Rancher 2.3.8 版本于 2020 年 6 月 2 日发布。本文介绍了 Rancher 2.3.8 相较上一版本(2.3.7)的重大改动、功能和优化、新增的实验性功能、已修复的问题和已知问题。点击这里查看英文版版本说明。

重要说明

  • 如果您打算从 v2.2 版本升级到 v2.3.8,请务必查看v2.3.0 版本说明中的重要更新和重大改动的说明。

解决 Kubernetes 安全漏洞

  • 添加了新的 Kubernetes 版本,以及相关系统镜像,从而解决如下的 Kubernetes 安全漏洞[#27369]:
    • CVE-2020-8555:kube-controller-manager SSRF 漏洞。
    • CVE-2020-10749:只开启了 IPv4 的集群容易受到通过 IPv6 恶意路由器通告进行的 MitM 攻击。
  • 升级 Nginx 至最新版本[#26957]
  • 添加 Docker 19.03.11 安装脚本,解决 Docker 安全漏洞Docker CVE-2020-13401 [#27371]

功能和优化

  • AWS EC2 新增可用区af-south-1[#27088]。

实验性功能

我们提供了一种启停 Rancher 中实验性功能模块的能力。在这个版本里,您可以通过 UI 来控制“功能开关”。详情请查阅在 Rancher 中如何开启某些功能的文档。

自 v2.3.7 以来修复的主要问题

  • 修复了 Rancher Server helm chart 处理默认证书签发者时报错的问题[#27085]。
  • 修复了日志功能对接 AWS Elasticsearch 时,fluentd 出现失去网络连接的问题[#27003]。
  • 修复了在没有修改资源配额的情况下,Rancher 日志中出现比较资源配额和资源限制的问题[#26976]。

其他说明

离线安装和升级

在 v2.3.0+的版本里,离线安装不再需要手动同步 system charts 的源代码仓库,具体操作请参阅有关安装 Rancher 时,如何使用内嵌的 system charts

主要的已知问题

  • NGINX ingress controller 0.25.0 版本仅支持有 SSE4.2 指令集的 CPU [#23307]

  • Windows 集群限制 - 由于其他上游依赖的原因,Windows 集群有一些已知的限制:

    • 在使用 Flannel VXLAN (Overlay) 模式时, Windows Pods 无法访问 Kubernetes API。临时解决方案是使用 Flannel Host Gateway (L2bridge)模式。该问题将在 k8s 1.18 版本中修复。[#20968]

    • Windows 集群的日志功能仅在 Flannel Host Gateway (L2bridge)模式下可以使用。该问题将在 k8s 1.18 版本中修复。[#20510]

  • HPA 限制 - 因为 GKE 不支持v2beta2.autoscaling版本的 API。所以在 Rancher UI 中无法通过 UI 管理 GKE 集群的 HPA 资源。[#22292]

  • 安全加固限制 - 如果您按照 Rancher 的安全加固手册进行了配置,那么您会遇到一些已知的问题。

    • Rancher UI 中的 kubectl 无法工作 [#19439]
    • 流水线无法工作 [#22844]
  • 如果您使用的是从 v2.2 升级上来的环境,在向已有节点模版中添加的 Taints 后,并使用这个节点模版来扩容 Worker 节点,那么这些新的 Worker 节点可能无法正常工作。您必须在对管理节点或 etcd 节点进行扩缩容后,或是对集群进行编辑后,这些带有 Taints 的新 Worker 节点才能正常工作。因为只有在集群 Reconcile 被触发后,系统组件才会自动添加 Tolerations [#22672]

  • 在升级 Rancher 版本后,集群告警组件或集群日志组件有可能会卡在Updating状态。临时解决方案可以在这个 issue 中找到。[#21480]

  • 如果您的 Rancher Server 所在的集群配置了 OpenStack cloud provider 并设置了 LoadBalancer,并且这个 Rancher Server 所在的集群是在 v2.2.3 或者更早的版本创建的,那么直接升级到 Rancher v2.2.4 或之后的版本将会失败。您可以在这个 issue 的评论中找到这种情况下的迁移方法 [#20699]

  • 如果集群配置了 cloud provider,且以主机名或 FQDN 注册的 agents(并且通过 IP 地址注册),kube-proxy 将无法启动。您可以通过节点的 API 的返回值来进行确认。[RKE#1725]

  • 由于更新了 Fluentd Kubernetes metadata 插件,Rancher 日志采集的格式发送了变化。json 格式的日志将不能被处理,所以在采集到的日志里将无法把 json 格式日志合并作为顶层键。我们在这个 issue 中,通过另外一种方式,重新提供了这个能力 [#23646]

版本信息

镜像

  • rancher/rancher:v2.3.8
  • rancher/rancher-agent:v2.3.8

工具

Kubernetes 版本

注:在 v2.3.0+版本中,在有新的 Kubernetes 版本可用时,即使不升级 Rancher 版本,我们也会自动向您推送这些版本。所以您在 Rancher UI 中看到的可用版本,可能会高于如下版本。

升级和回滚

:::important 重要 在回滚的时候,您将会被回滚到升级之前的状态。任何在升级后进行的改动将无法被保留。 :::

Rancher 支持升级回滚操作。在修改 Rancher 版本时,请先确认您要升级到或者回滚到的 Rancher 版本。

请注意,在升级到 v2.3.0 或者以上版本时,第一次修改通过 Rancher v2.3.0 之前版本部署的 RKE 集群时,由于要向系统组件中加入 Tolerations,该集群全部的系统组件将会自动重启。

如果您的 Rancher HA 在使用 低于 v0.9.1 的 cert-manager,并且是自签名证书,由于 cert-manager 最新的变化,您需要升级 cert-manager 的版本。具体操作请参阅有关如何升级 cert-manager的文档。

Assets

请在这里获取该版本的 Assets。