Kubernetes实录-第一篇-使用helm在kubernetes集群上部署rancher

最新推荐文章于 2024-02-04 16:12:06 发布
最新推荐文章于 2024-02-04 16:12:06 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: Kubernetes 文章标签: rancher kubernetes helm 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oyym_mv/article/details/113921157
版权

本篇记录使用helm在kubernetes集群上部署rancher v2.5.5 注意:rancher v2.5.5的helm chart目前不支持kubernetes 1.20.x版本,默认支持版本是1.19.x.官方配置文档:https://rancher.com/docs/rancher/v2.x/en/installation/install-rancher-on-k8s/, 如下是官方给出的配置步骤。
在这里插入图片描述
我们就在官方给的步骤基础上进行修改以满足我们的部署需求:

  1. 参考官方文档,采用kubernetes+helm+rancher-chart方式部署
  2. rancher-chart默认ingress的controller由nginx通过配置参数的方式修改为traefik
  3. rancher-chart模式的https模式采用external模式,通过外部的load balancer(netscaler)处理TLS证书(即TLS will be terminated on a load balancer)

我们用来集成部署rancher的kubernetes集群信息

# kubectl get node -o wide
NAME                  STATUS   ROLES    AGE   VERSION   INTERNAL-IP    OS-IMAGE                KERNEL-VERSION                CONTAINER-RUNTIME
ejucsmaster-shylf-1   Ready    master   25h   v1.19.8   10.116.72.7    CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14
ejucsmaster-shylf-2   Ready    master   25h   v1.19.8   10.116.72.8    CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14
ejucsmaster-shylf-3   Ready    master   25h   v1.19.8   10.116.72.9    CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14
ejucsnode-shylf-11    Ready    node     25h   v1.19.8   10.116.72.11   CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14
ejucsnode-shylf-12    Ready    node     25h   v1.19.8   10.116.72.12   CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14
ejucsnode-shylf-13    Ready    node     25h   v1.19.8   10.116.72.13   CentOS Linux 7 (Core)   3.10.0-1160.11.1.el7.x86_64   docker://19.3.14

1. 安装需要的CLI工具 [Install the Required CLI Tools]

1.1 kubectl配置

我们实验工作直接在kubernetes的一个master节点执行,kubectl默认已经配置完成。

1.2 helm配置

在执行操作的master节点配置helm [helm+kubectl也可以单独部署一个用于工作的服务器,与节点隔离开,防止误操作]

wget https://get.helm.sh/helm-v3.5.2-linux-amd64.tar.gz
tar zxvf helm-v3.5.2-linux-amd64.tar.gz
cd linux-amd64
cp helm /usr/local/bin/
chmod +x /usr/local/bin/helm

helm version
version.BuildInfo{Version:"v3.5.2", GitCommit:"167aac70832d3a384f65f9745335e9fb40169dc2", GitTreeState:"dirty", GoVersion:"go1.15.7"}

2. 添加Helm chart仓库 [Add the Helm chart repository]

使用helm repo add 添加Rancher chart仓库用于配置rancher, rancher仓库分为Latest,Stable, Alpha版本,我们使用Stable版本仓库

helm repo add rancher-latest https://releases.rancher.com/server-charts/latest

helm repo list
NAME            URL                                              
stable          https://apphub.aliyuncs.com/stable               
rancher-stable  https://releases.rancher.com/server-charts/stable   # rancher chart repository

3. 在kubernetes为rancher创建命名空间 [Create a namespace for Rancher]

我们需要为rancher chart安装配置创建命名空间namespace, 这个命名空间应该使用固定名称cattle-system

kubectl create namespace cattle-system

# kubectl get ns
NAME                                     STATUS   AGE
cattle-system                            Active   28h
... # 其他省略显示

4. 选择SSL配置 [Choose your SSL configuration]

4.1 ssl配置模式选择

rancher模式是安全模式,需要SSL/TLS证书配置。有多种配置解析处理SSL/TLS证书的方式,我们参考的官方访问上有3种推荐的模式,但不是我们需要的。我们选择使用外部的Load balancer (使用的硬件产品netscaler,如果没有也可以直接使用nginx作为LoadBalancer)来处理TLS证书。模式示意图如下:
在这里插入图片描述

4.2 负载均衡器配置

我这边实际产线使用的是netscaler具体配置就不再这里展示了。我这里展示使用nginx作为外部7层负载均衡器(load balancer的配置),我使用的域名是rancher.ejuops.com, 根据实际使用域名进行修改配置。

  • 准备SSL/TLS证书
    我们没有准备证书,采用自定义证书,生成过程如下
    1. 生成CA证书私钥
openssl genrsa -out ca.key 4096

2. 生成CA证书
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Shanghai/L=Shanghai/O=eju/OU=ops/CN=rancher.ejuops.com" -key ca.key -out ca.crt

3. 生成服务证书
3.1 生成私钥
openssl genrsa -out rancher.ejuops.com.key 4096

3.2 生成证书签名请求
openssl req -sha512 -new -subj "/C=CN/ST=Shanghai/L=Shanghai/O=eju/OU=ops/CN=rancher.ejuops.com" -key rancher.ejuops.com.key -out rancher.ejuops.com.csr

3.3 生成x509 v3扩展文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=rancher.ejuops.com
EOF

3.4 生成证书
openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in rancher.ejuops.com.csr -out rancher.ejuops.com.crt


3.5 将生成的证书放在nginx可以访问到的位置
cp rancher.ejuops.com.crt rancher.ejuops.com.key /certs/
  • nginx配置参考 [参考官方文档 这里]
    vi nginx.conf
... # 省略
http {
  ... # 省略
  map $http_upgrade $connection_upgrade {
    default Upgrade;
    ''      close;
  }
  include upstream/*.conf;
  include vhost.d/*.conf; 
} 

vi vhost.d/rancher.ejuops.com.conf   rancher.ejuops.com.conf
server {
  listen 80;
  server_name rancher.ejuops.com;
  return 301 https://$server_name$request_uri;
}
server {
  listen 443 ssl http2;
  server_name rancher.ejuops.com;
  ssl_certificate /certs/rancher.ejuops.com.crt;     #TLS证书
  ssl_certificate_key /certs/rancher.ejuops.com.key; #TLS证书私钥

  location / {
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Port $server_port;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://rancher;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;
    proxy_read_timeout 900s;
    proxy_buffering off;
  }
}

vi upstream/rancher.ejuops.com.conf  rancher.ejuops.com.conf
upstream rancher {
  # traefik service 采用NodePort映射服务到集群外,这为kubernetes节点地址以及traefik服务对应的NodePort地址
  server 10.116.72.11:30080;
  server 10.116.72.12:30080;
  server 10.116.72.13:30080;
}

4.3 匹配SSL选择的helm+rancher部署参考

# 1. 使用外部负载均衡,而且这样就不用部署cert-manager了。
--set tls=external

# 2. helm+rancher替换ingress由默认的nginx controller到traefik controller
--set ingress.extraAnnotations.'kubernetes\.io/ingress\.class'=ops-production-ingress \  # 在traefik配置文件中指定,这里要一致
--set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/router\.entrypoints'=http \ # 在traefik配置文件中指定的entrypoint
--set ingress.extraAnnotations.'kubernetes\.io/ingress\.allow-http'=\"true\"          \
--set ingress.extraAnnotations.'ingress\.kubernetes\.io/ssl-redirect'=\"false\"       \
--set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/frontend-entry-points'=\"http\"  \
--set ingress.extraAnnotations.'ingress\.kubernetes\.io/whitelist-x-forwarded-for'=\"true\" \
--set ingress.extraAnnotations.'ingress\.kubernetes\.io/protocol'=https

5. 使用Helm安装Rancher [Install Rancher with Helm and your chosen certificate option]

根据我们前面架构的选择指定参数配置启动rancher, rancher chart的更多参数仓库 这里

helm install rancher rancher-stable/rancher \
    --namespace cattle-system \
    --set hostname=rancher.ejuops.com \
    --set tls=external \
    --set ingress.extraAnnotations.'kubernetes\.io/ingress\.class'=ops-production-ingress \
    --set ingress.extraAnnotations.'kubernetes\.io/ingress\.allow-http'=\"true\"          \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/ssl-redirect'=\"false\"       \
    --set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/frontend-entry-points'=\"http\"  \
    --set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/router\.entrypoints'=http \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/whitelist-x-forwarded-for'=\"true\" \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/protocol'=https

观察rancher启动状态

kubectl -n cattle-system rollout status deploy/rancher
  Waiting for deployment "rancher" rollout to finish: 0 of 3 updated replicas are available
  ...
  deployment "rancher" successfully rolled out

6. 验证rancher正确配置 [Verify that the Rancher server is successfully deployed]

6.1 kubectl查看deployment状态

kubectl -n cattle-system get deploy rancher
NAME      DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
rancher   3         3         3            3           3m

6.2 浏览器访问

初次访问要求设置admin密码以及选择是否Multi-cluster模式。我这里初始访问没有记录下来,这里是之后登录的情况。
在这里插入图片描述

7. 保持Helm安装rancher参数 [Save Your Options]

后面根据需要还要升级或者修改rancher 的部署,需要将helm命令记录下来报错,为之后使用。

helm install rancher rancher-stable/rancher \
    --namespace cattle-system \
    --set hostname=rancher.ejuops.com \
    --set tls=external \
    --set ingress.extraAnnotations.'kubernetes\.io/ingress\.class'=ops-production-ingress \
    --set ingress.extraAnnotations.'kubernetes\.io/ingress\.allow-http'=\"true\"          \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/ssl-redirect'=\"false\"       \
    --set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/frontend-entry-points'=\"http\"  \
    --set ingress.extraAnnotations.'traefik\.ingress\.kubernetes\.io/router\.entrypoints'=http \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/whitelist-x-forwarded-for'=\"true\" \
    --set ingress.extraAnnotations.'ingress\.kubernetes\.io/protocol'=https

troubleshooting

问题描述

  1. 在rancher里面查看集群状态显示组件 controller manager, scheduler是非健康状态,如图
    在这里插入图片描述
  2. 使用kubectl指令查看,也显示这2个组件是非健康状态
    在这里插入图片描述

解决方法

修改controller-manager以及scheduler的容器启动参数,改完参数稍等下 相关容器会自动重新启动好
在这里插入图片描述

参考

  1. https://rancher.com/docs/rancher/v2.x/en/installation/install-rancher-on-k8s/#8-save-your-options
  2. https://rancher.com/docs/rancher/v2.x/en/installation/install-rancher-on-k8s/chart-options/#external-tls-termination
  3. https://rancher.com/docs/rancher/v2.x/en/installation/resources/advanced/rke-add-on/layer-7-lb/
  4. https://my.oschina.net/u/1431757/blog/4550843
毛小威
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
spark-on-kubernetes-helm:Kubernetes基础设施Helm图表回购上的Spark
05-25
Kubernetes集群头盔图表上的Spark 此回购包含Helm图表,该Helm图表包含与 , 和堆栈集成在一起的集群设置功能齐全且可投入生产的 。 有关实现的详细信息,请参考。 入门 初始化Helm(针对Helm 2.x) 为了将用于Kubernetes集群上的Spark部署,首先我们需要初始化Helm客户端。 kubectl create serviceaccount tiller --namespace kube-system kubectl create clusterrolebinding tiller --clusterrole cluster-admin --serviceaccount=kube-system:tiller helm init --upgrade --service-account tiller --tiller-namespace kube-sy
helm安装rancher
这是一个将要崛起小达人
05-17 1542
添加helm仓库: 请将命令中的<CHART_REPO>,替换为latest,stable或alpha。更多信息,请查看选择 Rancher 版本来选择最适合你的仓库。 latest: 建议在尝试新功能时使用。 stable: 建议在生产环境中使用。(推荐) alpha: 未来版本的实验性预览。 注意:不支持从 Alpha 到 Alpha 之间的升级。 helm repo add rancher-<CHART_REPO> https://releases.rancher.com/se
EKS集群使用helm安装rancher
最新发布
ma_qi_chao的博客
02-04 713
a. 新建应用负载均衡器创建名称,选择为内部对内访问【需要提前创建内网vpn才可以访问】g. 选择内网vpc,填写其中一个node节点的ip和节点暴露的端口号。d. 创建目标组选项:选择ip地址和https 443端口协议。i. 然后返回负载均衡界面,刷新,后直接选择新建的目标组即可。b. 配置vpc和子网为私有子网,选择安全组【默认即可】l. 配置完成后,查看目标组会显示为已就绪状态。e. 选择内网vpc,其他默认即可。k. 然后点击创建负载均衡器即可。h. 然后点击创建目标组。c. 选择创建目标组。
kubernetes-in-kubernetes:使用HelmKubernetes部署Kubernetes
05-15
Kubernetes-in-Kubernetes 使用HelmKubernetes部署Kubernetes 要求 Kubernetes v1.15 + 头盔v3 证书管理器v1.0.0 + 快速开始 准备 安装 。 如果您在运行,可能还需要安装,例如,可以使用 。 安装 helm repo add kvaps https://kvaps.github.io/charts helm install foo kvaps/kubernetes --version 0.10.1 \ --namespace foo \ --create-namespace \ --set persistence.storageClassName=local-path 清理 kubectl delete namespace foo 用法 Kubernetes-in-Kubernetes只是一个
helm-charts:收集我的Helm Charts,以部署Kubernetes集群
03-28
舵图 我维护的一些工具和应用程序的集合,准备使用在上启动。 TL; DR $ # Add Helm Chart Repo $ helm repo add rm3l https://helm-charts.rm3l.org $ # Search repo $ helm search repo rm3l $ # Install a given Chart as a Release $ helm install my-release rm3l/ < chart> 图表 开发提要 基于GraphQL的API公开了来自顶级工程博客和文章的每日精选内容列表。 有关更多详细信息,请参见 。 ghost-export-to-s3 自动将无头Ghost博客备份到AWS S3。 有关更多详细信息,请参见 。 Macoui 微服务,用于从MAC地址查找制造商。 有关更多详细信息,请参见 。
terraform-aws-install-rancher:在Kubernetes集群上通过Helm安装Rancher
02-14
Terraform-AWS-安装Rancher 通过Helm在先前创建的Kubernetes集群上安装Rancher。 先决条件: 1-通过以下方式创建的Kubernetes集群: : Terraform命令: terraform init terraform apply -- auto - approve 完成后,您应该能够浏览到您的域(在我的情况下为 ,并显示“欢迎来到Rancher”页面。 如果将“让我们的加密环境”(lets_encrypt_environment)设置为“登台”,那么任何尝试浏览到您的URL的尝试都会导致“不安全”警告。 此警告可以忽略。 要检查一切是否正常,请单击浏览器的安全警告(通常在地址栏中),然后您可以检查证书。 它将无效,并由以下机构发出:Fake LE Intermediate X 1 但是,如果将“让我们的加密环境”(lets_
Helm部署rancher 高可用集群
ningkangming的博客
08-16 2863
Helm部署rancher 高可用集群使用自签SSL证书方式和使用官方cert-manager两种高可用搭建方式
RKE2部署Kubernetes(二) 使用helm部署rancher(适用于生产环境)
qq_23435961的博客
11-28 728
RKE2部署kubernetes集群后,使用helm部署rancher,方便管理集群
一小时完成Rancher高可用搭建丨基于kubernetes(K8s)完成丨Docker helm
weixin_47758895的博客
08-26 2250
一句话介绍:Rancher可用于对K8S集群进行部署及实现对业务部署进行管理等。
使用helm安装rancher
whz-emm的博客
07-29 1951
https://docs.rancher.cn/docs/rancher2.5/installation/install-rancher-on-k8s/_index/ 1. 安装helm curl -OL https://get.helm.sh/helm-v3.6.3-linux-amd64.tar.gz tar -xf helm-v3.6.3-linux-amd64.tar.gz cp linux-amd64/helm /usr/local/bin/ 2. 添加国内源 helm repo add r.
k3s通过helm 安装rancher
巴菲先生
03-31 1468
非docker安装
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
02-03
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
五、kubernetes实践:rancher-ha-Helm安装Rancher
wangpengtai的博客
06-26 1048
参考 https://www.cnrancher.com/docs/rancher/v2.x/cn/installation/ha-install/ 1. 添加Chart仓库地址 使用helm repo add命令添加Rancher chart仓库地址,访问Rancher tag和Chart版本 替换&lt;CHART_REPO&gt;为您要使用的Helm仓库分支(即lates...
rancher 高可用集群安装
水彩橘子
03-04 1194
1、相关资源导航 https://blog.csdn.net/zyj81092211/article/details/123068347 2、环境介绍 操作系统:centos 7.9 运行环境:k3s集群 安装软件:helm 3、安装k3s集群 参考:可以只部署server节点(自带agent,但是需要去掉) https://blog.csdn.net/zyj81092211/article/details/123068454 4、安装helm https://blog.csdn.net/zyj810922
利用Helm部署高可用rancher集群
weixin_34067049的博客
05-08 1767
一、背景 Rancher HA有多种部署方式: Helm HA安装,将Rancher部署在已有的Kubernetes集群中,Rancher使用集群的etcd存储数据,并利用Kubernetes调度实现高可用性。 RKE HA安装,使用RKE工具安装独立的Kubernetes集群,专门用于Rancher HA部署运行,RKE HA安装仅支持Rancher v2.0.8以及之前的版本,Ranche...
helm安装rancher(2.6.4)
wnfff的博客
04-24 6927
文章目录1. 安装cert-manager2. 添加rancher repo3. 安装 当前k8s集群是1.23.5 1. 安装cert-manager 参考 https://blog.csdn.net/qq_38983728/article/details/103462543 2. 添加rancher repo helm repo add rancher-stable http://rancher-mirror.oss-cn-beijing.aliyuncs.com/server-charts/sta
Rek-Helm-Rancher搭建
weixin_40230682的博客
05-25 632
RKE-RANCHER-HELM
Kubernetes部署(十一):管理之HelmRancher部署
weixin_33834910的博客
01-03 2882
相关内容: Kubernetes部署(一):架构及功能说明Kubernetes部署(二):系统环境初始化Kubernetes部署(三):CA证书制作Kubernetes部署(四):ETCD集群部署Kubernetes部署(五):Haproxy、Keppalived部署Kubernetes部署(六):Master节点部署Kubernetes部署(七):Node节点部署Kubernetes部署(八):...
Kubernetes实录-第一篇-集群部署配置(18) Kubernetes部署metrics-server 0.3.7
新梦易明
02-13 9400
容器平台Kubernetes当前已经1.13.x版本了,将原来的1.11.3文档进行更新,希望把 K8S实录 写成一个系列(希望能坚持下来),希望完成2个目标:1. 记录下自己学习K8S的过程,为之后的学习使用差缺补漏 2.如果能为新接触K8S的朋友提供些帮助那就更好了 第一篇:配置企业级镜像仓库Harbor 第二篇:配置企业级镜像仓库harbor升级版本 第三篇:Kubernetes中一些...
如何查找"kubernetes-dashboard-certs
05-30
要查找 Kubernetes Dashboard 中 "kubernetes-dashboard-certs" 证书文件,可以执行以下步骤: 1. 确定 Kubernetes Dashboard 的部署方式。如果是使用 Helm 部署的,则可以通过 Helm Chart 中的 values.yaml 文件进行查找;如果是手动部署的,则需要查看 Kubernetes Dashboard 的 YAML 配置文件。 2. 在 Kubernetes 集群中找到与 Kubernetes Dashboard 相关的 Secret 对象。可以使用以下命令列出所有的 Secret 对象: ``` kubectl get secret ``` 3. 找到 Kubernetes Dashboard 使用的 Secret 对象。可以通过查看 Secret 对象的标签或注释等信息来确定哪个 Secret 对象是 Kubernetes Dashboard 使用的。 4. 获取 Secret 对象中的证书文件。可以使用以下命令获取证书文件: ``` kubectl get secret <secret-name> -o jsonpath="{.data['dashboard\.crt']}" | base64 --decode kubectl get secret <secret-name> -o jsonpath="{.data['dashboard\.key']}" | base64 --decode ``` 其中,"<secret-name>" 需要替换为 Kubernetes Dashboard 使用的 Secret 对象的名称,可以在第 3 步中确定。这些命令将使用 base64 解码获取证书文件的内容,并将其输出到终端上。 通过以上步骤,就可以找到 Kubernetes Dashboard 中 "kubernetes-dashboard-certs" 证书文件,并获取其内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值