rancher · btat · Sep 19, 2024 · Sep 18, 2024
@@ -6,7 +6,7 @@ title: API 令牌
 
 要停用 API 令牌，你可以删除令牌或停用用户账号。
 
-### 删除令牌
+## 删除令牌
 要删除令牌：
 
 1. 转到 `https://<Rancher-Server-IP>/v3/tokens`，在 Rancher API 视图中查看包含所有令牌的列表。
@@ -28,7 +28,7 @@ title: API 令牌
 | `drain-node-*` | 用于清空的令牌（由于没有原生 Kubernetes API，我们使用 `kubectl` 来清空） |
 
 
-### 在 Kubeconfig 令牌上设置 TTL
+## 在 Kubeconfig 令牌上设置 TTL
 
 管理员可以在 Kubeconfig 令牌上设置全局存活时间 (time-to-live，TTL)。如需更改默认 kubeconfig TTL，你可以导航到全局设置并将 [`kubeconfig-default-token-ttl-minutes`](#kubeconfig-default-token-ttl-minutes) 设置为所需的持续时间（单位：分钟）。[`kubeconfig-default-token-ttl-minutes`](#kubeconfig-default-token-ttl-minutes) 的默认值为 0，表示令牌永不过期。
 
@@ -38,13 +38,13 @@ title: API 令牌
 
 :::
 
-### 在生成的 Kubeconfig 中禁用令牌
+## 在生成的 Kubeconfig 中禁用令牌
 
 1. 将 `kubeconfig-generate-token` 设置为 `false`。此设置让 Rancher 不再在用户单击下载 kubeconfig 文件时自动生成令牌。如果停用此设置，生成的 kubeconfig 将引用 [Rancher CLI](../reference-guides/cli-with-rancher/kubectl-utility.md#使用-kubectl-和-kubeconfig-令牌进行-ttl-认证) 来检索集群的短期令牌。当这个 kubeconfig 在客户端（例如 `kubectl`）中使用时，你需要安装 Rancher CLI 来完成登录请求。
 
 2. 将 `kubeconfig-token-ttl-minutes` 设置为所需的时长（单位：分钟）。`kubeconfig-token-ttl-minutes` 默认设置为 960（即 16 小时）。
 
-### 令牌哈希
+## 令牌哈希
 
 你可以启用令牌哈希，令牌将使用 SHA256 算法进行单向哈希。这是一个不可逆的操作，一旦启用，此功能将无法禁用。在启用功能或在测试环境中评估之前，建议你先进行备份。
 
@@ -56,7 +56,7 @@ title: API 令牌
 - 持有者令牌 API 密钥/调用
 - 内部操作使用的令牌
 
-### 令牌设置
+## 令牌设置
 
 以下全局设置会影响 Rancher 令牌的行为：
 
@@ -68,20 +68,20 @@ title: API 令牌
 | [`auth-token-max-ttl-minutes`](#auth-token-max-ttl-minutes) | 除了由 [`auth-user-session-ttl-minutes`](#auth-user-session-ttl-minutes) 控制的令牌外，所有令牌的最大 TTL。 |
 | [`kubeconfig-generate-token`](#kubeconfig-generate-token) | 如果为 true，则在用户下载 kubeconfig 时自动生成令牌。 |
 
-#### auth-user-session-ttl-minutes
+### auth-user-session-ttl-minutes
 存活时间（TTL）（单位：分钟），用于确定用户身份验证会话令牌的到期时间。过期后，用户将需要登录并获取新令牌。此设置不受 [`auth-token-max-ttl-minutes`](#auth-token-max-ttl-minutes) 的影响。会话令牌是在用户登录 Rancher 时创建的。
 
-#### kubeconfig-default-token-TTL-minutes
+### kubeconfig-default-token-TTL-minutes
 存活时间（TTL）（单位：分钟），用于确定 kubeconfig 令牌的到期时间。令牌过期后，API 将拒绝令牌。此设置的值不能大于 [`auth-token-max-ttl-minutes`](#auth-token-max-ttl-minutes) 的值。此设置适用于在请求的 kubeconfig 文件中生成的令牌，不包括[由 Rancher CLI 生成的](#在生成的-kubeconfig-中禁用令牌)令牌。
 **此设置从 2.6.6 版本开始引入**。
 
-#### kubeconfig-token-ttl-minutes
+### kubeconfig-token-ttl-minutes
 存活时间（TTL）（单位：分钟），用于确定由 CLI 生成的 kubeconfig 令牌的到期时间。当 [`kubeconfig-generate-token`](#kubeconfig-generate-token) 设为 false 时，则由 CLI 生成令牌。令牌过期后，API 将拒绝令牌。此设置的值不能大于 [`auth-token-max-ttl-minutes`](#auth-token-max-ttl-minutes) 的值。
 **自版本 2.6.6 起已弃用，并将在 2.8.0 中删除。请知悉，此设置将被 [`kubeconfig-default-token-TTL-minutes`](#kubeconfig-default-token-ttl-minutes) 的值替换**。
 
-#### auth-token-max-ttl-minutes
+### auth-token-max-ttl-minutes
 身份验证令牌的最大生存时间 (TTL)（单位：分钟）。如果用户尝试创建一个 TTL 大于 `auth-token-max-ttl-minutes` 的令牌，Rancher 会将令牌 TTL 设置为 `auth-token-max-ttl-minutes` 的值。身份验证令牌是为验证 API 请求而创建的。
 **2.6.6 版本更改：适用于所有 kubeconfig 令牌和 API 令牌。**
 
-#### kubeconfig-generate-token
+### kubeconfig-generate-token
 如果设置为 true，则通过 UI 请求的 kubeconfig 将包含一个有效的令牌。如果设置为 false，kubeconfig 将包含一个使用 Rancher CLI 提示用户登录的命令。然后，[CLI 将为用户检索和缓存令牌](../reference-guides/cli-with-rancher/kubectl-utility.md#使用-kubectl-和-kubeconfig-令牌进行-ttl-认证)。
@@ -2,11 +2,11 @@
 title: Rancher 弃用的功能
 ---
 
-### Rancher 的弃用策略是什么？
+## Rancher 的弃用策略是什么？
 
 我们在支持[服务条款](https://rancher.com/support-maintenance-terms)中发布了官方弃用策略。
 
-### 在哪里可以找到 Rancher 已弃用的功能？
+## 在哪里可以找到 Rancher 已弃用的功能？
 
 Rancher 会在 GitHub 上的[发行说明](https://github.com/rancher/rancher/releases)中公布已弃用的功能。请参阅以下补丁版本了解已弃用的功能：
 
@@ -20,7 +20,6 @@ Rancher 会在 GitHub 上的[发行说明](https://github.com/rancher/rancher/re
 | [2.6.5](https://github.com/rancher/rancher/releases/tag/v2.6.5) | 2022 年 5 月 12 日 |
 | [2.6.6](https://github.com/rancher/rancher/releases/tag/v2.6.6) | 2022 年 6 月 30 日 |
 
+## 如果某个功能标记为弃用，我要怎么做？
 
-### 如果某个功能标记为弃用，我要怎么做？
-
-如果某个发行版将某功能标记为"Deprecated"（已弃用），该功能仍然可用并受支持，从而允许用户按照常规流程进行升级。在升级到该功能被标记为"已删除"的发行版前，用户/管理员应该计划剥离该功能。对于新部署，我们建议不要使用已弃用的功能。
+如果某个发行版将某功能标记为"Deprecated"（已弃用），该功能仍然可用并受支持，从而允许用户按照常规流程进行升级。在升级到该功能被标记为"已删除"的发行版前，用户/管理员应该计划剥离该功能。对于新部署，我们建议不要使用已弃用的功能。
@@ -6,11 +6,11 @@ title: Rancher 中已弃用的功能
   <link rel="canonical" href="https://ranchermanager.docs.rancher.com/zh/faq/deprecated-features"/>
 </head>
 
-### Rancher 的弃用策略是什么？
+## Rancher 的弃用策略是什么？
 
 我们已经在支持的[服务条款](https://rancher.com/support-maintenance-terms)中发布了官方的弃用策略。
 
-### 在哪里可以了解 Rancher 中已弃用哪些功能？
+## 在哪里可以了解 Rancher 中已弃用哪些功能？
 
 Rancher 将在 GitHub 上发布的 Rancher 的[发版说明](https://github.com/rancher/rancher/releases)中发布已弃用的功能。有关已弃用的功能，请参阅以下的补丁版本：
 
@@ -21,6 +21,6 @@ Rancher 将在 GitHub 上发布的 Rancher 的[发版说明](https://github.com/
 | [2.8.1](https://github.com/rancher/rancher/releases/tag/v2.8.1) | 2024 年 1 月 22 日 |
 | [2.8.0](https://github.com/rancher/rancher/releases/tag/v2.8.0) | 2023 年 12 月 6 日 |
 
-### 当一个功能被标记为弃用我可以得到什么样的预期？
+## 当一个功能被标记为弃用我可以得到什么样的预期？
 
 当功能被标记为“已弃用”时，它依然可用并得到支持，允许按照常规的流程进行升级。一旦升级完成，用户/管理员应开始计划在升级到标记为已移除的版本之前放弃使用已弃用的功能。对于新的部署，建议不要使用已弃用的功能。
@@ -14,7 +14,7 @@ enable_cri_dockerd: true
 
 如果你想使用其他容器运行时，Rancher 也提供使用 Containerd 作为默认运行时的，以边缘为中心的 K3s，和以数据中心为中心的 RKE2 Kubernetes 发行版。即使在 Kubernetes 1.24 删除了树内 Dockershim 之后，你也可以通过 Rancher 升级和管理导入的 RKE2 和 K3s Kubernetes 集群。
 
-### 常见问题
+## 常见问题
 
 <br/>
 

@@ -4,11 +4,11 @@ title: 安装和配置 kubectl
 
 `kubectl` 是一个 CLI 工具，用于运行 Kubernetes 集群相关的命令。Rancher 2.x 中的许多维护和管理任务都需要它。
 
-### 安装
+## 安装
 
 请参阅 [kubectl 安装](https://kubernetes.io/docs/tasks/tools/install-kubectl/)将 kubectl 安装到你的操作系统上。
 
-### 配置
+## 配置
 
 使用 RKE 创建 Kubernetes 集群时，RKE 会在本地目录中创建一个 `kube_config_cluster.yml`，该文件包含使用 `kubectl` 或 `helm` 等工具连接到新集群的凭证。
 

@@ -4,20 +4,19 @@ title: 卸载 Rancher
 
 本文介绍了如果你不再需要 Rancher、不想再由 Rancher 管理集群、或想删除 Rancher Server 需要怎么做。
 
-
-### 如果 Rancher Server 被删除，下游集群中的工作负载会怎样？
+## 如果 Rancher Server 被删除，下游集群中的工作负载会怎样？
 
 如果 Rancher 删除了或无法恢复，Rancher 管理的下游 Kubernetes 集群中的所有工作负载将继续正常运行。
 
-### 如果删除了 Rancher Server，该如何访问下游集群？
+## 如果删除了 Rancher Server，该如何访问下游集群？
 
 如果删除了 Rancher，访问下游集群的方式取决于集群的类型和集群的创建方式。总而言之：
 
 - **注册集群**：集群不受影响，你可以注册集群前的方法访问该集群。
 - **托管的 Kubernetes 集群**：如果你在 Kubernetes 云提供商（例如 EKS、GKE 或 AKS）中创建集群，你可以继续使用提供商的云凭证来管理集群。
 - **RKE 集群**：要访问 [RKE 集群](../how-to-guides/new-user-guides/launch-kubernetes-with-rancher/launch-kubernetes-with-rancher.md)，集群必须启用了[授权集群端点（authorized cluster endpoint，ACE）](../reference-guides/rancher-manager-architecture/communicating-with-downstream-user-clusters.md#4-授权集群端点)，而且你必须从 Rancher UI 下载了集群的 kubeconfig 文件。RKE 集群默认启用授权集群端点。通过使用此端点，你可以直接使用 kubectl 访问你的集群，而不用通过 Rancher Server 的[认证代理](../reference-guides/rancher-manager-architecture/communicating-with-downstream-user-clusters.md#1-认证代理)进行通信。有关配置 kubectl 以使用授权集群端点的说明，请参阅[使用 kubectl 和 kubeconfig 文件直接访问集群](../how-to-guides/new-user-guides/manage-clusters/access-clusters/use-kubectl-and-kubeconfig.md#直接使用下游集群进行身份验证)。这些集群将使用删除 Rancher 时配置的身份验证快照。
 
-### 如果我不想再使用 Rancher 了该怎么做？
+## 如果我不想再使用 Rancher 了该怎么做？
 
 :::note
 
@@ -40,7 +39,7 @@ title: 卸载 Rancher
 
 移除 Rancher 不会影响导入的集群。有关其他集群类型，请参考[移除 Rancher 后访问下游集群](#如果删除了-rancher-server该如何访问下游集群)。
 
-### 如果我不想 Rancher 管理我的注册集群该怎么办？
+## 如果我不想 Rancher 管理我的注册集群该怎么办？
 
 如果你在 Rancher UI 中删除了已注册的集群，则该集群将与 Rancher 分离，集群不会发生改变，你可以使用注册集群之前的方法访问该集群。
 
@@ -52,7 +51,7 @@ title: 卸载 Rancher
 
 **结果**：注册的集群已与 Rancher 分离，并在 Rancher 外正常运行。
 
-### 如果我不想 Rancher 管理我的 RKE 集群或托管的 Kubernetes 集群该怎么办？
+## 如果我不想 Rancher 管理我的 RKE 集群或托管的 Kubernetes 集群该怎么办？
 
 目前，我们没有将这些集群从 Rancher 中分离出来的功能。在这种情况下，“分离”指的是将 Rancher 组件移除出集群，并独立于 Rancher 管理对集群的访问。
 

@@ -2,27 +2,29 @@
 title: 技术
 ---
 
-### 如何重置管理员密码？
+## 如何重置管理员密码？
 
 Docker 安装：
+
 ```
 $ docker exec -ti <container_id> reset-password
 New password for default administrator (user-xxxxx):
 <new_password>
 ```
 
 Kubernetes 安装（Helm）：
+
 ```
 $ KUBECONFIG=./kube_config_cluster.yml
 $ kubectl --kubeconfig $KUBECONFIG -n cattle-system exec $(kubectl --kubeconfig $KUBECONFIG -n cattle-system get pods -l app=rancher --no-headers | head -1 | awk '{ print $1 }') -c rancher -- reset-password
 New password for default administrator (user-xxxxx):
 <new_password>
 ```
 
+## 我删除/停用了最后一个 admin，该如何解决？
 
-
-### 我删除/停用了最后一个 admin，该如何解决？
 Docker 安装：
+
 ```
 $ docker exec -ti <container_id> ensure-default-admin
 New default administrator (user-xxxxx)
@@ -31,38 +33,40 @@ New password for default administrator (user-xxxxx):
 ```
 
 Kubernetes 安装（Helm）：
+
 ```
 $ KUBECONFIG=./kube_config_cluster.yml
 $ kubectl --kubeconfig $KUBECONFIG -n cattle-system exec $(kubectl --kubeconfig $KUBECONFIG -n cattle-system get pods -l app=rancher | grep '1/1' | head -1 | awk '{ print $1 }') -- ensure-default-admin
 New password for default administrator (user-xxxxx):
 <new_password>
 ```
-### 如何启用调试日志记录？
+
+## 如何启用调试日志记录？
 
 请参阅[故障排除：日志记录](../troubleshooting/other-troubleshooting-tips/logging.md)。
 
-### 我的 ClusterIP 不响应 ping，该如何解决？
+## 我的 ClusterIP 不响应 ping，该如何解决？
 
 ClusterIP 是一个虚拟 IP，不会响应 ping。要测试 ClusterIP 是否配置正确，最好的方法是使用 `curl` 访问 IP 和端口并检查它是否响应。
 
-### 在哪里管理节点模板？
+## 在哪里管理节点模板？
 
 打开你的账号菜单（右上角）并选择`节点模板`。
 
-### 为什么我的四层负载均衡器处于 `Pending` 状态？
+## 为什么我的四层负载均衡器处于 `Pending` 状态？
 
 四层负载均衡器创建为 `type: LoadBalancer`。Kubernetes 需要一个可以满足这些请求的云提供商或控制器，否则这些请求将永远处于 `Pending` 状态。有关更多信息，请参阅[云提供商](../how-to-guides/new-user-guides/kubernetes-clusters-in-rancher-setup/set-up-cloud-providers/set-up-cloud-providers.md)或[创建外部负载均衡器](https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/)。
 
-### Rancher 的状态存储在哪里？
+## Rancher 的状态存储在哪里？
 
 - Docker 安装：在 `rancher/rancher` 容器的嵌入式 etcd 中，位于 `/var/lib/rancher`。
 - Kubernetes install：在为运行 Rancher 而创建的 RKE 集群的 etcd 中。
 
-### 支持的 Docker 版本是如何确定的？
+## 支持的 Docker 版本是如何确定的？
 
 我们遵循上游 Kubernetes 版本验证过的 Docker 版本。如果需要获取验证过的版本，请查看 Kubernetes 版本 CHANGELOG.md 中的 [External Dependencies](https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.10.md#external-dependencies)。
 
-### 如何访问 Rancher 创建的节点？
+## 如何访问 Rancher 创建的节点？
 
 你可以转到**节点**视图，然后下载用于访问 Rancher 创建的节点的 SSH 密钥。选择要访问的节点并单击行尾 **⋮** 按钮，然后选择**下载密钥**，如下图所示。
 
@@ -74,26 +78,26 @@ ClusterIP 是一个虚拟 IP，不会响应 ping。要测试 ClusterIP 是否配
 $ ssh -i id_rsa user@ip_of_node
 ```
 
-### 如何在 Rancher 中自动化任务 X？
+## 如何在 Rancher 中自动化任务 X？
 
 UI 由静态文件组成，并根据 API 的响应工作。换言之，UI 中可以执行的每个操作/任务都可以通过 API 进行自动化。有两种方法可以实现这一点：
 
 * 访问 `https://your_rancher_ip/v3` 并浏览 API 选项。
 * 在使用 UI 时捕获 API 调用（通常使用 [Chrome 开发者工具](https://developers.google.com/web/tools/chrome-devtools/#network)，但你也可以使用其他工具）。
 
-### 节点的 IP 地址改变了，该如何恢复？
+## 节点的 IP 地址改变了，该如何恢复？
 
 节点需要配置静态 IP（或使用 DHCP 保留的 IP）。如果节点的 IP 已更改，你必须在集群中删除并重新添加它。删除后，Rancher 会将集群更新为正确的状态。如果集群不再处于 `Provisioning` 状态，则已从集群删除该节点。
 
 节点的 IP 地址发生变化时，Rancher 会失去与节点的连接，因此无法正常清理节点。请参阅[清理集群节点](../how-to-guides/new-user-guides/manage-clusters/clean-cluster-nodes.md)来清理节点。
 
 在集群中移除并清理节点时，你可以将节点重新添加到集群中。
 
-### 如何将其他参数/绑定/环境变量添加到 Rancher 启动的 Kubernetes 集群的 Kubernetes 组件中？
+## 如何将其他参数/绑定/环境变量添加到 Rancher 启动的 Kubernetes 集群的 Kubernetes 组件中？
 
 你可以使用集群选项中的[配置文件](../reference-guides/cluster-configuration/rancher-server-configuration/rke1-cluster-configuration.md#rke-集群配置文件参考)选项来添加其他参数/绑定/环境变量。有关详细信息，请参阅 RKE 文档中的[其他参数、绑定和环境变量](https://rancher.com/docs/rke/latest/en/config-options/services/services-extras/)，或浏览 [Cluster.ymls 示例](https://rancher.com/docs/rke/latest/en/example-yamls/)。
 
-### 如何检查证书链是否有效？
+## 如何检查证书链是否有效？
 
 使用 `openssl verify` 命令来验证你的证书链：
 
@@ -134,7 +138,7 @@ subject= /C=GB/ST=England/O=Alice Ltd/CN=rancher.yourdomain.com
 issuer= /C=GB/ST=England/O=Alice Ltd/CN=Alice Intermediate CA
 ```
 
-### 如何在服务器证书中检查 `Common Name` 和 `Subject Alternative Names`？
+## 如何在服务器证书中检查 `Common Name` 和 `Subject Alternative Names`？
 
 虽然技术上仅需要 `Subject Alternative Names` 中有一个条目，但在 `Common Name` 和 `Subject Alternative Names` 中都包含主机名可以最大程度地提高与旧版浏览器/应用程序的兼容性。
 
@@ -152,7 +156,7 @@ openssl x509 -noout -in cert.pem -text | grep DNS
                 DNS:rancher.my.org
 ```
 
-### 为什么节点发生故障时重新调度一个 pod 需要 5 分钟以上的时间？
+## 为什么节点发生故障时重新调度一个 pod 需要 5 分钟以上的时间？
 
 这是以下默认 Kubernetes 设置的组合导致的：
 
@@ -171,6 +175,6 @@ Kubernetes 1.13 默认启用 `TaintBasedEvictions` 功能。有关详细信息
    * `default-not-ready-toleration-seconds`：表示 `notReady:NoExecute` 的容忍度的 `tolerationSeconds`，该设置默认添加到还没有该容忍度的 pod。
    * `default-unreachable-toleration-seconds`：表示 `unreachable:NoExecute` 的容忍度的 `tolerationSeconds`，该设置默认添加到还没有该容忍度的 pod。
 
-### 我可以在 UI 中使用键盘快捷键吗？
+## 我可以在 UI 中使用键盘快捷键吗？
 
 是的，你可以使用键盘快捷键访问 UI 的大部分内容。要查看快捷方式的概览，请在 UI 任意位置按 `?`。