Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

4. Installieren Sie SUSE Rancher Prime

In diesem Abschnitt erfahren Sie, wie Sie Rancher in einer Air-Gapped-Umgebung mit hoher Verfügbarkeit auf Kubernetes bereitstellen. Eine Air-Gapped-Umgebung ist eine Umgebung, in der der Rancher-Server offline, hinter einer Firewall oder hinter einem Proxy installiert wird.

Privilegierter Zugriff für Rancher

Wenn der Rancher-Server im Docker-Container bereitgestellt wird, wird ein lokaler Kubernetes-Cluster innerhalb des Containers für die Nutzung durch Rancher installiert. Da viele Funktionen von Rancher als Deployment ausgeführt werden und der privilegierte Modus erforderlich ist, um Container innerhalb von Containern auszuführen, müssen Sie Rancher mit der Option --privileged installieren.

Docker-Anweisungen

Wenn Sie die Air-Gapped-Installation mit Docker-Befehlen fortsetzen möchten, überspringen Sie den Rest dieser Seite und folgen Sie den Anweisungen auf xref:[dieser Seite.]

Kubernetes-Anweisungen

Rancher empfiehlt, Rancher auf einem Kubernetes-Cluster zu installieren. Eine hochverfügbare Kubernetes-Installation besteht aus drei Knoten, die die Rancher-Serverkomponenten auf einem Kubernetes-Cluster ausführen. Die Persistenzschicht (etcd) wird ebenfalls auf diesen drei Knoten repliziert, um Redundanz und Datenreplikation im Falle eines Ausfalls eines der Knoten bereitzustellen.

1. Fügen Sie das Helm-Chart-Repository hinzu

Holen Sie sich von einem System mit Internetzugang das neueste Helm-Chart und kopieren Sie die resultierenden Manifeste auf ein System, das Zugriff auf den Rancher-Server-Cluster hat.

  1. Wenn Sie es noch nicht getan haben, installieren Sie helm lokal auf einem Arbeitsplatz, der Internetzugang hat. Hinweis: Beziehen Sie sich auf die Helm-Version-Anforderungen, um eine Version von Helm auszuwählen, um Rancher zu installieren.

  2. Verwenden Sie den helm repo add Befehl, um das Helm-Chart-Repository hinzuzufügen, das Charts zum Installieren von Rancher Prime enthält.

    helm repo add rancher-prime <helm-chart-repo-url>

    To learn more about the Rancher Prime Helm chart repository URL, see our Prime-only documentation. Authentication is required. Use your SUSE Customer Center (SCC) credentials to log in.

  3. Laden Sie das SUSE Rancher Prime Chart herunter. Dies wird das Chart herunterladen und im aktuellen Verzeichnis als&nbsp;`.tgz` Datei speichern.

    • Um die neueste Version abzurufen:

      helm fetch rancher-prime/rancher

    • Um eine bestimmte Version abzurufen:

      1. Überprüfen Sie, welche Versionen von Rancher Prime verfügbar sind.

        helm search repo --versions rancher-prime

      2. Holen Sie sich eine bestimmte Version, indem Sie den --version Parameter angeben:

        helm fetch rancher-prime/rancher --version=<version>

2. Wählen Sie Ihre SSL-Konfiguration

Rancher Server ist standardmäßig sicher gestaltet und erfordert eine SSL/TLS-Konfiguration.

Wenn Rancher auf einem Air-Gapped-Kubernetes-Cluster installiert ist, gibt es zwei empfohlene Optionen für die Quelle des Zertifikats.

Wenn Sie SSL/TLS extern beenden möchten, siehe TLS-Beendigung auf einem externen Load Balancer.
Konfiguration Diagrammoption Beschreibung Benötigt cert-manager

Von Rancher generierte selbstsignierte Zertifikate

ingress.tls.source=rancher

Verwenden Sie Zertifikate, die von der von Rancher generierten CA (selbstsigniert) ausgestellt wurden.
Dies ist der Standard und muss beim Rendern der Helm-Vorlage nicht hinzugefügt werden.

Ja

Zertifikate aus Dateien

ingress.tls.source=secret

Verwenden Sie Ihre eigenen Zertifikatdateien, indem Sie Kubernetes-Geheimnisse erstellen.
Diese Option muss beim Rendern der Rancher Helm-Vorlage übergeben werden.

Nein

Helm-Chart-Optionen für Air-Gap-Installationen

Bei der Einrichtung der Rancher Helm-Vorlage gibt es mehrere Optionen im Helm-Chart, die speziell für Air-Gap-Installationen entwickelt wurden.

Diagrammoption Diagrammwert Beschreibung

certmanager.version

<version>

Konfigurieren Sie den richtigen Rancher TLS-Issuer, abhängig von der verwendeten cert-manager-Version.

systemDefaultRegistry

<REGISTRY.YOURDOMAIN.COM:PORT>

Konfigurieren Sie den Rancher-Server so, dass er beim Bereitstellen von Clustern immer aus Ihrem privaten Repository zieht.

useBundledSystemChart

true

Konfigurieren Sie den Rancher-Server so, dass er die verpackte Kopie der Helm-Systemcharts verwendet. Das Systemcharts-Repository enthält alle Katalogelemente, die für Funktionen wie Überwachung, Protokollierung, Alarmierung und globales DNS erforderlich sind. Diese Helm-Charts befinden sich auf GitHub, aber da Sie sich in einer Air-Gap-Umgebung befinden, ist die Verwendung der in Rancher gebündelten Charts viel einfacher, als ein Git-Mirror einzurichten.

3. Laden Sie das Cert-Manager-Chart herunter

Basierend auf der Wahl, die Sie in 2 getroffen haben. Wählen Sie Ihre SSL-Konfiguration und vervollständigen Sie eines der Verfahren unten.

Option A: Standardmäßig selbstsigniertes Zertifikat

Standardmäßig erstellt Rancher eine CA und verwendet cert-manager, um das Zertifikat für den Zugriff auf die Rancher-Serveroberfläche auszustellen.

Aktuelle Änderungen an cert-manager erfordern ein Upgrade. Wenn Sie Rancher aktualisieren und eine Version von cert-manager verwenden, die älter als v0.11.0 ist, lesen Sie bitte unsere Upgrade-Dokumentation für cert-manager.
1. Fügen Sie das cert-manager-Repository hinzu

Fügen Sie von einem mit dem Internet verbundenen System das cert-manager-Repository zu Helm hinzu:

helm repo add jetstack https://charts.jetstack.io
helm repo update
2. Laden Sie das cert-manager-Chart herunter.

Laden Sie das neueste verfügbare cert-manager-Chart aus dem Helm-Chart-Repository herunter.

helm fetch jetstack/cert-manager --version v1.11.0
3. Rufen Sie die cert-manager-CRDs ab

Laden Sie die erforderliche CRD-Datei für cert-manager herunter:

   curl -L -o cert-manager-crd.yaml https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.crds.yaml

4. Rancher installieren

Kopieren Sie die abgerufenen Charts auf ein System, das Zugriff auf den Rancher-Server-Cluster hat, um die Installation abzuschließen.

1. Installieren Sie cert-manager

Installieren Sie cert-manager mit denselben Optionen, die Sie verwenden würden, um das Chart zu installieren. Denken Sie daran, die image.repository Option festzulegen, um das Image aus Ihrem privaten Registry abzurufen.

Um Optionen zu sehen, wie Sie die Installation von cert-manager anpassen können (einschließlich für Fälle, in denen Ihr Cluster PodSecurityPolicies verwendet), siehe die Dokumentation zu cert-manager.
Klicken Sie zum Aufklappen

Wenn Sie selbstsignierte Zertifikate verwenden, installieren Sie cert-manager:

  1. Erstellen Sie den Namespace für cert-manager.

     kubectl create namespace cert-manager

  2. Erstellen Sie die CustomResourceDefinitions (CRDs) für cert-manager.

     kubectl apply -f cert-manager-crd.yaml

  3. Installieren Sie cert-manager.

     helm install cert-manager ./cert-manager-v1.11.0.tgz \
     --namespace cert-manager \
     --set image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-controller \
     --set webhook.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-webhook \
     --set cainjector.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-cainjector \
     --set startupapicheck.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-ctl

2. Rancher installieren

Zuerst beziehen Sie sich auf TLS-Geheimnisse hinzufügen, um die Zertifikatdateien zu veröffentlichen, damit Rancher und der Ingress-Controller sie verwenden können.

Erstellen Sie dann den Namespace für Rancher mit kubectl:

kubectl create namespace cattle-system

Installieren Sie als Nächstes Rancher und geben Sie Ihre gewählten Optionen an. Verwenden Sie die Referenztabelle unten, um jeden Platzhalter zu ersetzen. Rancher muss konfiguriert werden, um das private Registry zu verwenden, um alle von Rancher gestarteten Kubernetes-Cluster oder Rancher-Tools bereitzustellen.

Placeholder Beschreibung

<VERSION>

Die Versionsnummer des ausgegebenen Tarballs.

<RANCHER.YOURDOMAIN.COM>

Der DNS-Name, den Sie auf Ihren Lastenausgleichsserver verwiesen haben.

<REGISTRY.YOURDOMAIN.COM:PORT>

Der DNS-Name für Ihr privates Registry.

<CERTMANAGER_VERSION>

Die cert-manager-Version, die im k8s-Cluster ausgeführt wird.

 
   helm install rancher ./rancher-<VERSION>.tgz \
    --namespace cattle-system \
    --set hostname=<RANCHER.YOURDOMAIN.COM> \
    --set certmanager.version=<CERTMANAGER_VERSION> \
    --set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
    --set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
    --set useBundledSystemChart=true # Use the packaged Rancher system charts

Optional: Um eine bestimmte Rancher-Version zu installieren, setzen Sie den image.tag-Wert, Beispiel: --set image.tag=v2.14.1

Option B: Zertifikate aus Dateien mithilfe von Kubernetes-Geheimnissen

1. Geheimnisse erstellen

Erstellen Sie Kubernetes-Geheimnisse aus Ihren eigenen Zertifikaten, die Rancher verwenden kann. Der allgemeine Name für das Zertifikat muss mit der hostname-Option im folgenden Befehl übereinstimmen, andernfalls kann der Ingress-Controller die Site für Rancher nicht bereitstellen.

2. Rancher installieren

Installieren Sie Rancher und geben Sie Ihre gewählten Optionen an. Verwenden Sie die Referenztabelle unten, um jeden Platzhalter zu ersetzen. Rancher muss konfiguriert werden, um das private Registry zu verwenden, um alle von Rancher gestarteten Kubernetes-Cluster oder Rancher-Tools bereitzustellen.

Placeholder Beschreibung

<VERSION>

Die Versionsnummer des ausgegebenen Tarballs.

<RANCHER.YOURDOMAIN.COM>

Der DNS-Name, den Sie auf Ihren Lastenausgleichsserver verwiesen haben.

<REGISTRY.YOURDOMAIN.COM:PORT>

Der DNS-Name für Ihr privates Registry.

 
   helm install rancher ./rancher-<VERSION>.tgz \
    --namespace cattle-system \
    --set hostname=<RANCHER.YOURDOMAIN.COM> \
    --set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
    --set ingress.tls.source=secret \
    --set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
    --set useBundledSystemChart=true # Use the packaged Rancher system charts

Wenn Sie ein von einer privaten CA signiertes Zertifikat verwenden, fügen Sie --set privateCA=true nach --set ingress.tls.source=secret hinzu:

   helm install rancher ./rancher-<VERSION>.tgz \
    --namespace cattle-system \
    --set hostname=<RANCHER.YOURDOMAIN.COM> \
    --set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
    --set ingress.tls.source=secret \
    --set privateCA=true \
    --set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
    --set useBundledSystemChart=true # Use the packaged Rancher system charts

Die Installation ist abgeschlossen.

Zusätzliche Ressourcen

Diese Ressourcen könnten hilfreich sein, wenn Sie Rancher installieren: