Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Knotenanforderungen für SUSE Rancher Prime verwaltete Cluster

Diese Seite beschreibt die Anforderungen für die von Rancher verwalteten Kubernetes-Cluster, in denen Ihre Apps und Dienste installiert werden. Diese Downstream-Cluster sollten von dem Drei-Knoten-Cluster, das Rancher ausführt, getrennt sein.

Wenn Rancher auf einem hochverfügbaren Kubernetes-Cluster installiert ist, haben der Rancher-Server-Drei-Knoten-Cluster und die Downstream-Cluster unterschiedliche Anforderungen. Für die Anforderungen an die Rancher-Installation verweisen Sie auf die Knotenanforderungen im Installationsabschnitt.

Betriebssysteme und Anforderungen an die Container-Laufzeit

Rancher sollte mit jeder modernen Linux-Distribution und jeder modernen Docker-Version funktionieren. Linux ist für die etcd- und Controlplane-Knoten aller Downstream-Cluster erforderlich. Arbeitsknoten können Linux oder Windows Server. ausführen.

Für Details zu den getesteten Betriebssystem- und Docker-Versionen mit jeder Rancher-Version verweisen Sie auf die Support-Wartungsbedingungen.

Alle unterstützten Betriebssysteme sind 64-Bit x86.

Wenn Sie planen, ARM64 zu verwenden, siehe Ausführen auf ARM64 (experimentell).

Für Informationen zur Installation von Docker verweisen Sie auf die offizielle Docker-Dokumentation.

Oracle Linux und RHEL-abgeleitete Linux-Knoten

Einige Linux-Distributionen, die von RHEL abgeleitet sind, einschließlich Oracle Linux, haben möglicherweise standardmäßig Firewall-Regeln, die die Kommunikation mit Helm blockieren. Wir empfehlen, firewalld zu deaktivieren. Für Kubernetes 1.19 muss firewalld deaktiviert sein.

In RHEL 8.4 sind zwei zusätzliche Dienste im NetworkManager enthalten: nm-cloud-setup.service und nm-cloud-setup.timer. Diese Dienste fügen eine Routing-Tabelle hinzu, die die Konfiguration des CNI-Plugins beeinträchtigt. Wenn diese Dienste aktiviert sind, müssen Sie sie mit dem folgenden Befehl deaktivieren und dann den Knoten neu starten, um die Konnektivität wiederherzustellen:

   systemctl disable nm-cloud-setup.service nm-cloud-setup.timer
   reboot

SUSE Linux-Knoten

SUSE Linux kann eine Firewall haben, die standardmäßig alle Ports blockiert. In diesem Fall folgen Sie diesen Schritten, um die benötigten Ports zu öffnen, um einen Host zu einem benutzerdefinierten Cluster hinzuzufügen.

Flatcar Container Linux-Knoten

Beim Starten von Kubernetes mit Rancher unter Verwendung von Flatcar Container Linux-Knoten ist es erforderlich, die folgende Konfiguration in der Cluster-Konfigurationsdatei zu verwenden.

  • Canal

  • Calico

rancher_kubernetes_engine_config:
  network:
    plugin: canal
    options:
      canal_flex_volume_plugin_dir: /opt/kubernetes/kubelet-plugins/volume/exec/nodeagent~uds
      flannel_backend_type: vxlan

  services:
    kube-controller:
      extra_args:
        flex-volume-plugin-dir: /opt/kubernetes/kubelet-plugins/volume/exec/
rancher_kubernetes_engine_config:
  network:
    plugin: calico
    options:
      calico_flex_volume_plugin_dir: /opt/kubernetes/kubelet-plugins/volume/exec/nodeagent~uds
      flannel_backend_type: vxlan

  services:
    kube-controller:
      extra_args:
        flex-volume-plugin-dir: /opt/kubernetes/kubelet-plugins/volume/exec/

Es ist auch erforderlich, den Docker-Dienst zu aktivieren; Sie können den Docker-Dienst mit dem folgenden Befehl aktivieren:

systemctl enable docker.service

Der Docker-Dienst wird automatisch aktiviert, wenn Sie Node-Treiber verwenden.

Windows-Knoten

Knoten mit Windows Server müssen Docker Enterprise Edition ausführen.

Windows-Knoten können nur als Arbeitsknoten verwendet werden. Siehe Konfigurieren von benutzerdefinierten Clustern für Windows

Hardwareanforderungen

Die Hardwareanforderungen für Knoten mit der worker-Rolle hängen hauptsächlich von Ihren Arbeitslasten ab. Das Minimum zum Ausführen der Kubernetes-Knotenkomponenten sind 1 CPU (Kernel) und 1 GB RAM.

In Bezug auf CPU und Speicher wird empfohlen, dass die verschiedenen Ebenen von Kubernetes-Clustern (etcd, Steuerungsebene und Arbeitsknoten) auf verschiedenen Knoten gehostet werden, damit sie unabhängig voneinander skalieren können.

Für Hardwareempfehlungen für große Kubernetes-Cluster verweisen Sie auf die offizielle Kubernetes-Dokumentation zu großen Clustern.

Für Hardwareempfehlungen für etcd-Cluster in der Produktion verweisen Sie auf die offizielle etcd-Dokumentation.

Netzwerkanforderungen

Für einen Produktionscluster empfehlen wir, den Datenverkehr einzuschränken, indem Sie nur die unten definierten Ports öffnen.

Die erforderlichen Ports, die geöffnet werden müssen, sind unterschiedlich, je nachdem, wie der Benutzercluster gestartet wird. Jeder der Abschnitte unten listet die Ports auf, die für verschiedene Clustererstellungsoptionen geöffnet werden müssen.

Für eine Aufschlüsselung der Portanforderungen für etcd-Knoten, Steuerungsebene-Knoten und Arbeitsknoten in einem Kubernetes-Cluster verweisen Sie auf die Portanforderungen für die Rancher Kubernetes Engine.

Details dazu, welche Ports in jeder Situation verwendet werden, finden Sie unter Anforderungen an die Ports des Downstream-Clusters.

IPv6-Adressenanforderungen

Rancher unterstützt Cluster, die mit IPv4-only, IPv6-only oder Dual-Stack-Netzwerken konfiguriert sind.

Sie müssen jeden Knoten mit mindestens einer gültigen IPv4-Adresse, einer IPv6-Adresse oder beiden gemäß der Cluster-Netzwerkkonfiguration bereitstellen.

Für IPv6-only-Umgebungen stellen Sie sicher, dass Sie das Betriebssystem korrekt konfigurieren und dass die /etc/hosts Datei einen gültigen localhost-Eintrag enthält, zum Beispiel:

::1       localhost

Sie sollten niemals einen Knoten mit demselben Hostnamen oder derselben IP-Adresse wie einen bestehenden Knoten registrieren. Das führt dazu, dass RKE verhindert, dass der Knoten beitritt, und die Bereitstellung hängen bleibt. Dies kann sowohl bei Node-Treiber- als auch bei benutzerdefinierten Clustern auftreten. Wenn ein Knoten einen Hostnamen oder eine IP eines bestehenden Knotens wiederverwenden muss, müssen Sie die hostname_override RKE-Option festlegen, bevor Sie den Knoten registrieren, damit er korrekt beitreten kann.

Optional: Sicherheitsüberlegungen

Wenn Sie einen Kubernetes-Cluster bereitstellen möchten, der den CIS (Center for Internet Security) Kubernetes Benchmark erfüllt, empfehlen wir, unseren Härtungsleitfaden zu befolgen, um Ihre Knoten vor der Installation von Kubernetes zu konfigurieren.

Für weitere Informationen zum Härtungsleitfaden und zu den Details, welche Version des Leitfadens zu Ihren Rancher- und Kubernetes-Versionen passt, beziehen Sie sich auf den Sicherheitsabschnitt.