Neues von der Ranch

Seit 2014 macht ein kalifornisches Unternehmen ITlern den Umgang mit Containern leichter. Jedes Release brachte bisher Features mit, die man heute nicht mehr missen möchte. Doch aus irgendeinem Grund hat Rancher im ersten und zweiten Quartal dieses Jahres ordentlich an Fahrt aufgenommen.

Im 2.4er Release konnte man schon erkennen, dass sich etwas anbahnt. Die Anzahl der verwaltbaren Cluster und Nodes hat sich vervielfacht. Außerdem können die Nodes jetzt einzeln gepatcht werden. Dies ermöglicht Zero Downtime Updates. Endlich können die IoT-Kollegen ohne größere Aufwände ihre bestehenden K3s Cluster mit ins Rancher Management nehmen. Außerdem gab es die erste Implementierung des Open Policy Agents mit Gatekeeper. Direkt ins Auge fiel ein Dashboard-Button, über den man zu einer fremd wirkenden Oberfläche gelangte.

Im Großen und Ganzen handelte es sich um ein sehr gutes Release mit vielen neuen Features und Verbesserungen. Aber nicht nur die Entwickler und die Community um Rancher haben ganze Arbeit geleistet, auch das Marketing hat nicht geschlafen. Im Mai wurde ein Trainingsprogramm für Systems Engineers und Sales-Kollegen etabliert. Ebenso wurden die Partnerkanäle ausgebaut.

Diese ganzen Mühen haben sich, im Laufe des Jahres, mit der Ankündigungen der bevorstehenden Akquisition durch Suse, ausgezahlt. Danach wurde es allerdings etwas ruhig um das Unternehmen mit der blauen Kuh.

Rancher Release 2.5

Endlich ist es da, das lang ersehnte Major Release. Auch dieses Release hat wieder viele neue Features. In der vergleichsweise kurzen Zeit haben Entwickler und Community ganze Arbeit geleistet. Allerdings gilt hierbei zu erwähnen, dass zur aktuellen Version von Rancher nur Lastest Releases zur Verfügung stehen. Das bedeutet einerseits, dass viele Features im Laufe dieses Minor Releases noch ausgearbeitet werden und andererseits, dass für diese Version auch kein Support bezogen werden kann. Die aktuelle Stable Version ist die 2.4.8.

Cluster Manager vs. Cluster Explorer

Das Dashboard wird zum Cluster Explorer und der Cluster Manager bleibt der Cluster Manager. Zwei optisch sehr gut voneinander trennbare „UIs“ (User Interfaces), die auch funktionell unterschiedliche Bedarfe erfüllen sollen. Damit nimmt die Sache endlich Form an. Wer  die linke Sidebar des neuen Cluster Explorers einmal näher betrachtet, wird feststellen, dass er dort seine Kubernetes Cluster Ressourcen so wiederfindet, wie er es von der Konsole via kubectl gewöhnt ist. Das macht den Umgang mit dieser UI selbst für die terminalaffinen Kollegen sehr angenehm und übersichtlich.

Außerdem werden Monitoring, Logging und Alertmanagement, sowie CIS Scanning, Rancher Pipelines und Istio in den Release Notes als „deprecated Features“ aufgeführt und wandern in den Cluster Explorer.

Nun wurden diese Features nicht einfach nur von einer UI in die Andere verschoben. Die Integration von Monitoring und Logging wurde grundlegend überarbeitet. Hinsichtlich des Monitorings ist es jetzt beispielsweise möglich, seine eigenen Dashboards im Cluster Explorer darzustellen. Für das Logging wurde die Auslieferung der Logs an externe Data Stores mit Einsatz von FluentBit verschlankt. Des Weiteren hat der Nutzer nun die Möglichkeit, entsprechende Logverarbeitungs- und Filterregeln zu setzen. Das CIS Scanning kann nun jeden zertifizierten Kubernetes Cluster scannen. Das schließt natürlich auch die Managed Kubernetes Systeme der verschiedenen Cloudanbieter ein. Istio steht jetzt in Version 1.7 zur Verfügung. Mit dem aktuellen Istio Operator ist es nun ein Leichtes, mehrere Gateways zur Verfügung zu stellen.

Was nicht mit in den Cluster Explorer verschoben wird, sind die Multicluster Apps, die nun über das Rancher Continuous Delivery ausgerollt werden sollen. Hinsichtlich der Pipelines, die bei Rancher bisher über Jenkins zur Verfügung gestellt wurden, wird empfohlen diese zukünftig in das Rancher Continuous Delivery zu migrieren. Dabei sollte man berücksichtigen, dass es sich um eine Lösung zum Ausliefern der Applikation handelt. Für den vorgelagerten Teil der Continuouse Integretation sollte man ein bevorzugtes CI Tool, wie zum Beispiel Gitlab CI, Travis CI, Tekton oder eine der anderen zahlreichen Lösungen nutzen.

Und was steckt hinter Rancher Continuous Delivery? Mit Fleet, einem Projekt, das Rancher im April bekannt gab, wurde die Möglichkeit geschaffen, nach dem klassischen GitOps Ansatz Applikationen mit allem was dazu gehört auf einen oder mehrere Cluster zu verteilen. Die Herausforderung war es bisher, die notwendigen Capabilities an verschiedenen Clustern bereit zu stellen und entsprechend zu konfigurieren. Mit dem Continuous Delivery werden Applikationen aus dem Git mit all ihren Policies auf mehrere Cluster verteilt.

Ist das schon Alles?

Nein! Die wirklich spannenden Sachen kommen jetzt erst.

Backups können nun auf Knopfdruck ausgeführt oder geplant werden. Der Rancher Backup Operator macht es möglich, Backups ohne direkten Zugriff auf die Cluster Datenbank, also den „etcd“, abzubilden. Selbstverständlich geht das auf allen Kubernetes zertifizierten Clustern. Das schließt wiederum die Managed Kubernetes Platformen in der Cloud mit ein.

Weiterhin ist eine Kubernetes Distribution für erhöhte Sicherheitsanforderungen dazu gekommen. Zusätzlich hinzugefügt werden FIPS Encryption, SELinux Unterstützung und containerd. Diese Distribution wird von Haus aus CIS Compliant ausgeliefert. Außerdem können die RKE Government Clusters jetzt auf RHEL und CentOS 8 Maschinen installiert werden. Damit erweitert Rancher den Kreis der potentiellen Nutzer vor allem auf den Public- und Bankensektor. Hierbei gilt es zu erwähnen, dass die automatische Provisionierung der Cluster aus dem Manager mit dieser Distribution noch nicht möglich ist. Denn was steckt hinter dieser Distribution und wie wird sie ausgeliefert? Dahinter steckt nichts anderes als RKE2, ein Projekt an dem Rancher schon seit einigen Monaten arbeitet und welches vermutlich in naher Zukunft RKE ersetzen wird.

Um das ganze abzuschmecken, kommen noch ein paar experimentelle Features hinzu.

Der Versionsstand des OPA Gatekeeper, den Rancher bereits in Version 2.4 mitgeliefert hat, kann nun direkt über Rancher verwaltet werden. Allerdings muss man hier aufpassen, dass vor dem Update die ältere Version des Gatekeepers deinstalliert wird.

Ein neues Cluster Provisioning Binary namens RancherD kommt ins Spiel. RancherD ist in der Lage einen Cluster mit allem was dazu gehört bereitzustellen. Gerade für das Installieren von Rancher Management Servern oder Single Clustern ist das eine willkommene Lösung. Das funktionierte mit RKE bisher auch schon ziemlich gut. Allerdings musste man im Nachhinein wichtige Dienste wie „cert-manager“ und vor allem die Rancher Management Services mittels Helm oder Kubernetes Manifesten selbst installieren.

Vorsicht beim Update auf die neue Version

Wer auf einem bestehenden Rancher das Update durchführt, sollte folgendes beachten:

  • Helm in Version 3.2 oder höher muss installiert sein, um das aktuellen Cert-Manager Release zu installieren
  • Kubernetes sollte mindestens in Version 1.17 laufen
  • wenn Rancher über einen Proxy mit dem Internet spricht, müssen unbedingt der .svc und cluster.local zur Helm Variable noProxy in den Values hinzugefügt werden
  • das add-local=false Flag muss entfernt werden da Rancher sonst nicht startet. Um den Zugriff auf den Local Cluster zu verhindern, kann man jetzt die Rolle restricted-admin nutzen
  • wenn Rancher im Docker gestartet wird muss der Container priviledged gestartet werden, da aus dem Container weitere Container gestartet werden
  • hinsichtlich der installierten Features muss beachtet werden, dass diese entweder über den Cluster Manager oder den Cluster Explorer installiert werden, da es hier zu Konflikten bei den CRDs kommen kann.
  • habe ich ein Feature mit dem Cluster Explorer installiert, sollte dieser auch dafür genutzt werden dieses Feature zu verwalten (das gleiche gilt für Features die über den Cluster Manager ausgerollt wurden)

Gerade beim Update ist es ratsam sich die Release Notes von Rancher auf https://github.com/rancher/rancher/releases anzuschauen. An dieser Stelle noch einmal der folgende Hinweis: Die Version 2.5 wurde bisher noch nicht als Stable Release veröffentlicht.

Fazit:

Was soll man sagen? Auf jeden Fall, dass die Kollegen von Rancher und die Community dahinter wirklich fleißig waren und echt gute Arbeit geleistet haben. Ich bin sehr gespannt, wie es weiter geht und vor allem wie sehr sich das UI-Design in Bezug auf den Cluster Explorer entwickelt. Was die Funktionalitäten angeht, hat Rancher wirklich kaum noch Wünsche offengelassen. Umso gespannter darf man sein, was sich in dem aktuellen Minor Release noch alles ordnet und vor allem was im nächsten Release folgt.

Den Podcast dazu finden Sie unter: