I am a Technical Support Engineer based in mainland China, dedicated to helping users and teams efficiently resolve complex technical issues.
Rancher 生成 kubeconfig 使用 FQDN 时出现报错问题
通过 Rancher 创建的 RKE、RKE2、K3s 集群均支持开启 Authorized Cluster Endpoint(ACE)。开启 ACE 后,Rancher 生成的 kubeconfig 可以将上下文切换为 FQDN,从而直接访问下游 RKE、RKE2 或 K3s 集群,无需通过 Rancher 进行代理转发。
开启 ACE 后,下游集群会在 cattle-system 命名空间中运行 kube-api-auth 服务。当 kubeconfig 上下文切换为 FQDN 时,集群 API Server 会通过 kube-api-auth 作为 Webhook 进行身份验证。
在实际环境中,集群可能同时使用多个泛域名,例如:
*.warnerchen.com*.avatar-poc.k8s.warnerchen.com不同泛域名需要绑定不同的 TLS 证书。基于 RKE2 默认集成的 Traefik,并启用 Kubernetes Gateway API,可以通过配置多个 listener 来实现按域名匹配证书。
| Role | Hostname | IP | OS | Kernal |
|---|---|---|---|---|
| Control Plane + ETCD | test-0 | 172.16.16.140 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Control Plane + ETCD | test-1 | 172.16.16.141 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Control Plane + ETCD | test-2 | 172.16.16.142 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
| Worker | test-3 | 172.16.16.143 | Ubuntu 22.04.5 LTS | 5.15.0-125-generic |
RKE2 安装脚本在基于 YUM 的操作系统上,默认会采用 RPM 方式安装 rke2-server。由于 Kylin 中缺少 container-selinux 依赖包,会导致 rke2-server 安装失败:
