|
Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official. |
4. Instale SUSE Rancher Prime
Esta seção trata de como implantar o Rancher para seu ambiente air gapped em uma instalação de Kubernetes de alta disponibilidade. Um ambiente air-gapped pode ser onde o servidor Rancher será instalado offline, atrás de um firewall ou de um proxy.
Acesso Privilegiado para o Rancher
Quando o servidor Rancher é implantado no contêiner Docker, um cluster do Kubernetes local é instalado dentro do contêiner para o Rancher usar. Como muitos recursos do Rancher são executados como implantações, e o modo privilegiado é necessário para executar contêineres dentro de contêineres, você precisará instalar o Rancher com a opção --privileged.
Instruções do Docker
Se você quiser continuar a instalação air gapped usando comandos do Docker, pule o restante desta página e siga as instruções em xref:[esta página.]
Kubernetes Instructions
O Rancher recomenda a instalação do Rancher em um cluster Kubernetes. Uma instalação de Kubernetes de alta disponibilidade é composta por três nós executando os componentes do servidor Rancher em um cluster do Kubernetes. A camada de persistência (etcd) também é replicada nesses três nós, fornecendo redundância e duplicação de dados caso um dos nós falhe.
1. Adicione o repositório do Helm chart
De um sistema que tenha acesso à internet, busque o Helm chart mais recente e copie os manifests resultantes para um sistema que tenha acesso ao cluster do servidor Rancher.
-
Se você ainda não fez isso, instale
helmlocalmente em uma estação de trabalho que tenha acesso à internet. Nota: Consulte os requisitos da versão do Helm requisitos da versão do Helm para escolher uma versão do Helm para instalar o Rancher. -
Use o comando
helm repo addpara adicionar o repositório Helm chart que contém charts para instalar o Rancher Prime.helm repo add rancher-prime <helm-chart-repo-url>To learn more about the Rancher Prime Helm chart repository URL, see our Prime-only documentation. Authentication is required. Use your SUSE Customer Center (SCC) credentials to log in.
-
Busque o Helm chart SUSE Rancher Prime. Isso irá baixar o Helm chart e salvá-lo no diretório atual como um arquivo
.tgz.-
Para buscar a versão mais recente:
helm fetch rancher-prime/rancher -
Para buscar uma versão específica:
-
Verifique quais versões do Rancher Prime estão disponíveis.
helm search repo --versions rancher-prime -
Busque uma versão específica especificando o parâmetro
--version:helm fetch rancher-prime/rancher --version=<version>
-
-
2. Escolha sua Configuração SSL
O Rancher Server é projetado para ser seguro por padrão e requer configuração SSL/TLS.
Quando o Rancher é instalado em um cluster Kubernetes air gapped, há duas opções recomendadas para a fonte do certificado.
|
Se você deseja terminar o SSL/TLS externamente, veja Terminação TLS em um Balanceador de Carga Externo. |
| Configuração | Opção de gráfico | Descrição | Requer cert-manager |
|---|---|---|---|
Certificados autoassinados gerados pelo Rancher |
|
Use certificados emitidos pela CA gerada pelo Rancher (autoassinado) |
sim |
Certificados de Arquivos |
|
Use seus próprios arquivos de certificado criando Secret(s) do Kubernetes. |
não |
Opções de Gráfico Helm para Instalações em Air Gap
Ao configurar o template Helm do Rancher, existem várias opções no gráfico Helm que são projetadas especificamente para instalações em air gap.
| Opção de Gráfico | Valor do Gráfico | Descrição |
|---|---|---|
|
|
Configure o emissor TLS do Rancher de acordo com a versão do cert-manager em execução. |
|
|
Configure o servidor Rancher para sempre puxar do seu registro privado ao provisionar clusters. |
|
|
Configure o servidor Rancher para usar a cópia embalada dos gráficos do sistema Helm. O repositório gráficos do sistema contém todos os itens do catálogo necessários para recursos como monitoramento, registro, alerta e DNS global. Esses gráficos Helm estão localizados no GitHub, mas como você está em um ambiente air gapped, usar os gráficos que estão agrupados dentro do Rancher é muito mais fácil do que configurar um espelho Git. |
3. Busque o Gráfico Cert-Manager
Com base na escolha que você fez em 2. Escolha sua Configuração SSL, complete um dos procedimentos abaixo.
Opção A: Certificado autoassinado padrão
Por padrão, o Rancher gera um CA e usa o cert-manager para emitir o certificado para acesso à interface do servidor Rancher.
|
Mudanças recentes no cert-manager exigem fazer upgrade. Se você estiver atualizando o Rancher e usando uma versão do cert-manager anterior à v0.11.0, consulte nossa documentação de atualização do cert-manager. |
1. Adicionar o repositório cert-manager
De um sistema conectado à internet, adicione o repositório cert-manager ao Helm:
helm repo add jetstack https://charts.jetstack.io
helm repo update2. Buscar o gráfico do cert-manager
Busque o gráfico mais recente do cert-manager disponível no repositório de gráficos do Helm.
helm fetch jetstack/cert-manager --version v1.11.04. Instalar o Rancher
Copie os gráficos buscados para um sistema que tenha acesso ao cluster do servidor Rancher para completar a instalação.
1. Instalar o cert-manager
Instale o cert-manager com as mesmas opções que você usaria para instalar o gráfico. Lembre-se de definir a opção image.repository para puxar a imagem do seu registro privado.
|
Para ver opções sobre como personalizar a instalação do cert-manager (incluindo para casos em que seu cluster usa PodSecurityPolicies), consulte a documentação do cert-manager. |
Clique para expandir
Se você estiver usando certificados autoassinados, instale o cert-manager:
-
Crie o namespace para o cert-manager.
kubectl create namespace cert-manager -
Crie as CustomResourceDefinitions (CRDs) do cert-manager.
kubectl apply -f cert-manager-crd.yaml -
Instale o cert-manager.
helm install cert-manager ./cert-manager-v1.11.0.tgz \ --namespace cert-manager \ --set image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-controller \ --set webhook.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-webhook \ --set cainjector.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-cainjector \ --set startupapicheck.image.repository=<REGISTRY.YOURDOMAIN.COM:PORT>/quay.io/jetstack/cert-manager-ctl
2. Instalar o Rancher
Primeiro, consulte Adicionando Segredos TLS para publicar os arquivos de certificado para que o Rancher e o controlador de ingresso possam usá-los.
Em seguida, crie o namespace para o Rancher usando kubectl:
kubectl create namespace cattle-systemAgora, instale o Rancher, declarando suas opções escolhidas. Use a tabela de referência abaixo para substituir cada espaço reservado. O Rancher precisa ser configurado para usar o registro privado a fim de provisionar quaisquer clusters Kubernetes lançados pelo Rancher ou ferramentas do Rancher.
| Marcador | Descrição |
|---|---|
|
O número da versão do arquivo tarball de saída. |
|
O nome DNS que você apontou para seu balanceador de carga. |
|
O nome DNS para seu registro privado. |
|
Versão do cert-manager em execução no cluster k8s. |
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set certmanager.version=<CERTMANAGER_VERSION> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsOpcional: Para instalar uma versão específica do Rancher, defina o valor image.tag, exemplo: --set image.tag=v2.14.1
Opção B: Certificados de Arquivos Usando Segredos do Kubernetes
1. Criar Segredos
Crie segredos do Kubernetes a partir de seus próprios certificados para o Rancher usar. O nome comum para o certificado precisará corresponder à opção hostname no comando abaixo, ou o controlador de ingresso falhará ao provisionar o site para o Rancher.
2. Instalar o Rancher
Instale o Rancher, declarando suas opções escolhidas. Use a tabela de referência abaixo para substituir cada espaço reservado. O Rancher precisa ser configurado para usar o registro privado a fim de provisionar quaisquer clusters Kubernetes lançados pelo Rancher ou ferramentas do Rancher.
| Marcador | Descrição |
|---|---|
|
O número da versão do arquivo tarball de saída. |
|
O nome DNS que você apontou para seu balanceador de carga. |
|
O nome DNS para seu registro privado. |
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set ingress.tls.source=secret \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsSe você estiver usando um certificado assinado por uma CA Privada, adicione --set privateCA=true após --set ingress.tls.source=secret:
helm install rancher ./rancher-<VERSION>.tgz \
--namespace cattle-system \
--set hostname=<RANCHER.YOURDOMAIN.COM> \
--set image.registry=<REGISTRY.YOURDOMAIN.COM:PORT> \
--set ingress.tls.source=secret \
--set privateCA=true \
--set systemDefaultRegistry=<REGISTRY.YOURDOMAIN.COM:PORT> \ # Set a default private registry to be used in Rancher
--set useBundledSystemChart=true # Use the packaged Rancher system chartsA instalação está completa.