在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
开源软件名称:server-chart开源软件地址:https://gitee.com/rancher/server-chart开源软件介绍:Rancher Chart本Chart基于 https://github.com/rancher/server-chart 修改,不支持LetsEncrypt、cert-manager提供证书,需手动通过Secret导入证书(导入方法见脚本结尾), 默认开启审计日志功能. 一、生成自签名证书或重命名权威认证证书
--ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;--ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;--ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(TRUSTED_DOMAIN),多个TRUSTED_DOMAIN用逗号隔开;--ssl-size: ssl加密位数,默认2048;--ssl-date: ssl有效期,默认10年;--ca-date: ca有效期,默认10年;--ssl-cn: 国家代码(2个字母的代号),默认CN;使用示例:./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \--ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650
二、部署架构1、内部ingress域名访问通过集群内安装的ingress服务,使用七层域名转发来访问rancher server,请求流量将转发到rancher server容器的
kubectl --kubeconfig=$kubeconfig create namespace cattle-system;kubectl --kubeconfig=$kubeconfig -n cattle-system \ create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key;kubectl --kubeconfig=$kubeconfig -n cattle-system \ create secret generic tls-ca --from-file=cacerts.pem;kubectl --kubeconfig=$kubeconfig -n kube-system create serviceaccount tiller;kubectl --kubeconfig=$kubeconfig create clusterrolebinding tiller \ --clusterrole cluster-admin --serviceaccount=kube-system:tiller;helm_version=`helm version |grep Client | awk -F""\" '{print $2}'`;helm --kubeconfig=$kubeconfig init --skip-refresh --service-account tiller \ --tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version;
git clone -b v2.2.8 https://gitee.com/rancher/server-chart.gitkubeconfig=xxx.ymlhelm install --kubeconfig=$kubeconfig \ --name rancher \ --namespace cattle-system \ --set rancherImage=rancher/rancher \ --set busyboxImage=rancher/busybox \ --set privateCA=true \ --set useBundledSystemChart=true \ --set hostname=<修改为自己的域名> \ server-chart/rancher
2、主机NodePort访问(主机IP+端口)有的场景需要使用IP去直接访问rancher server, 因为ingress默认不支持IP访问,所以这里禁用ingress。通过NodePort把rancher server容器端口映射到宿主机的端口上,这个时候rancher server容器作为ssl终止,请求流量转发到rancher server容器的
kubectl --kubeconfig=$kubeconfig create namespace cattle-system;kubectl --kubeconfig=$kubeconfig -n cattle-system \ create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key;kubectl --kubeconfig=$kubeconfig -n cattle-system \ create secret generic tls-ca --from-file=cacerts.pem;kubectl --kubeconfig=$kubeconfig -n kube-system create serviceaccount tiller;kubectl --kubeconfig=$kubeconfig create clusterrolebinding tiller \ --clusterrole cluster-admin --serviceaccount=kube-system:tiller;helm_version=`helm version |grep Client | awk -F""\" '{print $2}'`helm --kubeconfig=$kubeconfig init --skip-refresh --service-account tiller \ --tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version;
git clone -b v2.2.8 https://gitee.com/rancher/server-chart.gitkubeconfig=xxx.ymlhelm install --kubeconfig=$kubeconfig \ --name rancher \ --namespace cattle-system \ --set rancherImage=rancher/rancher \ --set busyboxImage=rancher/busybox \ --set service.type=NodePort \ --set service.ports.nodePort=30303 \ --set privateCA=true \ --set useBundledSystemChart=true \ server-chart/rancher
3、外部七层负载均衡器+主机NodePort方式运行(禁用内部ingress转发)有的场景,外部有七层负载均衡器作为ssl终止,一般使用是把负载均衡器的
kubectl --kubeconfig=$kubeconfig create namespace cattle-system;kubectl --kubeconfig=$kubeconfig -n cattle-system \ create secret generic tls-ca --from-file=cacerts.pem;kubectl --kubeconfig=$kubeconfig -n kube-system create serviceaccount tiller;kubectl --kubeconfig=$kubeconfig create clusterrolebinding tiller \ --clusterrole cluster-admin --serviceaccount=kube-system:tiller;helm_version=`helm version |grep Client | awk -F""\" '{print $2}'`;helm --kubeconfig=$kubeconfig init --skip-refresh --service-account tiller \ --tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:$helm_version;
git clone -b v2.2.8 https://gitee.com/rancher/server-chart.gitkubeconfig=xxx.ymlhelm install --kubeconfig=$kubeconfig \ --name rancher \ --namespace cattle-system \ --set rancherImage=rancher/rancher \ --set busyboxImage=rancher/busybox \ --set service.type=NodePort \ --set service.ports.nodePort=30303 \ --set tls=external \ --set privateCA=true \ --set useBundledSystemChart=true \ server-chart/rancher
|
请发表评论