版本说明 - v2.5.6

Rancher 2.5.6 版本于 2021 年 3 月 4 日发布。单击这里查看英文版版本说明。

重要说明

该版本解决了 Rancher 中的一个安全漏洞 CVE-2021-25313:

当使用浏览器访问 Rancher API 时,URL 没有被正确地转义,使其容易受到 XSS 攻击。到这些 API 端点的特别制作的 URL 可能包括 JavaScript,这些 JavaScript 将被嵌入到页面中并在浏览器中执行。没有直接的缓解措施。避免单击不受信任的链接到您的 Rancher server。

相关 Issue:#31583

安装和升级说明

  • 由于最新的 cert-manager 版本的变化,Rancher 的安装或升级必须与 Helm 3.2.x+一起进行。相关 Issue:29213
  • 在安装 Rancher 2.5 之前,Rancher HA 集群应该升级到 Kubernetes 1.17+。
  • 如果在离线安装的 Rancher 前使用代理,必须向 NO_PROXY 传递附加参数。相关 Issue:2725
  • 不能再关闭本地集群,这意味着所有管理员都可以访问本地集群。如果你想限制本地集群的权限,必须使用一个新的集群角色:restricted-admin role。相关 Issue:29235

Docker 安装

  • 启动 Rancher Docker 容器时,必须使用privileged标志。更多信息请参见离线单节点安装指南
  • 当在离线环境中安装时,你必须向 Docker 运行命令提供一个自定义 registries.yaml 文件,如 k3s 文档中所示。如果镜像仓库有证书,那么你也需要提供。相关 Issue:28969
  • 围绕启动时间的 UI 问题。相关 Issue:2880028798

Kubernetes 1.19 + firewalld

  • 如果您使用的 Kubernetes 版本为 1.19 或更新的版本,我们建议禁用 firewalld,因为它与各种 CNI 插件不兼容。

版本

下面的版本为当前的最新版和稳定版:

类型Rancher 版本Docker 标签Helm 仓库Helm Chart 版本
最新版v2.5.6rancher/rancher:latestserver-charts/latestv2.5.6
稳定版v2.5.6rancher/rancher:stableserver-charts/stablev2.5.6

改进和优化

  • 增加了对 Kubernetes v1.20 的支持。
  • 增加了为代理设置环境变量的功能,以支持代理后的下游集群,相关 Issue:#31370
  • 增加了 ingress.enabled rancher Helm 标志。当设置为 false 时,Helm 将不会安装 Rancher ingress。
  • EKS
    • 增加了为 EKS 管理的节点组使用启动模板的功能,相关 Issue:#30019 #30020
  • 节点池增强
    • 增加了在缩减节点池时选择要删除的节点的功能,相关 Issue:#22871
    • 增加了在删除时选择 draining 的功能,以便在缩减节点池时使用,相关 Issue:#27458
  • vSphere 提供商—增加了通过集群资源管理器中的应用程序和市场配置 vSphere 外部云提供商的功能。通过使用 vSphere 云提供商接口 (CPI) 和云存储接口 (CSI) Helm Chart,可以配置 vsphere 提供商。注意:您的集群必须将云提供商设置为外部,以便集群允许提供商配置。对于已经在使用 vSphere 提供商的用户,可提供迁移文档,相关 Issue:#20131 #23357
  • RKE
    • 增加了在 RKE 插件上设置 PriorityClassName 的功能,相关 Issue:#30047
    • 新增配置 etcd 备份工作超时值的功能,相关 Issue:#30663
  • 持续交付
    • 以前任何新的 Fleet Helm Chart 都会自动部署到任何现有的 Rancher 安装中,从 v2.5.6 开始,我们增加了为 Fleet Helm Chart 设置最低版本的功能,这样他们就不会自动部署了,相关 Issue:#30934
  • Windows
    • 增加了在 Windows 2004 和 20H2 服务器上部署的能力,相关 Issue:#27451 #30701 #30808
    • 增加了在 Windows 集群上运行 Fleet 的能力,相关 Issue:#30516
  • Linode Kubernetes Engine (LKE)现在可以作为集群驱动使用,新的 Kubernetes 集群可以直接用 LKE 旋转起来。集群驱动默认是不活跃的,需要激活后才能作为一个选项出现。

集群浏览器

日志:支持配置资源设置#31099

集群管理工具

  • 为监控和 Istio charts 添加了最低 CPU 和内存,以防止在没有足够资源的情况下在集群上安装 Chart 相关 Issue:#30684 #30144

  • 日志

    • 新增 3.9.0 ,相关 Issue:#30917
    • 增加了在 fluentd 上安装证书的功能,相关 Issue:#29784

  • Istio:新增 v1.8.3,相关 Issue:#29812 #29812 #29812

  • OPA Gatekeeper:

    • 更新为 GA,相关 Issue:#31203
    • 新增 v3.3.0 #31204

自 v2.5.5 以来修复的主要问题

  • 修正了 Rancher server chart 无法在没有入口的情况下安装到 Kubernetes 集群的问题。#30535
  • 修正在升级后,etcd 会增加流量和内存使用量的问题。#30168
  • 修正了一个公共 Helm chart 在代理后的集群上无法工作的问题。#29961
  • 修正了一个遥测客户端有套接字泄漏并导致升级问题或一般 k8s 问题的问题。#28360 #27870
  • 修正了 in-tree cloud 提供商配置中的 vSphere vCenter 服务器条目不会被删除的问题。#30606
  • 修正了集群私有镜像仓库不能与节点驱动程序提供的集群的 rancher-agent 镜像一起使用的问题。#30605
  • 修正了使用 SLES15 AMI 时 EC2 节点供应失败的问题。#30717
  • 修正了节点的 pods 有 emptyDir 卷,在缩小规模时,节点不会在删除前耗尽的问题。#31455
  • 修正了一个 RKE 集群在有 Cordoned 工人节点并开始移除主节点时卡住的问题。#30049
  • 修正了导入的集群会从代理返回 404 的问题。#15172
  • 修正了一个 Windows 节点在没有设置 prefixPath 的情况下无法创建 RKE 日志目录的问题。#30966
  • 修正了 Cluster Explorer 中的监控在 Windows 服务器核心版本上无法工作的问题。#27911
  • 修正了用 StartTLS 配置 OpenLDAP 时的一个问题。#30930
  • 修正了 Fleet 中 GitRepos 和集群卡在修改状态的问题。#30696
  • 修正了在 Fleet 中添加路径中含有大写字母的 Git repo 会失败的问题。#30792
  • 修正了以前在新的 AKS 集群上集群管理器用户界面中的日志记录失败的问题。#30425
  • 修正了 Cluster Explorer 中的日志记录在非标准 Docker 根目录下无法使用的问题。#30329
  • 修正了当一个集群中的节点在多个不同的子域下有 FQDN 主机名时,显示名称不正确的问题。#27873
  • 修正了 ClusterRoleBinding 的 apiVersion 会对任何 k8s 1.19 集群记录废弃警告的问题。#30043
  • 修正了集群管理器和集群资源管理器中的一系列用户界面问题。

UI 更新

自 2.0 版本以来,Rancher 中的主要 UI 是 Cluster Manager。我们在 Rancher 2.4 中实验性地发布新的 UI Cluster Explorer 仪表盘,已经升级到 GA 状态。有一些新的功能只在新的 Cluster Explorer 仪表盘中可用。这些新功能中的一些功能与 Cluster Manager 中的现有功能类似,我们将尝试根据它们在 UI 中的位置来区分它们。

Cluster Manager 和 Cluster Explorer 中的重复功能

  • 由于潜在的 CRD 冲突,任何时候只能安装 1 个版本的功能。
  • 每个功能只能由它所部署的用户界面来管理。
  • 如果您在 Cluster Manager 中安装了该功能,则必须在 Cluster Manager 中卸载,然后再尝试在 Cluster Explorer 仪表盘中安装新版本。

其他说明

已废弃的功能

功能描述
Cluster Manager - Rancher 监控Cluster Manager UI 中的监控已被新的监控图所取代,该监控图可在 Cluster Explorer 中的 Apps & Marketplace 中使用。
Cluster Manager - Rancher 告警和通知告警和通知功能现在直接与集群资源管理器中的应用程序和市场中可用的新监控图集成。
Cluster Manager - Rancher 日志使用集群资源管理器中的应用程序和市场中可用的新的日志,用新的日志解决方案替换功能。
Cluster Manager - 多集群应用部署现在建议使用 Cluster Explorer 中可用的由 Fleet 支持的 Rancher 持续交付处理部署到多个集群。
Cluster Manager - Kubernetes CIS 1.4扫描 Kubernetes CIS 1.5+基准扫描现在被一个新的扫描工具所取代,该工具部署在 Cluster Explorer 中的应用程序和市场中的 cis 基准图。
luster Manager - Rancher 流水线基于 Git 的部署管道现在推荐使用 Cluster Explorer 中可用的由 Fleet 支持的 Rancher 持续交付来处理。
Cluster Manager - Istio v1.5Istio 项目已经结束对 Istio 1.5 的支持,并建议所有用户升级。Istio 1.7 现在可以在 Cluster Explorer 的 Apps & Marketplace 中作为 Istio Chart 使用。

已知问题

  • Kubernetes v1.20 有一个 vSphere in-tree 云提供商的问题。Rancher 从 v2.5.6 开始支持 out-of-tree vSphere 云提供商,也就是引入 k8s 1.20 支持的时候。#31172
  • 不支持使用自定义加密提供商旋转加密密钥。#30539
  • 在集群资源管理器中记录可能无法捕获云提供商的所有 kubelet 日志。#30383
  • Istio 1.5.10 不支持在离线环境中使用。
  • 在离线环境设置中,用于在私镜像仓库中镜像的生成的 rancher-images.txt 并不包含运行 Monitoring in Cluster Manager v0.1.x 所需的镜像。运行 k8s 1.15 及以下版本的集群将需要升级其 k8s 版本并利用 Monitoring in Cluster Manager v0.2.x 或升级到 Monitoring in Cluster Explorer。

Cluster Explorer 功能注意事项和升级

  • 一般问题
    • 并非所有的新功能目前都可以安装在加固的集群上。
    • 新功能预计将使用 Helm3 CLI 而不是 Rancher CLI 进行部署。
    • 新的日志和监控功能还不能与 Windows 集群一起使用。
  • Rancher 备份
    • 当迁移到具有 Rancher 备份功能的集群时,服务器-url 不能更改到不同的位置,必须继续使用相同的 URL。
    • Rancher 持续交付(Fleet)在备份期间不处理备份#69
  • 监控
    • 在使用 Rancher 监控来监控使用 RancherOS 主机的集群中的 etcd 节点时,存在一个已知的问题。如果您的 etcd 平面仅由 RancherOS 主机组成,可以在这里找到这个问题的解决方法。然而,对于在其 etcd 平面中混合使用 RancherOS 和非 RancherOS 主机的集群,没有现有的解决方法#29815
    • 监控有时会在安装时出错,因为它不能识别 CRD#29171

镜像

  • rancher/rancher:v2.5.6
  • rancher/rancher-agent:v2.5.6

工具

Kubernete 版本

  • 1.20.4 (default)
  • 1.19.8
  • 1.18.16
  • 1.17.17

升级和回滚

Rancher 支持升级和回滚两种方式。请注意您要升级或回滚的版本来更改 Rancher 版本。

请注意,升级到 v2.3.0+后,由于增加了对 Kubernetes 系统组件的容忍度,对 Rancher 启动的 Kubernetes 集群的任何编辑都会导致所有系统组件重启。据此进行规划。

最近对 cert-manager 的更改需要升级,如果您有使用自签名证书的 Rancher 的 HA 安装。如果您使用的 cert-manager 比 v0.9.1 旧,请查看关于如何升级 cert-manager 的文档。

重要:当回滚时,我们希望您回滚到升级时的状态。任何升级后的变化都不会被反映出来。

Assets

请在这里获取该版本的 Assets。