版本说明 - v2.5.13
Rancher 2.5.13 版本于 2022 年 4 月 15 日发布。单击这里查看英文版版本说明。
在升级到任何 Rancher 版本之前,请务必查看下面的安装/升级说明。
#
Rancher 安全相关的漏洞修复此版本解决了 Rancher 中发现的以下安全问题:
- 改进了授权检查,以防止能
create
和update
全局角色的用户进行权限升级。详见 CVE-2021-36784。 - 修复了 Rancher 中将
restricted-admin
启用为默认用户时,普通用户能被授予CatalogTemplates
或CatalogTemplateVersions
的写入权限的问题。详见 CVE-2021-4200。 - 更新了 Fleet 中使用的外部
go-getter
库的版本,以避免在 Rancher UI 和 Fleet 的 Deployment pod 日志中泄漏 SSH 私钥。有关更多信息,请参阅 GHSA-wm2r-rp98-8pmh。
有关详细信息,请参阅安全公告页面。
#
主要 Bug 修复- 修复了身份验证组分配了受限管理员(Restricted Admin)全局角色时,并非所有权限都能正确应用,以及 Rancher 日志会被滥发并显示
RoleBinding.rbac.authorization.k8s.io "my-role-name" is invalid
错误。详见 #36621。 - 更新了 Equinix Metal 驱动版本。详见 #34742。
- 修复了将界面语言切换为简体中文后,无法在 Cluster Explorer 中创建备份的问题。详见 #33654。
#
安装/升级注意事项如果你是第一次安装 Rancher,你的环境必须满足安装要求。
#
升级要求创建备份:
- 我们强烈建议在升级 Rancher 之前创建备份。要在升级后回滚 Rancher,你必须将 Rancher 备份并恢复到之前的 Rancher 版本。由于 Rancher 会恢复到创建备份时的状态,因此恢复后不会体现升级后执行的任何更改。有关详细信息,请参阅备份 Rancher。
Helm 版本:
- 由于最新 cert-manager 版本的更改,你必须使用 Helm 3.2.x+ 来安装或升级 Rancher。详见 #29213。
Kubernetes 版本:
- 在安装 Rancher 2.5+ 之前,Rancher Server 的 Local Kubernetes 集群应该升级到 Kubernetes 1.17+。
CNI 要求:
- 对于 Kubernetes 1.19 及更新版本,我们建议禁用 firewalld,因为它与各种 CNI 插件不兼容。详见 #28840。
- 如果升级或安装到使用 nf_tables 作为后端数据包过滤器的 Linux 发行版(如 SLES 15、RHEL 8、Ubuntu 20.10、Debian 10 或更新的版本),用户应该升级到 RKE1 1.19.2 或更高版本,以获得支持 nf_tables 的 Flannel 0.13.0 版本。详见 Flannel #1317。
- 如果你从
>=v2.4.4
升级到v2.5.x
且启用了 ACI CNI 的集群,升级 Rancher 将导致自动集群协调。这适用于 Kubernetes 版本v1.17.16-rancher1-1
、v1.17.17-rancher1-1
、v1.17.17-rancher2-1
、v1.18.14-rancher1-1
、v1.18.15-rancher1-1
、v1.18.16-rancher1-1
和v1.18.17-rancher1-1
。在升级到v2.5.x
之前,请参阅解决方法。详见 #32002。
离线环境要求:
cert-manager 版本要求:
- 如果你有一个使用自签名证书的 Rancher 高可用安装,则需要升级 cert-manager。如果你使用的 cert-manager 版本低于 v0.9.1,请参阅文档了解如何升级 cert-manager。
安装 Docker 的要求:
RKE 要求:
- 对于从
<=v2.4.8 (<= RKE v1.1.6)
升级到v2.4.12+ (RKE v1.1.13+)
/v2.5.0+ (RKE v1.2.0+)
的用户,请注意,编辑和保存集群(即使没有更改或集群名称等小更改)将导致集群在所有节点上升级kube-proxy
(由于kube-proxy
绑定的变化)。这只发生在第一次编辑时,以后的编辑不会影响集群。详见 #32216。
- 对于从
EKS 要求:
- Rancher 2.5.8 之前的版本有一个设置,允许用户以 cron 格式配置刷新时间长度:eks-refresh-cron。该设置现已弃用,并已迁移到新设置中的标准格式:eks-refresh。如果之前设置过,迁移将自动发生。详见 #31789。
Fleet-agent:
- 将
<=v2.5.7
升级到>=v2.5.8
时,你可能会注意到在应用 & 应用市场中,有一个 fleet-agent 版本卡在了卸载中的状态。这是由迁移 fleet-agent 版本名称导致的。由于 fleet-agent 版本不再被使用,因此删除它是安全的,这也不会删除真正的 fleet-agent Deployment,因为它已经被迁移了。详见 #362。
- 将
#
Rancher 的变化升级和回滚:
- Rancher 支持升级和回滚。请关注你要升级或回滚的版本。
- 升级到 v2.3.0+ 版本后,由于 Kubernetes 系统组件的容忍度增加,对 Rancher 启动的 Kubernetes 集群的任何编辑都将导致所有系统组件重新启动。请做好相应的计划。
- 如果你有一个使用自签名证书的 Rancher 高可用安装,则需要升级 cert-manager。如果你使用的 cert-manager 版本低于 v0.9.1,请参阅文档了解如何升级 cert-manager。
- 现有 GKE 集群和导入的集群将继续按原样运行。只有新创建和注册的集群将使用新的全生命周期管理。
- 回滚 Rancher 的过程已针对 2.5.0 及更高版本进行了更新。如需了解新的说明,请参阅文档。
重要提示:
- 回滚会恢复到升级时的状态。升级后进行的任何更改都不会反映。
Local 集群无法关闭:
- 在较早的 Rancher 版本中,你可以隐藏 Local 集群以限制管理员访问 Rancher Server 的 Local Kubernetes 集群,但该功能已被弃用。Local Kubernetes 集群不再能被隐藏,所有管理员都可以访问 Local 集群。如果要限制 Local 集群的权限,你必须使用新的 restricted-admin 角色。现在,你可以通过在 v3/settings API 中将
hide_local_cluster
设置为 true 来禁用对 Local 集群的访问。参见文档和 #29325。有关升级具有隐藏 Local 集群的 Rancher 的更多信息,请参阅文档。
- 在较早的 Rancher 版本中,你可以隐藏 Local 集群以限制管理员访问 Rancher Server 的 Local Kubernetes 集群,但该功能已被弃用。Local Kubernetes 集群不再能被隐藏,所有管理员都可以访问 Local 集群。如果要限制 Local 集群的权限,你必须使用新的 restricted-admin 角色。现在,你可以通过在 v3/settings API 中将
#
版本如需了解最新和稳定的版本,请参阅 README。
如需了解版本控制和标签约定的详细信息,请参阅我们的版本文档。
#
镜像- rancher/rancher:v2.5.13
- rancher/rancher-agent:v2.5.13
#
工具#
Kubernetes 版本- 1.20.15(默认)
- 1.19.16
- 1.18.20
- 1.17.17
#
其他说明#
已弃用功能功能 | 说明 |
---|---|
Cluster Manager - Rancher Monitoring | Cluster Manager UI 中的 Monitoring 已替换为 Cluster Explorer 应用 & 应用市场中的新 Monitoring Chart。 |
Cluster Manager - Rancher Alerts 和 Notifiers | Alerting 和 Notifiers 功能现在已直接集成到 Cluster Explorer 应用 & 应用市场中的新 Monitoring Chart。 |
Cluster Manager - Rancher Logging | 已被使用 Cluster Explorer 应用 & 应用市场中的新 Logging Chart 的日志管理解决方案替换。 |
Cluster Manager - 多集群应用 | 现在建议使用 Cluster Explorer 中由 Fleet 提供支持的 Rancher 持续交付来处理多集群部署。 |
Cluster Manager - Kubernetes CIS 1.4 扫描 | Kubernetes CIS 1.5+ Benchmark 扫描现在已被新的扫描工具所取代,该工具通过 Cluster Explorer 应用 & 应用市场中的 CIS Benchmarks Chart 来部署。 |
Cluster Manager - Rancher 流水线 | 现在建议使用 Cluster Explorer 中由 Fleet 提供支持的 Rancher 持续交付来处理基于 Git 的部署流水线。 |
Cluster Manager - Istio v1.5 | Istio 项目已结束对 Istio 1.5 的支持,并建议所有用户升级。现在,较新的 Istio 版本以 Chart 形式在 Cluster Explorer 应用 & 应用市场中提供。 |
Cluster Manager - 配置 Kubernetes 1.16 集群 | 我们已终止对 Kubernetes v1.16 的支持。Cluster Manager 不再配置新的 v1.16 集群。现有的 v1.16 集群不受影响。 |
#
实验功能在 Rancher 2.5 中,RancherD 作为一个易于使用的安装二进制文件引入。随着 RKE2 配置的引入,我们正在改写该项目并计划后续提供它。详见 #33423。
#
Cluster Manager 和 Cluster Explorer 中的重复功能- 由于可能存在的 CRD 冲突,你只能安装功能的其中一个版本。
- 每个功能都只能由部署它的 UI 管理。
- 如果你在 Cluster Manager 中安装了某个功能,则必须先在 Cluster Manager 中卸载它,然后再尝试在 Cluster Explorer 仪表板中安装新版本。
#
Cluster Explorer 功能的注意事项和升级通用:
- 目前,并非所有新功能都可以安装在强化集群上。
- 预计新功能将使用 Helm 3 CLI 而不是 Rancher CLI 部署。
UI Shell:
- 在 Rancher UI 中关闭 shell 后,请注意对应的进程会为 pod 中的每个 shell 无限期地运行。详见 #16192。
持续交付:
- 受限管理员无法从 Cluster Explorer 下的持续交付选项创建 Git 仓库,界面将卡在加载状态。详见 #4909。
Rancher Backup:
- 迁移到具有 Rancher Backup 功能的集群时,你不能将 server-url 更改到其他位置;它必须继续使用相同的 URL。
Monitoring:
- 有时 Monitoring 会在安装时由于无法识别 CRD 而导致错误。详见 #29171。
Istio:
- 请注意,从 Istio v1.7.4 或更早版本升级到任何更高版本时,可能会出现连接问题。详见升级注意事项和 #31811。
- v1.8.x 开始能原生支持 DNS。换言之,附加插件组件
istioCoreDNS
在 v1.8.x 中已弃用,在 v1.9x 中不受支持。如果你从 v1.8.x 升级到 v1.9.x 并且你正在使用istioCoreDNS
插件,建议你在升级之前禁用它并切换到原生支持的 DNS。如果你在未禁用的情况下升级,则需要手动清理安装,因为它不会自动删除。详见 #31761 和 #31265。 - Istio v1.10 和更早的版本现已终止,但升级路径需要它才能不跳过次要版本。详见 #33824。
#
Cluster Manager 功能注意事项和升级GKE:
EKS 和 GKE:
- 在 Terraform 中创建 EKS 和 GKE 集群时,字符串字段不能设置为空。详见 #32440。
#
已知的主要问题Kubernetes 集群发行版
RKE:
AKS:
集群工具
强化集群:
- 目前,并非所有集群工具都可以安装在强化集群上。
Monitoring:
Logging:
- Logging(Cluster Explorer):在 Windows 集群上禁用 Windows Logging 后,执行 Helm 升级时不会删除 Windows nodeAgent。详见 #32325。
Istio 版本:
- 离线环境不支持 Istio 1.5。请注意,Istio 项目已结束对 Istio 1.5 的支持。
- Istio 1.10 支持已于 2022 年 1 月 7 日 结束。
旧版 Monitoring:
在离线设置中,生成的
Rancher-images.txt
用于在私有注册表上的镜像,该文件不包含运行旧版 Monitoring(也称为 Monitoring V1,与 Kubernetes 1.15 集群兼容)所需的镜像。如果你在离线环境中运行 Kubernetes 1.15 集群,并且想要安装 Monitoring V1 或将 Monitoring V1 升级到 Rancher 为 Kubernetes 1.15 集群提供的最新版本,你需要采取以下操作之一:- 升级 Kubernetes 版本,以便你可以使用 Monitoring 应用 Helm Chart的 v0.2.x 版本。
- 手动将必要的镜像导入你的私有镜像仓库以供 Monitoring 应用程序使用。
安装要求:
- 导入 Kubernetes 1.21 集群的可能无法正常工作并且不受支持。
备份和恢复:
- 在同一集群上重新安装 Rancher 2.5.x 可能会失败,原因是之前安装的
rancher.cattle.io.
MutatingWebhookConfiguration 对象依然存在。你可以手动删除它以解决这个问题。
- 在同一集群上重新安装 Rancher 2.5.x 可能会失败,原因是之前安装的
Docker 安装: