NeuVector 有一个名为 nvprotect 的内部保护机制,用于限制用户对 NeuVector pod 的访问权限。
例如 sh、ls 等命令是无法使用的:

如果需要关闭,可以通过接口进行关闭,此处提供脚本,支持关闭 Controller、Scanner、Enforcer 的 nvprotect。
NeuVector 有一个名为 nvprotect 的内部保护机制,用于限制用户对 NeuVector pod 的访问权限。
例如 sh、ls 等命令是无法使用的:

如果需要关闭,可以通过接口进行关闭,此处提供脚本,支持关闭 Controller、Scanner、Enforcer 的 nvprotect。
Harvester 是 SUSE 的一款开源 HCI 解决方案,基于 Kubernetes 的现代化 HCI 平台,旨在简化虚拟化管理,同时与云原生技术无缝集成。
Harvester 安装且对接 Rancher 后,就可以直接在 Rancher 进行虚拟机的创建/删除等动作。

NeuVector 从 v5.4 版本起,通过 Rancher 登录到 NeuVector 的用户无法在 NeuVector 被设置为 Fed 角色,需要在 Rancher 中设置对应的角色,从而映射到 NeuVector 中。
Rancher 对接 Shibboleth + OpenLDAP
Rancher 支持对接 Shibboleth + OpenLDAP 进行用户身份认证。
环境信息:
RKE/RKE2 节点配置 Nvidia Container Runtime
Read moreDocker 启动的 Rancher 默认会走公网获取镜像,添加了 CATTLE_SYSTEM_DEFAULT_REGISTRY 的话,helm-operation 使用的 rancher/shell 等还是会走到公网,如果要所有镜像都是用 Private Registry,可以通过下面的方式。
calico-node 的 IP_AUTODETECTION_METHOD 默认使用 first-found,如果节点存在多张网卡的时候,可能导致 calico-node 绑定到错误的网卡上,导致跨节点网络不通。
可以通过修改 IP_AUTODETECTION_METHOD 为 interface 或者 cidrs 来指定 calico-node 绑定到指定网卡上。
Docker 部署 NeuVector 适用于简单测试或功能验证场景。本文记录在 Docker 环境中部署、升级 NeuVector,以及从 v5.4.2 之前版本升级时证书相关的注意事项。
RKE2 Cilium without kube-proxy
集群如果使用 Cilium 作为 cni 的话,可以实现 Kubernetes Without kube-proxy。
Cilium 的 kube-proxy 替代程序依赖于 socket-LB 功能,需要使用 v4.19.57、v5.1.16、v5.2.0 或更高版本的 Linux 内核。Linux 内核 v5.3 和 v5.8 增加了其他功能,Cilium 可利用这些功能进一步优化 kube-proxy 替代实现。
已有的 RKE2 Cilium 集群,可以通过下面的步骤开启此功能。