有时候,我们无法使用像GKE或AKE这样的托管服务,甚至处于离线或与外网隔离的状态,而无法直接访问互联网。然而,即使在这种情况下,仍然是有方法使用Rancher管理集群的

本文中,我们将向你介绍如何在离线或内网环境中运行Rancher 2.0

私有镜像库

因为所有与Rancher相关的服务都在容器中运行,因此首先你需要的是在环境中存储容器。在本文的示例中,我们将使用Docker registry(Docker镜像仓库)。如果你已经有了镜像仓库,可以跳过这些步骤。

注意:在Rancher 2.0中,只有没有身份认证的镜像仓库才能获取启动和运行Rancher 2.0所需的所有镜像。这并不会影响在工作负载中使用的可配置镜像仓库。

要运行Docker Registry,你需要运行一个registry:2镜像的实例。我们将公开默认端口(5000),挂载一个主机目录确保我们有足够的空间(至少需要8GB)并且获得适当的I/O性能。

docker run -d -p 5000:5000 --restart=always --name registry -v /opt/docker-registry:/var/lib/registry registry:2

让Rancher镜像运行起来

在镜像仓库设置完成后,就开始同步所需的镜像来运行Rancher 2.0。这一步骤我们将讨论两个场景:

  • 场景1:你有一台可访问DockerHub的主机来提取和保存镜像,另有一台可以访问你的私有镜像仓库的单独的主机,以用于push镜像。

  • 场景2:你有一台可以访问DockerHub以及私有镜像仓库的主机。

场景1:一台主机访问DockerHub,另一台访问私有镜像仓库

场景2:一台可以访问DockerHub以及私有镜像仓库的主机

针对这一场景,Rancher每一次的版本更新时

(https://github.com/rancher/rancher/releases/tag/v2.0.0),都会提供一个名为rancher-images.txt的文件。该文件包含了运行Rancher 2.0所需要的全部镜像。可以将它绑定到任何现有的自动化服务中同步你可能拥有的镜像,也可以使用我在下面展示的脚本/Docker镜像。

rancher网络规划(如何在离线或内网环境中设置Rancher)(1)

配置Rancher,使用私有镜像仓库

流程的最后一步是配置Rancher,将私有镜像仓库作为获取镜像的源。这可以通过在Setting视图中使用system-default-registry进行配置。

rancher网络规划(如何在离线或内网环境中设置Rancher)(2)

设置栏

rancher网络规划(如何在离线或内网环境中设置Rancher)(3)

若想要使用私有镜像仓库,在配置设置时不要使用https:// 或http://作为前缀

这样做可以确保那些被用于向集群添加节点的rancher/rancher-agent容器,会使用该值作为前缀。其他需要使用的镜像也需要这样配置。

如果你想在启动rancher/rancher容器时进行配置,可以使用环境变量CATTLE_SYSTEM_DEFAULT_REGISTRY

例如:

docker run -d -p 80:80 -p 443:443 -e

CATTLE_SYSTEM_DEFAULT_REGISTRY=registry.yourdomain.com:5000 registry.yourdomain.com:5000/rancher/rancher:v2.0.0

创建一个集群

你可以通过运行rancher/rancher容器所在主机的IP来访问Rancher 2.0 UI。最开始启动大约需要1分钟,第一次访问时系统会提示你设置密码。

rancher网络规划(如何在离线或内网环境中设置Rancher)(4)

接下来,你需要配置URL,节点将通过该地址和Rancher 2.0安装建立联系。在默认情况下,它会显示你访问UI的IP地址,不过当你想使用DNS名称或者负载均衡器的话,你可以在这里进行更改。

在Global视图中,点击Add Cluster

rancher网络规划(如何在离线或内网环境中设置Rancher)(5)

本文会带领你创建一个没有高级选项的custom集群。想要在你的集群中配置高级选项,请参考相关的文档。

rancher网络规划(如何在离线或内网环境中设置Rancher)(6)

点击Next,创建testcluster集群。

在下一个界面,你会获得一个生成的命令,用于在你想要添加到集群的节点上启动。在该命令中使用的镜像应该会自动地用你配置好的私有镜像仓库作为前缀。

rancher网络规划(如何在离线或内网环境中设置Rancher)(7)

现在,对你想要添加的节点,你可以选择要为它们使用哪些角色,并且可以选择配置该节点的IP。如果没有指定,则会自动检测IP。有关Node Roles的含义,也请参考文档。

在项目中配置对镜像仓库的访问

如前所述,目前Rancher 2.0还不支持使用带有身份认证的私有镜像仓库来运行Rancher 2.0需要的镜像。不过在这种情况下,Rancher 2.0支持project中的工作负载。

想要使用身份认证配置镜像仓库,你可以在集群中打开你的项目(Default项目是自动为你创建的)。在Default项目中,可以导航到Resources->Registries来配置用于工作负载的镜像仓库。

rancher网络规划(如何在离线或内网环境中设置Rancher)(8)

点击Add Registry

rancher网络规划(如何在离线或内网环境中设置Rancher)(9)

填写访问镜像仓库所需的信息:

rancher网络规划(如何在离线或内网环境中设置Rancher)(10)

总结

希望这篇指南能够帮助大家进一步了解如何在离线或内网环境中设置Rancher 2.0。我们知道很多环境中还会有代理,我们后续还会发布代理设置的相关文章,敬请期待!

最后附上我在本文中用到的一些命令,希望它们能够为你所用或带给你更多灵感。

rancher网络规划(如何在离线或内网环境中设置Rancher)(11)

,