版本说明 - v2.5.8

Rancher 2.5.8 版本于 2021 年 5 月 6 日发布。单击这里查看英文版版本说明。

安装和升级说明

  • Rancher 的安装或升级必须与 Helm 3.2.x+一起进行,因为最新的 cert-manager 版本有变化。#29213
  • 在安装 Rancher 2.5 之前,Rancher Server 的本地 Kubernetes 集群应升级到 Kubernetes 1.17 以上。
  • 如果在离线环境的 Rancher 前面使用代理,你必须向 NO_PROXY 传递额外的参数。 #2725
  • 本地集群不能再被关闭,这意味着所有管理员都可以访问本地集群。如果你想限制本地集群的权限,有一个新的限制性管理员角色,必须使用。现在可以通过在 v3/settings API 中设置 hide_local_cluster 为 true 来禁用对本地集群的访问。 #29325
  • 对于从 v2.4.4 以及之前的 Rancher 升级到 v2.5.x 并启用了 ACI CNI 的集群的用户,请注意,升级 Rancher 将导致集群自动调节。这适用于 Kubernetes 版本 v1.17.16-rancher1-1、v1.17.17-rancher1-1、v1.17.17-rancher2-1、v1.18.14-rancher1-1、v1.18.15-rancher1-1、v1.18.16-rancher1-1 以及 v1.18.17-rancher1-1。在升级到 v2.5.x 之前,请参考解决方法。 #32002
  • 对于从 v2.4.8(<=RKE v1.1.6)以及之前的 Rancher 升级到 v2.4.12+(RKE v1.1.13+)/v2.5.0+(RKE v1.2.0+)的用户,请注意,由于 kube-proxy 绑定的变化,编辑和保存集群(即使没有变化或像集群名称这样的琐碎变化)将导致集群和解并在所有节点升级 kube-proxy。这只发生在第一次编辑时,以后的编辑应该不会影响集群。#32216
  • 对于在离线环境中安装或升级 Rancher,请在 Helm 模板命令中添加--no-hooks标志,以跳过 Helm 的 hooks 渲染文件。#3226
  • 目前有一个设置允许用户以 cron 格式配置刷新时间的长度:eks-refresh-cron。该设置现在已被废弃,并被迁移到一个新的设置中的标准秒格式:eks-refresh。如果以前设置过,迁移将自动发生。 #31789

Docker 安装

  • 启动 Rancher Docker 容器时,必须使用privileged标志。更多信息请参见离线单节点安装指南
  • 当在离线环境中安装时,你必须向 Docker 运行命令提供一个自定义 registries.yaml 文件,如 k3s 文档中所示。如果镜像仓库有证书,那么你也需要提供。相关 Issue:28969
  • 围绕启动时间的 UI 问题。相关 Issue:2880028798

Kubernetes 1.19 + firewalld

  • 如果您使用的 Kubernetes 版本为 1.19 或更新的版本,我们建议禁用 firewalld,因为它与各种 CNI 插件不兼容。

版本

下面的版本为当前的最新版和稳定版:

类型Rancher 版本Docker 标签Helm 仓库Helm Chart 版本
最新版v2.5.8rancher/rancher:latestserver-charts/latestv2.5.8
稳定版v2.5.8rancher/rancher:stableserver-charts/stablev2.5.8

监控

监控改进

  • 在 Rancher 用户界面的集群资源管理器中加入了监控图。 #30126
  • 增加了一个新的 RBAC 角色,让用户对 Grafana 仪表盘等监控组件有只读权限。#31411
  • 现在可以通过向任何命名空间添加 ConfigMap 来创建持久的 Grafana 仪表盘,创建这些仪表盘需要一个名为管理配置图的狭义权限。#31921 Docs
  • 从 v2.5.8 版开始,用户不再需要用 helm.sh/resource-policy 来手动注释 cattle-dashboards 命名空间。”keep “来防止卸载监控图时删除它及其相关资源。对于使用 Monitoring V2 v9.4.203 或以下版本的用户,仍然需要手动标记命名空间的注释:helm.sh/resource-policy: “keep”。 #31769
  • 你现在可以使用我们新的 rancher-alerting-drivers Helm 图更容易地设置 SMS 和 Teams 通知器,帮助你安装 Prometheus 不支持的警报驱动。 #29951

监测 V2 的 Windows 支持

  • 为了从 Windows 节点刮取指标,集群中的每个 Windows 节点必须使用 wins v.0.1.0。 #31842
  • 指标将使用 windows_exporter(一个社区项目,之前在 Monitoring V1 中部署时名为 wmi_exporter)从 Windows 节点中刮取。 #31148 #31497
  • 监控 V2 应用程序在所有监控组件中增加了 Linux 节点选择器和容忍度,以确保它们永远不会被部署在 Windows 主机上。 #31498
  • 我们现在允许容器将主机网络上可用的端口发布为容器端口。这允许使用 WINS 的特权容器避免在主机上暴露端口,因为它只需要在容器层面上暴露。#13
  • 从 v2.5.8 开始,当 Rancher 提供一个新的 Windows 集群时,该集群能够支持 wins 的升级,它能够使用新的监控 V2 Chart,而不需要任何改变。#31499

增强的 GKE 生命周期管理

  • 现在支持共享的 VPCs。
  • 我们现在支持更多配置私有 GKE 集群的选项。注意:这种高级设置在集群配置过程中可能需要更多步骤。详情请见本节。
  • 我们现在支持 Rancher 管理的 GKE 集群的更多配置选项。完整的选项列表请见文档。
  • 在配置 GKE 集群时,你现在可以使用可重复使用的云凭证,而不是直接使用服务账户令牌来创建集群。
  • 注册的 GKE 集群现在有了更大的管理能力。注册的 GKE 集群与通过 Rancher UI 创建的 GKE 集群有相同的配置选项。

日志

  • 升级了 Banzai 记录操作员。#31644
  • 日志现在可以在启用 SELinux 的设置上工作,并且已经在 RHEL/CentOS 7 和 8 上进行了测试。注意,如果 journald 在 RKE2 集群节点上被配置为持久模式,你需要将 systemdLogPath 设置为/var/log/journal。这是 Ubuntu 中的默认行为。#30949 #31309

日志 V2 的 Windows 支持

  • 增加了对 Windows 集群的支持。现在可以从 Windows 节点收集日志。#28721

Istio

  • 现在支持启用 PSP 的集群。已经添加了 PSP 模板,可以为 Istio、Kiali 和 Tracing 启用。#30744
  • 为 Istio 添加了 v1.9.3 和 v1.8.5 版本,它们都解决了一个漏洞。更多信息见安全公告。只有 v1.9.3 版支持离线安装。

备份增强

  • Rancher 持续交付(Fleet)和 rancher-operator 现在在备份过程中得到处理。#69

CIS 扫描增强

  • 为 RKE2 和 K3s 集群增加了对使用 CIS 1.6 基准进行 CIS 扫描的支持。#29649

Fleet 增强

  • Rancher 集群上的所有标签都可以使用 global.fleet.clusterLabels.LABELNAME。现在可以直接以变量的形式访问这些标签。#152 文档
  • 如果 Windows 集群中的 Windows 节点尚不可用,下游舰队代理现在会退回到 Linux 节点。#324
  • Fleet 现在支持使用私有 Helm 存储库进行认证。注意,不支持带密码的 SSH 密钥。#120
  • Fleet 现在支持使用 webhook 来接收来自 git 的变化。#252
  • Rancher 代理和 Fleet 代理在代理后面工作。RFE 门票。#29993 和#25412

RKE 集群增强

    • 如果 CNI 网络插件支持 Kubernetes 网络策略的执行,用户可以在任何 RKE 集群上启用项目网络隔离。以前,项目网络隔离需要 Canal 网络插件。#31338

发布镜像增强

  • 现在发布的版本包括一个带注释的副本 images.txt,显示每一个镜像的来源。#31663
  • Windows 镜像摘要现在包括在发行版中。#25222

安全问题修复

  • 在 RANCHER/NGINX-INGRESS-CONTROLLER 0.43.0-rancher1 版本的当前镜像中发现一个安全问题。这个问题被指定为 CVE-2021-3449 和 CVE-2021-3540。为了解决这个问题,镜像 “nginx-0.43.0-rancher1 “的 openssl 版本已从 1.1.1i 更新到 1.1.1k。#538 #2522
  • 在 rancher/library-nginx:1.19.2-alpine 镜像中发现了多个关键和高级 CVE。该镜像已被更新为 rancher/library-nginx:1.19.9-alpine,并解决了所列的 CVE 问题。#82 #440
    • Curl: CVE-2020-8231, CVE-2020-8285, CVE-2020-8169, CVE-2020-8286, and - CVE-2020-8177
    • libxml2: CVE-2020-24977
    • freetype: CVE-2020-15999
    • musl: CVE-2020-28928

问题修复

  • 修正了几个 UI 问题。
  • 为 ClusterRoleBinding 和 RoleBinding 资源切换到确定性的命名策略,以减少重复问题。#29932
  • 对于 Fleet、Rancher-Operator 或 Rancher-Webhook 等应用,卸载 Rancher 后不再留下集群中运行的 pod。#30924
  • 使用 RKE 时在集群资源管理器中进行日志记录不再在/var/lib/rancher/logging/rke 中创建大文件。升级后,该文件可以被安全删除。#31309
  • EKS 包含一个错误,当使用默认用户数据时,某些区域在部署过程中失败。#31612
  • 在配置 EC2 集群时,AMI 现在是最新的。#31708
  • 当使用私有镜像仓库配置 RKE 集群时,私有镜像仓库将正确应用于所有系统镜像。#31726
  • 用于离线环境的 Windows 镜像现在可用于在 rancher/charts 中维护的 Chart。#32290
  • 删除具有多个节点的 nodepool 不再错误地只删除提供者中的一个节点。#31765
  • 升级 Rancher 后,新节点不再卡在 “等待注册 “阶段。#31999
  • RKE 中的私有镜像仓库设置现在被 kubectl/shell 和 Helm 操作舱所尊重。#30735
  • 超过保留期的 GCS 备份现在会被删除。#30565
  • 为基于系统项目的命名空间添加了 NetworkPolicy 资源,以便在启用项目网络隔离时允许 Hardened CIS 扫描通过。30211
  • 在禁用项目网络隔离时,仅删除 Rancher 创建的 NetworkPolicy 资源。#30135
  • AWS 中国地区的域现在被列入白名单,以允许用户使用与 AWS 中国地区相关的云凭证来添加和编辑 EKS 集群。#29666
  • 亚马逊 EC2 节点现在可以在 AWS 中东地区自动配置了。#31980
  • PSP 模板注释现在可以正确应用于下游集群 PSP。只有名称不包含.cattle.io/的注释才被应用。#22093

UI 更新

自 2.0 版本以来,Rancher 中的主要 UI 是 Cluster Manager。我们在 Rancher 2.4 中实验性地发布新的 UI Cluster Explorer 仪表盘,已经升级到 GA 状态。有一些新的功能只在新的 Cluster Explorer 仪表盘中可用。这些新功能中的一些功能与 Cluster Manager 中的现有功能类似,我们将尝试根据它们在 UI 中的位置来区分它们。

Cluster Manager 和 Cluster Explorer 中的重复功能

  • 由于潜在的 CRD 冲突,任何时候只能安装 1 个版本的功能。
  • 每个功能只能由它所部署的用户界面来管理。
  • 如果您在 Cluster Manager 中安装了该功能,则必须在 Cluster Manager 中卸载,然后再尝试在 Cluster Explorer 仪表盘中安装新版本。

其他说明

已废弃的功能

功能描述
Cluster Manager - Rancher 监控Cluster Manager UI 中的监控已被新的监控图所取代,该监控图可在 Cluster Explorer 中的 Apps & Marketplace 中使用。
Cluster Manager - Rancher 告警和通知告警和通知功能现在直接与集群资源管理器中的应用程序和市场中可用的新监控图集成。
Cluster Manager - Rancher 日志使用集群资源管理器中的应用程序和市场中可用的新的日志,用新的日志解决方案替换功能。
Cluster Manager - 多集群应用部署现在建议使用 Cluster Explorer 中可用的由 Fleet 支持的 Rancher 持续交付处理部署到多个集群。
Cluster Manager - Kubernetes CIS 1.4扫描 Kubernetes CIS 1.5+基准扫描现在被一个新的扫描工具所取代,该工具部署在 Cluster Explorer 中的应用程序和市场中的 cis 基准图。
luster Manager - Rancher 流水线基于 Git 的部署管道现在推荐使用 Cluster Explorer 中可用的由 Fleet 支持的 Rancher 持续交付来处理。
Cluster Manager - Istio v1.5Istio 项目已经结束对 Istio 1.5 的支持,并建议所有用户升级。Istio 1.7 现在可以在 Cluster Explorer 的 Apps & Marketplace 中作为 Istio Chart 使用。

已知问题

  • Kubernetes v1.20 有一个 vSphere in-tree 云提供商的问题。Rancher 从 v2.5.6 开始支持 out-of-tree vSphere 云提供商,也就是引入 k8s 1.20 支持的时候。#31172
  • 不支持使用自定义加密提供商旋转加密密钥。#30539
  • 在集群资源管理器中记录可能无法捕获云提供商的所有 kubelet 日志。#30383
  • Istio 1.5.10 不支持在离线环境中使用。
  • 在离线环境设置中,用于在私镜像仓库中镜像的生成的 rancher-images.txt 并不包含运行 Monitoring in Cluster Manager v0.1.x 所需的镜像。运行 k8s 1.15 及以下版本的集群将需要升级其 k8s 版本并利用 Monitoring in Cluster Manager v0.2.x 或升级到 Monitoring in Cluster Explorer。

Cluster Explorer 功能注意事项和升级

  • 一般问题
    • 并非所有的新功能目前都可以安装在加固的集群上。
    • 新功能预计将使用 Helm3 CLI 而不是 Rancher CLI 进行部署。
    • 新的日志和监控功能还不能与 Windows 集群一起使用。
  • Rancher 备份
    • 当迁移到具有 Rancher 备份功能的集群时,服务器-url 不能更改到不同的位置,必须继续使用相同的 URL。
    • Rancher 持续交付(Fleet)在备份期间不处理备份#69
  • 监控
    • 在使用 Rancher 监控来监控使用 RancherOS 主机的集群中的 etcd 节点时,存在一个已知的问题。如果您的 etcd 平面仅由 RancherOS 主机组成,可以在这里找到这个问题的解决方法。然而,对于在其 etcd 平面中混合使用 RancherOS 和非 RancherOS 主机的集群,没有现有的解决方法#29815
    • 监控有时会在安装时出错,因为它不能识别 CRD#29171

版本信息

镜像

  • rancher/rancher:v2.5.8
  • rancher/rancher-agent:v2.5.8

Kubernete 版本

  • 1.20.6 (default)
  • 1.19.10
  • 1.18.18
  • 1.17.17

工具

升级和回滚

Rancher 支持升级和回滚两种方式。请注意您要升级或回滚的版本来更改 Rancher 版本。

请注意,升级到 v2.3.0+后,由于增加了对 Kubernetes 系统组件的容忍度,对 Rancher 启动的 Kubernetes 集群的任何编辑都会导致所有系统组件重启。据此进行规划。

最近对 cert-manager 的更改需要升级,如果您有使用自签名证书的 Rancher 的 HA 安装。如果您使用的 cert-manager 比 v0.9.1 旧,请查看关于如何升级 cert-manager 的文档。

重要:当回滚时,我们希望您回滚到升级时的状态。任何升级后的变化都不会被反映出来。

Assets

请在这里获取该版本的 Assets。