版本说明 - v2.3.11
Rancher 2.3.11 版本于 2021 年 3 月 5 日发布。本文介绍了 Rancher 2.3.11 相较上一版本(2.3.10)的重大改动、功能和优化、新增的实验性功能、已修复的问题和已知问题。单击这里查看英文版版本说明。
重要说明
该版本解决了 Rancher 中的一个安全漏洞 CVE-2021-25313:
当使用浏览器访问 Rancher API 时,URL 没有被正确地转义,使其容易受到 XSS 攻击。到这些 API 端点的特别制作的 URL 可能包括 JavaScript,这些 JavaScript 将被嵌入到页面中并在浏览器中执行。没有直接的缓解措施。避免单击不受信任的链接到您的 Rancher server。
相关 Issue:#31583。
如果您打算从 v2.2.x 升级到 v2.3.11,请务必查看v2.3.0 版本说明中的重要更新和重大改动的说明。
实验性功能
我们提供了一种启停 Rancher 中实验性功能模块的能力。在这个版本里,您可以通过 UI 来控制“功能开关”。详情请查阅在 Rancher 中如何开启实验性功能的文档。
其他说明
离线安装和升级
在 v2.3.0+的版本里,离线安装不再需要手动同步 system charts 的源代码仓库,具体操作请参阅有关安装 Rancher 时,如何使用内嵌的 system charts。
主要的已知问题
NGINX ingress controller 0.25.0 版本仅支持有 SSE4.2 指令集的 CPU [#23307]
Windows 集群限制 - 由于其他上游依赖的原因,Windows 集群有一些已知的限制:
HPA 限制 - 因为 GKE 不支持
v2beta2.autoscaling
版本的 API。所以在 Rancher UI 中无法通过 UI 管理 GKE 集群的 HPA 资源。[#22292]安全加固限制 - 如果您按照 Rancher 的安全加固手册进行了配置,那么您会遇到一些已知的问题。
如果您使用的是从 v2.2 升级上来的环境,在向已有节点模版中添加的 Taints 后,并使用这个节点模版来扩容 Worker 节点,那么这些新的 Worker 节点可能无法正常工作。您必须在对管理节点或 etcd 节点进行扩缩容后,或是对集群进行编辑后,这些带有 Taints 的新 Worker 节点才能正常工作。因为只有在集群 Reconcile 被触发后,系统组件才会自动添加 Tolerations [#22672]
在升级 Rancher 版本后,集群告警组件或集群日志组件有可能会卡在
Updating
状态。临时解决方案可以在这个 issue 中找到。[#21480]如果您的 Rancher Server 所在的集群配置了 OpenStack cloud provider 并设置了 LoadBalancer,并且这个 Rancher Server 所在的集群是在 v2.2.3 或者更早的版本创建的,那么直接升级到 Rancher v2.2.4 或之后的版本将会失败。您可以在这个 issue 的评论中找到这种情况下的迁移方法 [#20699]
如果集群配置了 cloud provider,且以主机名或 FQDN 注册的 agents(并且通过 IP 地址注册),kube-proxy 将无法启动。您可以通过节点的 API 的返回值来进行确认。[RKE#1725]
由于更新了 Fluentd Kubernetes metadata 插件,Rancher 日志采集的格式发送了变化。json 格式的日志将不能被处理,所以在采集到的日志里将无法把 json 格式日志合并作为顶层键。我们在这个 issue 中,通过另外一种方式,重新提供了这个能力 [#23646]
版本信息
镜像
- rancher/rancher:v2.3.11
- rancher/rancher-agent:v2.3.11
工具
Kubernetes 版本
1.17.16 (默认版本)
升级和回滚
Rancher 支持升级和回滚操作。在修改 Rancher 版本时,请先确认您要升级到或者回滚到的 Rancher 版本。
请注意,在升级到 v2.3.0 或者以上版本时,第一次修改通过 Rancher v2.3.0 之前版本部署的 RKE 集群时,由于要向系统组件中加入 Tolerations,该集群全部的系统组件将会自动重启。
如果您的 Rancher HA 在使用 低于 v0.9.1 的 cert-manager,并且是自签名证书,由于 cert-manager 最新的变化,您需要升级 cert-manager 的版本。具体操作请参阅有关如何升级 cert-manager的文档。
Assets
请在这里获取该版本的 Assets。