本文永久链接: https://www.xtplayer.cn/rke2/rke2-configuration-update-occurs-when-rancher-changes-the-url-or-ca-certificate/ 当 Rancher 的访问 URL 或 CA 证书发生变化时，RKE2 集群中的 Agent 节点（Worker 节点）会因为无法正确连接到 Rancher Server（即 RKE2 的 Server 节点）而失联。你需要更新每个 RKE2 Agent 节点的配置，然后重启服务。 Rancher 全局 server-url 更新 登录 Rancher UI，在左上角点击下拉菜单，进入 全局设置（Global Settings）。 在“系统设置”（Advanced/System Settings）选项卡中，找到 server-url 这一项。 点击编辑，将其值修改为你的新 Rancher Server 地址（例如 https://new-rancher.yourdomain.com），然后保存。 更新下游集群 rancher-system- ...

本文永久链接: https://www.xtplayer.cn/xiaomi-router-ac2100-sets-up-static-routes/ 结合上一篇文章 https://www.xtplayer.cn/raspberry-pi-is-configured-as-an-openvpn-client-to-set-up-an-external-route/ ，当配置好旁路由之后，可以在每个 pc 添加静态路由来实习正常访问 vpn 网络。但是有的设备可能不支持配置静态路由，这种情况下将无法访问 vpn 网络。 为了满足所有设备都可以访问 vpn 网络，我们可以在主路由器上添加一条静态路由，把 vpn 网络的下一跳地址设置为旁路由器 ip。 以下以小米路由器 AC2100 为例，因为 AC2100 通过 UI 界面不支持配置静态路由功能，因此我们需要先破解 ssh 登录，然后通过命令行添加静态路由。 获取 stok浏览器访问路由器管理 ip 并登录，然后在浏览器地址栏中可以看到 stok 代码，stok= 之后 /web 之前的那一段。 ⚠️ STO ...

本文永久链接: https://www.xtplayer.cn/raspberry-pi-is-configured-as-an-openvpn-client-to-set-up-an-external-route/ 将树莓派配置为旁路由并连接 OpenVPN，可以让家里所有设备（电视、游戏机等不支持安装VPN的终端）都通过树莓派走 VPN 流量。核心思路是：树莓派作为 VPN 客户端连接服务器，同时开启 IP 转发和 NAT 伪装，将自身变成一个 VPN 网关”。 安装 OpenVPN 并准备配置文件首先在树莓派上安装OpenVPN： sudo apt update && sudo apt upgrade -ysudo apt install openvpn -y 你需要从VPN服务商或公司网络管理员处获取配置文件（通常是.ovpn文件）以及证书文件。为了管理方便，可以把所有内容合并到一个文件中。 将你的VPN配置文件（比如叫client.conf）放到/etc/openvpn/client/目录下。文件通常包含以下关键内容： clientdev tun ...

本文永久链接: https://www.xtplayer.cn/rancher/query-the-expiration-time-of-all-tls-certificate-ciphertext-through-the-rancher-api/ 通过以下脚本，定义 RANCHER_URL 和 RANCHER_API_TOKEN，可以查询 rancher 下所有集群中所有 TLS 证书密文的过期时间。 #!/bin/bashset -euo pipefail# ============ 配置区域 ============RANCHER_URL="https://demo.xxx.cn"API_TOKEN="token-q5v42:xxxxxx"# ==================================# 工具检查check_deps() { if ! command -v jq &> /dev/null; then echo "错误：请先安装 jq" exit 1 fi ...

本文永久链接: https://www.xtplayer.cn/rancher/query-the-expiration-time-of-all-tls-certificate-ciphertexts/ 通过以下脚本，查询单个集群中所有 TLS 证书密文的过期时间 #!/bin/bash# 列出所有 TLS Secret 过期时间，支持导出 CSV# 颜色定义RED='\033[0;31m'GREEN='\033[0;32m'YELLOW='\033[1;33m'BLUE='\033[0;34m'NC='\033[0m'# 是否导出 CSV（设置为 1 启用）EXPORT_CSV=${EXPORT_CSV:-0}CSV_FILE="tls-secrets-expiry-$(date +%Y%m%d_%H%M%S).csv"# 临时文件存储数据temp_file=$(mktemp)echo "正在扫描所有命名空间的 TLS Secret. ...

本文永久链接: https://www.xtplayer.cn/suse/suse-private-registry-deploy/ 版本与组件说明 版本信息：SUSE Private Registry 1.1.0，基于 Harbor 2.14.1 定制开发，镜像标签为 1.1.0。 核心组件：包含 harbor-core、harbor-db、harbor-jobservice、harbor-nginx、harbor-portal、harbor-registry、harbor-registryctl、harbor-trivy-adapter、harbor-exporter、harbor-valkey 十大核心组件，共同保障私有仓库稳定运行。 适配环境：需满足 Kubernetes 1.24 及以上版本、Helm 3.8 及以上版本、SUSE Linux Enterprise 15 及以上版本，确保部署环境符合运行要求。 前置条件硬件要求 环境类型 CPU 配置 内存配置 磁盘配置 测试/开发环境 4 核 8 GB 100GB 生产环境 8 核及以上 16 G ...

本文永久链接: https://www.xtplayer.cn/neuvector/jenkins-neuvector-plugin-configuration-and-usage/ 插件概览NeuVector Vulnerability Scanner 插件是 NeuVector 容器安全平台的重要组成部分，旨在帮助 DevOps 团队在 CI/CD 流水线的构建阶段（Build Phase）发现容器镜像中的安全漏洞。通过在 Jenkins 中集成该插件，可以在镜像推送到仓库或部署到生产环境前，自动执行漏洞扫描，并根据严重程度决定构建的成败。 该插件支持两种核心扫描模式： Controller & Scanner 模式：适用于企业级生产环境，需部署 NeuVector Controller 和 Scanner，支持集中策略管理和准入控制。 Standalone Scanner 模式：轻量级模式，无需部署 Controller 和许可证，直接在 Jenkins 节点上动态启动扫描器，适合快速验证。 NeuVector 部署这里仅以 Controller & ...

本文永久链接: https://www.xtplayer.cn/rancher/rancher-ui-performance-optimization/ ui-sql-cache 是 Rancher 中一项通过 SQLite 数据库在服务端缓存 Kubernetes 资源数据，以实现服务端分页、排序和过滤的关键性能优化功能（代号为“Vai”项目）。 它旨在解决当集群资源数量巨大时（如数万个 ConfigMap），传统前端拉取全量数据导致浏览器内存溢出、界面卡顿及 API Server 负载过高的问题。 核心工作原理开启后，Rancher 的内部 API 组件 Steve 会为资源类型创建 Informer，并将 Kubernetes 对象持久化到 SQLite 数据库中。 数据缓存：首次请求某类资源时，从 Kubernetes API Server 获取数据并存入 SQLite，后续通过 Watch 保持同步更新。 服务端处理：UI 请求列表时，Steve 会将请求（含分页、排序、过滤参数）直接转换为 SQL 查询在服务端完成，仅返回当前页面需要的数据。 减轻负载：极大减少直接对 ...

本文永久链接: https://www.xtplayer.cn/rke2/configuring-hosts-for-coredns-in-the-nodelocal-dns-environment-does-not-take-effect/ NodeLocal DNS 是 Kubernetes 集群中提升 DNS 性能与稳定性的重要组件。它的核心思想是在每个集群节点上运行一个 DNS 缓存代理，让 Pod 的 DNS 请求优先在本地节点处理，从而绕过传统的 iptables/ipvs 规则，有效降低延迟并避免 conntrack 竞争。 下面这张流程图展示了开启 NodeLocal DNS 前后，DNS 解析路径的变化： 核心架构解析主要组件NodeLocal DNS 的实现主要包含以下 Kubernetes 对象： 组件名称 类型 作用 node-local-dns DaemonSet 在每个节点上运行的 nodelocal-dns 服务。 node-local-dns ConfigMap nodelocal-dns 配置文件，如缓存时长、上游服务器 ...

本文永久链接: https://www.xtplayer.cn/rancher/remove-worker-role-from-a-node-managed-by-rancher/ 注意：此文档可能不适合 rancher 创建的自定义 rke2 集群。如果是手动创建的 rke2 集群，可以参考文档 https://docs.rke2.io/install/server_roles 操作。 此文档基于 suse kb 文档翻译：https://support.scc.suse.com/s/kb/Remove-worker-role-from-a-node-managed-by-Rancher?language=en_US 环境Rancher 版本 2.8.x 及以上。适用于 RKE2 和 K3S Rancher 配置的集群。 问题背景可能会出现这样的情况：节点池被意外地创建为包含所有角色，并且集群也已配置完毕，但本意是只在节点池中选择控制平面和 etcd 角色。 在这种情况下，您可以按照解决方案中提到的步骤来删除工作角色。 解决方法步骤一使用 Rancher UI 中的 编辑配置 ...

本文永久链接: https://www.xtplayer.cn/rke2/rke2-restore-or-update-the-rancher2-connection-info-json-file/ 在以下场景中，我们需要更新或恢复 /var/lib/rancher/agent/rancher2_connection_info.json 文件。 当 Rancher URL 对应的 CA 文件修改后，rancher-system-agent 服务会因为无法通过 CA 校验而无法连接 Rancher API。 某些情况下导致 /var/lib/rancher/agent/rancher2_connection_info.json 文件丢失，需要进行配置文件恢复。 方法一，通过 rancher api 获取 rancher2_connection_info.json 获取 CATTLE_TOKEN ：如果使用用户 API Key 会报 500 错误。需要进入集群管理，点击目标集群，点击节点注册，在节点注册命令中获取此 token。如果是类似 elemental 创建的 rke2 集群， ...

本文永久链接: https://www.xtplayer.cn/longhorn/decrypt-the-longhorn-volume-and-read-the-data/ 1，需要将 pvc 对应的工作负载缩减为 0，不然可能会提示卷已经被挂载。在 pod 缩减为 0 之后，在 Attached Node & Endpoint:中无法看到挂载的主机路径。鼠标放在右侧 replicas 上，会显示卷原始的镜像保存路径，如下图。每个卷的每个副本都是以 img 镜像形式保存在主机上，pod 挂载卷的时候会将此 img 挂载到主机上，然后再挂载到 pod 中。 2，进入卷镜像保存路径，可以看到如下信息 root@rancher-1:/var/lib/longhorn/replicas/pvc-f1611c3c-0250-4f17-b603-87b1dcc59b6b-ca483219# lltotal 250136drwx------ 2 root root 4096 Aug 13 16:00 ./drwxr-xr-x 6 root root 4096 ...

本文永久链接: https://www.xtplayer.cn/rancher/customizing-rancher-webhook-configuration/ Rancher-Webhook 是 Rancher 的重要组件，它与 Kubernetes 结合使用，用于增强安全性并为 Rancher 管理的集群启用关键功能。 如 Kubernetes 文档中所述，它与 Kubernetes 的可扩展准入控制器集成，允许 Rancher-Webhook 检查发送到 Kubernetes API Server 的特定请求，添加自定义和 Rancher 相关的验证，以及 Rancher 相关请求的变化。Rancher-Webhook 使用 rancher.cattle.io ValidatingWebhookConfiguration 和 rancher.cattle.io MutatingWebhookConfiguration 管理要验证的资源，并覆盖任何手动编辑。 Rancher 将 Rancher-Webhook 作为单独的 deployment 和服务部署在 local 和下游 ...

本文永久链接: https://www.xtplayer.cn/rke2/maximum-failure-threshold-exceeded-for-plan-with-checksum/ 问题描述在 Rancher UI 中发现 master node 显示错误状态，提示： Error applying plan -- check rancher-system-agent.service logs on node for more information 但执行 kubectl get node 命令显示该节点状态正常。 通过查看 rancher-system-agent 日志发现以下错误： rancher-system-agent[3419230]: time="2026-01-06T15:09:38+08:00" level=error msg="[K8s] Maximum failure threshold exceeded for plan with checksum value of b53110a4c92ea7e89cc08a8a77d ...

本文永久链接: https://www.xtplayer.cn/prometheus/missing-kube-node-labels-in-prometheus/ 从 kube-state-metrics 2.0.0 开始，默认不再自动导出所有资源的标签数据，比如 pod 标签和 node 标签。 如果要搜集相关资源的标签数据，可以在 rancher ui 编辑 kube-state-metrics deployment，在命令中添加 --metric-labels-allowlist=nodes=[*],pods=[*] ，多个资源以逗号隔开。或者在集群工具中编辑 Monitoring App 的 YAML，在 kube-state-metrics 层级下添加 metricLabelsAllowlist ，配置示例如下： kube-state-metrics: metricLabelsAllowlist: - nodes=[*] - pods=[*] namespaceOverride: '' prometheus: monitor ...

本文永久链接: https://www.xtplayer.cn/rke2/how-to-set-container-log-rotation-with-rke2/ 在基于 docker runtime 的 k8s 集群中，可以通过在 /etc/docker/daemon.json 配置文件中添加如下配置实现容器标准输出日志大小的限制。 "log-driver": "json-file","log-opts": {"max-size": "100m","max-file": "3"} 而在 rke2-k8s 环境中，已使用 containerd runtime 替换了 docker runtime，容器的日志已由 kubelet 负责管理。此功能自 k8s 1.10 开始支持，参考 PR https://github.com/kubernetes/kubernetes/pull/59898 。 在 rke2-k8s 环境中，默 ...

本文永久链接: https://www.xtplayer.cn/linux/query-dir-used-by-process/ 在容器环境中，有时候可能发现某个容器占用了很大的磁盘空间。如果在特定的目录中没有看到占用空间的文件或者目录，那么可能进程还打开了其他的文件或者目录。 以 rancher 进程为例，在主机上执行以下脚本可以查询到 rancher 进程打开的目录和文件 #!/bin/bash# 查看指定进程占用的所有目录PID=$(pgrep rancher)if [ -z "$PID" ]; then echo "Usage: $0 <PID>" exit 1fiecho "进程 $PID 的目录信息:"echo "===================="# 工作目录echo -n "工作目录: "readlink /proc/$PID/cwdecho -e "\n打开的文件和目录:"lsof -p $PID | grep -E ...

本文永久链接: https://www.xtplayer.cn/linux/query-process-and-pid/ 现在很多容器都做了深度精简，其中可能都没有 ps 命令。排查问题时，有时候需要知道容器中有哪些进程，或者说进程与进程 pid 的对应关系。如果没有 ps 命令，可以使用以下脚本在容器 shell 中查询。 for pid in $(ls -1 /proc | grep -E '^[0-9]+$'); do echo -n "$pid: "; cat /proc/$pid/cmdline 2>/dev/null; echo; done

本文永久链接: https://www.xtplayer.cn/rke2/rke2-run-dir-no-space-left-on-device/ 当 containerd 作为 runtime 时，容器运行的相关文件( merger 层等)都保存在 /run/k3s/containerd/ 目录。rke2-containerd 默认配置下 containerd state 目录为/run/k3s/containerd，可以通过在主机上执行 cat /var/lib/rancher/rke2/agent/etc/containerd/config.toml 查看 rke2-containerd 配置。当容器镜像越大、容器产生临时文件越多，就会导致 /run/k3s/containerd/io.containerd.runtime.v2.task/k8s.io 下的子目录使用越来越大，最终导致 /run 目录被耗尽。具体请参考 issue https://github.com/k3s-io/k3s/issues/4327 的说明。 处 ...

本文永久链接: https://www.xtplayer.cn/neuvector/rancher-neuvector-sso-rbac/ 创建角色模板将以下的角色模板导入 local 集群， administrative: falseapiVersion: management.cattle.io/v3builtin: falseclusterCreatorDefault: falsecontext: clusterdisplayName: Neuvector UI Proxyexternal: falsehidden: falsekind: RoleTemplatelocked: falsemetadata: annotations: cleanup.cattle.io/rtUpgradeCluster: 'true' lifecycle.cattle.io/create.mgmt-auth-roletemplate-lifecycle: 'true' finalizers: - controller.cattle.i ...

本文永久链接: https://www.xtplayer.cn/rancher/rancher-ui-pod-metrics-permission/ 1，将以下 yaml 导入 local 集群创建项目角色。 apiVersion: management.cattle.io/v3builtin: falsecontext: projectdescription: Members can only view the metrics of resources inside the Project.displayName: Monitoring Viewexternal: falsehidden: falsekind: RoleTemplatemetadata: annotations: cleanup.cattle.io/rtUpgradeCluster: 'true' lifecycle.cattle.io/create.mgmt-auth-roletemplate-lifecycle: 'true' finalizers: ...