|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
Automatisierte Upgrades
Übersicht
Sie können K3s-Cluster-Upgrades mit dem System-Upgrade-Controller von Rancher verwalten. Dies ist ein Kubernetes-nativer Ansatz für Cluster-Upgrades. Es nutzt eine Plan benutzerdefinierte Ressource, um deklarativ zu beschreiben, welche Knoten aktualisiert werden sollen und auf welche Version.
Der Plan definiert Upgrade-Richtlinien und Anforderungen. Er definiert auch, welche Knoten über einen Label-Selector aktualisiert werden sollen. Siehe unten für Pläne mit Standardwerten, die für die Aktualisierung eines K3s-Clusters geeignet sind. Für fortgeschrittene Konfigurationsoptionen des Plans siehe die oben verlinkte Plan-Dokumentation.
Der System-Upgrade-Controller plant Upgrades, indem er Pläne überwacht und Knoten auswählt, auf denen Upgrade-https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/[Jobs] ausgeführt werden sollen. Wenn ein Job erfolgreich abgeschlossen wurde, wird der Knoten, auf dem er ausgeführt wurde, entsprechend gekennzeichnet.
|
Wenn der K3s-Cluster von Rancher verwaltet wird, sollten Sie die Rancher-Benutzeroberfläche verwenden, um Upgrades zu verwalten.
|
Verwendung des System-Upgrade-Controllers
Um Upgrades zu automatisieren, müssen Sie Folgendes tun:
-
Installieren Sie den System-Upgrade-Controller in Ihrem Cluster
-
Erstellen Sie Pläne, die beschreiben, welche Gruppen von Knoten aktualisiert werden sollen und wie.
Für weitere Details zum Design und zur Architektur des System-Upgrade-Controllers oder seiner Integration mit K3s siehe die folgenden Git-Repositories:
|
Beim Versuch, auf eine neue Version von K3s zu aktualisieren, gilt die Kubernetes-Version-Skew-Richtlinie. Stellen Sie sicher, dass Ihr Plan keine Zwischenversionen überspringt, wenn Sie ein Upgrade durchführen. Der System-Upgrade-Controller selbst schützt nicht vor nicht unterstützten Änderungen an der Kubernetes-Version. |
Installation
Das Manifest des System-Upgrade-Controllers installiert eine benutzerdefinierte Ressourcenbeschreibung, Implementierung, Dienstkonto, Cluster-Rollenbindung und ConfigMap. Um diese Komponenten zu installieren, führen Sie den folgenden Befehl aus:
kubectl apply -f https://github.com/rancher/system-upgrade-controller/releases/latest/download/crd.yaml -f https://github.com/rancher/system-upgrade-controller/releases/latest/download/system-upgrade-controller.yamlDer Controller kann über die zuvor erwähnte ConfigMap konfiguriert und angepasst werden, aber der Controller-Pod muss gelöscht werden, damit die Änderungen wirksam werden.
Konfiguration
Serverknoten sollten immer vor Agentenknoten mit einem Upgrade versehen werden. Aus diesem Grund wird empfohlen, mindestens zwei Pläne zu erstellen: einen Plan für das Upgrade von Serverknoten (Control-Plane-Knoten) und einen Plan für das Upgrade von Agentenknoten. Sie können bei Bedarf zusätzliche Pläne erstellen, um die Einführung des Upgrades über die Knoten zu steuern. Nachdem die Pläne erstellt wurden, nimmt der Controller sie auf und beginnt, Ihren Cluster zu upgraden.
Die folgenden zwei Beispielpläne halten Ihr Cluster kontinuierlich auf der aktuellen stabilen Version, indem sie den stabilen Release-Kanal anvisieren.
# Server plan
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
name: server-plan
namespace: system-upgrade
spec:
concurrency: 1
cordon: true
nodeSelector:
matchExpressions:
- key: node-role.kubernetes.io/control-plane
operator: In
values:
- "true"
serviceAccountName: system-upgrade
upgrade:
image: rancher/k3s-upgrade
channel: https://update.k3s.io/v1-release/channels/stable
---
# Agent plan
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
name: agent-plan
namespace: system-upgrade
spec:
concurrency: 1
cordon: true
nodeSelector:
matchExpressions:
- key: node-role.kubernetes.io/control-plane
operator: DoesNotExist
prepare:
args:
- prepare
- server-plan
image: rancher/k3s-upgrade
serviceAccountName: system-upgrade
upgrade:
image: rancher/k3s-upgrade
channel: https://update.k3s.io/v1-release/channels/stableEs gibt einige wichtige Punkte, die in Bezug auf diese Pläne hervorgehoben werden sollten:
-
Die Pläne müssen im selben Namespace erstellt werden, in dem der Controller implementiert ist.
-
Das
concurrencyFeld gibt an, wie viele Knoten gleichzeitig mit einem Upgrade versehen werden können. -
Der Server-Plan zielt auf Serverknoten ab, indem er einen Label-Selector angibt, der Knoten mit dem
node-role.kubernetes.io/control-planeLabel auswählt. Der Agentenplan zielt auf Agentenknoten ab, indem er einen Label-Selector angibt, der Knoten ohne dieses Label auswählt. -
Der
prepareSchritt im Agentenplan bewirkt, dass Upgrade-Jobs für diesen Plan warten, bis der Serverplan abgeschlossen ist, bevor sie ausgeführt werden. Diese Logik ist in das Image integriert, das für den Vorbereitungsschritt verwendet wird, und ist nicht Teil des System-Upgrade-Controllers selbst. -
Beide Pläne haben das
channelFeld auf die URL des stabilen Release-Kanals gesetzt. Dies bewirkt, dass der Controller diese URL überwacht und den Cluster jedes Mal mit einem Upgrade versieht, wenn sie auf ein neues Release verweist. Dies funktioniert gut mit den Release-Kanälen. So können Sie Ihre Pläne mit dem folgenden Kanal konfigurieren, um sicherzustellen, dass Ihr Cluster immer automatisch auf die neueste stabile Version von K3s mit einem Upgrade versehen wird. Alternativ können Sie daschannelFeld weglassen und dasversionFeld auf ein bestimmtes Release von K3s setzen:apiVersion: upgrade.cattle.io/v1 kind: Plan # ... spec: # ... version: v1.33.4+k3s1
Das Upgrade beginnt, sobald der Controller erkennt, dass die Zielversion für einen Plan festgelegt wurde, entweder aus dem Versionsfeld oder durch Abfragen des Kanalservers. Die Modifizierung eines Plans bewirkt, dass der Controller den Plan neu bewertet und feststellt, ob ein weiteres Upgrade erforderlich ist. Wenn ein Kanal konfiguriert wurde, wird die URL auch regelmäßig abgefragt, um nach neuen Versionen zu suchen.
Sie können den Fortschritt eines Upgrades überwachen, indem Sie den Plan und die Jobs über kubectl anzeigen:
kubectl -n system-upgrade get plans -o wide
kubectl -n system-upgrade get jobsUpgrade-Planung
Pläne können darauf beschränkt werden, innerhalb eines bestimmten Zeitfensters zu erfolgen, indem das window Feld innerhalb der Planspezifikation gesetzt wird. Die Zeitfensterfelder sind kompatibel und haben dasselbe Format wie kured-Planungsoptionen. Beispiel:
apiVersion: upgrade.cattle.io/v1
kind: Plan
# ...
spec:
# ...
window:
days:
- monday
- tuesday
- wednesday
- thursday
- friday
startTime: 19:00
endTime: 21:00
timeZone: UTCJobs zur Ausführung von Upgrades für einen Plan werden außerhalb des Zeitfensters nicht erstellt. Nachdem Jobs erstellt wurden, können Pläne weiterhin ausgeführt werden, nachdem das Fenster geschlossen wurde.
Downgrade-Prävention
|
Versionssperre
Beginnend mit den Releases vom 2023-07 (v1.27.4+k3s1, v1.26.7+k3s1, v1.25.12+k3s1, v1.24.16+k3s1) |
Kubernetes unterstützt keine Downgrades von Control-Plane-Komponenten. Das k3s-upgrade-Image, das von Upgrade-Plänen verwendet wird, verweigert das Downgrade von K3s und schlägt den Plan fehl. Knoten mit cordon: true, die in ihrem Plan konfiguriert sind, bleiben nach dem Fehler abgeriegelt.
Hier ist ein Beispielcluster, das fehlgeschlagene Upgrade-Pods und abgeriegelte Knoten zeigt:
$ kubectl get pods -n system-upgrade
NAME READY STATUS RESTARTS AGE
apply-k3s-server-on-ip-172-31-0-16-with-7af95590a5af8e8c3-2cdc6 0/1 Error 0 9m25s
apply-k3s-server-on-ip-172-31-10-23-with-7af95590a5af8e8c-9xvwg 0/1 Error 0 14m
apply-k3s-server-on-ip-172-31-13-213-with-7af95590a5af8e8-8j72v 0/1 Error 0 18m
system-upgrade-controller-7c4b84d5d9-kkzr6 1/1 Running 0 20m
$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
ip-172-31-0-16 Ready,SchedulingDisabled control-plane,etcd,master 19h v1.27.4+k3s1
ip-172-31-10-23 Ready,SchedulingDisabled control-plane,etcd,master 19h v1.27.4+k3s1
ip-172-31-13-213 Ready,SchedulingDisabled control-plane,etcd,master 19h v1.27.4+k3s1
ip-172-31-2-13 Ready <none> 19h v1.27.4+k3s1Sie können Ihre abgeriegelten Knoten mit einer der folgenden Methoden wieder in Betrieb nehmen:
-
Ändern Sie die Version oder den Kanal in Ihrem Plan, um eine Version anzusprechen, die gleich oder neuer ist als die, die derzeit im Cluster läuft, damit der Plan erfolgreich ist.
-
Löschen Sie den Plan und entsperren Sie die Knoten manuell. Verwenden Sie
kubectl get plan -n system-upgrade, um den Plan-Namen zu finden, und dannkubectl delete plan -n system-upgrade PLAN_NAME, um ihn zu löschen. Sobald der Plan gelöscht wurde, verwenden Siekubectl uncordon NODE_NAME, um jeden der Knoten zu entsperren.
Sicherheit
Der gestartete Upgrade-Job muss hochprivilegiert sein, um Änderungen an den zugrunde liegenden Knoten vorzunehmen. Standardmäßig ist er mit Folgendem konfiguriert:
-
Host
IPC,NETundPIDNamespaces -
Die
CAP_SYS_BOOTFähigkeit -
Host root, gemountet bei
/hostmit Lese- und Schreibberechtigungen