Docker 部署 NeuVector 适用于简单测试或功能验证场景。本文记录在 Docker 环境中部署、升级 NeuVector，以及从 v5.4.2 之前版本升级时证书相关的注意事项。

集群如果使用 Cilium 作为 cni 的话，可以实现 Kubernetes Without kube-proxy。

Cilium 的 kube-proxy 替代程序依赖于 socket-LB 功能，需要使用 v4.19.57、v5.1.16、v5.2.0 或更高版本的 Linux 内核。Linux 内核 v5.3 和 v5.8 增加了其他功能，Cilium 可利用这些功能进一步优化 kube-proxy 替代实现。

已有的 RKE2 Cilium 集群，可以通过下面的步骤开启此功能。

当集群中三个 Control Plane 节点的 ETCD 出现 request cluster ID mismatch 问题时，可以保留一个 ETCD 实例通过 --force-new-cluster 参数重建集群，然后再将其他两个节点的 ETCD 实例加入集群。

部署 RKE

前期准备：

1
2
3
4
5
6
7

# RKE 二进制
curl -LO "https://github.com/rancher/rke/releases/download/v1.5.12/rke_linux-amd64"

mv rke_linux-amd64 /usr/local/bin/rke && chmod +x /usr/local/bin/rke

# 各节点安装 Docker
curl https://releases.rancher.com/install-docker/20.10.sh | sh

开启 REST API

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Service
metadata:
  name: neuvector-svc-controller-api
  namespace: cattle-neuvector-system
spec:
  ports:
    - port: 10443
      name: controller
      protocol: TCP
  type: NodePort
  selector:
    app: neuvector-controller-pod
EOF

本文记录 SUSE 相关产品在第一周测试过程中的部署与使用情况，包括 RKE2、Rancher、Monitoring、Logging、NeuVector、Longhorn、Istio 和 K3s 等组件。