Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

SUSE Rancher Prime Helm Chart Optionen

Diese Seite ist eine Konfigurationsreferenz für das Rancher Helm Chart.

Für Informationen zur Aktivierung experimenteller Funktionen, siehe Aktivierung experimenteller Funktionen.

Allgemeine Optionen

Option Standardwert Beschreibung

bootstrapPassword

" "

string - Setzen Sie das Bootstrap-Passwort für das erste Administratorkonto. Nach dem Einloggen sollte der Administrator sein Passwort zurücksetzen. Ein zufällig generiertes Bootstrap-Passwort wird verwendet, falls dieser Wert nicht gesetzt ist.

hostname

" "

string - der vollqualifizierte Domainname für Ihren Rancher-Server

ingress.tls.source

"rancher"

string - Wo Sie das Zertifikat für den Ingress erhalten. - "rancher, letsEncrypt, secret"

letsEncrypt.email

" "

string - Ihre E-Mail-Adresse

letsEncrypt.environment

"production"

string - Gültige Optionen: "staging, production"

privateCA

false

bool - Setzen Sie diesen Wert auf "true", wenn Ihr Zertifikat von einer privaten CA signiert ist

Erweiterte Optionen

Option Standardwert Beschreibung

additionalTrustedCAs

false

bool - Siehe Zusätzliche vertrauenswürdige CAs

addLocal

"true"

string - Lassen Sie Rancher den "lokalen" (upstream) Rancher-Server-Cluster erkennen und importieren. Hinweis: Diese Option ist in v2.5.0 nicht mehr verfügbar. Erwägen Sie die Verwendung der restrictedAdmin-Option, um zu verhindern, dass Benutzer den lokalen Cluster ändern.

agentTLSMode

""

string - entweder system-store oder strict. Siehe Agent TLS Enforcement

antiAffinity

"preferred"

string - AntiAffinity-Regel für Rancher-Pods - "preferred, required"

auditLog.destination

"sidecar"

string - Stream zur Sidecar-Container-Konsole oder hostPath-Volume - "sidecar, hostPath"

auditLog.hostPath

"/var/log/rancher/audit"

string - Ziel für die Protokolldatei auf dem Host (gilt nur, wenn auditLog.destination auf hostPath gesetzt ist)

auditLog.enabled

false

bool - Aktiviert / deaktiviert die Protokollierung von Audits.

auditLog.level

0

int - Setzen Sie das API-Auditprotokoll Level. [0-3]

auditLog.maxAge

1

int - Maximale Anzahl von Tagen, um alte Auditprotokolldateien aufzubewahren (gilt nur, wenn auditLog.destination auf hostPath gesetzt ist)

auditLog.maxBackup

1

int - Maximale Anzahl von Auditprotokolldateien, die aufbewahrt werden sollen (gilt nur, wenn auditLog.destination auf hostPath gesetzt ist)

auditLog.maxSize

100

int - Maximale Größe in Megabyte der Auditprotokolldatei, bevor sie rotiert wird (gilt nur, wenn auditLog.destination auf hostPath gesetzt ist)

auditLog.image.repository

"registry.suse.com/bci/bci-micro"

string - Standort für das Bild, das zur Sammlung von Auditprotokollen verwendet wird.

auditLog.image.tag

"15.4.14.3"

string - Tag für das Bild, das zur Sammlung von Auditprotokollen verwendet wird.

auditLog.image.pullPolicy

"IfNotPresent"

string - Überschreiben der imagePullPolicy für AuditLog-Bilder - "Always", "Never", "IfNotPresent".

busyboxImage

""

string - Speicherort für das Busybox-Image, das zur Sammlung von Auditprotokollen verwendet wird. Hinweis: Diese Option läuft aus. Verwenden Sie auditLog.image.repository, um das Audit-Sidecar-Image zu steuern.

certmanager.version

""

string - Kompatibilität des Cert-Managers festlegen

debug

false

bool - Debug-Flag auf dem Rancher-Server festlegen

extraEnv

[]

list - Zusätzliche Umgebungsvariablen für Rancher festlegen

imagePullSecrets

[]

list - Liste der Namen der Secret-Ressource, die Anmeldeinformationen für private Registrierungen enthält

ingress.configurationSnippet

""

string - zusätzliche Nginx-Konfiguration. Kann für die Proxy-Konfiguration verwendet werden.

ingress.extraAnnotations

{}

map - zusätzliche Annotationen zur Anpassung des Ingress

ingress.enabled

true

string - Wenn auf false gesetzt, wird Helm keinen Rancher-Ingress installieren. Setzen Sie die Option auf false, um Ihren eigenen Ingress bereitzustellen.

letsEncrypt.ingress.class

""

string - optionale Ingress-Klasse für den Cert-Manager Acmesolver-Ingress, der auf die Let’s Encrypt ACME-Herausforderungen reagiert. Optionen: traefik, nginx.

noProxy

"127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.svc,.cluster.local,cattle-system.svc"

string - durch Kommas getrennte Liste von Hostnamen oder IP-Adressen, die den Proxy nicht verwenden sollen

proxy

""

string - HTTP[S]-Proxy-Server für Rancher

image.registry

""

string - Überschreiben Sie das bildspezifische Registry von Rancher, z.B. http://registry.example.com/

image.repository

"rancher/rancher"

string - Quelle des Rancher-Images

image.pullPolicy

"IfNotPresent"

string - Überschreiben Sie die imagePullPolicy für Rancher-Serverbilder - "Always", "Never", "IfNotPresent"

image.tag

""

string - Standardmäßig auf .Chart.appVersion für das Rancher/Rancher-Image-Tag

replicas

3

int - Anzahl der Rancher-Server-Replikate. Die Einstellung auf -1 wählt dynamisch 1, 2 oder 3 basierend auf der Anzahl der verfügbaren Knoten im Cluster aus.

resources

{}

map - Ressourcenanforderungen und -limits für Rancher-Pods

systemDefaultRegistry

""

string - private Registry, die für alle Systemcontainerbilder verwendet werden soll, z. B. https://registry.example.com/

tls

"ingress"

string - Siehe Externe TLS-Terminierung für Details. - "ingress, external"

useBundledSystemChart

false

bool - auswählen, um die System-Charts zu verwenden, die mit dem Rancher-Server verpackt sind. Diese Option wird für Air Gap-Installationen verwendet.

Bootstrap-Passwort

Sie können ein spezifisches Bootstrap-Passwort festlegen während der Rancher-Installation. Wenn Sie kein spezifisches Bootstrap-Passwort festlegen, generiert Rancher ein Passwort für das erste Administratorkonto.

Wenn Sie sich zum ersten Mal anmelden, verwenden Sie das Bootstrap-Passwort, das Sie festgelegt haben, um sich anzumelden. Wenn Sie kein Bootstrap-Passwort festgelegt haben, zeigt die Rancher-Benutzeroberfläche Befehle an, die verwendet werden können, um das Bootstrap-Passwort abzurufen. Führen Sie diese Befehle aus und melden Sie sich bei dem Konto an. Nachdem Sie sich zum ersten Mal angemeldet haben, werden Sie aufgefordert, das Administratorkennwort zurückzusetzen.

API-Revisionsprotokoll

Aktivierung des API-Revisionsprotokolls.

Sie können dieses Protokoll wie jedes Containerprotokoll sammeln. Aktivieren Sie Logging für das System Projekt im Rancher-Server-Cluster.

--set auditLog.enabled=true --set auditLog.level=1

Standardmäßig wird durch die Aktivierung des Audit-Loggings ein Sidecar-Container im Rancher-Pod erstellt. Dieser Container (rancher-audit-log) wird das Protokoll an stdout streamen. Sie können dieses Protokoll wie jedes Containerprotokoll sammeln. Wenn der Sidecar als Ziel für das Audit-Protokoll verwendet wird, gelten die Optionen hostPath, maxAge, maxBackups und maxSize nicht. Es wird empfohlen, die Protokollrotationseinstellungen Ihres Betriebssystems oder des Docker-Daemons zu verwenden, um den Speicherplatz zu kontrollieren. Aktivieren Sie logging für den Rancher-Server-Cluster oder das Systemprojekt.

Setzen Sie auditLog.destination auf hostPath, um Protokolle an ein Volumen weiterzuleiten, das mit dem Hostsystem geteilt wird, anstatt sie an einen Sidecar-Container zu streamen. Wenn Sie das Ziel auf hostPath setzen, möchten Sie möglicherweise die anderen Audit-Log-Parameter für die Protokollrotation anpassen.

Zusätzliche Umgebungsvariablen festlegen

Sie können zusätzliche Umgebungsvariablen für den Rancher-Server mit extraEnv festlegen. Diese Liste wird im YAML-Format an die Rancher Implementierung übergeben. Sie ist unter env für den Rancher-Container eingebettet. Beziehen Sie sich auf die Kubernetes-Dokumentation zum Festlegen von Umgebungsvariablen für Container; extraEnv kann jeden der in Umgebungsvariablen für einen Container definieren referenzierten Schlüssel verwenden.

Betrachten Sie ein Beispiel, das die Schlüssel name und value verwendet:

--set 'extraEnv[0].name=CATTLE_TLS_MIN_VERSION'
--set 'extraEnv[0].value=1.0'

Wenn sensible Daten als Wert für eine Umgebungsvariable übergeben werden, wie z.B. Proxy-Authentifizierungsanmeldeinformationen, wird dringend empfohlen, einen Geheimnisverweis zu verwenden. Dies wird verhindern, dass sensible Daten in Helm oder der Rancher-Bereitstellung offengelegt werden.

Betrachten Sie ein Beispiel, das die Schlüssel name, valueFrom.secretKeyRef.name und valueFrom.secretKeyRef.key verwendet. Siehe Beispiel in HTTP-Proxy

TLS-Einstellungen

Wenn Sie Rancher innerhalb eines Kubernetes-Clusters installieren, wird TLS am Ingress-Controller des Clusters entlastet. Die möglichen TLS-Einstellungen hängen vom verwendeten Ingress-Controller ab.

Siehe TLS-Einstellungen für weitere Informationen und Optionen.

Importiere local Cluster

Standardmäßig erkennt der Rancher-Server den local Cluster, auf dem er läuft, und importiert ihn. Benutzer mit Zugriff auf den local Cluster haben im Wesentlichen "Root"-Zugriff auf alle vom Rancher-Server verwalteten Cluster.

Wenn Sie addLocal deaktivieren, funktionieren die meisten Funktionen von Rancher v2.5 nicht, einschließlich des EKS-Provisioners.

Wenn dies in Ihrer Umgebung ein Problem darstellt, können Sie diese Option bei Ihrer Erstinstallation auf "false" setzen.

Diese Option ist nur bei der Erstinstallation von Rancher wirksam. Siehe Issue 16522 für weitere Informationen.

--set addLocal="false"

Ihr Ingress anpassen

Um ein anderes Ingress mit dem Rancher-Server zu verwenden oder anzupassen, können Sie Ihre eigenen Ingress-Anmerkungen festlegen.

Bitte beziehen Sie sich auf die Traefik-Dokumentation für die vollständige Liste der Ingress NGINX-Anmerkungen, die von Traefiks kubernetesIngressNginx-Anbieter unterstützt und nicht unterstützt werden.

Beispiel für die Festlegung eines benutzerdefinierten Zertifikatsausstellers:

--set ingress.extraAnnotations.'cert-manager\.io/cluster-issuer'=issuer-name

HTTP Proxy

Rancher benötigt Internetzugang für einige Funktionen (Helm-Charts). Verwenden Sie proxy, um Ihren Proxy-Server festzulegen, oder verwenden Sie extraEnv, um die HTTPS_PROXY Umgebungsvariable auf Ihren Proxy-Server zu verweisen.

Fügen Sie Ihre IP-Ausnahmen als kommagetrennte Liste zum noProxy Chart-Wert hinzu. Stellen Sie sicher, dass Sie die folgenden Werte hinzufügen:

  • Pod-Cluster-IP-Bereich (Standard: 10.42.0.0/16).

  • Service-Cluster-IP-Bereich (Standard: 10.43.0.0/16).

  • Interne Cluster-Domains (Standard: .svc,.cluster.local).

  • Alle Worker-Cluster controlplane Knoten. Rancher unterstützt CIDR-Notation-Bereiche in dieser Liste.

Wenn keine sensiblen Daten enthalten sind, können die proxy oder extraEnv Chart-Optionen verwendet werden. Bei der Verwendung von extraEnv wird die noProxy Helm-Option ignoriert. Daher muss auch die NO_PROXY Umgebungsvariable mit extraEnv gesetzt werden.

Das folgende Beispiel zeigt die Konfiguration eines Proxys mit der proxy Chart-Option:

--set proxy="http://<proxy_url:proxy_port>/"

Beispiel für die Konfiguration eines Proxys mit der extraEnv Chart-Option:

--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].value="http://<proxy_url>:<proxy_port>/"
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"

Wenn sensible Daten, wie z.B. Proxy-Authentifizierungsdaten, enthalten sind, verwenden Sie die extraEnv Option mit valueFrom.secretRef, um zu verhindern, dass sensible Daten in Helm oder der Rancher-Bereitstellung offengelegt werden.

Das folgende ist ein Beispiel für die Verwendung von extraEnv zur Konfiguration eines Proxys. Dieses Beispielgeheimnis würde den Wert "http://<username>:<password>@<proxy_url>:<proxy_port>/" im Schlüssel "https-proxy-url" des Geheimnisses enthalten:

--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].valueFrom.secretKeyRef.name=secret-name
--set extraEnv[1].valueFrom.secretKeyRef.key=https-proxy-url
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"

Um mehr darüber zu erfahren, wie man Umgebungsvariablen konfiguriert, beziehen Sie sich auf Umgebungsvariablen für einen Container definieren.

Zusätzliche vertrauenswürdige CAs

Wenn Sie private Registrierungen, Kataloge oder einen Proxy haben, der Zertifikate abfängt, müssen Sie möglicherweise weitere vertrauenswürdige CAs zu Rancher hinzufügen.

--set additionalTrustedCAs=true

Sobald die Rancher-Bereitstellung erstellt ist, kopieren Sie Ihre CA-Zertifikate im PEM-Format in eine Datei mit dem Namen ca-additional.pem und verwenden Sie kubectl, um das tls-ca-additional Geheimnis im cattle-system Namespace zu erstellen.

kubectl -n cattle-system create secret generic tls-ca-additional --from-file=ca-additional.pem=./ca-additional.pem

Private Registrierung und Air Gap Installationen

Für Details zur Installation von Rancher mit einer privaten Registrierung siehe die Dokumentation zur Air Gap-Installation.

Externe TLS-Terminierung

Wir empfehlen, Ihren Lastenausgleich als Layer 4-Lastenausgleich zu konfigurieren, der unverschlüsseltes 80/tcp und 443/tcp an die Rancher-Management-Clusterknoten weiterleitet. Der Ingress-Controller im Cluster wird den HTTP-Verkehr auf Port 80 auf HTTPS auf Port 443 umleiten.

Sie können SSL/TLS auf einem externen L7-Lastenausgleich außerhalb des Rancher-Clusters (Ingress) beenden. Verwenden Sie die --set tls=external Option und richten Sie Ihren Load Balancer auf Port 80 (HTTP) auf allen Rancher-Clusterknoten aus. Dies wird die Rancher-Oberfläche auf HTTP-Port 80 zugänglich machen. Bitte beachten Sie, dass Clients, die direkt mit dem Rancher-Cluster verbunden werden dürfen, nicht verschlüsselt sind. Wenn Sie dies tun möchten, empfehlen wir, den direkten Zugriff auf Netzwerkebene nur auf Ihren Load Balancer zu beschränken.

Wenn Sie ein von einer privaten CA signiertes Zertifikat verwenden (oder wenn agent-tls-mode auf strict gesetzt ist), fügen Sie --set privateCA=true hinzu und sehen Sie TLS-Geheimnisse hinzufügen - Verwendung eines von einer privaten CA signierten Zertifikats, um das CA-Zertifikat für Rancher hinzuzufügen.

Ihr Load Balancer muss langanhaltende Websocket-Verbindungen unterstützen und muss Proxy-Header einfügen, damit Rancher Links korrekt weiterleiten kann.

Erforderliche Header

  • Host

  • X-Forwarded-Proto

  • X-Forwarded-Port

  • X-Forwarded-For

Empfohlene Zeitüberschreitungen

  • Lesezeitüberschreitung: 1800 seconds

  • Schreibzeitüberschreitung: 1800 seconds

  • Verbindungszeitüberschreitung: 30 seconds

Zustandsprüfungen

Rancher wird 200 auf Gesundheitsprüfungen am /healthz-Endpunkt antworten.