这周花了点时间,考了个SUSE Certified Administrator (SCA) Rancher Manager 2.7 for Rancher Prime,准备过程中顺便给大家伙总结些Rancher相关基础知识点,有需要的小伙伴可以自取哦。
关于考试认证相关信息以及考试内容,详见https://www.suse.com/training/exam/sca-rancher-2-7/
Q. Rancher 是什么?
开源的kubernetes多集群容器管理平台
Q. Rancher 的部署方式?
可以通过helm部署,Registry仓库地址https://charts.rancher.io
Q. Rancher 的版本区分?
Rancher 分为社区版本以及Prime版本。
其中Rancher Prime是一种产品订阅服务,Rancher v2.7引入了Rancher Prime,这是Rancher企业版的一个演变。Rancher Prime是基于相同源代码构建的商业企业版的新版本,同时提供了安全保证、扩展的生命周期、专注架构和Kubernetes建议等额外价值。Rancher Prime还将提供获取创新Rancher项目的生产支持的选项。通过Rancher Prime,安装资产托管在Rancher拥有和管理的Registry仓库。
Q. Rancher Prime的部署方式?
Prime版本Registry仓库地址: https://charts.rancher.com/server-charts/prime
Q. Rancher Prime的认证方式?
集中式认证方式:Rancher 本地认证 以及外部认证选项(LDAP, OAuth, OIDC, and SAML)
Q. Rancher Prime的运行方式?
Rancher Manager可以安装在任何Kubernetes集群上,包括托管集群,例如Amazon EKS集群。
Q. Rancher Prime的集群管理功能有哪些?
Rancher中集群可以是自定义的或托管的,对于现有的集群,我们可以导入或注册。Rancher Server负责管理和配置Kubernetes集群,并与下游Kubernetes集群进行交互。
Q. Rancher 提供的K8S发行版本有哪些?
RKE(Rancher Kubernetes Engine)是一个经过认证的Kubernetes发行版和CLI/库,用于创建和管理Kubernetes集群。
K3s(轻量级Kubernetes)也是一个完全符合Kubernetes的发行版,它比RKE更新,使用更方便,而且更轻量级,二进制大小小于100 MB。
RKE2是一个完全符合的Kubernetes发行版,专注于美国联邦政府部门的安全性和合规性。
Q. Rancher Manager 架构组件?
https://ranchermanager.docs.rancher.com/zh/reference-guides/rancher-manager-architecture/rancher-server-and-components
Q. Rancher Manager如何与下游集群交互?
Rancher Manager通过运行在集群节点上的集群或节点代理(cluster or node agents)与标准Kubernetes API进行通信。
Rancher Manager通过Service Account与Kubernetes集群通信,为运行在Pod中的进程提供身份标识。默认情况下,使用kubeconfig文件访问Kubernetes集群,该文件具有对集群的完全访问权限。但是,Rancher Manager不需要使用kubeconfig文件进行集群API通信,因为它使用身份验证代理连接到下游用户集群上的Kubernetes API服务器。如果需要,可以绕过身份验证代理。
Q. Rancher Manager中Cluster agent 作用?
Cluster agent负责与Kubernetes API建立连接,监视下游集群中的资源变化,并将当前状态同步到期望状态。它还配置对集群和项目的访问控制策略,并通过调用所需的Kubernetes engine(如AKS、EKS、GKE)、Docker runtime(如RKE)和containerd(如RKE2和K3s)来创建集群。
此外,它管理着每个集群中的工作负载、Pod创建和部署,并应用了每个集群全局策略中定义的角色和绑定。最后,它向Rancher Manager发送有关事件、统计信息、健康状况和节点的信息。
Q. Rancher Manager中Node agent 作用?
Node agent作为Kubernetes DaemonSet部署,确保在集群中的每个节点上运行。Node agent的用于升级节点上的Kubernetes以及创建或恢复etcd快照。
Q. Rancher Manager中Authentication Proxy?
Authentication Proxy负责身份验证和转发Kubernetes API调用至下游集群,同时设置适当的Kubernetes impersonation headers。集成的身份验证服务包括本地认证和存储在Rancher Manager数据库中,也支持LDAP、OAuth、OIDC、SAML等外部认证服务。
Q. Rancher Manager 高可用配置最佳实践?
如果在RKE Kubernetes集群上安装了Rancher Manager,则最小的高可用集群设置应该有三个节点,每个节点都应该具有所有三个Kubernetes角色:etcd、控制平面和工作节点。
对于K3s集群,如果etcd数据库是外部且高可用的,则只需要两个节点进行高可用设置。
1. Kubernetes将节点分为三种角色:etcd、控制平面和工作节点。 2. etcd节点负责存储集群配置和状态,是Kubernetes集群的存储后端。 3. 控制平面节点运行API服务器、调度器和控制器管理器,负责维护集群配置。 4. 工作节点监视节点状态,确保容器健康,并承载实际应用程序的容器和Pod。 5. etcd节点通常为三个,但对于更大的集群,可考虑使用五个。 6. 控制平面节点是无状态的,所有集群数据存储在有状态的etcd节点上。
关于下游集群部署,参考这里
如何在AWS上使用Rancher快速部署生产可用的K8S集群
关于rancher的使用玩法,参考这里
今天就分享到这,我们下回见!
