关闭 NeuVector 的 nvprotect 机制

NeuVector 有一个名为 nvprotect 的内部保护机制,用于限制用户对 NeuVector pod 的访问权限。

例如 sh、ls 等命令是无法使用的:

如果需要关闭,可以通过接口进行关闭,此处提供脚本,支持关闭 Controller、Scanner、Enforcer 的 nvprotect。

Read more

Harvester 使用随记

Harvester 是 SUSE 的一款开源 HCI 解决方案,基于 Kubernetes 的现代化 HCI 平台,旨在简化虚拟化管理,同时与云原生技术无缝集成。

Harvester 安装且对接 Rancher 后,就可以直接在 Rancher 进行虚拟机的创建/删除等动作。

Read more

NeuVector v5.4 为用户设置 Fed 角色

NeuVector 从 v5.4 版本起,通过 Rancher 登录到 NeuVector 的用户无法在 NeuVector 被设置为 Fed 角色,需要在 Rancher 中设置对应的角色,从而映射到 NeuVector 中。

Read more

Rancher 对接 Shibboleth + OpenLDAP

Rancher 支持对接 Shibboleth + OpenLDAP 进行用户身份认证。

环境信息:

  1. Rancher: v2.9.4
  2. Shibboleth: 4.3.1
  3. OpenLDAP: ldap-utils 2.5.19+dfsg-0ubuntu0.22.04.1
Read more

Docker 部署 Rancher 指定镜像仓库

Docker 启动的 Rancher 默认会走公网获取镜像,添加了 CATTLE_SYSTEM_DEFAULT_REGISTRY 的话,helm-operation 使用的 rancher/shell 等还是会走到公网,如果要所有镜像都是用 Private Registry,可以通过下面的方式。

Read more

RKE2 Calico 指定网卡

calico-node 的 IP_AUTODETECTION_METHOD 默认使用 first-found,如果节点存在多张网卡的时候,可能导致 calico-node 绑定到错误的网卡上,导致跨节点网络不通。

可以通过修改 IP_AUTODETECTION_METHOD 为 interface 或者 cidrs 来指定 calico-node 绑定到指定网卡上。

Read more

Rancher Elemental 使用随记

简介

Rancher Elemental 用于快速部署和管理基于容器的操作系统,例如 SLE Micro。它面向边缘计算和云原生场景,能够提供轻量、可维护、易批量管理的操作系统交付能力。

Read more

Docker 部署 NeuVector

Docker 部署 NeuVector 适用于简单测试或功能验证场景。本文记录在 Docker 环境中部署、升级 NeuVector,以及从 v5.4.2 之前版本升级时证书相关的注意事项。

Read more

RKE2 Cilium without kube-proxy

集群如果使用 Cilium 作为 cni 的话,可以实现 Kubernetes Without kube-proxy。

Cilium 的 kube-proxy 替代程序依赖于 socket-LB 功能,需要使用 v4.19.57、v5.1.16、v5.2.0 或更高版本的 Linux 内核。Linux 内核 v5.3 和 v5.8 增加了其他功能,Cilium 可利用这些功能进一步优化 kube-proxy 替代实现。

已有的 RKE2 Cilium 集群,可以通过下面的步骤开启此功能。

Read more
You need to set client_id and slot_id to show this AD unit. Please set it in _config.yml.