NeuVector 有一个名为 nvprotect 的内部保护机制，用于限制用户对 NeuVector pod 的访问权限。

例如 sh、ls 等命令是无法使用的：

如果需要关闭，可以通过接口进行关闭，此处提供脚本，支持关闭 Controller、Scanner、Enforcer 的 nvprotect。

Harvester 是 SUSE 的一款开源 HCI 解决方案，基于 Kubernetes 的现代化 HCI 平台，旨在简化虚拟化管理，同时与云原生技术无缝集成。

Harvester 安装且对接 Rancher 后，就可以直接在 Rancher 进行虚拟机的创建/删除等动作。

NeuVector 从 v5.4 版本起，通过 Rancher 登录到 NeuVector 的用户无法在 NeuVector 被设置为 Fed 角色，需要在 Rancher 中设置对应的角色，从而映射到 NeuVector 中。

前提

前提是需要部署好 Shibboleth 和 OpenLDAP。

1. OpenLDAP 部署可以参考：OpenLDAP Install
2. Shibboleth 部署可以参考：Shibboleth Install

这里 Shibboleth 通过容器部署。

GPU 节点安装 Nvidia 驱动

官方文档：NVIDIA CUDA Installation Guide for Linux

docker 启动的 rancher 默认会走公网获取镜像，添加了 CATTLE_SYSTEM_DEFAULT_REGISTRY 的话，helm-operation 使用的 rancher/shell 等还是会走到公网，如果要所有镜像都是用 private registry，可以通过下面的方式。

calico-node 的 IP_AUTODETECTION_METHOD 默认使用 first-found，如果节点存在多张网卡的时候，可能导致 calico-node 绑定到错误的网卡上，导致跨节点网络不通。

可以通过修改 IP_AUTODETECTION_METHOD 为 interface 或者 cidrs 来指定 calico-node 绑定到指定网卡上。

简介

Rancher Elemental 用于快速部署和管理基于容器的操作系统，如 SLE Micro 和 openSUSE MicroOS。它专为边缘计算和云原生环境设计，可以提供极简、易维护的操作系统。

Docker 部署 NeuVector 适用于做简单的测试。

集群如果使用 Cilium 作为 cni 的话，可以实现 Kubernetes Without kube-proxy。

Cilium 的 kube-proxy 替代程序依赖于 socket-LB 功能，需要使用 v4.19.57、v5.1.16、v5.2.0 或更高版本的 Linux 内核。Linux 内核 v5.3 和 v5.8 增加了其他功能，Cilium 可利用这些功能进一步优化 kube-proxy 替代实现。

已有的 RKE2 Cilium 集群，可以通过下面的步骤开启此功能。