述Host传递给Rancher的主机名识别客户端请求的主机名。X-Forwarded-Protohttps识别客户端用于连接负载均衡器的协议。注意:如果存在此标头,rancher/rancher不会将HTTP重定向到HTTPS。X-Forwarded-PortPort used to reach Rancher.识别客户端用于连接负载均衡器的端口。X-Forwarded-ForIP of the client connection.识别客户端的原始IP地址。
    1. # Gzip Settings
    2. gzip on;
    3. gzip_disable "msie6";
    4. gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    5. gzip_vary on;
    6. gzip_static on;
    7. gzip_min_length 0;
    9. gzip_buffers 16 8k;
    10. gzip_http_version 1.1;
    11. gzip_types
    12.   text/xml application/xml application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml application/font-woff
    13.   text/javascript application/javascript application/x-javascript
    14.   text/x-json application/json application/x-web-app-manifest+json
    15.   text/css text/plain text/x-component
    16.   font/opentype application/x-font-ttf application/vnd.ms-fontobject font/woff2
    17.   image/x-icon image/png image/jpeg;
    • 使用自己的自签名证书

    采用外部七层负载均衡器来做代理,那么只需要把证书放在外部七层负载均衡器上,如果是自签名证书,则需要把CA文件映射到rancher server容器中。如果没有自签名证书,可一键生成。

    先决条件:- 使用OpenSSL或其他方法创建自签名证书。- 这里的证书不需要进行base64加密。- 证书文件必须是PEM格式。- 在您的证书文件中,包含链中的所有中间证书。有关示例,请参考。

    运行Rancher server容器时候,需要把自签名CA证书映射到Rancher容器中:

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v /var/log/rancher/auditlog:/var/log/auditlog \
    4.   -e AUDIT_LEVEL=3 \
    5.   -v <主机路径>:/var/lib/rancher/ \
    6.   -v /etc/<CERT_DIRECTORY>/<CA_CERTS.pem>:/etc/rancher/ssl/cacerts.pem \
    7.  <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG>
    • 使用权威CA机构颁发的证书

    如果您公开发布您的应用,理想情况下应该使用由权威CA机构颁发的证书。如果您使用由权威CA机构颁发的证书,则无需在Rancher容器中安装您的CA证书,只需运行下面的基本安装命令即可:

    先决条件:1.证书必须是PEM格式,PEM只是一种证书类型,并不是说文件必须是PEM为后缀,具体可以查看证书类型。2.确保容器包含您的证书文件和密钥文件。由于您的证书是由认可的CA签署的,因此不需要安装额外的CA证书文件。3.给容器添加—no-cacerts参数禁止Rancher生成默认CA证书。4.这里的证书不需要进行base64加密。

    1. docker run -d --restart=unless-stopped \
    2.   -p 80:80 -p 443:443 \
    3.   -v <主机路径>:/var/lib/rancher/ \
    4.   -v /root/var/log/auditlog:/var/log/auditlog \
    5.   -e AUDIT_LEVEL=3 \
    6.     <REGISTRY.YOURDOMAIN.COM:PORT>/rancher/rancher:<RANCHER_VERSION_TAG> \
    7.   --no-cacerts

    如果您没有内部DNS服务器而是通过添加/etc/hosts主机别名的方式指定的Rancher server域名,那么不管通过哪种方式(自定义、导入、Host驱动等)创建K8S集群,K8S集群运行起来之后,因为cattle-cluster-agent Podcattle-node-agent无法通过DNS记录找到Rancher server,最终导致无法通信。

    可以通过给cattle-cluster-agent Podcattle-node-agent添加主机别名(/etc/hosts),让其可以正常通信(前提是IP地址可以互通)

    • cattle-cluster-agent pod
    • cattle-node-agent pod
    1. #指定kubectl配置文件
    2. export kubeconfig=xxx/xxx/xx.kubeconfig.yaml
    4. kubectl --kubeconfig=$kubeconfig -n cattle-system \
    5. patch daemonsets cattle-node-agent --patch '{
    6.     "spec": {
    7.         "template": {
    8.             "spec": {
    9.                 "hostAliases": [
    10.                     {
    11.                         "hostnames":
    12.                         [
    13.                             "xxx.rancher.com"
    14.                         ],
    15.                             "ip": "192.168.1.100"
    16.                     }
    17.                 ]
    18.             }
    19.         }
    21. }'

    中整理了常见的问题与解决方法。