|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
SUSE Rancher Prime Helmチャートオプション
このページはRancher Helmチャートの設定リファレンスです。
実験的機能を有効にする方法については、実験的機能の有効化を参照してください。
共通オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
|
" " |
|
|
" " |
|
|
"rancher" |
|
|
" " |
|
|
"production" |
|
|
false |
|
詳細オプション
| オプション | デフォルト値 | 説明 |
|---|---|---|
|
false |
|
|
"true" |
|
|
"" |
|
|
"preferred" |
|
|
"sidecar" |
|
|
"/var/log/rancher/audit" |
|
|
false |
|
|
0 |
|
|
1 |
|
|
1 |
|
|
100 |
|
|
"registry.suse.com/bci/bci-micro" |
|
|
"15.4.14.3" |
|
|
"IfNotPresent" |
|
|
"" |
|
|
"" |
|
|
false |
|
|
[] |
|
|
[] |
|
|
"" |
|
|
{} |
|
|
true |
|
|
"" |
|
|
"127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.svc,.cluster.local,cattle-system.svc" |
|
|
"" |
|
|
"" |
|
|
"rancher/rancher" |
|
|
"IfNotPresent" |
|
|
"" |
|
|
3 |
|
|
{} |
|
|
"" |
|
|
"ingress" |
|
|
|
|
ブートストラップパスワード
Rancherのインストール中にxref:installation-and-upgrade/resources/bootstrap-password.adoc特定のブートストラップパスワードを設定できます。特定のブートストラップパスワードを設定しない場合、Rancherは最初の管理者アカウントのパスワードをランダムに生成します。
初めてログインする際には、設定したブートストラップパスワードを使用してログインしてください。起動パスワードを設定していない場合、RancherのUIには起動パスワードを取得するために使用できるxref:installation-and-upgrade/resources/bootstrap-password.adocコマンドが表示されます。そのコマンドを実行してアカウントにログインしてください。初めてログインした後、管理者パスワードのリセットを求められます。
API監査ログ
API監査ログを有効にします。
このログは、他のコンテナログと同様に収集できます。ログ記録を、Rancherサーバークラスターの`System`プロジェクトで有効にします。
--set auditLog.enabled=true --set auditLog.level=1デフォルトでは、監査ログを有効にすると、Rancherポッドにサイドカーコンテナが作成されます。このコンテナ(rancher-audit-log)は、ログを`stdout`にストリーミングします。このログは、他のコンテナログと同様に収集できます。サイドカーを監査ログの宛先として使用する場合、hostPath、maxAge、maxBackups、および`maxSize`のオプションは適用されません。ディスクスペースの使用を制御するために、OSまたはDockerデーモンのログローテーション機能を使用することをお勧めします。Rancherサーバークラスターまたはシステムプロジェクトに対してxref:observability/logging/logging.adocログ記録を有効にします。
ログをサイドカーコンテナにストリーミングするのではなく、ホストシステムと共有されたボリュームに転送するために、`auditLog.destination`を`hostPath`に設定します。宛先を`hostPath`に設定する際には、ログローテーションのために他のauditLogパラメータを調整することをお勧めします。
追加の環境変数の設定
Rancherサーバーのために追加の環境変数を`extraEnv`を使用して設定できます。このリストは、YAML形式でRancherのデプロイメントに渡されます。これはRancherコンテナの`env`の下に埋め込まれています。コンテナ環境変数を設定するためのKubernetesドキュメントを参照してください。`extraEnv`は コンテナの環境変数を定義するで参照されている任意のキーを使用できます。
`name`と`value`キーを使用する例を考えてみましょう:
--set 'extraEnv[0].name=CATTLE_TLS_MIN_VERSION'
--set 'extraEnv[0].value=1.0'プロキシ認証情報など、環境変数の値として機密データを渡す場合は、秘密の参照を使用することを強くお勧めします。これにより、HelmやRancherのデプロイメントで機密データが露出するのを防ぎます。
name、valueFrom.secretKeyRef.name、および`valueFrom.secretKeyRef.key`キーを使用する例を考えてみましょう。HTTPプロキシの例を参照してください。
TLS設定
Kubernetesクラスター内にRancherをインストールすると、TLSはクラスターのイングレスコントローラーでオフロードされます。可能なTLS設定は、使用されるイングレスコントローラーによって異なります。
詳細情報とオプションについては、TLS設定を参照してください。
`local`クラスターをインポートする
デフォルトでは、Rancherサーバーは実行中の`local`クラスターを検出してインポートします。`local`クラスターにアクセスできるユーザーは、基本的にRancherサーバーによって管理されるすべてのクラスターに「ルート」アクセスを持つことになります。
|
addLocalをオフにすると、EKSプロビジョナーを含むほとんどのRancher v2.5機能が動作しなくなります。 |
これがあなたの環境で懸念される場合、初回インストール時にこのオプションを「false」に設定できます。
このオプションは、初回のRancherインストール時のみ有効です。詳細については、 Issue 16522を参照してください。
--set addLocal="false"イングレスのカスタマイズ
Rancherサーバーで異なるイングレスをカスタマイズまたは使用するには、独自のイングレスアノテーションを設定できます。
Traefikのドキュメントを参照して、TraefikのkubernetesIngressNginxプロバイダーによって サポートされているおよび サポートされていないIngress NGINXアノテーションの完全なリストを確認してください。
カスタム証明書発行者を設定する例:
--set ingress.extraAnnotations.'cert-manager\.io/cluster-issuer'=issuer-nameHTTP Proxy
Rancherは、一部の機能(Helmチャート)にインターネットアクセスを必要とします。`proxy`を使用してプロキシサーバーを設定するか、`extraEnv`を使用して`HTTPS_PROXY`環境変数をプロキシサーバーを指すように設定してください。
IP例外を`noProxy`チャート値にカンマ区切りのリストとして追加してください。次の値を追加してください:
-
ポッドクラスターIP範囲(デフォルト:
10.42.0.0/16)。 -
サービスクラスターIP範囲(デフォルト:
10.43.0.0/16)。 -
内部クラスタードメイン(デフォルト:
.svc,.cluster.local)。 -
任意のワーカークラスター`controlplane`ノード。 Rancherは、このリストでCIDR表記の範囲をサポートしています。
機密データを含まない場合、proxy`または`extraEnv`チャートオプションを使用できます。`extraEnv`を使用する場合、`noProxy Helmオプションは無視されます。したがって、`NO_PROXY`環境変数も`extraEnv`で設定する必要があります。
次は、`proxy`チャートオプションを使用してプロキシを設定する例です:
--set proxy="http://<proxy_url:proxy_port>/"`extraEnv`チャートオプションを使用してプロキシを設定する例:
--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].value="http://<proxy_url>:<proxy_port>/"
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"プロキシ認証情報などの機密データを含む場合は、`extraEnv`オプションを`valueFrom.secretRef`と共に使用して、HelmやRancherのデプロイメントで機密データが露出しないようにしてください。
次は、`extraEnv`を使用してプロキシを構成する例です。この例のシークレットには、シークレットの`"https-proxy-url"`キーに`"http://<username>:<password>@<proxy_url>:<proxy_port>/"`の値が含まれます:
--set extraEnv[1].name=HTTPS_PROXY
--set extraEnv[1].valueFrom.secretKeyRef.name=secret-name
--set extraEnv[1].valueFrom.secretKeyRef.key=https-proxy-url
--set extraEnv[2].name=NO_PROXY
--set extraEnv[2].value="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"環境変数の設定方法について詳しく知りたい場合は、 コンテナの環境変数を定義するを参照してください。
追加の信頼されたCA証明書
プライベートレジストリ、カタログ、または証明書を傍受するプロキシがある場合は、Rancherに追加の信頼されたCA証明書を追加する必要があります。
--set additionalTrustedCAs=trueRancherのデプロイメントが作成されたら、CA証明書をpem形式で`ca-additional.pem`という名前のファイルにコピーし、`kubectl`を使用して`tls-ca-additional`シークレットを`cattle-system`ネームスペースに作成します。
kubectl -n cattle-system create secret generic tls-ca-additional --from-file=ca-additional.pem=./ca-additional.pemプライベートレジストリとエアギャップのインストール
プライベートレジストリを使用してRancherをインストールする詳細については、エアギャップインストールドキュメントを参照してください。
外部TLS終端
ロードバランサーをレイヤー4バランサーとして構成し、80/tcpおよび443/tcpのプレーントラフィックをRancher管理クラスターのノードに転送することをお勧めします。クラスターのIngressコントローラーは、ポート80のhttpトラフィックをポート443のhttpsにリダイレクトします。
Rancherクラスターの外部にあるL7ロードバランサー(Ingress)でSSL/TLSを終端できます。`--set tls=external`オプションを使用し、すべてのRancherクラスターのノードのhttpポート80にロードバランサーを指すようにしてください。これにより、Rancherインターフェースがhttpポート80で公開されます。Rancherクラスターに直接接続できるクライアントは暗号化されないことに注意してください。これを選択する場合は、ネットワークレベルで直接アクセスをロードバランサーのみに制限することをお勧めします。
|
プライベートCA署名証明書を使用している場合(または`agent-tls-mode`が`strict`に設定されている場合)、`--set privateCA=true`を追加し、プライベートCA署名証明書を使用したTLSシークレットの追加を参照してRancher用のCA証明書を追加してください。 |
ロードバランサーは長期間のWebSocket接続をサポートし、Rancherがリンクを正しくルーティングできるようにプロキシ ヘッダーを挿入する必要があります。