Rancher

本文来自 Rancher Labs 什么是Pod安全策略？ Kubernetes Pod安全策略（PSP）是Kubernetes安全版块中极为重要的组件。Pod安全策略是集群级别的资源，用于控制Pod安全相关选项，并且还是一种强化Kubernetes工作负载安全性的机制。Kubernetes平台团队或集群运维人员可以利用它来控制pod的创建以及限制特定的用户、组或应用程序可以使用的功能。 举个简单的例子，使用PSP你可以： 防止特权Pod启动并控制特权升级。 限制Pod可以访问的主机命名空间、网络和文件系统 限制可以运行pod的用户/组。 限制Pod可以访问的Volume 限制其他参数，如运行时配置文件或只读根文件系统 在本文中，我们将向你展示在Rancher中如何通过启用一个简单的Pod安全策略来强化你的Kubernetes安全。 Pod安全策略真的可以增强K8S的安全性吗？ 是的，Pod安全策略确实可以增强Kubernetes的安全性。它提供了Kubernetes原生控制机制，可以防止威胁而不影响性能，这与agent必须拦截主机上的每个动作有所区别。 如果你尚未在集群中启用PSP（或执行访问控制之类的等效方法），则Kubernetes用户可能会生成特权集群。这将会被恶意利用，例如提升特权进而突破容器隔离并访问其他Pod/服务。 如果没有限制Pod spec特权的机制，**

某厂面试归来，发现自己落伍了！>>> Sovereign Systems是一家成立于2007年的技术咨询公司，帮助客户将传统数据中心技术和应用程序转换为更高效的、基于云的技术平台，以更好地应对业务挑战。曾连续3年提名CRN，并且在2012年到2016年均被评为美国增长最快的私营公司之一。 本文由Sovereign Systems的解决方案架构师Chip Zoller根据客户的使用案例撰写而成 Rancher是一个容器编排管理平台，它已经在这一领域深耕几年并且具备很多简单易用的实用功能。近几年，它经过重构已经完全拥抱Kubernetes。在本文中，我将着重介绍如何在VMware Enterprise PKS之上构建一个企业级、高可用和安全的Rancher Server安装。同时，我将回答“为什么要在PKS上使用Rancher”这一问题。此外，本文将包括整个构建流程、架构以及完整的安装指南。涉及的内容十分丰富，赶紧开始吧！ 把Rancher部署在PKS上？ 我知道这并不是一个普遍的搭配，特别是这两个解决方案还存在某种竞争关系。它们都能够在不同的云提供商部署Kubernetes集群，并可以在本地部署到诸如vSphere之类的堆栈。它们分别都有自己的长处和短处，但是在管理空间中两者没有重叠的地方。Enterprise PKS使用BOSH部署Kubernetes集群

环境说明： # 工作系统： win 10 on linux # 操作系统：centos7 # docker版本：19.03.5 # rancher版本： latest # rke 版本： v1.0.4 # K8S master 节点IP：192.168.2.175，192.168.2.176，192.168.2.177 # K8S worker节点IP： 192.168.2.175，192.168.2.176，192.168.2.177，192.168.2.185，192.168.2.187 # K8S etcd 节点IP：192.168.2.175，192.168.2.176，192.168.2.177 # helm 版本：v3.0.2 部署准备： # 操作在所有节点进行 # 修改内核参数： 关闭swap vim /etc/sysctl.conf vm.swappiness=0 net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 sysctl -p 临时生效 swapoff -a && sysctl -w vm.swappiness=0 # 修改 fstab 不在挂载 swap vi /etc/fstab # /dev

入门指南 在Rancher中，主机是调度资源的基本单位（直观的理解就是所发生的操作最终都会落到某台主机上），它可以是虚拟的或者物理的Linux服务器。Rancher管理的主机需要满足以下的条件： 任何可以运行支持的Docker版本的 Linux 发行版本，例如：RancherOS，Ubuntu，RHEL/CentOS 7。不过针对RHEL/CentOS系列，有些需要注意的地方： Docker 并不推荐使用 RHEL/CentOS 默认的存储驱动（devicemapper），可以参考这篇文档来修改。 如果启用 SELinux，需要安装额外的模块。 内核版本要求是 3.10.0-514.2.2.el7.x86_64 及以上，建议使用 RHEL/CentOS 7.3 或者更高的发行版本。 1GB的内存。 推荐 w/AES-NI 架构的 CPU。 主机可以通过HTTP或HTTPS来访问Rancher Server服务，默认端口是8080。 主机与主机之间是可以相互访问的，从而确保容器之间的跨主机通信。 另外，Rancher也可以管理由Docker Machine驱动的主机，只要这些主机满足上面的条件即可。 在Rancher的操作界面上，选择 基础架构->主机，点击 添加主机按钮，然后再做些工作，就可以让 Rancher 管理到这台新主机了。 注意： 我们不会支持Docker的edge版本

Rancher简介 Rancher 是一个开源的企业级容器管理平台。通过Rancher，企业再也不必自己使用一系列的开源软件去从头搭建容器服务平台。Rancher提供了在生产环境中使用的管理Docker和Kubernetes的全栈化容器部署与管理平台。主要包括服务管理，公有云节点管理，支持第三方用户权限管理，应用商店，api很是灵活，只是文档较少，让你更多的去参考 官方文档 。 Rancher结构 Rancher由以下四个部分组成： 1、基础设施编排 Rancher可以使用任何公有云或者私有云的Linux主机资源。Linux主机可以是虚拟机，也可以是物理机。Rancher仅需要主机有CPU，内存，本地磁盘和网络资源。从Rancher的角度来说，一台云厂商提供的云主机和一台自己的物理机是一样的。 Rancher为运行容器化的应用实现了一层灵活的基础设施服务。Rancher的基础设施服务包括网络， 存储， 负载均衡， DNS和安全模块。Rancher的基础设施服务也是通过容器部署的，所以同样Rancher的基础设施服务可以运行在任何Linux主机上。 2、容器编排与调度 很多用户都会选择使用容器编排调度框架来运行容器化应用。Rancher包含了当前全部主流的编排调度引擎，例如Docker Swarm， Kubernetes， 和Mesos

rancher快速部署应用演示 我们在rancher中分别部署一个nginx与mariadb应用来体验一下容器时代的快速部署 rancher部署nginx示例应用 集群中部署服务 自定义deployment部署 启动 状态验证 客户端浏览器验证 rancher应用商店部署mariadb示例 启动应用商店 查找mariadb应用 配置应用参数 启动部署 简单验证 来源： 51CTO 作者： 隔壁老湿 链接： https://blog.51cto.com/14354846/2439904

测试发现k3s使用一年后出现https tls hand error的问题，重新生成证书也不行，只能通过源码编译修重新安装k3s 环境： ubuntu 16.04 docker 18.06.3 一、安装git（默认应该已经安装如果没有请执行下面的命令） sudo apt install -y git 二、clone源码,并切换分支（我这里用的是v1.0.1的版本） git clone https://github.com/rancher/k3s.git cd k3s git checkout -b v1.0.1 三、修改源码中证书的部分 主要是3个文件,修改如图 1.第一个文件 vendor/github.com/rancher/dynamiclistener/cert/cert.go 官方下面虽然修正了100年但是好像没说效果 2.第二个文件 vendor/github.com/rancher/dynamiclistener/factory/cert_utils.go 3.第3个文件 scripts/version.sh ，因为会校验文件sha值，注释4-7行 四、编译（确保可以联网，因为是用docker编译的） 1.安装make apt install -y make 2.直接执行make命令，编译时间比较长请耐心等待 3.完成都的文件在dist/artifacts 五、验证

对于在公司内网环境中、无法访问互联网的用户而言，离线安装部署Rancher是解决问题的关键。本文是Rancher离线部署教程，专为内网用户排坑解难。 版本说明 OS：Centos7.3 Docker version: 1.12.6 Rancher version: 1.6.10 主机角色说明 前期准备 docker rpm wget https://yum.dockerproject.org/repo/main/centos/7/Packages/docker-engine-1.12.6-1.el7.centos.x86_64.rpm wget https://yum.dockerproject.org/repo/main/centos/7/Packages/docker-engine-selinux-1.12.6-1.el7.centos.noarch.rpm harbor offline wget https://github.com/vmware/harbor/releases/download/v1.2.0/harbor-offline-installer-v1.2.0.tgz curl -L https://github.com/docker/compose/releases/download/1.16.1/docker-compose-`uname -s`-`uname

今天刚搭建的rancher server , 通过ui创建contariner始终报错 2016-04-12 04:43:35,151 ERROR [:] [] [] [] [ServiceReplay-1] [i.c.p.e.e.i.ProcessEventListenerImpl] Unknown exception running process [instance.start:664] on [40] io.cattle.platform.eventing.exception.EventExecutionException: 500 Server Error: Internal Server Error ("failed to create endpoint 26e0d91c-8cbc-4bbf-aee6-418c142ad335 on network bridge: iptables failed: iptables --wait -t nat -A DOCKER -p udp -d 0/0 --dport 4500 -j DNAT --to-destination 172.17.0.5:4500 ! -i docker0: iptables: No chain/target/match by that name. (exit status 1)")

容器技术凭借其轻量化和快速部署的特性，被越来越多企业开发者赞誉，近两年来发展态势可谓炙手可热。 去年一年，Kubernetes的流行度持续快速上升，我们有理由相信在不远的未来，Kubernetes将成为通用的基础设施标准。 开源的全栈化企业级容器管理平台Rancher，凭借优异的基础设施服务管理能力和强大的容器协调能力，让用户在生产环境中的容器部署、运行与管理工作变得更加简单。加上Rancher创造性的纳管来自不同基础架构的Kubernetes集群的能力，为企业在生产环境落地Docker与Kubernetes、构建新一代CaaS提供更佳便捷的途径。 为了让更多朋友更快完成容器部署管理从入门到进阶的全过程，Rancher Labs China Team自2017年起开始举办容器技术在线培训。前两季、累计11期培训吸引超过1300名容器技术爱好者加入，培训视频总观看量超过15000次。 2018年3月15日开始，第三季Rancher Online Training Program将华丽回归！每两周一期，内容从Docker入门与进阶，到Kubernetes入门与进阶、容器存储、网络、CI/CD等，一应俱全。 今晚（3月29日）20:30，第二期「Kubernetes部署与使用入门」来了！ 一期不落参加全部培训、并在整季培训完结后通过能力测试的朋友，将获得Rancher