Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Instalando o Adaptador

Se você estiver tentando reinstalar o adaptador, pode experimentar mensagens de não conformidade por até uma hora.

Rancher vs. Matriz de Compatibilidade do Adaptador

Importante:

Diferentes versões do adaptador CSP dependem de recursos encontrados em versões específicas do Rancher. Para implantar e executar o adaptador com sucesso, você precisa garantir que sua versão corresponda à versão necessária do Rancher.

Versão do Rancher	Versão do Adaptador
v2.14.1	v109.0.0+up9.0.0
v2.13.3	v108.0.0+up8.0.0
v2.13.2	v108.0.0+up8.0.0
v2.13.1	v108.0.0+up8.0.0
v2.13.0	v108.0.0+up8.0.0

Versão do Rancher

Versão do Adaptador

v2.14.1

v109.0.0+up9.0.0

v2.13.3

v108.0.0+up8.0.0

v2.13.2

v108.0.0+up8.0.0

v2.13.1

v108.0.0+up8.0.0

v2.13.0

v108.0.0+up8.0.0

1. Obter Acesso ao Cluster Local

Apenas usuários administradores devem ter acesso ao cluster local. Como o adaptador CSP deve ser instalado no cluster local, essa instalação deve ser realizada por um usuário administrador.

Primeiro, clique no cluster local e baixe um token kubeconfig. Você pode então configurar seu CLI para usar este novo token com o seguinte comando, substituindo $TOKEN_PATH pelo caminho no seu sistema de arquivos para o token baixado:

export KUBECONFIG=$TOKEN_PATH

2. Criar o Namespace do Adaptador

Crie o namespace onde o adaptador será instalado.

kubectl create ns cattle-csp-adapter-system

3. Criar Segredos de Certificado

O adaptador requer acesso à CA raiz que o Rancher está usando para se comunicar com o servidor Rancher. Você pode ler mais sobre quais opções de certificado o Rancher suporta na página de opções do gráfico.

Se a sua instalação do Rancher usa um certificado assinado por uma Autoridade Certificadora reconhecida, como o Let’s Encrypt, você pode pular com segurança para Passo 4.

No entanto, se a sua instalação do Rancher usa um certificado personalizado, como um certificado gerado pelo Rancher ou um assinado por uma Autoridade Certificadora privada, você precisará fornecer o certificado para essa autoridade no formato PEM para que o adaptador possa se comunicar com o Rancher.

Primeiro, recupere o certificado que o Rancher está utilizando e salve-o em um arquivo chamado ca-additional.pem. Se você estiver usando a opção de certificados gerados pelo Rancher, isso pode ser feito com o seguinte comando:

kubectl get secret tls-rancher -n cattle-system -o jsonpath="{.data.tls\.crt}" | base64 -d  >> ca-additional.pem

Em seguida, crie um segredo que use este certificado:

kubectl -n cattle-csp-adapter-system create secret generic tls-ca-additional --from-file=ca-additional.pem

Não altere os nomes do arquivo ou do segredo criado. Fazer alterações nesses valores pode resultar em erros quando o adaptador for executado.

4. Instalar o Chart

Primeiro, adicione o repositório rancher/charts usando o seguinte comando:

helm repo add rancher-charts https://charts.rancher.io

Em seguida, instale o adaptador CSP. Você deve especificar vários valores, incluindo o número da conta e o nome da função criada nos pré-requisitos.

Certifique-se de usar a versão do adaptador CSP que corresponde à versão do Rancher que você está executando, conforme definido acima.

Para as instruções abaixo, substitua $MY_ACC_NUM pelo seu número de conta AWS e $MY_ROLE_NAME pelo nome da função criada nos pré-requisitos. Além disso, substitua $CSP_ADAPTER_VERSION pela versão que corresponde à sua versão do Rancher na matriz de versões.

Se você usar variáveis de shell, não especifique aspas. Por exemplo, MY_ACC_NUM=123456789012 funcionará, mas MY_ACC_NUM="123456789012" falhará.

Contas que usam a listagem do AWS Marketplace para a UE e o Reino Unido precisarão especificar uma opção adicional --set image.repository=rancher/rancher-csp-adapter-eu. Para ver se sua conta precisa dessa opção ao instalar o adaptador, consulte as instruções de uso da listagem do marketplace.

Let’s Encrypt/ Autoridade Certificadora Pública
Autoridade CA Privada / Certificados gerados pelo Rancher

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter --namespace cattle-csp-adapter-system --set aws.enabled=true --set aws.roleName=$MY_ROLE_NAME --set-string aws.accountNumber=$MY_ACC_NUM --version $CSP_ADAPTER_VERSION

Alternativamente, você pode usar um values.yaml e especificar opções como abaixo:

  aws:
    enabled: true
    accountNumber: "$MY_ACC_NUM"
    roleName: $MY_ROLE_NAME

O número da conta precisa ser especificado em um formato de string, como o acima, ou a instalação falhará.

Você pode então instalar o adaptador com o seguinte comando:

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter -f values.yaml --version $CSP_ADAPTER_VERSION

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter --namespace cattle-csp-adapter-system --set aws.enabled=true --set aws.roleName=$MY_ROLE_NAME --set-string aws.accountNumber=$MY_ACC_NUM --set additionalTrustedCAs=true --version $CSP_ADAPTER_VERSION

Alternativamente, você pode usar um values.yaml e especificar as opções abaixo:

  aws:
    enabled: true
    accountNumber: "$MY_ACC_NUM"
    roleName: $MY_ROLE_NAME
  additionalTrustedCAs: true

O número da conta precisa ser especificado em um formato de string, como o acima, ou a instalação falhará.

Você pode então instalar o adaptador com o seguinte comando:

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter -f values.yaml --version $CSP_ADAPTER_VERSION

5. Gerenciando Atualizações de Certificado

Se você teve que criar um segredo armazenando um certificado personalizado em Etapa 3, você precisará atualizar esse segredo ao longo do tempo à medida que o certificado for rotacionado.

Primeiro, exclua o segredo original no namespace cattle-csp-adapter-system, usando o comando abaixo:

kubectl delete secret tls-ca-additional -n cattle-csp-adapter-system

Em seguida, siga as etapas de instalação originais em Etapa 3 para substituir o conteúdo do segredo pelo valor atualizado.

Por fim, reinicie a implantação do rancher-csp-adapter para garantir que o valor atualizado esteja disponível para o adaptador:

kubectl rollout restart deploy rancher-csp-adapter -n cattle-csp-adapter-system

Métodos como o operador de confiança do cert-manager permitem automatizar algumas dessas tarefas. Embora esses métodos não sejam oficialmente suportados, eles podem reduzir a frequência com que você precisa rotacionar certificados manualmente.