Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

SUSE Rancher Prime Opciones de Helm chart

Esta página es una referencia de configuración para el Helm chart de Rancher.

Para información sobre cómo habilitar características experimentales, consulta Habilitar Características Experimentales.

Opciones comunes

Opción Valor por defecto Descripción

bootstrapPassword

" "

string - Establece la contraseña de inicio para el primer usuario administrador. Después de iniciar sesión, el administrador debe restablecer su contraseña. Se utiliza una contraseña de inicio generada aleatoriamente si este valor no está establecido.

hostname

" "

string - el nombre de dominio completo para su servidor Rancher

ingress.tls.source

"rancher"

string - Dónde obtener el certificado para el ingress. - "rancher, letsEncrypt, secreto"

letsEncrypt.email

" "

string - Su dirección de correo electrónico

letsEncrypt.environment

"production"

string - Opciones válidas: "staging, producción"

privateCA

false

bool - Establecer en verdadero si su certificado está firmado por una CA privada

Opciones avanzadas

Opción Valor por defecto Descripción

additionalTrustedCAs

false

bool - Ver CA adicionales de confianza

addLocal

"true"

string - Hacer que Rancher detecte e importe el clúster de servidor Rancher "local" (ascendente). Nota: Esta opción ya no está disponible en v2.5.0. Considere usar la opción restrictedAdmin para evitar que los usuarios modifiquen el clúster local.

agentTLSMode

""

string - ya sea system-store o strict. Ver Aplicación de TLS del Agente

antiAffinity

"preferred"

string - Regla de AntiAfinidad para los pods de Rancher - "preferido, requerido"

auditLog.destination

"sidecar"

string - Transmitir a la consola del contenedor sidecar o volumen hostPath - "sidecar, hostPath"

auditLog.hostPath

"/var/log/rancher/audit"

string - destino del archivo de registro en el host (solo se aplica cuando auditLog.destination está configurado en hostPath)

auditLog.enabled

false

bool - Habilita / deshabilita el registro de auditoría.

auditLog.level

0

int - establece el nivel de Registro de Auditoría de API. [0-3]

auditLog.maxAge

1

int - número máximo de días para conservar los archivos de registro de auditoría antiguos (solo se aplica cuando auditLog.destination está configurado en hostPath)

auditLog.maxBackup

1

int - número máximo de archivos de registro de auditoría a conservar (solo se aplica cuando auditLog.destination está configurado en hostPath)

auditLog.maxSize

100

int - tamaño máximo en megabytes del archivo de registro de auditoría antes de que se rote (solo se aplica cuando auditLog.destination está configurado en hostPath)

auditLog.image.repository

"registry.suse.com/bci/bci-micro"

string - Ubicación de la imagen utilizada para recopilar registros de auditoría.

auditLog.image.tag

"15.4.14.3"

string - Etiqueta para la imagen utilizada para recopilar registros de auditoría.

auditLog.image.pullPolicy

"IfNotPresent"

string - Sobrescribir imagePullPolicy para imágenes de auditLog - "Always", "Never", "IfNotPresent".

busyboxImage

""

string - Ubicación de la imagen busybox utilizada para recopilar registros de auditoría. Nota: Esta opción está obsoleta, utiliza auditLog.image.repository para controlar la imagen del sidecar de auditoría.

certmanager.version

""

string - establecer compatibilidad con cert-manager

debug

false

bool - establecer la bandera de borrar en el servidor Rancher

extraEnv

[]

list - establecer variables de entorno adicionales para Rancher

imagePullSecrets

[]

list - lista de nombres de recursos Secret que contienen credenciales de registro privado

ingress.configurationSnippet

""

string - configuración adicional de Nginx. Se puede utilizar para la configuración del proxy.

ingress.extraAnnotations

{}

map - anotaciones adicionales para personalizar el ingress

ingress.enabled

true

string - Cuando se establece en falso, Helm no instalará un ingress de Rancher. Establezca la opción en falso para desplegar su propio ingress.

letsEncrypt.ingress.class

""

string - clase de ingress opcional para el ingress acmesolver del cert-manager que responde a los desafíos ACME de Let’s Encrypt. Opciones: traefik, nginx.

noProxy

"127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.svc,.cluster.local,cattle-system.svc"

string - lista de nombres de hosts o direcciones IP separadas por comas para no utilizar el proxy

proxy

""

string - servidor proxy HTTP[S] para Rancher

image.registry

""

string - Sobrescribir el registro específico de la imagen de Rancher, p. ej., http://registry.example.com/

image.repository

"rancher/rancher"

string - fuente de imagen de Rancher

image.pullPolicy

"IfNotPresent"

string - Sobrescribir imagePullPolicy para las imágenes del servidor Rancher - "Always", "Never", "IfNotPresent".

image.tag

""

string - Por defecto es .Chart.appVersion para la etiqueta de imagen rancher/rancher

replicas

3

int - Número de réplicas del servidor Rancher. Establecer en -1 elegirá dinámicamente 1, 2 o 3 según el número de nodos disponibles en el clúster.

resources

{}

map - solicitudes y límites de recursos del pod de Rancher

systemDefaultRegistry

""

string - registro privado que se utilizará para todas las imágenes de contenedor del sistema, p. ej., https://registry.example.com/

tls

"ingress"

string - Ver Terminación TLS Externa para más detalles. - "ingress, externo"

useBundledSystemChart

false

bool - Seleccione usar los charts del sistema empaquetados con el servidor Rancher. Esta opción se utiliza para instalaciones en entorno aislado.

Contraseña de inicio

Puede establecer una contraseña de inicio específica durante la instalación de Rancher. Si no establece una contraseña de inicio específica, Rancher genera aleatoriamente una contraseña para la primera cuenta de administrador.

Cuando inicie sesión por primera vez, utilice la contraseña de inicio que estableció para acceder. Si no estableció una contraseña de inicio, la interfaz de usuario de Rancher muestra comandos que se pueden utilizar para recuperar la contraseña de inicio. Ejecute esos comandos e inicie sesión en la cuenta. Después de iniciar sesión por primera vez, se le pedirá que restablezca la contraseña del administrador.

Registro de auditoría de API

Habilitando el Registro de auditoría de API.

Puede recopilar este registro como lo haría con cualquier registro de contenedor. Habilite el registro para el System Proyecto en el clúster del servidor Rancher.

--set auditLog.enabled=true --set auditLog.level=1

Por defecto, habilitar el registro de auditoría creará un contenedor sidecar en el pod de Rancher. Este contenedor (rancher-audit-log) transmitirá el registro a stdout. Puedes recopilar este registro como lo harías con cualquier registro de contenedor. Al utilizar el sidecar como destino del registro de auditoría, las opciones hostPath, maxAge, maxBackups y maxSize no se aplican. Se recomienda utilizar las características de rotación de registros de tu sistema operativo o del demonio de Docker para controlar el uso del espacio en disco. Habilita el registro para el clúster del servidor Rancher o el Proyecto del Sistema.

Establezca el auditLog.destination en hostPath para enviar registros a un volumen compartido con el sistema host en lugar de transmitir a un contenedor sidecar. Al establecer el destino en hostPath, es posible que desee ajustar los otros parámetros de auditLog para la rotación de registros.

Establecer variables de entorno adicionales

Puede establecer variables de entorno adicionales para el servidor Rancher utilizando extraEnv. Esta lista se pasa al despliegue de Rancher en su formato YAML. Está incrustada bajo env para el contenedor de Rancher. Consulte la documentación de Kubernetes para establecer variables de entorno en contenedores; extraEnv puede usar cualquiera de las claves referenciadas en Definir Variables de Entorno para un Contenedor.

Considere un ejemplo que utiliza las claves name y value:

--set 'extraEnv[0].name=CATTLE_TLS_MIN_VERSION'
--set 'extraEnv[0].value=1.0'

Si se pasan datos sensibles como el valor de una variable de entorno, por ejemplo, credenciales de autenticación del proxy, se recomienda encarecidamente utilizar una referencia a un secreto. Esto evitará que los datos sensibles se expongan en Helm o en el despliegue de Rancher.

Considera un ejemplo que utiliza las claves name, valueFrom.secretKeyRef.name y valueFrom.secretKeyRef.key. Consulta el ejemplo en HTTP Proxy

Configuraciones de TLS

Cuando instalas Rancher dentro de un clúster de Kubernetes, TLS se descarga en el controlador de ingreso del clúster. Las posibles configuraciones de TLS dependen del controlador de ingreso utilizado.

Consulta configuraciones de TLS para más información y opciones.

Importar local Clúster

Por defecto, el servidor Rancher detectará e importará el clúster local en el que se está ejecutando. El usuario con acceso al clúster local tendrá esencialmente acceso "root" a todos los clústeres gestionados por el servidor Rancher.

Si desactivas addLocal, la mayoría de las funciones de Rancher v2.5 no funcionarán, incluyendo el aprovisionador EKS.

Si esto es una preocupación en tu entorno, puedes establecer esta opción en "false" en tu instalación inicial.

Esta opción solo es efectiva en la instalación inicial de Rancher. Consulta Issue 16522 para más información.

--set addLocal="false"

Personalizando tu Ingress

Para personalizar o utilizar un ingress diferente con el servidor Rancher, puedes establecer tus propias anotaciones de Ingress.

Por favor, consulta la documentación de Traefik para la lista completa de anotaciones de Ingress NGINX que son soportadas y no soportadas por el proveedor kubernetesIngressNginx de Traefik.

Ejemplo de cómo establecer un emisor de certificado personalizado:

--set ingress.extraAnnotations.'cert-manager\.io/cluster-issuer'=issuer-name

Servidor alterno (proxy) de HTTP

Rancher requiere acceso a internet para algunas funcionalidades (Helm charts). Utiliza proxy para establecer tu servidor proxy o utiliza extraEnv para establecer la variable de entorno HTTPS_PROXY que apunte a tu servidor proxy.

Añade tus excepciones de IP al valor del gráfico noProxy como una lista separada por comas. Asegúrate de añadir los siguientes valores:

  • Rango de IP del clúster de pods (por defecto: 10.42.0.0/16).

  • Rango de IP del clúster de servicios (por defecto: 10.43.0.0/16).

  • Dominios internos del clúster (por defecto: .svc,.cluster.local).

  • Cualquier nodo del clúster de trabajadores controlplane. Rancher soporta rangos en notación CIDR en esta lista.

Cuando no se incluya información sensible, se pueden utilizar las opciones de gráfico proxy o extraEnv. Al utilizar extraEnv, se ignora la opción de Helm noProxy. Por lo tanto, la variable de entorno NO_PROXY también debe establecerse con extraEnv.

El siguiente es un ejemplo de cómo establecer un proxy utilizando la opción de gráfico proxy:

--set proxy="http://<proxy_url:proxy_port>/"

Ejemplo de cómo establecer un proxy utilizando la opción de gráfico extraEnv:

--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].value="http://<proxy_url>:<proxy_port>/"
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"

Al incluir datos sensibles, como credenciales de autenticación de proxy, utiliza la opción extraEnv con valueFrom.secretRef para evitar que los datos sensibles se expongan en Helm o en la ampliación de Rancher.

El siguiente es un ejemplo de cómo utilizar extraEnv para configurar el proxy. Este secreto de ejemplo contendría el valor "http://<username>:<password>@<proxy_url>:<proxy_port>/" en la clave "https-proxy-url" del secreto:

--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].valueFrom.secretKeyRef.name=secret-name
--set extraEnv[1].valueFrom.secretKeyRef.key=https-proxy-url
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"

Para aprender más sobre cómo configurar variables de entorno, consulta Definir Variables de Entorno para un Contenedor.

Autoridades certificadoras de confianza adicionales

Si tienes registros privados, catálogos o un proxy que intercepta certificados, es posible que necesites añadir más autoridades certificadoras de confianza a Rancher.

--set additionalTrustedCAs=true

Una vez que se crea la ampliación de Rancher, copia tus certificados CA en formato pem en un archivo llamado ca-additional.pem y utiliza kubectl para crear el secreto tls-ca-additional en el espacio de nombres cattle-system.

kubectl -n cattle-system create secret generic tls-ca-additional --from-file=ca-additional.pem=./ca-additional.pem

Instalaciones de Registro Privado y Entorno Aislado

Para detalles sobre la instalación de Rancher con un registro privado, consulta la documentación de instalación en entorno aislado.

Terminación TLS Externa

Recomendamos configurar tu balanceador de carga como un balanceador de capa 4, redirigiendo el tráfico sin cifrar 80/tcp y 443/tcp a los nodos del clúster de gestión de Rancher. El Controlador de Ingress en el clúster redirigirá el tráfico http en el puerto 80 a https en el puerto 443.

Puedes terminar el SSL/TLS en un balanceador de carga L7 externo al clúster de Rancher (ingress). Utiliza la opción --set tls=external y apunta tu balanceador de carga al puerto http 80 en todos los nodos del clúster de Rancher. Esto expondrá la interfaz de Rancher en el puerto http 80. Ten en cuenta que los clientes que están autorizados a conectarse directamente al clúster de Rancher no estarán cifrados. Si decides hacer esto, te recomendamos que restrinjas el acceso directo a nivel de red solo a tu balanceador de carga.

Si estás utilizando un certificado firmado por una CA Privada (o si agent-tls-mode está configurado a strict), añade --set privateCA=true y consulta Añadiendo Secretos TLS - Usando un Certificado Firmado por una CA Privada para añadir el certificado CA para Rancher.

Tu balanceador de carga debe soportar conexiones websocket de larga duración y necesitará insertar encabezados de proxy para que Rancher pueda enrutar los enlaces correctamente.

Encabezados requeridos

  • Host

  • X-Forwarded-Proto

  • X-Forwarded-Port

  • X-Forwarded-For

Tiempos de espera recomendados

  • Tiempo de espera de lectura: 1800 seconds

  • Tiempo de espera de escritura: 1800 seconds

  • Tiempo límite de la conexión: 30 seconds

Comprobaciones de actividad

Rancher responderá 200 a las comprobaciones de salud en el punto final /healthz.