版本说明 - v2.3.8

Rancher 2.3.8 版本于 2020 年 6 月 2 日发布。本文介绍了 Rancher 2.3.8 相较上一版本(2.3.7)的重大改动、功能和优化、新增的实验性功能、已修复的问题和已知问题。单击这里查看英文版版本说明。

重要说明

  • 如果您打算从 v2.2 版本升级到 v2.3.8,请务必查看v2.3.0 版本说明中的重要更新和重大改动的说明。

解决 Kubernetes 安全漏洞

  • 添加了新的 Kubernetes 版本,以及相关系统镜像,从而解决如下的 Kubernetes 安全漏洞[#27369]:
    • CVE-2020-8555:kube-controller-manager SSRF 漏洞。
    • CVE-2020-10749:只开启了 IPv4 的集群容易受到通过 IPv6 恶意路由器通告进行的 MitM 攻击。
  • 升级 Nginx 至最新版本[#26957]
  • 添加 Docker 19.03.11 安装脚本,解决 Docker 安全漏洞Docker CVE-2020-13401 [#27371]

功能和优化

  • AWS EC2 新增可用区af-south-1[#27088]。

实验性功能

我们提供了一种启停 Rancher 中实验性功能模块的能力。在这个版本里,您可以通过 UI 来控制“功能开关”。详情请查阅在 Rancher 中如何开启某些功能的文档。

自 v2.3.7 以来修复的主要问题

  • 修复了 Rancher Server helm chart 处理默认证书签发者时报错的问题[#27085]。
  • 修复了日志功能对接 AWS Elasticsearch 时,fluentd 出现失去网络连接的问题[#27003]。
  • 修复了在没有修改资源配额的情况下,Rancher 日志中出现比较资源配额和资源限制的问题[#26976]。

其他说明

离线安装和升级

在 v2.3.0+的版本里,离线安装不再需要手动同步 system charts 的源代码仓库,具体操作请参阅有关安装 Rancher 时,如何使用内嵌的 system charts

主要的已知问题

  • NGINX ingress controller 0.25.0 版本仅支持有 SSE4.2 指令集的 CPU [#23307]

  • Windows 集群限制 - 由于其他上游依赖的原因,Windows 集群有一些已知的限制:

    • 在使用 Flannel VXLAN (Overlay) 模式时, Windows Pods 无法访问 Kubernetes API。临时解决方案是使用 Flannel Host Gateway (L2bridge)模式。该问题将在 k8s 1.18 版本中修复。[#20968]

    • Windows 集群的日志功能仅在 Flannel Host Gateway (L2bridge)模式下可以使用。该问题将在 k8s 1.18 版本中修复。[#20510]

  • HPA 限制 - 因为 GKE 不支持v2beta2.autoscaling版本的 API。所以在 Rancher UI 中无法通过 UI 管理 GKE 集群的 HPA 资源。[#22292]

  • 安全加固限制 - 如果您按照 Rancher 的安全加固手册进行了配置,那么您会遇到一些已知的问题。

    • Rancher UI 中的 kubectl 无法工作 [#19439]
    • 流水线无法工作 [#22844]

  • 如果您使用的是从 v2.2 升级上来的环境,在向已有节点模版中添加的 Taints 后,并使用这个节点模版来扩容 Worker 节点,那么这些新的 Worker 节点可能无法正常工作。您必须在对管理节点或 etcd 节点进行扩缩容后,或是对集群进行编辑后,这些带有 Taints 的新 Worker 节点才能正常工作。因为只有在集群 Reconcile 被触发后,系统组件才会自动添加 Tolerations [#22672]

  • 在升级 Rancher 版本后,集群告警组件或集群日志组件有可能会卡在Updating状态。临时解决方案可以在这个 issue 中找到。[#21480]

  • 如果您的 Rancher Server 所在的集群配置了 OpenStack cloud provider 并设置了 LoadBalancer,并且这个 Rancher Server 所在的集群是在 v2.2.3 或者更早的版本创建的,那么直接升级到 Rancher v2.2.4 或之后的版本将会失败。您可以在这个 issue 的评论中找到这种情况下的迁移方法 [#20699]

  • 如果集群配置了 cloud provider,且以主机名或 FQDN 注册的 agents(并且通过 IP 地址注册),kube-proxy 将无法启动。您可以通过节点的 API 的返回值来进行确认。[RKE#1725]

  • 由于更新了 Fluentd Kubernetes metadata 插件,Rancher 日志采集的格式发送了变化。json 格式的日志将不能被处理,所以在采集到的日志里将无法把 json 格式日志合并作为顶层键。我们在这个 issue 中,通过另外一种方式,重新提供了这个能力 [#23646]

版本信息

镜像

  • rancher/rancher:v2.3.8
  • rancher/rancher-agent:v2.3.8

工具

Kubernetes 版本

注:在 v2.3.0+版本中,在有新的 Kubernetes 版本可用时,即使不升级 Rancher 版本,我们也会自动向您推送这些版本。所以您在 Rancher UI 中看到的可用版本,可能会高于如下版本。

升级和回滚

重要

在回滚的时候,您将会被回滚到升级之前的状态。任何在升级后进行的改动将无法被保留。

Rancher 支持升级回滚操作。在修改 Rancher 版本时,请先确认您要升级到或者回滚到的 Rancher 版本。

请注意,在升级到 v2.3.0 或者以上版本时,第一次修改通过 Rancher v2.3.0 之前版本部署的 RKE 集群时,由于要向系统组件中加入 Tolerations,该集群全部的系统组件将会自动重启。

如果您的 Rancher HA 在使用 低于 v0.9.1 的 cert-manager,并且是自签名证书,由于 cert-manager 最新的变化,您需要升级 cert-manager 的版本。具体操作请参阅有关如何升级 cert-manager的文档。

Assets

请在这里获取该版本的 Assets。