Rancher installatie

Rancher Kubernetes Engine (RKE) is een CNCF gecertificeerde distributie voor Kubernetes en draait zowel op bare-metal als op VM machines. De RKE wordt via een RKE-binary geconfigureerd. Afhankelijk van de te gebruiken Kubernetes versie is er een (bijbehorende) rke versie. De releases kunnen hier opgehaald worden: RKE Releases

Het Rancher management cluster bestaat uit 3 nodes, elk met alle rollen, en wordt aangemaakt met behulp van RKE.

Voorwaarde is dat de nodes voorzien zijn van docker en dat er een gebruiker aanwezig is die de ssh-key accepteert voor ssh. Tevens dient deze gebruiker lid te zijn van de ‘docker’ groep. Vrijwel alle populaire Linux varianten zijn geschikt als OS.

cluster configuratie file

Het bestand cluster.yml is het configuratiebestand voor RKE en in de meest simpele vorm voor de 3 VM’s ziet dat er alsvolgt uit:

---
cluster_name: local
ssh_key_path: ~/.ssh/id_rsa
kubernetes_version: v1.21.7-rancher1-1

nodes:
- address: 192.168.178.70
  user: rancher
  role:
  - controlplane
  - etcd
  - worker
  hostname_override: local-01
  internal_address: 192.168.178.70

- address: 192.168.178.71
  user: rancher
  role:
  - controlplane
  - etcd
  - worker
  hostname_override: local-02
  internal_address: 192.168.178.71

- address: 192.168.178.72
  user: rancher
  role:
  - controlplane
  - etcd
  - worker
  hostname_override: local-03
  internal_address: 192.168.178.72

services:
  etcd:
    snapshot: true
    creation: 6h
    retention: 24h
  kubelet:
    extra_args:
      cgroup-driver: systemd
      kube-reserved: "cpu=200m,memory=512Mi"
      system-reserved: "cpu=200m,memory=1024Mi"
      eviction-hard:  "memory.available<200Mi,,nodefs.available<10Gi"

upgrade_strategy:
  max_unavailable_worker: 1
  max_unavailable_controlplane: 1
  drain: true
  node_drain_input:
    Force: false
    IgnoreAllDaemonSets: true
    DeleteLocalData: true
    Timeout: 120

network:
  plugin: canal

Voor de kubelet-services wordt via ‘extra_args’ computer-resources gereserveerd en met behulp van thresholds voor de disk is de ‘pod-eviction’ instelling gemaakt. De regel kubernetes_version: v1.21.7-rancher1-1 bepaald dus de K8s versie en de bijbehorende RKE binary is dan v1.3.3. Controleer dit met:

$ rke -v
rke version v1.3.3

$ rke config --list-version --all
v1.19.16-rancher1-2
v1.20.13-rancher1-1
v1.18.20-rancher1-3
v1.21.7-rancher1-1
v1.22.4-rancher1-1

Eén commando volstaat voor het aanmaken van het cluster:

$ rke up

INFO[0000] Running RKE version: v1.3.3
INFO[0000] Initiating Kubernetes cluster
INFO[0000] [certificates] GenerateServingCertificate is disabled, checking if there are unused kubelet certificates
INFO[0000] [certificates] Generating admin certificates and kubeconfig
INFO[0000] Successfully Deployed state file at [./cluster.rkestate]
INFO[0255] Building Kubernetes cluster
...
INFO[0308] Finished building Kubernetes cluster successfully

Tijd voor koffie en als het bouwen van de cluster gereed is, vind je twee bestanden in de huidige directory:

  • kube_config_cluster.yml
  • cluster.rkestate

Het config-bestand wordt gebruikt voor ‘kubectl‘ via de KUBECONFIG environment variable en de cluster.rkestate wordt door rke gebruikt.

$ export KUBECONFIG=./kube_config_cluster.yml
$ kubectl get nodes

NAME       STATUS ROLES                     AGE  VERSION
local-01   Ready  controlplane,etcd,worker  1h   v1.21.7
local-02   Ready  controlplane,etcd,worker  1h   v1.21.7
local-03   Ready  controlplane,etcd,worker  1h   v1.21.7

Met behulp van Helm kunnen nu m.b.v. zogenaamde charts, op een eenvoudige manier packages geïnstalleerd worden zoals een Certificate Manager om de SSL-certificaten via Let’s Encrypt te kunnen verkrijgen.

cert-manager

Cert-Manager werkt met CDR’s (Custom Resource Definitions) en die worden eerst geladen en daarna kan via Helm de Cert-Manager deployment gestart worden:

$ kubectl create namespace cert-manager 
$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.6.2/cert-manager.yaml

Vervolgens maken we een ClusterIssuer om certificaten via Let’s Encrypt op te kunnen halen. Het manifest clusterissuer.yaml ziet er alsvolgt uit:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
spec:
  acme:
    email: <hier_komt_jouw_emailadres@domain.com>
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: acme-issuer-account-key
    solvers:
    - http01:
        ingress:
          class: nginx

Invoeren met:

$ kubectl apply -f clusterissuer.yaml

Rancher Server

Hierna kan de Rancher Server geïnstalleerd worden. Allereerst een Helm repository toevoegen met:

$ helm repo add rancher-stable https://releases.rancher.com/server-charts/stable
$ helm repo update

en hierna kan het eigenlijke werk beginnen. Voor de eenvoud van geldige cerificaten maak ik hier gebruik van LetsEncrypt en daarvoor zijn de extra parameters voor docker aan het eind van dit commando. Zorg er wel voor dat de domain-name ge-resolved kan worden via DNS en gebruik een echt email-adres.

$ helm install rancher rancher-stable/rancher --version v2.6.4 \
--namespace cattle-system \
--create-namespace \
--set hostname=rancher.digitalinfo.nl \
--set ingress.tls.source=letsEncrypt \
--set letsEncrypt.email=youremail@domain.com

En het resultaat zou dan iets als dit moeten zijn:

NAME: rancher
LAST DEPLOYED: Wed Dec 27 18:32:53 2020
NAMESPACE: cattle-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
Rancher Server has been installed.
NOTE: Rancher may take several minutes to fully initialize. Please standby while Certificates are being issued and Ingress comes up.
Check out our docs at https://rancher.com/docs/rancher/v2.x/en/
Browse to https://rancher.digitalinfo.nl
Happy Containering!

Browse nu naar de URL zoals ingesteld en dan kan het wachtwoord voor de Admin gebruiker ingesteld worden.

Vervolgens wordt de URL ingesteld voor de Rancher Server GUI.

Aangezien de Rancher Server nu in de lokale Kubernetes cluster ‘draait’ zal deze cluster als ‘local‘ automatisch ingesteld worden.