Skip to main content

功能介绍

安装 Rancher 后,系统管理员需要配置 Rancher Server URL、全局私有镜像仓库、身份验证、用户访问权限、Pod 安全策略、节点和集群驱动程序、RKE 元数据和实验性功能。

配置 Rancher Server URL#

第一次登录 Rancher 后,Rancher 将提示您输入一个Rancher Server URL。您应该将 URL 设置为 Rancher Server 的主入口点。当负载均衡器位于 Rancher Server 集群前面时,URL 应该设置为负载均衡地址。系统会自动尝试从运行 Rancher Server 的主机的 IP 地址或主机名推断 Rancher Server 的 URL,但只有在运行单节点的 Rancher Server 时,上述推断才会正确。因此,在大多数情况下,您需要自己将 Rancher Server URL 设置为正确的值。

注意

Rancher Server URL 在设置后可通过系统设置->高级设置中的server-url来更新设置。

全局私有镜像仓库#

公共镜像仓库有以下几个潜在问题:

  • 需要通过公网连接本地和公有镜像仓库,数据传输速度比较慢,导致上传和下载镜像的速度也比较慢。
  • 公有仓库将镜像存放在公共硬盘上,访问限制比较宽松。
  • 镜像版本不一致,镜像来源也不完全可信。

而私有镜像仓库的特性恰好解决了公有镜像仓库的潜在问题:

  • 通过局域网连接本地和私有镜像仓库,数据传输速度快。
  • 私有仓库将镜像存放在私有服务器硬盘上,组织可以自行配置每个人的访问权限。
  • 组织可以把控镜像的版本和来源,确保仓库内的镜像版本一致,来源可信。

您可以将自定义系统镜像上传到私有镜像仓库,使用这些私有的,版本一致且来源可信的镜像,创建 RKE 集群和使用 Rancher 提供的工具服务。您也可以通过私有镜像仓库和组织内的同事共享自定义系统镜像。

在 Rancher 中设置私有镜像仓库的主要方法有两种:通过全局视图中的设置选项卡设置全局默认镜像仓库,以及在集群级别设置的高级选项中设置私有镜像仓库。全局默认镜像仓库用于离线环境设置,不需要凭据的镜像仓库。集群级私有镜像仓库用于所有需要凭据的私有镜像仓库。

有关全局私有镜像库更多信息,请参考全局私有镜像库

验证用户身份#

Rancher 向 Kubernetes 添加的关键特性之一是集中式用户身份验证。该特性允许设置本地用户连接到外部身份认证系统,使用该系统的用户和组进行身份验证。

有关身份认证如何工作以及如何配置不同身份认证系统的更多信息,请参考身份验证

授予用户访问权限#

Rancher 通过用户名区分用户,每一个用户名都对应了一个独立的用户。用户在 Rancher 系统中的授权或访问权限由用户的角色决定。Rancher 提供了预先设置好的角色,允许您轻松地配置用户对资源的权限,也提供了为每个 Kubernetes 资源定制角色的功能。

有关授权如何工作以及如何自定义角色的更多信息,请参考基于角色的访问控制(RBAC)

配置 Pod 安全策略#

Pod 安全策略(PSP)是控制安全敏感相关对象的 pod 规范,例如 root 特权。如果一个 pod 不符合 PSP 中指定的条件,Kubernetes 将不允许它启动,在 Rancher UI 中将显示错误消息。

有关如何创建和使用 Pod 安全策略的更多信息,请参考Pod 安全策略

配置 RKE 集群模板#

RKE 的全称是Rancher Kubernetes Engine,它是 Rancher 用来创建 Kubernetes 集群的工具。RKE 集群模板制定了 DevOps 和安全团队的标准,简化了 Kubernetes 集群的创建过程。

多集群管理面临着如何强制实施安全策略和附加配置的挑战,在将集群移交给最终用户之前,管理员需要标准化这些配置。RKE 集群模板提供了标准化集群配置的方式。无论是使用 Rancher UI、Rancher API 还是自动化流程创建的集群,Rancher 都将保证从 RKE 集群模板创建的每个集群在生成方式上是一致的。

配置 RKE 集群模板时,管理员具有以下权限:

  • 决定用户可以修改的和不可修改的集群选项。
  • 指定的用户是否可以与其他用户或和用户组共享 RKE 集群模板。
  • 为不同的用户组创建 RKE 集群模板。

集群和模板之间存在多对一的关系,用户可以使用一个模板创建多个集群,而每个集群有且只有一个对应的模板。确认使用的模板后,无法修改。例如,“集群 A”是用户使用“模板 a”创建的,那么在编辑集群时,用户不能将集群 A”对应的“模板 a”,修改为其他模板。管理员可以通过编辑集群模板的方式更新集群模板,应用该模板创建的集群就会自动适配新模板的参数。

配置驱动程序#

Rancher 可以自动部署和管理云服务器中的 Kubernetes 集群, 您可以通过驱动程序管理提供托管服务的供应商,来创建托管 Kubernetes 集群 或者通过管理支持的云服务器,使用云主机创建 kubernetes 集群。详情请参考驱动介绍

添加 Kubernetes 版本到 Rancher#

v2.3.0 版本可用

Kubernetes 的版本更新速度比 Rancher 快,在 Rancher 大版本的周期内(如 v2.3.0~v2.3.7),Kubernetes 可能会发布包括补丁版和正式版在内的多个的版本;而且 Kubernetes 倾向于在正式版本之间添加和删除 API 接口,这就造成了 Kubernetes 升级正式版本后,新旧 API 接口对应不上,调用 API 返回异常失等问题。

RKE 元数据功能允许用户在获取新的可用 Kubernetes 版本的同时,保持 Rancher 的版本不变,您可以轻松升级 Kubernetes 的补丁版本(例如:v1.15.X),而不需要升级 Kubernetes 的正式版本(例如:v1.X.0)。

Rancher 用于配置RKE 集群的信息位于 Rancher Kubernetes 元数据中。有关元数据配置和如何更改用于配置 RKE 集群的 Kubernetes 版本的详细信息,请参考获取新的 Kubernetes 版本

启用实验性功能#

v2.3.0 版本可用

Rancher 包含一些在默认情况下禁用的实验性功能。该功能开关让您能够尝试这些新功能。有关更多信息,请参考关于功能开关的章节。

轮换 Rancher Server 证书#

详情请参阅轮换证书

Last updated on by Hong Chen