在生产环境中，很多时候我们都会有这样的需求：

业务弹性需求较大，反复安装卸载修改配置文件会对环境造成极大破坏，甚至需要重装系统以清理环境
将业务迁移到Docker架构，但使用传统的Docker CLI (Docker命令行) 方式进行管理，效率低下还容易误操作
将业务迁移到K8s架构，但因为K8s过于占用系统资源，往往在开发环境或者小型的生产环境，K8s刚跑起来系统就没可用性能资源了
K8s手动部署起来一路尽是无底深坑，历尽千辛终于配好了，稍稍改动下配置文件整个集群开始出现问题
需要个简单直观管理工具，能够简单快速的管理各个K8s集群，灵活创建Pod

在我接触K8S架构之初，也遇到了类似的问题：使用Rancher2.x+K8s这样的架构，在一台1C2G的阿里云上面部署，部署完成后发现系统内存早就被吃得一干二净，业务部署更是无从谈起；使用传统的Docker Swarm，感觉用起来没有K8S那样顺手舒服。

2019年2月26日，业界领先的容器管理软件提供商Rancher Labs推出了轻量级Kubernetes发行版 K3s ，这款产品专为在资源有限的环境中运行Kubernetes的研发和运维人员设计。这对于一些小型的开发/生产环境、边缘计算节点甚至性能极其有限的设备（比如树莓派3）来讲无疑是福音。

但问题来了，K3s相对于K8s，精简了不少功能。那么如何正确的对接Rancher 2.x和K3s呢？思考了许久，也在自己的时间环境埋头研究了一周，终于做出来一套完整的部署教程。好东西当然要共享，也为那些部署Rancher+K3s架构的同好们提供一些常见问题的解决思路。

那么，教程，现在开始。

Step 0: 配置环境要求

虽然K3S是K8S的轻量版，但也不能无视配置要求。官方配置要求如下：

系统内核版本：Linux 3.10+ (CentOS 7, Debian 8/9, Ubuntu 14.04+)
K3S Server端最低内存要求：512 MB
K3S Agent端内存最低要求：75MB
磁盘空间最低要求：200 MB
支持的硬件架构：x86_64, ARMv7, ARM64

相对于K8S那种性能杀手，K3S可以轻量到部署在大多数虚拟机上（比如常见的1C512M，不过如果部署在生产环境，建议1C2G及以上以保证稳定性）。如果你还要再同一台Server上同时跑Rancher 2.x Server的话，我建议最低配置要求如下：

系统内核版本：Linux 3.10+ (CentOS 7, Debian 8/9, Ubuntu 14.04+)
CPU最低核心数：1 核心
Rancher 2.x Server + K3S Server + K3S Agent端最低内存要求：2 GB
磁盘空间最低要求：5 GB
建议使用的硬件架构：x86_64

虽然K3S足够轻量，但也请不要忘记，Rancher Server本身也是需要占用掉大量内存的。所以如果是为了做成AIO (All In One)的效果，建议按照上述的配置要求准备Server。

Step 1: 安装Docker环境

虽然K3S默认集成的是Containerd，但出于多方面原因，为了后续部署方便起见，这里我们将Containerd换成Docker。具体的原因我会在下文解释。

本文以 Debian 9 x64 系统作为示例，Ubuntu 可以直接照搬 Debian 的安装过程，CentOS 用户我会特殊标注操作步骤。

如果你的服务器在中国大陆境内：

curl -fsSL "https://mirrors4.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg" | apt-key add -
echo "deb [arch=amd64] https://mirrors4.tuna.tsinghua.edu.cn/docker-ce/ stretch stable" < /etc/apt/sources.list.d/docker.list
apt-get update && apt-get install -y docker-ce

如果你的服务器在海外：

curl -fsSL "https://download.docker.com/linux/debian/gpg" | apt-key add -
echo "deb [arch=amd64] https://download.docker.com/linux/debian stretch stable" > /etc/apt/sources.list.d/docker.list
apt-get update && apt-get install -y docker-ce

CentOS 系统或者以上方法无法安装的，请使用官方安装脚本：

curl -fsSL get.docker.com | sh

也许会有人问，安装的时候为什么去掉了 --no-install-recommends 参数？

因为需要用到里面的cgroup支持，当然，你也可以加上这个参数，来只安装基础的Docker组件，同样能够支持运行。

在安装完成后，如果你的服务器位于中国大陆境内，你很有可能需要一个Docker镜像加速器。国内提供Docker镜像加速器的服务商很多，这里我们以阿里云的镜像加速服务为例：

打开 https://cr.console.aliyun.com ，并登录你的阿里云账户
点击左方的【镜像中心 - 镜像加速器】，然后在下方会有一个操作文档，复制其中的命令，粘贴到你的SSH窗口中即可完成镜像源的更换。

如果报错误 sudo: command not found ，只需要去掉每行命令中的sudo即可 (前提是你的当前登录用户为root)

Step 2: 安装Rancher Server

此部分可以参考教程：
https://www.cnrancher.com/quick-start

Rancher Server名字听起来感觉像是又要装很多东西，其实并非如此。Rancher Server只是一个Docker镜像，整个Rancher的程序都使用Docker打包起来了。所以相对来讲配置很简单，只需要一条命令：

docker run -d -v /data/docker/rancher-server/var/lib/rancher/:/var/lib/rancher/ --restart=unless-stopped --name rancher-server -p 80:80 -p 443:443 rancher/rancher:stable

然后等待几分钟，之后访问你的Server IP即可进入Rancher Server的首次配置界面。

如果你不想让Rancher占用你的80/443端口（比如前端要放个Caddy反代），只需要按照以下步骤操作：

修改启动命令行：

docker run -d -v /data/docker/rancher-server/var/lib/rancher/:/var/lib/rancher/ --restart=unless-stopped --name rancher-server -p 80:80 -p 443:443 rancher/rancher:stable

将里面的80和443，替换为你需要的端口（注意：请不要占用Kubernetes的6443端口，这一步很容易翻车！），换完的效果大概是这样：

docker run -d -v /data/docker/rancher-server/var/lib/rancher/:/var/lib/rancher/ --restart=unless-stopped --name rancher-server -p 9080:9080 -p 9443:9443 rancher/rancher:stable

启动Rancher Server容器
执行命令，确认Rancher Server容器的Container ID，本例中的容器ID为 31aa94998b75：
```
docker ps | grep "rancher/rancher:stable"
```
执行命令，切入到Rancher Server容器的Bash Shell中(TTY)：
```
docker exec -it 31aa94998b75 bash
```
此时你会发现你的提示符变成了这个样子：
```
root@31aa94998b75:/var/lib/rancher#
```
这时候你控制的就是Rancher Server的容器，如果你能够成功切入Shell，那么请继续下一步，如果未能切入，请使用 docker logs 31aa94998b75 来确认容器是否出现故障。

我们先看下要改的文件长什么样子：

#!/bin/bash
set -e

exec tini -- rancher --http-listen-port=80 --https-listen-port=443 --audit-log-path=${AUDIT_LOG_PATH} --audit-level=${AUDIT_LEVEL} --audit-log-maxage=${AUDIT_LOG_MAXAGE} --audit-log-maxbackup=${AUDIT_LOG_MAXBACKUP} --audit-log-maxsize=${AUDIT_LOG_MAXSIZE} "${@}"

执行命令，替换默认的端口：

sed -i "s/80/9080/g" /usr/bin/entrypoint.sh
sed -i "s/443/9443/g" /usr/bin/entrypoint.sh

执行后看下变成了什么样子

#!/bin/bash
set -e

exec tini -- rancher --http-listen-port=9080 --https-listen-port=9443 --audit-log-path=${AUDIT_LOG_PATH} --audit-level=${AUDIT_LEVEL} --audit-log-maxage=${AUDIT_LOG_MAXAGE} --audit-log-maxbackup=${AUDIT_LOG_MAXBACKUP} --audit-log-maxsize=${AUDIT_LOG_MAXSIZE} "${@}""

确认修改成功后，使用 exit 命令退出容器的Bash Shell，之后执行命令重新启动Rancher Server容器：
```
docker restart 31aa94998b75
```
之后使用新的端口访问Rancher Server的UI（下面的连接为例子）：

访问会提示SSL证书无效，无视错误继续即可

https://rancher.example.com:9443/
此时我们会来到Rancher的初始化部署页面，在此页面输入默认的全局管理员密码，创建全局管理员账户。
这一步输入我们的Rancher API Endpoint，注意这里输入的URL一定要保证整个集群内的所有节点都可以正常连接。
之后我们会来到主界面，如果对英文操作看着头疼的话，右下角可以切换语言。

具体方法是点击右下角的 English ，然后下拉选择简体中文(zh-hans) 即可。

汉化设置会跟随你的Cookies走，所以不换电脑或者不重装系统的话应该不会自动换回英语。
我们接下来在Rancher中创建一个新的集群，点击页面上的【创建集群】按钮，开始创建一个新的K8S/K3S集群。

注意：在这里请选择导入现有的 Kubernetes集群 (Import) ，而不是其他的新建选项！

下方的集群名称随意输入一个即可，反正以后可以随意改。

成员角色目前无需改动，直接点击【创建】完成向导。

完成后我们会得到导入K3S集群所需的命令，请保存好第三条命令以备后用。

为什么不是第二条？因为目前访问HTTPS API使用的是自签证书，直接用第二条会产生证书不信任的报错。
如果你一不小心关掉了窗口，可以在首页点击右侧的三个点，然后点击升级，就可以看到上面的集群导入命令。

到这一步，我们已经完成了Rancher Server端的准备工作。接下来，我们将着手准备部署K3S集群。

Step 3: 安装K3S集群 - 国内服务器的准备工作

如果你的服务器中国大陆境内，请参考下面的步骤执行；如果你的服务器在海外，请直接跳到Step 4。

鉴于国内拉取AWS S3 Bucket的速度，以及 k8s.gcr.io 被墙的无奈，我在这里额外增加了针对中国大陆境内服务器的步骤。如果你使用的是海外的服务器，这一步你无需操作，请继续下面的教程。

首先，我们下载K3S所需的Binary到本地服务器（或者在服务器端挂VPN进行下载）：

https://github.com/rancher/k3s/releases/download/v0.5.0/k3s-arm64

之后上传此Binary到服务器端的 /usr/local/bin/k3s，并赋予可执行属性：

chmod +x /usr/local/bin/k3s

这一步完成后，我们来着手解决最头疼的问题：pause 镜像被墙无法拉取。

这个镜像对于很多刚接触K8S的用户来讲非常头疼，我也是在这里卡了好久最后才算弄出来个解决方案。

出于大家的部署方便考虑，我将这份镜像制成了多份副本并分发出来，大家可以根据自己的需求选择最佳的解决方案。

阿里云北京镜像分流：

docker pull registry.cn-beijing.aliyuncs.com/ilemonrain/pause-amd64:3.1
docker tag registry.cn-beijing.aliyuncs.com/ilemonrain/pause-amd64:3.1 k8s.gcr.io/pause:3.1

阿里云上海镜像分流：

docker pull registry.cn-shanghai.aliyuncs.com/ilemonrain/pause-amd64:3.1
docker tag registry.cn-shanghai.aliyuncs.com/ilemonrain/pause-amd64:3.1 k8s.gcr.io/pause:3.1

阿里云广州镜像分流：

docker pull registry.cn-shenzhen.aliyuncs.com/ilemonrain/pause-amd64:3.1
docker tag registry.cn-shenzhen.aliyuncs.com/ilemonrain/pause-amd64:3.1 k8s.gcr.io/pause:3.1

Google Mirror分流 (Docker Hub)：

docker pull mirrorgooglecontainers/pause:3.1
docker tag mirrorgooglecontainers/pause:3.1 k8s.gcr.io/pause:3.1

本地镜像分流 (tar包格式)：

wget -qO- https://download.ilemonrain.com/Kubernetes/pause-amd64/pause.tar | docker load

完成镜像导入后确认是否导入成功：

docker images | grep "k8s.gcr.io/pause"

如果出现类似于这样的结果：

k8s.gcr.io/pause 3.1     da86e6ba6ca1  17 months ago  742kB

则说明导入成功，可以继续接下来的步骤。

Step 4: 安装K3S集群

接下来，我们开始K3S集群的部署。

官方提供了很好用的一键安装脚本，我们只需要使用一键脚本即可完成K3S环境的安装：

curl -sfL https://get.k3s.io | sh -

安装完成后，我们需要调整下K3S的服务配置文件，以将K3S的默认容器引擎从Containerd切换到Docker。

修改K3S服务的配置文件：

vim /etc/systemd/system/multi-user.target.wants/k3s.service

文件内容如下：

[Unit]
Description=Lightweight Kubernetes
Documentation=https://k3s.io
After=network-online.target

[Service]
Type=notify
EnvironmentFile=/etc/systemd/system/k3s.service.env
ExecStartPre=-/sbin/modprobe br_netfilter
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/k3s server
KillMode=process
Delegate=yes
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
TimeoutStartSec=0
Restart=always

[Install]
WantedBy=multi-user.targe

在这里我们需要修改ExecStart的值，将其修改为：

/usr/local/bin/k3s server --docker --no-deploy traefik

之后保存退出，执行命令重新加载新的服务配置文件：

systemctl daemon-reload

完成后重启K3S服务：

service k3s restart

稍等数十秒，之后通过命令确认K3S集群是否就绪：

k3s kubectl get node

如果得到类似如下的结果：

NAME                  STATUS   ROLES    AGE     VERSION
k3s01.ilemonrain.io   Ready    <none>   3m34s   v1.14.1-k3s.4

则说明K3S集群启动成功。

Step 5: 导入K3S集群到Rancher

还记得在Step 2中保存好的导入命令么？是时候该派上用场了。

现在的Rancher Server上，显示集群状态为Pending，就像这样：

这是因为我们还未导入集群，这一步我们将导入集群，并建立Rancher Server与K3S集群的联系。

在K3S的主控节点（一般情况下，第一个节点都是主控制器，也叫Server节点）上，执行命令，导入集群：

curl --insecure -sfL https://10.248.21.2/v3/import/jr42wvdhk4w94htxxtf5hv424rsjjz6hzq9vl2lj8q9dnb8dgcwgzn.yaml | kubectl apply -f -

注意：每个集群的导入命令都不一样，请不要直接照搬教程中的导入命令！

之后Shell中会返回一下信息，说明集群导入配置成功：

namespace/cattle-system created
serviceaccount/cattle created
clusterrolebinding.rbac.authorization.k8s.io/cattle-admin-binding created
secret/cattle-credentials-7c9ef0a created
clusterrole.rbac.authorization.k8s.io/cattle-admin created
deployment.extensions/cattle-cluster-agent created
daemonset.extensions/cattle-node-agent created

回到Rancher界面，稍微等数十秒，我们会发现Pending状态变成了Waiting状态：

出现这个提示说明Rancher已经收到K3S的注册请求，正在完成K3S集群的注册工作，再等数十秒种的时间即可完成K3S集群的导入工作：

到这里，我们成功完成了Rancher 2.x和K3S的对接工作，可以像操作K8S集群那样操作K3S集群了。

Step X: 一点小小的总结

为什么我会用K3S来取代K8S，主要是因为自己手里的服务器配置不太够，如果贸然上K8S的话，会导致系统资源全被K8S吃光，从而没有资源再去跑其他的业务。谨以此文，希望能够做各位运维、开发、Geeker前行路上的指路明灯，为大家扫清前进的障碍，加速业务容器化的迁移进程。

作者：iLemonrain

来源：https://blog.ilemonrain.com/docker/rancher-with-k3s.html

创作场景

Step by Step！Rancher 2.2+K3s 集成部署实践教程