通过 Rancher 创建的 RKE、RKE2、K3s 集群均支持开启 Authorized Cluster Endpoint（ACE）。开启 ACE 后，Rancher 生成的 kubeconfig 可以将上下文切换为 FQDN，从而直接访问下游 RKE、RKE2 或 K3s 集群，无需通过 Rancher 进行代理转发。

开启 ACE 后，下游集群会在 cattle-system 命名空间中运行 kube-api-auth 服务。当 kubeconfig 上下文切换为 FQDN 时，集群 API Server 会通过 kube-api-auth 作为 Webhook 进行身份验证。

场景说明

在实际环境中，集群可能同时使用多个泛域名，例如：

• *.warnerchen.com
• *.avatar-poc.k8s.warnerchen.com

不同泛域名需要绑定不同的 TLS 证书。基于 RKE2 默认集成的 Traefik，并启用 Kubernetes Gateway API，可以通过配置多个 listener 来实现按域名匹配证书。

RKE2 安装脚本在基于 YUM 的操作系统上，默认会采用 RPM 方式安装 rke2-server。由于 Kylin 中缺少 container-selinux 依赖包，会导致 rke2-server 安装失败：

NeuVector 默认内置了一些网络规则。当这些规则被命中并触发告警时，某些告警可能不会提供 Review Rule 按钮用于直接加白。如果该告警属于误报（即应用的正常行为），就可能持续产生大量告警，从而造成告警噪音。

通过 Rancher UI 升级 Elemental 的时候（Helm Upgrade），出现如下报错：

删除手动创建的 Channel，就能正常完成升级。

prof 文件能够用于性能分析，如果 NeuVector 组件出现性能问题（如 CPU 使用率异常高等），可以通过如下方式获取。

在 CI/CD 流水线中，通常会通过 Jenkins 插件等方式触发 NeuVector 的镜像扫描。扫描完成后，可以在 NeuVector UI 页面中确认扫描结果已成功写入系统。

由于镜像扫描本身会消耗一定的时间和资源（尤其是镜像体积较大时，扫描耗时会明显增加），因此在流水线中往往希望在镜像已经完成扫描的情况下避免重复触发扫描任务，以提升整体执行效率。

NeuVector 提供 Zero-drift 和 Basic 两种运行模式，其中 Zero-drift 模式为默认模式。本文基于 NeuVector v5.4.8 版本，通过实际测试对比两种模式在不同 Group 状态（Discover / Monitor / Protect）下的行为差异。

Rancher Monitoring V2 中，Grafana 通过 Nginx 作为反向代理（grafana-proxy）访问 Prometheus。当 Grafana 执行 PromQL 查询且返回数据量较大（例如查询时间范围较长）时，Prometheus 可能无法在 Nginx 的超时时间内完成响应，从而导致 Grafana 返回 504 Gateway Timeout 错误：

在 HV 将对应的 VM Snapshot 删除后，在 LH 界面仍然能够看到对应的 Volume Snapshot：