在K3S集群中安装Rancher

已于 2022-10-13 17:05:51 修改
阅读量2.1k 收藏 4
点赞数
分类专栏: Rancher 文章标签: k3s rancher
于 2022-05-15 19:55:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoumengshun/article/details/124785827
版权

一、首先需要搭建好一个K3S集群

可以看我往期文档搭建

安装前需要确认下,当前需要安装的rancher版本是否支持当前k3s的版本

二、安装helm

下载helm包

wget https://get.helm.sh/helm-v3.2.4-linux-amd64.tar.gz

解压helm二进制包

tar -xf helm-v3.2.4-linux-amd64.tar.gz

移动helm二进制文件到bin下

mv linux-amd64/helm /usr/bin/

三、配置helm连接k3s

echo "export KUBECONFIG=/etc/rancher/k3s/k3s.yaml" >> /etc/profile && source /etc/profile

四、添加rancher镜像源

# 添加rancher镜像源
helm repo add rancher-stable http://rancher-mirror.oss-cn-beijing.aliyuncs.com/server-charts/stable

# 更新源
helm repo update

五、创建命名空间

需要定义一个 Kubernetes Namespace,在 Namespace 中安装由 Chart
创建的资源。这个命名空间的名称为cattle-system:

kubectl create namespace cattle-system

六、安装Rancher(使用Let’s Encrypt证书)

1.安装 CustomResourceDefinition 资源

如果你手动安装了CRD,而不是在Helm安装命令中添加了--set installCRDs=true选项,你应该在升级Helm chart之前升级CRD资源

kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.5.1/cert-manager.crds.yaml

2.添加Jetstack Helm仓库

helm repo add jetstack https://charts.jetstack.io

3. 更新本地仓库缓存

helm repo update

4.安装 cert-manager

helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --version v1.5.1

查看 cert-manager

kubectl get pods --namespace cert-manager

在这里插入图片描述

5.安装Rancher

如果使用Let’s Encrypt证书证书则可执行如下方式直接安装
安装时可设置的选项,可查看官方文档: https://docs.rancher.cn/docs/rancher2.5/installation/install-rancher-on-k8s/chart-options/_index/
如下为对应的命令空间 cattle-system 在上面创建的
如下 registry.cn-hangzhou.aliyuncs.com/rancher/rancher 为对应的rancher镜像
如下 replicas 为设置 Rancher 部署所使用的复制数量(副本数) 默认为 3
如下 ingress.tls.source 设置为 letsEncrypt (表示使用Let’s Encrypt证书)
如果要安装一个特定的 Rancher 版本, 使用–version 标志,例如:–version 2.3.6
对应 etsEncrypt.email 为证书到期通知的邮箱地址
如果你安装的是 alpha 版本,Helm 要求在命令中加入 –devel 选项

helm install rancher rancher-stable/rancher  --namespace cattle-system --set hostname=demo.rancher.com --set replicas=3  --set ingress.tls.source=letsEncrypt  --set rancherImage=registry.cn-hangzhou.aliyuncs.com/rancher/rancher --set letsEncrypt.email=me@example.org

指定安装版本,示例如下:

helm install rancher rancher-stable/rancher \
  --version v2.5.12 \
  --namespace cattle-system \
  --set hostname=demo.rancher.com\
  --set ingress.tls.source=letsEncrypt \
  --set rancherImage=registry.cn-hangzhou.aliyuncs.com/rancher/rancher \
  --set letsEncrypt.email=me@example.org

七、安装Rancher(使用自定义证书)

对应官网文档: http://docs.rancher.cn/docs/rancher2/admin-settings/replace-ip-domain/_index/

1.创建证书目录

# 创建目录
mkdir /certs

#进入目录
cd /certs

2. 创建 create_self-signed-cert.sh 文件并将下面代码添加进去

vi create_self-signed-cert.sh

将 create_self-signed-cert.sh 文件放在 /certs 目录下

#!/bin/bash -e

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问Server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' 使用示例:'
    echo  ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
    esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_KEY=${CA_KEY:-cakey.pem}
CA_CERT=${CA_CERT:-cacerts.pem}
CA_DOMAIN=cattle-ca

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 SSL Cert |       \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"

if [[ -e ./${CA_KEY} ]]; then
    echo -e "\033[32m ====> 1. 发现已存在CA私钥,备份"${CA_KEY}"为"${CA_KEY}"-bak,然后重新创建 \033[0m"
    mv ${CA_KEY} "${CA_KEY}"-bak
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
else
    echo -e "\033[32m ====> 1. 生成新的CA私钥 ${CA_KEY} \033[0m"
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
fi

if [[ -e ./${CA_CERT} ]]; then
    echo -e "\033[32m ====> 2. 发现已存在CA证书,先备份"${CA_CERT}"为"${CA_CERT}"-bak,然后重新创建 \033[0m"
    mv ${CA_CERT} "${CA_CERT}"-bak
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
else
    echo -e "\033[32m ====> 2. 生成新的CA证书 ${CA_CERT} \033[0m"
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
fi

echo -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOM

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 4. 生成服务SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 5. 生成服务SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 6. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
    -days ${SSL_DATE} -extensions v3_req \
    -extfile ${SSL_CONFIG}

echo -e "\033[32m ====> 7. 证书制作完成 \033[0m"
echo
echo -e "\033[32m ====> 8. 以YAML格式输出结果 \033[0m"
echo "----------------------------------------------------------"
echo "ca_key: |"
cat $CA_KEY | sed 's/^/  /'
echo
echo "ca_cert: |"
cat $CA_CERT | sed 's/^/  /'
echo
echo "ssl_key: |"
cat $SSL_KEY | sed 's/^/  /'
echo
echo "ssl_csr: |"
cat $SSL_CSR | sed 's/^/  /'
echo
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 9. 附加CA证书到Cert文件 \033[0m"
cat ${CA_CERT} >> ${SSL_CERT}
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 10. 重命名服务证书 \033[0m"
echo "cp ${SSL_DOMAIN}.key tls.key"
cp ${SSL_DOMAIN}.key tls.key
echo "cp ${SSL_DOMAIN}.crt tls.crt"
cp ${SSL_DOMAIN}.crt tls.crt

3.添加 create_self-signed-cert.sh 文件可执行权限

chmod +x create_self-signed-cert.sh

4.生成证书

如下 demo.rancher.com 为对应的域名地址
如下 192.168.15.223,192.168.15.224 为对应的IP (多个以,号隔开)

sh ./create_self-signed-cert.sh --ssl-domain=demo.rancher.com --ssl-trusted-ip=192.168.15.223,192.168.15.224 --ssl-size=2048 --ssl-date=3650

5.将生成的证书上传到k3s集群

将证书上传到集群中去, 到时 ingress 要用
如下 ./tls.crt 表示对应证书文件中生成的证书文件
如下 ./tls.key 表示对应证书文件中生成的证书文件

# 设置环境变量(已设置则可以不用再执行了)
export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
# 创建cattle-system命令空间 (已设置则可以不用再执行了)
kubectl --kubeconfig=$kubeconfig create namespace cattle-system
# 配置对应证书
kubectl --kubeconfig=$kubeconfig -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

6. 为rancher设置证书

如下 ./cacerts.pem 表示对应证书文件中生成的证书文件

kubectl -n cattle-system create secret generic tls-ca   --from-file=cacerts.pem=./cacerts.pem

7. 使用helm安装rancher

安装时可设置的选项,可查看官方文档: https://docs.rancher.cn/docs/rancher2.5/installation/install-rancher-on-k8s/chart-options/_index/

如下为对应的命令空间 cattle-system 在上面创建的
如下为对应的域名 demo.rancher.com 需要和创建证书时的域名一致
如下 registry.cn-hangzhou.aliyuncs.com/rancher/rancher 为对应的rancher镜像
如下 replicas 为设置 Rancher 部署所使用的复制数量(副本数) 默认为 3;如果你的集群中少于 3 个节点,你应填写实际节点数量
如下 ingress.tls.source 设置为 secret
如果要安装一个特定的 Rancher 版本, 使用–version 标志,例如:–version 2.3.6
如果你安装的是 alpha 版本,Helm 要求在命令中加入 –devel 选项

helm install rancher rancher-stable/rancher   --namespace cattle-system   --set hostname=demo.rancher.com     --set ingress.tls.source=secret    --set rancherImage=registry.cn-hangzhou.aliyuncs.com/rancher/rancher --set replicas=2 --set privateCA=true

八、验证 rancher

kubectl -n cattle-system get deploy rancher

九、查看rancher登录密码

kubectl get secret --namespace cattle-system bootstrap-secret -o go-template='{{.data.bootstrapPassword|base64decode}}{{"\n"}}'

十、最后就可以登录rancher了

十一、最后补充

卸载rancher

helm delete rancher -n cattle-system

升级Rancher

升级前看下当前的k3s版本是否支持,确定是否需要先升级下k3s
如下对应 demo.rancher.com 域名跟原来保持一致
升级时也可以像安装时一样指定一些参数

# 更新源
helm repo update

# 执行升级
helm upgrade rancher rancher-stable/rancher \
  --namespace cattle-system \
  --set hostname=demo.rancher.com

升级时如果忘记对应域名了,可执行如下命令查看

helm get values rancher -n cattle-system

在这里插入图片描述

周梦顺
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
在CentOS安装Rancher2并配置kubernetes集群的图文教程
09-15
主要介绍了在CentOS安装Rancher2并配置kubernetes集群的图文教程,通过本文可以掌握Docker常用操作,了解K8s基本原理,本文图文并茂给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
k3d:在Docker运行Rancher Lab的k3的小帮手
02-04
这意味着,您可以使用docker在单台计算机上启动多节点k3s集群。 学习 带有文档的网站: k3d演示存储库: 要求 发布 注意:在完全重写k3d之后,我们于2020年5月从v1.7.x升级到v3.0.0! 注意:2021年1月,我们从v3...
k3s集群rancher部署
qq_45725087的博客
03-19 376
一、k3s介绍 二、k3s部署 三、rancher部署 四、集群导入rancher
K3S部署和使用
最新发布
qq_34701937的博客
05-08 1197
字段默认描述Helm 参数/标志等效项nameHelm Chart 名称NAMEspec.chart仓库的 Helm Chart 名称,或 chart archive (.tgz) 的完整 HTTPS URLCHARTdefaultHelm Chart 目标命名空间–namespaceHelm Chart 版本(通过仓库安装时)–versionspec.repoHelm Chart 仓库 URL–repov3要使用的 Helm 版本(v2 或 v3)False。
k3s 搭建高可用rancher
qq_41555278的博客
09-28 3403
k3s安装rancher
Rancher 系列文章-在腾讯云的 K3S安装高可用 Rancher 集群
2301_76429513的博客
07-14 174
🎉🎉🎉 至此,完成腾讯云上 K3S 高可用集群Rancher 高可用集群的搭建,并配置备份。
OpenSSL生成自签名SSL证书
xcfvsd的博客
10-12 445
标题一键生成自签名SSL证书和私钥 ./create_self_signed_cert.sh "/C=CN/ST=Guangdong/L=Guangzhou/O=xdevops/OU=xdevops/CN=gitlab.xdevops.cn" 检查OpenSSL 检查是否已经安装openssl: openssl version 生成自签名的SSL证书和私钥 第一步:生成私钥 # genra 生...
k3s安装Rancher(helm安装方式)
周梦顺
08-21 6211
一、首先确保k3s已经安装完成 这里就不讲k3s安装了,可以点击查看上一篇k3s在线安装 二、安装 Helm Helm是一个kubernetes应用的包管理工具,用来管理charts——预先配置好的安装包资源,有点类似于Ubuntu的 apt 和CentOS的 yum 。 二、添加 Helm Chart 仓库 helm repo add rancher-stable https://releases.rancher.com/server-charts/stable 上面两个stable表示对应的仓
K3S+Rancher之在线安装
周梦顺
09-05 1363
K3S+Rancher之在线安装 三、向K3S集群添加新的节点 1.添加Server节点(如不需要添加Server节点可忽略) 2.添加Agent节点(如不需要添加Agent节点可忽略) 四、将 kubeconfig 文件拷贝至默认的目录下 五、安装Rancher 1.安装helm 2.添加rancher镜像源 3.创建命名空间 4.安装 CustomResourceDefinition 资源 5.添加Jetstack Helm仓库 6. 更新
K3S+Rancher
巴菲先生
01-16 1210
查看系统版本 查看系统命令集 这是我系统配置情况修改/etc/apt/sources.list文件修改host文件,写主机映射的域名,每个服务器都要进行设定 2.3服务器时间配置 2.4处理磁盘挂载 2.4.1磁盘挂载 参考文章这里注意要关闭 swap,在 /etc/fstab文件的swap前添加#号 2.4.3建立软链接 2.安装nginx配置,tcp转接,实现负载均衡 外置均衡代理服务器主要安装nginx,用于TCP转接实现负载均衡处理。并用于部分静态文件存储配置
k3s+rancher搭建
MichaelZ的博客
03-17 518
由于Docker使用过程会对Centos操作系统的Iptables防火墙的FORWARD链默认规划产生影响及需要让Docker Daemon接受用户自定义的daemon.json文件,需要要按使用者要求的方式修改。k3srancher端口冲突,注意改端口。
k3s-ansible:Ansible手册,用于部署k3s kubernetes集群
01-31
k3s-ansible:Ansible手册,用于部署k3s kubernetes集群
local-k3s-cluster:如何使用Rancher设置本地Kubernetes集群(k3)。 使用多通道而不是k3d来设置节点VM是明智的选择,因为我不想使用容器化的群集节点。 它还将模仿如何使用VM在云设置群集
04-19
在本地Kubernetes集群上的Rancher 先决条件 安装了multipass和jq Ubuntu。 sudo apt install jq snap install multipass 创建集群节点 使用以下命令至少创建2个多通道虚拟机。 multipass launch --cpus 2 --mem 2G...
bonsai:本地计算机上多通道VM上的Rancher k3sRancher Server以及通过在k3s上运行的Rancher Server进行RKE群集部署
05-05
此存储库在步骤1提供了在本地计算机上的多通道VM上的轻量级多节点k3部署,并在步骤2从在k3上运行的Rancher Server部署了新的成熟RKE群集。 有关在多通道VM上使用rke工具进行完整的RKE安装的信息,请参考: 关于...
内网离线 k3s Rancher 高可用安装部署流程
小康子的博客
08-02 7003
内网离线 k3s 安装高可用 Rancher v2.5.14 并部署下游集群
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 1844
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSL、TLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
脚本一键生成SSL签名文件
黑夜流星的专栏
11-13 178
创建脚本create_self_signed_cert.sh #!/usr/bin/env bash set -e # Locate shell script path SCRIPT_DIR=$(dirname $0) if [ ${SCRIPT_DIR} != '.' ] then cd ${SCRIPT_DIR} fi # Generate RSA private key 注意修改这里的密码 openssl genrsa -des3 -passout pass:xxx -out serve
K8S集群安装rancher
Grey_fantasy的博客
06-28 701
K8S集群安装rancher
rancher + k3s + docker私有仓库搭建K8环境(百分之百成功)
lengyue2015的博客
08-11 1270
然后我们找一个虚拟机进行拉取刚才我们上传的镜像,测试是否能够征程拉取,由于采用的是http,没有证书,所以我们在拉取镜像之前先配置docker,编辑/etc/docker/daemon.json文件,如果没有则创建文件。因为K3安装需要下载外网资源,所以需要每台机器都要具备访问外网能力,这里采用docker版本的v2ray,所以4台虚拟机都要安装docker,使用如下命令进行安装docker。这里我是单独有一台物理机作为docker的私有仓库,也可以直接用rancher所在的虚拟机搭建。
ubuntu 安装k3s集群
04-01
1. 准备工作: - 三台虚拟机或物理机(推荐使用Ubuntu 18.04或以上版本) - 每台机器2GB或以上内存和2个以上CPU - 在每台机器上安装Docker 2. 在所有节点上安装k3...现在,您已经成功地在Ubuntu上安装了一个k3s集群

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值