Rancher 介绍 rancher cli

一：Rancher在IT和DevOps组织中扮演的角色

二：管理其他KE

一个由RKE创建，另一个由GKE创建

三：rancher HA 架构

推荐的架构

• Rancher的DNS应解析为第4层负载均衡器
• Load Balancer应将端口TCP/80和TCP/443转发到Kubernetes集群中的所有节点IP上
• Ingress控制器将HTTP重定向到HTTPS, 并将作为端口TCP/443上的SSL/TLS终止
• Ingress控制器将流量转发到Rancher pod的TCP/80端口

HA Rancher安装了第4层负载均衡器，描述了入口控制器的SSL终止

扩展名

• .crt证书文件,可以是DER(二进制)编码的，也可以是PEM(ASCII (Base64))编码的),在类unix系统中比较常见;
• cer也是证书，常见于Windows系统。编码类型同样可以是DER或者PEM的，windows下有工具可以转换crt到cer；
• .csr证书签名请求文件，一般是生成请求以后发送给CA，然后CA会给您签名并发回证书
• .key一般公钥或者密钥都会用这种扩展名，可以是DER编码的或者是PEM编码的。查看DER编码的(公钥或者密钥)的文件的命令为: openssl rsa -inform DER -noout -text -in xxx.key。查看PEM编码的(公钥或者密钥)的文件的命令为: openssl rsa -inform PEM -noout -text -in xxx.key;
• .p12证书文件,包含一个X509证书和一个被密码保护的私钥;

方案一、全局Nginx(tcp)-Ingress(http)-Rancher

本方案中，所有的流量都通过外部负载均衡转发到后端ingress服务上。

因为外部负载均衡为四层TCP模式，无法设置域名转发，所以需要把域名转发的功能设置在后端的ingress服务上。

让ingress作为ssl终止后，ingress到后端的Rancher Server将采用非加密的http模式

此方案中，Rancher Server无法与外部直接通信，需通过ingress代理进入

因为ingress采用了ssl加密，所以此部署架构的安全性相对较高。但多次转发也将会导致网络性能减弱

方案二、全局Nginx(http)-Ingress(http)-Rancher

方案三、全局Nginx(http)-Rancher(nodeport)

四：组件介绍

Rancher API服务器

Rancher API server建立在嵌入式Kubernetes API服务器和etcd数据库之上。它实现了以下功能:

• Rancher API服务器

Rancher API server管理与外部身份验证提供程序(如Active Directory或GitHub)对应的用户身份

• 认证授权

Rancher API server管理访问控制和安全策略

• 项目

项目是集群中的一组多个命名空间和访问控制策略的集合

• 节点

Rancher API server跟踪所有集群中所有节点的标识

集群控制和Agent

集群控制器和集群代理实现管理Kubernetes集群所需的业务逻辑:

集群控制器实现Rancher安装所需的全局逻辑。它执行以下操作:

• 为集群和项目配置访问控制策略
• 通过调用以下方式配置集群:

• 所需的Docker machine驱动程序
• 像RKE和GKE这样的Kubernetes引擎

单独的集群代理实例实现相应集群所需的逻辑。它执行以下活动:

• 工作负载管理，例如每个集群中的pod创建和部署
• 绑定并应用每个集群全局策略中定义的角色
• 集群与Rancher Server之间的通信:事件，统计信息，节点信息和运行状况

认证代理

该认证代理转发所有Kubernetes API调用。它集成了身份验证服务，如本地身份验证，Active Directory和GitHub。在每个Kubernetes API调用中，身份验证代理会对调用方进行身份验证，并在将调用转发给Kubernetes主服务器之前设置正确的Kubernetes模拟标头。Rancher使用服务帐户与Kubernetes集群通信

五：四层代理与七层代理的区别

如图，平时我们说的4层和7层其实就是OSI网络模型中的第四层和第七层。4层代理中主要是TCP协议代理，TCP代理主要基于IP+端口来通信。7层代理中主要是http协议, http协议主要基于URL来通信