Architektur

Der SUSE® Rancher Prime Continuous Delivery Controller ist eine Gruppe von Kubernetes-Controllern, die in einem beliebigen Standard-Kubernetes-Cluster ausgeführt werden. Die einzige API, die vom SUSE® Rancher Prime Continuous Delivery Controller bereitgestellt wird, ist die Kubernetes-API; es gibt keine benutzerdefinierte API für den Fleet-Controller.

Ein Cluster-Agent läuft in jedem Cluster und ist dafür verantwortlich, mit dem SUSE® Rancher Prime Continuous Delivery Controller zu kommunizieren. Die einzige Kommunikation vom Cluster zum SUSE® Rancher Prime Continuous Delivery Controller erfolgt über diesen Agenten, und alle Kommunikationen gehen vom verwalteten Cluster zum SUSE® Rancher Prime Continuous Delivery Controller. Der Fleet-Controller initiiert keine Verbindungen zu Downstream-Clustern. Das bedeutet, dass verwaltete Cluster in privaten Netzwerken und hinter NATs betrieben werden können. Die einzige Voraussetzung ist, dass der Cluster-Agent in der Lage sein muss, mit der Kubernetes-API des Clusters, der den SUSE® Rancher Prime Continuous Delivery Controller ausführt, zu kommunizieren. Die einzige Ausnahme hiervon ist, wenn Sie den manager-initiated registration Cluster-Registrierungsfluss verwenden. Dies ist nicht erforderlich, sondern ein optionales Schema.

Es wird nicht davon ausgegangen, dass die Cluster-Agenten eine "immer aktiviert" Verbindung haben. Sie werden den Betrieb wieder aufnehmen, sobald sie sich verbinden können. Zukünftige Verbesserungen werden wahrscheinlich die Möglichkeit hinzufügen, Zeiten zu planen, wann der Agent sich anmeldet; derzeit werden sie immer versuchen, sich zu verbinden.

Der SUSE® Rancher Prime Continuous Delivery Controller erstellt dynamisch Dienstkonten, verwaltet deren RBAC und gibt dann die Token an die Downstream-Cluster weiter. Cluster werden durch optional ablaufende Cluster-Registrierungstoken registriert. Das Cluster-Registrierungstoken wird nur während des Registrierungsprozesses verwendet, um ein spezifisches Credential für dieses Cluster zu generieren. Nachdem das Cluster-Credential erstellt wurde, "vergisst" das Cluster das Cluster-Registrierungstoken.

Die Dienstkonten, die den Clustern zugewiesen sind, haben nur die Berechtigungen, BundleDeployment im speziell für dieses Cluster erstellten Namespace aufzulisten. Es kann auch die status Unterressource von BundleDeployment und die status Unterressource seiner Cluster Ressource aktualisieren.

Ein Überblick über die Komponenten und wie sie auf hoher Ebene interagieren.