Rancher Helm Chart 选项说明

通用选项

高级选项

API 审计日志

启用 API 审计日志。

你可以像收集任何容器日志一样收集此日志。为 Rancher Server 集群上的 System 项目启用日志。

--set auditLog.level=1

默认情况下，启用审计日志将在 Rancher pod 中创建一个 sidecar 容器。这个容器（rancher-audit-log）会将日志流传输到 stdout。您可以像收集任何容器日志一样收集此日志。将 sidecar 用作审计日志时， hostPath ， maxAge ， maxBackups 和 maxSize选项不适用。建议使用您的操作系统或 Docker 守护进程的日志轮换功能来控制磁盘空间的使用。请为 Rancher Server 启用日志服务。

将 auditLog.destination 的值设置为 hostPath，可以将日志转发至与主机系统共享的卷，而不是传输到 Sidecar 容器。将目标设置为 hostPath 时，您可能需要调整其他 auditLog 参数以进行日志轮换。

HTTP 代理

Rancher 需要 Internet 访问才能使用某些功能 (helm charts)。使用 proxy 设置你的代理服务器。

在 noProxy 列表中添加例外的 IP。确保添加了 Pod 集群 IP 范围（默认：10.42.0.0/16），Service 集群 IP 范围（默认：10.43.0.0/16），内部集群域（默认：.svc, .cluster.local）和任何 worker 集群 controlplane 节点。Rancher 在这个列表中支持 CIDR 符号范围。

--set proxy="http://<username>:<password>@<proxy_url>:<proxy_port>/"
--set noProxy="127.0.0.0/8\,10.0.0.0/8\,172.16.0.0/12\,192.168.0.0/16\,.svc\,.cluster.local"

外部 TLS Termination

我们建议将负载均衡器配置为 4 层均衡器，将普通 80/tcp 和 443/tcp 转发到 Rancher 管理集群节点。集群上的 Ingress Controller 会将端口 80 上的 http 通信重定向到端口 443 上的 https。

您可以在 Rancher 集群（ingress）外部的 L7 负载均衡器上终止 SSL/TLS。使用 --set tls=external 选项，将负载均衡器指向所有 Rancher 集群节点上的端口 http 80。这将在 http 端口 80 上公开 Rancher 接口。请注意，允许直接连接到 Rancher 集群的客户端将不会被加密。如果您选择这样做，我们建议您将网络级别上的直接访问限制为仅用于您的负载均衡器。

注意事项: 如果您使用的是专用 CA 签名的证书，请添加 --set privateCA=true 并参阅添加 TLS 密文 - 使用私有的 CA 签名证书来完成给 Rancher 添加 CA 证书。

您的负载均衡器必须支持长期存在的 Websocket 连接，并且需要插入代理标头，以便 Rancher 可以正确路由链接。