9 - 示例配置

有许多不同的配置选项可以在集群配置文件中为RKE设置。以下是一些示例配置:

Rancher 2用户注意事项 如果在创建Rancher Launched Kubernetes时使用配置文件配置集群选项,则kube_apikube_controller服务名称应仅包含下划线。这仅适用于Rancher v2.0.5和v2.0.6

最小cluster.yml示例

  1. nodes:
  2.     - address: 1.2.3.4
  3.       user: ubuntu
  4.       role:
  5.         - controlplane
  6.         - etcd
  7.         - worker

完整 cluster.yml 示例

当前版本v0.2.2

  1. nodes:
  2.     - address: 1.1.1.1
  3.       user: ubuntu
  4.       role:
  5.         - controlplane
  6.         - etcd
  7.       ssh_key_path: /home/user/.ssh/id_rsa
  8.       port: 2222
  9.     - address: 2.2.2.2
  10.       user: ubuntu
  11.       role:
  12.         - worker
  13.       ssh_key: |-
  14.         -----BEGIN RSA PRIVATE KEY-----
  16.         -----END RSA PRIVATE KEY-----
  17.     - address: example.com
  18.       user: ubuntu
  19.       role:
  20.         - worker
  21.       hostname_override: node3
  22.       internal_address: 192.168.1.6
  23.       labels:
  24.         app: ingress
  26. # 如果设置为true,则可以使用不受支持的Docker版本
  27. ignore_docker_version: false
  29. # 集群等级的SSH私钥(private key)
  30. ## 如果节点未配置SSH私钥,RKE将会以此私钥去连接集群节点
  31. ssh_key_path: ~/.ssh/test
  33. # 使用SSH agent来提供SSH私钥
  34. ## 需要配置环境变量`SSH_AUTH_SOCK`指向已添加私钥的SSH agent
  35. ssh_agent_auth: false
  37. # 配置docker root目录
  38. docker_root_dir: "/var/lib/docker"
  40. # 私有仓库
  41. ## 当设置`is_default: true`后,构建集群时会自动在配置的私有仓库中拉取镜像
  42. ## 如果使用的是DockerHub镜像仓库,则可以省略`url`或将其设置为`docker.io`
  43. ## 如果使用内部公开仓库,则可以不用设置用户名和密码
  45. private_registries:
  46.     - url: registry.com
  47.       user: Username
  48.       password: password
  49.       is_default: true
  51. # 堡垒机
  52. ## 如果集群节点需要通过堡垒机跳转,那么需要为RKE配置堡垒机信息
  53. bastion_host:
  54.     address: x.x.x.x
  55.     user: ubuntu
  56.     port: 22
  57.     ssh_key_path: /home/user/.ssh/bastion_rsa
  58. # or
  59. #   ssh_key: |-
  60. #     -----BEGIN RSA PRIVATE KEY-----
  61. #
  62. #     -----END RSA PRIVATE KEY-----
  64. # 设置Kubernetes集群名称
  65. cluster_name: mycluster
  67. # 定义kubernetes版本.
  68. ## 目前, 版本定义需要与rancher/types defaults map相匹配: https://github.com/rancher/types/blob/master/apis/management.cattle.io/v3/k8s_defaults.go#L14
  69. ## 如果同时定义了kubernetes_version和system_images中的kubernetes镜像,则system_images配置将优先于kubernetes_version
  70. kubernetes_version: v1.13.5-rancher1
  72. # `system_images`优先级更高,如果没有单独指定`system_images`镜像,则会使用`kubernetes_version`对应的默认镜像版本。
  73. ## 默认Tags: https://github.com/rancher/types/blob/master/apis/management.cattle.io/v3/k8s_defaults.go)
  74. system_images:
  75.   etcd: rancher/coreos-etcd:v3.2.24-rancher1
  76.   alpine: rancher/rke-tools:v0.1.27
  77.   nginx_proxy: rancher/rke-tools:v0.1.27
  78.   cert_downloader: rancher/rke-tools:v0.1.27
  79.   kubernetes_services_sidecar: rancher/rke-tools:v0.1.27
  80.   kubedns: rancher/k8s-dns-kube-dns:1.15.0
  81.   dnsmasq: rancher/k8s-dns-dnsmasq-nanny:1.15.0
  82.   kubedns_sidecar: rancher/k8s-dns-sidecar:1.15.0
  83.   kubedns_autoscaler: rancher/cluster-proportional-autoscaler:1.0.0
  84.   coredns: coredns/coredns:1.2.6
  85.   coredns_autoscaler: rancher/cluster-proportional-autoscaler:1.0.0
  86.   kubernetes: rancher/hyperkube:v1.13.5-rancher1
  87.   flannel: rancher/coreos-flannel:v0.10.0-rancher1
  88.   flannel_cni: rancher/flannel-cni:v0.3.0-rancher1
  89.   calico_node: rancher/calico-node:v3.4.0
  90.   calico_cni: rancher/calico-cni:v3.4.0
  91.   calico_controllers: ""
  92.   calico_ctl: rancher/calico-ctl:v2.0.0
  93.   canal_node: rancher/calico-node:v3.4.0
  94.   canal_cni: rancher/calico-cni:v3.4.0
  95.   canal_flannel: rancher/coreos-flannel:v0.10.0
  96.   weave_node: weaveworks/weave-kube:2.5.0
  97.   weave_cni: weaveworks/weave-npc:2.5.0
  98.   pod_infra_container: rancher/pause:3.1
  99.   ingress: rancher/nginx-ingress-controller:0.21.0-rancher3
  100.   ingress_backend: rancher/nginx-ingress-controller-defaultbackend:1.4-rancher1
  101.   metrics_server: rancher/metrics-server:v0.3.1
  103. services:
  104.     etcd:
  105.       # if external etcd is used
  106.       # path: /etcdcluster
  107.       # external_urls:
  108.       #   - https://etcd-example.com:2379
  109.       # ca_cert: |-
  110.       #   -----BEGIN CERTIFICATE-----
  111.       #   xxxxxxxxxx
  112.       #   -----END CERTIFICATE-----
  113.       # cert: |-
  114.       #   -----BEGIN CERTIFICATE-----
  115.       #   xxxxxxxxxx
  116.       #   -----END CERTIFICATE-----
  117.       # key: |-
  118.       #   -----BEGIN PRIVATE KEY-----
  119.       #   xxxxxxxxxx
  120.       #   -----END PRIVATE KEY-----
  121.       # Rancher 2用户注意事项:如果在创建Rancher Launched Kubernetes时使用配置文件配置集群,则`kube_api`服务名称应仅包含下划线。这仅适用于Rancher v2.0.5和v2.0.6。
  123.       # 以下参数仅支持RKE部署的etcd集群
  125.       # 开启自动备份
  126.       ## rke版本大于等于0.2.x或rancher版本大于等于2.2.0时使用
  127.       backup_config:
  128.         enabled: true
  129.         interval_hours: 12
  130.         retention: 6
  131.       ## rke版本小于0.2.x或rancher版本小于2.2.0时使用
  132.       snapshot: true
  133.       creation: 5m0s
  134.       retention: 24h
  135.       # 扩展参数
  136.       extra_args:
  137.         # 修改空间配额为$((4*1024*1024*1024)),默认2G,最大8G
  138.         quota-backend-bytes: '4294967296'
  139.     kube-api:
  140.       # cluster_ip范围
  141.       ## 这必须与kube-controller中的service_cluster_ip_range匹配
  142.       service_cluster_ip_range: 10.43.0.0/16
  143.       # NodePort映射的端口范围
  144.       service_node_port_range: 30000-32767
  145.       # Pod安全策略
  146.       pod_security_policy: false
  147.       # kubernetes API server扩展参数
  148.       ## 这些参数将会替换默认值
  149.       extra_args:
  150.         # 启用审计日志到标准输出
  151.         audit-log-path: "-"
  152.         # 增加删除workers的数量
  153.         delete-collection-workers: 3
  154.         # 将日志输出的级别设置为debug模式
  155.         v: 4
  156.     # Rancher 2用户注意事项:如果在创建Rancher Launched Kubernetes时使用配置文件配置集群,则`kube_controller`服务名称应仅包含下划线。这仅适用于Rancher v2.0.5和v2.0.6。
  157.     kube-controller:
  158.       # Pods_ip范围
  159.       cluster_cidr: 10.42.0.0/16
  160.       # cluster_ip范围
  161.       ## 这必须与kube-api中的service_cluster_ip_range相同
  162.       service_cluster_ip_range: 10.43.0.0/16
  163.       extra_args:
  164.         ## 控制器定时与节点通信以检查通信是否正常,周期默认5s
  165.         node-monitor-period: '5s'
  166.         ## 当节点通信失败后,再等一段时间kubernetes判定节点为notready状态。
  167.         ## 这个时间段必须是kubelet的nodeStatusUpdateFrequency(默认10s)的N倍,
  168.         ## 其中N表示允许kubelet同步节点状态的重试次数,默认40s。
  169.         node-monitor-grace-period: '20s'
  170.         ## 再持续通信失败一段时间后,kubernetes判定节点为unhealthy状态,默认1m0s。
  171.         node-startup-grace-period: '30s'
  172.         ## 再持续失联一段时间,kubernetes开始迁移失联节点的Pod,默认5m0s。
  173.         pod-eviction-timeout: '1m'
  174.     kubelet:
  175.       # 集群搜索域
  176.       cluster_domain: cluster.local
  177.       # 内部DNS服务器地址
  178.       cluster_dns_server: 10.43.0.10
  179.       # 禁用swap
  180.       fail_swap_on: false
  181.       # 扩展变量
  182.       extra_args:
  183.         ## 修改节点最大Pod数量
  184.         max-pods: "250"
  185.         ## 密文和配置映射同步时间,默认1分钟
  186.         sync-frequency: '3s'
  187.         ## Kubelet进程可以打开的文件数(默认1000000),根据节点配置情况调整
  188.         max-open-files: '2000000'
  189.         ## 与apiserver会话时的并发数,默认是10
  190.         kube-api-burst: '30'
  191.         ## 与apiserver会话时的 QPS,默认是5
  192.         kube-api-qps: '15'
  193.         ## kubelet默认一次拉取一个镜像,设置为false可以同时拉取多个镜像,
  194.         ## 前提是存储驱动要为overlay2,对应的Dokcer也需要增加下载并发数
  195.         serialize-image-pulls: 'false'
  196.         ## 拉取镜像的最大并发数,registry-burst不能超过registry-qps ,
  197.         ## 仅当registry-qps大于0(零)时生效,(默认10)。如果registry-qps为0则不限制(默认5)。
  198.         registry-burst: '10'
  199.         registry-qps: '0'
  200.         # 节点资源预留
  201.         system-reserved: 'memory=250Mi'
  202.         kube-reserved: 'memory=250Mi'
  203.         eviction-hard: 'memory.available<300Mi,nodefs.available<10%,imagefs.available<15%,nodefs.inodesFree<5%'
  205.       # 可以选择定义额外的卷绑定到服务
  206.       extra_binds:
  207.         - "/usr/libexec/kubernetes/kubelet-plugins:/usr/libexec/kubernetes/kubelet-plugins"
  208. # 目前,只支持x509验证
  209. ## 您可以选择创建额外的SAN(主机名或IP)以添加到API服务器PKI证书。
  210. ## 如果要为control plane servers使用负载均衡器,这很有用。
  211. authentication:
  212.     strategy: "x509|webhook"
  213.     webhook:
  214.       config_file: "...."
  215.       cache_timeout: 5s
  216.     sans:
  217.       # 此处配置备用域名或IP,当主域名或者IP无法访问时,可通过备用域名或IP访问
  218.       - "192.168.1.100"
  219.       - "www.test.com"
  220. # Kubernetes认证模式
  221. ## Use `mode: rbac` 启用 RBAC
  222. ## Use `mode: none` 禁用 认证
  223. authorization:
  224.     mode: rbac
  225. # 如果要设置Kubernetes云提供商,需要指定名称和配置
  226. cloud_provider:
  227.     name: aws
  228. # Add-ons是通过kubernetes jobs来部署。 在超时后,RKE将放弃重试获取job状态。以秒为单位。
  229. addon_job_timeout: 30
  230. # 有几个网络插件可以选择:`flannel、canal、calico`,Rancher2默认canal
  231. network:
  232.     plugin: canal
  233.     options:
  234.       flannel_backend_type: "vxlan"
  235. # 目前只支持nginx ingress controller
  236. ## 可以设置`provider: none`来禁用ingress controller
  237. ingress:
  238.     provider: nginx
  239.     node_selector:
  240.       app: ingress
  241. # 配置dns上游dns服务器
  242. ## 可用rke版本 v0.2.0
  243. dns:
  244.     provider: kube-dns
  245.     upstreamnameservers:
  246.     - 114.114.114.114
  247.     - 1.2.4.8
  248. # 安装附加应用
  249. ## 所有附加应用都必须指定命名空间
  250. addons: |-
  251.     ---
  252.     apiVersion: v1
  253.     kind: Pod
  254.     metadata:
  255.       name: my-nginx
  256.       namespace: default
  257.     spec:
  258.       containers:
  259.       - name: my-nginx
  260.         image: nginx
  261.         ports:
  262.         - containerPort: 80
  264. addons_include:
  265.     - https://raw.githubusercontent.com/rook/rook/master/cluster/examples/kubernetes/rook-operator.yaml
  266.     - https://raw.githubusercontent.com/rook/rook/master/cluster/examples/kubernetes/rook-cluster.yaml
  267.     - /path/to/manifest