Skip to main content

版本说明 - v2.5.13

Rancher 2.5.13 版本于 2022 年 4 月 15 日发布。单击这里查看英文版版本说明。

在升级到任何 Rancher 版本之前,请务必查看下面的安装/升级说明。

Rancher 安全相关的漏洞修复#

此版本解决了 Rancher 中发现的以下安全问题:

  • 改进了授权检查,以防止能 createupdate 全局角色的用户进行权限升级。详见 CVE-2021-36784
  • 修复了 Rancher 中将 restricted-admin 启用为默认用户时,普通用户能被授予 CatalogTemplatesCatalogTemplateVersions 的写入权限的问题。详见 CVE-2021-4200
  • 更新了 Fleet 中使用的外部 go-getter 库的版本,以避免在 Rancher UI 和 Fleet 的 Deployment pod 日志中泄漏 SSH 私钥。有关更多信息,请参阅 GHSA-wm2r-rp98-8pmh

有关详细信息,请参阅安全公告页面

主要 Bug 修复#

  • 修复了身份验证组分配了受限管理员(Restricted Admin)全局角色时,并非所有权限都能正确应用,以及 Rancher 日志会被滥发并显示 RoleBinding.rbac.authorization.k8s.io "my-role-name" is invalid 错误。详见 #36621
  • 更新了 Equinix Metal 驱动版本。详见 #34742
  • 修复了将界面语言切换为简体中文后,无法在 Cluster Explorer 中创建备份的问题。详见 #33654

安装/升级注意事项#

如果你是第一次安装 Rancher,你的环境必须满足安装要求

升级要求#

  • 创建备份

    • 我们强烈建议在升级 Rancher 之前创建备份。要在升级后回滚 Rancher,你必须将 Rancher 备份并恢复到之前的 Rancher 版本。由于 Rancher 会恢复到创建备份时的状态,因此恢复后不会体现升级后执行的任何更改。有关详细信息,请参阅备份 Rancher

  • Helm 版本

    • 由于最新 cert-manager 版本的更改,你必须使用 Helm 3.2.x+ 来安装或升级 Rancher。详见 #29213

  • Kubernetes 版本

    • 在安装 Rancher 2.5+ 之前,Rancher Server 的 Local Kubernetes 集群应该升级到 Kubernetes 1.17+。

  • CNI 要求

    • 对于 Kubernetes 1.19 及更新版本,我们建议禁用 firewalld,因为它与各种 CNI 插件不兼容。详见 #28840
    • 如果升级或安装到使用 nf_tables 作为后端数据包过滤器的 Linux 发行版(如 SLES 15、RHEL 8、Ubuntu 20.10、Debian 10 或更新的版本),用户应该升级到 RKE1 1.19.2 或更高版本,以获得支持 nf_tables 的 Flannel 0.13.0 版本。详见 Flannel #1317
    • 如果你从 >=v2.4.4 升级到 v2.5.x 且启用了 ACI CNI 的集群,升级 Rancher 将导致自动集群协调。这适用于 Kubernetes 版本 v1.17.16-rancher1-1v1.17.17-rancher1-1v1.17.17-rancher2-1v1.18.14-rancher1-1v1.18.15-rancher1-1v1.18.16-rancher1-1v1.18.17-rancher1-1。在升级到 v2.5.x 之前,请参阅解决方法。详见 #32002

  • 离线环境要求

    • 如需在离线环境中安装或升级 Rancher,请将 --no-hooks 标志添加到 helm template 命令以跳过 Helm 的 hook 渲染文件。详见 #3226
    • 如果在离线的 Rancher 前面使用代理,则必须向 NO_PROXY 传递额外的参数。详见文档#2725

  • cert-manager 版本要求

    • 如果你有一个使用自签名证书的 Rancher 高可用安装,则需要升级 cert-manager。如果你使用的 cert-manager 版本低于 v0.9.1,请参阅文档了解如何升级 cert-manager。

  • 安装 Docker 的要求

    • 启动 Rancher Docker 容器时,必须使用 privileged 标志。请参阅文档
    • 在离线环境中安装时,你必须在 docker run 命令中提供一个自定义的 registries.yaml 文件,如 K3s 文档所示。如果镜像仓库有证书,你还需要提供证书。详见 #28969
    • 升级 Docker 安装时,容器中可能会发生 panic,这将导致它重新启动。重新启动后,容器会出现并按预期工作。详见 #33685

  • RKE 要求

    • 对于从 <=v2.4.8 (<= RKE v1.1.6) 升级到 v2.4.12+ (RKE v1.1.13+)/v2.5.0+ (RKE v1.2.0+) 的用户,请注意,编辑和保存集群(即使没有更改或集群名称等小更改)将导致集群在所有节点上升级 kube-proxy(由于kube-proxy 绑定的变化)。这只发生在第一次编辑时,以后的编辑不会影响集群。详见 #32216

  • EKS 要求

    • Rancher 2.5.8 之前的版本有一个设置,允许用户以 cron 格式配置刷新时间长度:eks-refresh-cron。该设置现已弃用,并已迁移到新设置中的标准格式:eks-refresh。如果之前设置过,迁移将自动发生。详见 #31789

  • Fleet-agent

    • <=v2.5.7 升级到 >=v2.5.8 时,你可能会注意到在应用 & 应用市场中,有一个 fleet-agent 版本卡在了卸载中的状态。这是由迁移 fleet-agent 版本名称导致的。由于 fleet-agent 版本不再被使用,因此删除它是安全的,这也不会删除真正的 fleet-agent Deployment,因为它已经被迁移了。详见 #362

Rancher 的变化#

  • 升级和回滚

    • Rancher 支持升级和回滚。请关注你要升级或回滚的版本。
    • 升级到 v2.3.0+ 版本后,由于 Kubernetes 系统组件的容忍度增加,对 Rancher 启动的 Kubernetes 集群的任何编辑都将导致所有系统组件重新启动。请做好相应的计划。
    • 如果你有一个使用自签名证书的 Rancher 高可用安装,则需要升级 cert-manager。如果你使用的 cert-manager 版本低于 v0.9.1,请参阅文档了解如何升级 cert-manager。
    • 现有 GKE 集群和导入的集群将继续按原样运行。只有新创建和注册的集群将使用新的全生命周期管理。
    • 回滚 Rancher 的过程已针对 2.5.0 及更高版本进行了更新。如需了解新的说明,请参阅文档

  • 重要提示

    • 回滚会恢复到升级时的状态。升级后进行的任何更改都不会反映。

  • Local 集群无法关闭

    • 在较早的 Rancher 版本中,你可以隐藏 Local 集群以限制管理员访问 Rancher Server 的 Local Kubernetes 集群,但该功能已被弃用。Local Kubernetes 集群不再能被隐藏,所有管理员都可以访问 Local 集群。如果要限制 Local 集群的权限,你必须使用新的 restricted-admin 角色。现在,你可以通过在 v3/settings API 中将 hide_local_cluster 设置为 true 来禁用对 Local 集群的访问。参见文档#29325。有关升级具有隐藏 Local 集群的 Rancher 的更多信息,请参阅文档。

版本#

如需了解最新和稳定的版本,请参阅 README

如需了解版本控制和标签约定的详细信息,请参阅我们的版本文档

镜像#

  • rancher/rancher:v2.5.13
  • rancher/rancher-agent:v2.5.13

工具#

Kubernetes 版本#

  • 1.20.15(默认)
  • 1.19.16
  • 1.18.20
  • 1.17.17

其他说明#

已弃用功能#

功能说明
Cluster Manager - Rancher MonitoringCluster Manager UI 中的 Monitoring 已替换为 Cluster Explorer 应用 & 应用市场中的新 Monitoring Chart。
Cluster Manager - Rancher Alerts 和 NotifiersAlerting 和 Notifiers 功能现在已直接集成到 Cluster Explorer 应用 & 应用市场中的新 Monitoring Chart。
Cluster Manager - Rancher Logging已被使用 Cluster Explorer 应用 & 应用市场中的新 Logging Chart 的日志管理解决方案替换。
Cluster Manager - 多集群应用现在建议使用 Cluster Explorer 中由 Fleet 提供支持的 Rancher 持续交付来处理多集群部署。
Cluster Manager - Kubernetes CIS 1.4 扫描Kubernetes CIS 1.5+ Benchmark 扫描现在已被新的扫描工具所取代,该工具通过 Cluster Explorer 应用 & 应用市场中的 CIS Benchmarks Chart 来部署。
Cluster Manager - Rancher 流水线现在建议使用 Cluster Explorer 中由 Fleet 提供支持的 Rancher 持续交付来处理基于 Git 的部署流水线。
Cluster Manager - Istio v1.5Istio 项目已结束对 Istio 1.5 的支持,并建议所有用户升级。现在,较新的 Istio 版本以 Chart 形式在 Cluster Explorer 应用 & 应用市场中提供。
Cluster Manager - 配置 Kubernetes 1.16 集群我们已终止对 Kubernetes v1.16 的支持。Cluster Manager 不再配置新的 v1.16 集群。现有的 v1.16 集群不受影响。

实验功能#

在 Rancher 2.5 中,RancherD 作为一个易于使用的安装二进制文件引入。随着 RKE2 配置的引入,我们正在改写该项目并计划后续提供它。详见 #33423

Cluster Manager 和 Cluster Explorer 中的重复功能#

  • 由于可能存在的 CRD 冲突,你只能安装功能的其中一个版本。
  • 每个功能都只能由部署它的 UI 管理。
  • 如果你在 Cluster Manager 中安装了某个功能,则必须先在 Cluster Manager 中卸载它,然后再尝试在 Cluster Explorer 仪表板中安装新版本。

Cluster Explorer 功能的注意事项和升级#

  • 通用

    • 目前,并非所有新功能都可以安装在强化集群上。
    • 预计新功能将使用 Helm 3 CLI 而不是 Rancher CLI 部署。

  • UI Shell

    • 在 Rancher UI 中关闭 shell 后,请注意对应的进程会为 pod 中的每个 shell 无限期地运行。详见 #16192

  • 持续交付

    • 受限管理员无法从 Cluster Explorer 下的持续交付选项创建 Git 仓库,界面将卡在加载状态。详见 #4909

  • Rancher Backup

    • 迁移到具有 Rancher Backup 功能的集群时,你不能将 server-url 更改到其他位置;它必须继续使用相同的 URL。

  • Monitoring

    • 有时 Monitoring 会在安装时由于无法识别 CRD 而导致错误。详见 #29171

  • Istio

    • 请注意,从 Istio v1.7.4 或更早版本升级到任何更高版本时,可能会出现连接问题。详见升级注意事项#31811
    • v1.8.x 开始能原生支持 DNS。换言之,附加插件组件 istioCoreDNS 在 v1.8.x 中已弃用,在 v1.9x 中不受支持。如果你从 v1.8.x 升级到 v1.9.x 并且你正在使用 istioCoreDNS 插件,建议你在升级之前禁用它并切换到原生支持的 ​​DNS。如果你在未禁用的情况下升级,则需要手动清理安装,因为它不会自动删除。详见 #31761#31265
    • Istio v1.10 和更早的版本现已终止,但升级路径需要它才能不跳过次要版本。详见 #33824

Cluster Manager 功能注意事项和升级#

  • GKE

    • 在 Rancher 中将 GKE 集群升级到 1.19+ 之前,必须在 GCP 中显式禁用基本身份验证。详见 #32312
    • 在 Terraform 中创建 GKE 集群时,labels 字段不能为空,你必须至少设置一个标签。详见 #32553

  • EKS 和 GKE

    • 在 Terraform 中创建 EKS 和 GKE 集群时,字符串字段不能设置为空。详见 #32440

已知的主要问题#

  • Kubernetes 集群发行版

    • RKE

      • 不支持使用自定义加密提供程序轮换加密密钥。详见 #30539
      • 从树内 vSphere 云提供商迁移到树外云提供商后,升级集群的尝试将无法完成。这是因为在迁移失败之前,节点包含的工作负载具有绑定的卷。用户会观察到这些节点卡在 draining 状态。你可以按照这个解决方法继续升级。详见 #35102

    • AKS

      • 基于 Azure Container Registry 的 Helm Chart 无法添加到 Cluster Explorer 中,但可以在 Cluster Manager 的应用程序功能中使用。请注意,使用 Helm Chart 仓库时,disableSameOriginCheck 的设置能控制什么时候将凭证附加到请求中。有关详细信息,请参阅此文档#35940

  • 集群工具

    • 强化集群

      • 目前,并非所有集群工具都可以安装在强化集群上。

    • Monitoring

      • 要在设置了 win_prefix_path 的 Windows 集群上部署 Monitoring V2,用户需要部署 Rancher Wins Upgrader 才能在主机上重新启动 Win,以便开始在 Prometheus 中收集指标。详见 #32535
      • 如果 Worker 节点使用的安全组阻止对端口 10254 的传入请求,Monitoring V2 将无法在部署了 Prometheus 的节点之外的任何节点上抓取 ingress-nginx pod。此问题的解决方法是在所有主机上打开端口 10254。详见 #32563

    • Logging

      • Logging(Cluster Explorer):在 Windows 集群上禁用 Windows Logging 后,执行 Helm 升级时不会删除 Windows nodeAgent。详见 #32325

    • Istio 版本

      • 离线环境不支持 Istio 1.5。请注意,Istio 项目已结束对 Istio 1.5 的支持。
      • Istio 1.10 支持已于 2022 年 1 月 7 日 结束。

    • 旧版 Monitoring

      • 在离线设置中,生成的 Rancher-images.txt 用于在私有注册表上的镜像,该文件不包含运行旧版 Monitoring(也称为 Monitoring V1,与 Kubernetes 1.15 集群兼容)所需的镜像。如果你在离线环境中运行 Kubernetes 1.15 集群,并且想要安装 Monitoring V1 或将 Monitoring V1 升级到 Rancher 为 Kubernetes 1.15 集群提供的最新版本,你需要采取以下操作之一:

        • 升级 Kubernetes 版本,以便你可以使用 Monitoring 应用 Helm Chart的 v0.2.x 版本。
        • 手动将必要的镜像导入你的私有镜像仓库以供 Monitoring 应用程序使用。

    • 安装要求

      • 导入 Kubernetes 1.21 集群的可能无法正常工作并且不受支持。

    • 备份和恢复

      • 在同一集群上重新安装 Rancher 2.5.x 可能会失败,原因是之前安装的 rancher.cattle.io. MutatingWebhookConfiguration 对象依然存在。你可以手动删除它以解决这个问题。

    • Docker 安装

      • 由于启动时间较长,可能会出现 UI 问题。
      • 用户首次登录时可能会收到错误消息。详见 #28800
      • 在设置密码和默认视图之前,用户可能会被重定向到登录界面。详见 #28798
Edit this page
Last updated on by vickyhella