I am a Technical Support Engineer based in mainland China, dedicated to helping users and teams efficiently resolve complex technical issues.
Rancher Monitoring Pushprox 端口监听问题
Rancher Monitoring 会通过 PushProx 获取 kube-controller-manager、kube-scheduler 等 Kubernetes 组件的 Metrics。
其中,9369 端口是 pushprox-client 在启用 hostNetwork 后默认监听的 Metrics 端口。默认情况下,可以通过节点 IP 和该端口访问 PushProx 的 Metrics。
NeuVector 包含用于 Manager(控制台/UI 访问)、Controller(REST API、内部通信)、Enforcer(内部通信)和 Scanner(内部通信)的通信加密证书。
NeuVector v5.4.2 及更高版本要求在使用 NeuVector 前生成/替换内部证书。2025 年 3 月之后,NeuVector v5.4.2 之前的版本也要求在使用 NeuVector 前生成/替换内部证书。
参考文档:https://open-docs.neuvector.com/5.4/deploying/production/internal
Rancher 生成 kubeconfig 使用 FQDN 时出现报错问题
通过 Rancher 创建的 RKE、RKE2、K3s 集群均支持开启 Authorized Cluster Endpoint(ACE)。开启 ACE 后,Rancher 生成的 kubeconfig 可以将上下文切换为 FQDN,从而直接访问下游 RKE、RKE2 或 K3s 集群,无需通过 Rancher 进行代理转发。
开启 ACE 后,下游集群会在 cattle-system 命名空间中运行 kube-api-auth 服务。当 kubeconfig 上下文切换为 FQDN 时,集群 API Server 会通过 kube-api-auth 作为 Webhook 进行身份验证。
在实际环境中,集群可能同时使用多个泛域名,例如:
*.warnerchen.com*.avatar-poc.k8s.warnerchen.com不同泛域名需要绑定不同的 TLS 证书。基于 RKE2 默认集成的 Traefik,并启用 Kubernetes Gateway API,可以通过配置多个 listener 来实现按域名匹配证书。