|
Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi. |
4. Installez SUSE Rancher Prime
Cette section concerne le déploiement de Rancher pour votre environnement isolé physiquement dans une installation Kubernetes à haute disponibilité. Un environnement isolé physiquement pourrait être un endroit où le serveur Rancher sera installé hors ligne, derrière une passerelle de périmètre de sécurité ou un proxy.
Accès privilégié pour Rancher
Lorsque le serveur Rancher est déployé dans le conteneur Docker, un cluster Kubernetes local est installé à l’intérieur du conteneur pour être utilisé par Rancher. Étant donné que de nombreuses fonctionnalités de Rancher fonctionnent en tant que déploiements, et que le mode privilégié est requis pour exécuter des conteneurs à l’intérieur de conteneurs, vous devrez installer Rancher avec l’option --privileged.
Instructions Docker
Si vous souhaitez poursuivre l’installation isolée physiquement en utilisant des commandes Docker, passez le reste de cette page et suivez les instructions sur xref:[cette page.]
Kubernetes Instructions
Rancher recommande d’installer Rancher sur un cluster Kubernetes. Une installation Kubernetes hautement disponible se compose de trois nœuds exécutant les composants du serveur Rancher sur un cluster Kubernetes. La couche de persistance (etcd) est également répliquée sur ces trois nœuds, fournissant redondance et duplication des données en cas de défaillance de l’un des nœuds.
1. Ajouter le dépôt de charts Helm
Depuis un système ayant accès à Internet, récupérez le dernier chart Helm et copiez les manifests résultants sur un système ayant accès au cluster serveur Rancher.
-
Si ce n’est pas déjà fait, installez
helmlocalement sur un poste de travail ayant accès à Internet. Remarque : Référez-vous aux exigences de version Helm pour choisir une version de Helm à installer pour Rancher. -
Utilisez la commande
helm repo addpour ajouter le dépôt de charts Helm contenant des charts pour installer Rancher Prime.helm repo add rancher-prime <helm-chart-repo-url>To learn more about the Rancher Prime Helm chart repository URL, see our Prime-only documentation. Authentication is required. Use your SUSE Customer Center (SCC) credentials to log in.
-
Récupérez le chart SUSE Rancher Prime. Cela téléchargera le chart et l’enregistrera dans le répertoire actuel en tant que fichier
.tgz.-
Pour récupérer la dernière version :
helm fetch rancher-prime/rancher -
Pour récupérer une version spécifique :
-
Vérifiez quelles versions de Rancher Prime sont disponibles.
helm search repo --versions rancher-prime -
Récupérez une version spécifique en spécifiant le paramètre
--version:helm fetch rancher-prime/rancher --version=<version>
-
-
2. Choisissez votre configuration SSL
Rancher Server est conçu pour être sécurisé par défaut et nécessite une configuration SSL/TLS.
Lorsque Rancher est installé sur un cluster Kubernetes isolé physiquement, deux options sont recommandées pour la source du certificat.
|
Si vous souhaitez terminer SSL/TLS de manière externe, consultez Terminaison TLS sur un équilibreur de charge externe. |
| Configuration | Option de chart | Description | Nécessite cert-manager |
|---|---|---|---|
Certificats auto-signés générés par Rancher |
|
Utilisez des certificats émis par l’autorité de certification générée par Rancher (auto-signés) |
yes |
Certificats à partir de fichiers |
|
Utilisez vos propres fichiers de certificat en créant des Secret(s) Kubernetes. |
non |
Options de charts Helm pour les installations sur des environnements isolés physiquement
Lors de la configuration du modèle Helm de Rancher, plusieurs options dans le chart Helm sont spécifiquement conçues pour les installations sur des environnements isolés physiquement.
| Option de chart | Valeur de chart | Description |
|---|---|---|
|
|
Configurez l’émetteur TLS de Rancher en fonction de la version de cert-manager en cours d’exécution. |
|
|
Configurez le serveur Rancher pour toujours tirer de votre registre privé lors de la provision des clusters. |
|
|
Configurez le serveur Rancher pour utiliser la copie intégrée des charts système Helm. Le dépôt charts système contient tous les éléments du catalogue nécessaires pour des fonctionnalités telles que la surveillance, la journalisation, l’alerte et le DNS global. Ces charts Helm sont situés sur GitHub, mais comme vous êtes dans un environnement isolé physiquement, utiliser les charts inclus dans Rancher est beaucoup plus facile que de configurer un miroir Git. |
3. Récupérer le chart Cert-Manager
En fonction du choix que vous avez fait dans 2. Choisissez votre configuration SSL, complétez l’une des procédures ci-dessous.
Option A: Certificat auto-signé par défaut
Par défaut, Rancher génère une CA et utilise cert-manager pour émettre le certificat pour accéder à l’interface du serveur Rancher.
|
Les changements récents apportés à cert-manager nécessitent une mise à niveau. Si vous mettez à niveau Rancher et utilisez une version de cert-manager antérieure à v0.11.0, veuillez consulter notre documentation de mise à niveau de cert-manager. |
1. Ajoutez le dépôt cert-manager
Depuis un système connecté à Internet, ajoutez le dépôt cert-manager à Helm :
helm repo add jetstack https://charts.jetstack.io
helm repo update2. Récupérez le chart cert-manager
Récupérez le dernier chart cert-manager disponible dans le dépôt de charts Helm.
helm fetch jetstack/cert-manager --version v1.11.04. Installer Rancher
Copiez les charts récupérés sur un système ayant accès au cluster serveur Rancher pour compléter l’installation.
1. Installez cert-manager
Installez cert-manager avec les mêmes options que celles que vous utiliseriez pour installer le chart. N’oubliez pas de définir l’option image.repository pour tirer l’image de votre registre privé.
|
Pour voir les options sur la façon de personnaliser l’installation de cert-manager (y compris pour les cas où votre cluster utilise des PodSecurityPolicies), consultez la documentation de cert-manager. |
Cliquer pour développer
Si vous utilisez des certificats auto-signés, installez cert-manager :
-
Créez l’espace de noms pour cert-manager.
kubectl create namespace cert-manager -
Créez les CustomResourceDefinitions (CRDs) cert-manager.
kubectl apply -f cert-manager-crd.yaml -
Installez cert-manager.
helm install cert-manager ./cert-manager-v1.11.0.tgz \ --namespace cert-manager \ --set image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-controller \ --set webhook.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-webhook \ --set cainjector.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-cainjector \ --set startupapicheck.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-ctl
2. Installer Rancher
Tout d’abord, reportez-vous à Ajout de secrets TLS pour publier les fichiers de certificat afin que Rancher et le contrôleur d’entrée puissent les utiliser.
Ensuite, créez l’espace de noms pour Rancher en utilisant kubectl :
kubectl create namespace cattle-systemEnsuite, installez Rancher, en déclarant vos options choisies. Utilisez le tableau de référence ci-dessous pour remplacer chaque espace réservé. Rancher doit être configuré pour utiliser le registre privé afin de provisionner tout cluster Kubernetes lancé par Rancher ou tout outil Rancher.
| Espace réservé | Description |
|---|---|
|
Le numéro de version de l’archive tar de sortie. |
|
Le nom DNS que vous avez pointé vers votre équilibreur de charge. |
|
Le nom DNS de votre registre privé. |
|
Version de cert-manager en cours d’exécution sur le cluster k8s. |
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set certmanager.version=<CERTMANAGER_VERSION> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsFacultatif : Pour installer une version spécifique de Rancher, définissez la valeur image.tag, exemple : --set image.tag=v2.14.1
Option B: Certificats à partir de fichiers utilisant des secrets Kubernetes
1. Créez des secrets
Créez des secrets Kubernetes à partir de vos propres certificats à utiliser avec Rancher. Le nom commun pour le certificat devra correspondre à l’option hostname dans la commande ci-dessous, sinon le contrôleur d’ingress échouera à provisionner le site pour Rancher.
2. Installer Rancher
Installez Rancher en déclarant vos options choisies. Utilisez le tableau de référence ci-dessous pour remplacer chaque espace réservé. Rancher doit être configuré pour utiliser le registre privé afin de provisionner tout cluster Kubernetes lancé par Rancher ou tout outil Rancher.
| Espace réservé | Description |
|---|---|
|
Le numéro de version de l’archive tar de sortie. |
|
Le nom DNS que vous avez pointé vers votre équilibreur de charge. |
|
Le nom DNS de votre registre privé. |
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set ingress.tls.source=secret \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsSi vous utilisez un certificat signé par une CA privée, ajoutez --set privateCA=true après --set ingress.tls.source=secret :
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set ingress.tls.source=secret \
--set privateCA=true \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsL’installation est complète.