rancher域名配置

Rancher 域名配置完全指南

一、域名配置的核心概念

Rancher 作为企业级容器管理平台，域名配置是整个部署架构中的关键环节。Rancher Server URL（即用户访问 Rancher 管理界面所使用的域名或 IP 地址）的配置贯穿于 Rancher 的安装、部署和后续运维的全过程。正确的域名配置直接关系到平台的可访问性、安全性以及下游集群的管理效率。Rancher 支持两种部署模式：单节点 Docker 部署和高可用 Kubernetes 集群部署，不同模式下的域名配置策略也有所差异。

二、域名配置的架构设计

2.1 高可用部署的域名架构

对于生产环境，强烈推荐采用高可用部署方案。在高可用部署中，Rancher Server 运行于 Kubernetes 集群之上，域名配置涉及以下层级：

DNS 解析层：Rancher 的 DNS 记录应解析到一个四层负载均衡器，负载均衡器再将 TCP/80 和 TCP/443 端口流量转发给 Kubernetes 集群中的所有节点。Ingress Controller 负责将 HTTP 流量重定向到 HTTPS，并在 TCP/443 端口终止 SSL/TLS 连接，最后将流量转发到 Rancher Deployment 的 Pod 上。

负载均衡器配置：当使用七层负载均衡器时，需要传递关键请求头。负载均衡器必须传递 X-Forwarded-Proto: https 请求头以禁用 Rancher 自动重定向，同时还需传递 Host、X-Forwarded-Port 和 X-Forwarded-For 等头部信息，确保 Rancher 能够正确处理客户端请求。

2.2 单节点部署的域名访问

单节点部署通常通过 Docker 命令启动 Rancher 容器。这种模式下，用户直接使用节点的 IP 地址或配置的域名进行访问。但需要注意的是，单节点方式不推荐在生产环境使用——如果该节点发生故障，其他节点上没有 etcd 数据副本，Rancher Server 的所有数据都将丢失。

三、DNS 配置与域名解析

3.1 DNS 解析的基本要求

生产环境安装 Rancher 高可用时，必须配置 DNS 服务器来解析 Rancher 的域名。虽然可以通过修改 hosts 文件临时解决域名解析问题，但这并非推荐做法，无论测试环境还是生产环境都不建议使用 hosts 映射的方式。

具体的 DNS 配置步骤包括：

选择要使用的标准域名，如 rancher.yourdomain.com

登录 DNS 服务器，创建一条指向负载均衡器 IP 地址的 A 记录

使用 nslookup 命令验证 A 记录是否生效

3.2 全局 DNS 功能

Rancher 自 v2.2.0 版本起提供了全局 DNS 功能，允许对外部 DNS 提供商进行编程，将流量路由到 Kubernetes 应用程序。全局 DNS 支持将同一应用部署到多个 Kubernetes 集群，实现跨集群的高可用部署——即使某个集群发生故障，应用仍可正常对外提供服务。

Rancher 支持的主流 DNS 提供商包括 AWS Route53、CloudFlare 和阿里 DNS。配置时，在全局视图中选择“工具 > 全局 DNS 提供商”，然后根据所选提供商配置相应的凭据和域名信息即可。

四、Rancher 安装时的域名配置

4.1 Helm 安装中的 hostname 参数

在 Kubernetes 上通过 Helm 安装 Rancher 时，hostname 参数是最关键的配置项之一。该参数指定了 Rancher Server 的完全限定域名，是所有安装中必须设置的参数。

典型的 Helm 安装命令示例如下：

bash

helm upgrade --install rancher rancher-latest/rancher \

  --namespace cattle-system \

  --set hostname=rancher.example.com \

  --set replicas=3

其中，replicas 参数用于配置 Rancher Server 的副本数量，生产环境建议设置为 3 以实现高可用。

4.2 cert-manager 与证书配置

出于安全考虑，所有到 Rancher 的流量都必须使用 TLS 加密。Rancher 支持三种 SSL 证书方案：

Rancher 生成的证书（默认） ：通过 cert-manager 自动签发自签名证书，适合测试环境

Let's Encrypt：使用免费的公共证书颁发机构，适合公网访问场景

已有证书：使用自定义证书（包括私有 CA 签发的证书）

使用 Let's Encrypt 时，cert-manager 需要配置代理，以便与 Let's Encrypt 或其他外部证书颁发商通信。

五、部署后的域名配置管理

5.1 首次登录配置 Server URL

首次登录 Rancher 后，系统会提示输入 Rancher Server URL。这一 URL 应设置为访问 Rancher Server 的主入口点——当负载均衡器部署在 Rancher Server 集群前面时，URL 应设置为负载均衡地址。系统会自动尝试推断 Rancher Server URL，但这一推断仅对单节点安装有效，大多数情况下需要手动设置为正确的值。

重要警告：Rancher Server URL 一旦设置完成，官方文档明确表示不支持修改。在生产环境中设置此项配置时务必格外谨慎。

5.2 hostname 的修改

hostname 参数用于 Ingress 或 Gateway 的域名，即用户请求 Rancher 时使用的域名。安装后可以通过全局设置进行修改，同时 K3s 集群中的 Ingress 配置也需相应调整。

5.3 HTTP 代理配置

当 Rancher 部署在需要代理访问外部网络的环境中时，需要在 Helm 安装时配置代理参数。Rancher 使用 Go 语言编写，会遵循常见的代理环境变量。务必确保 NO_PROXY 包含不需要代理的网络地址、地址段和域名。

六、应用层域名配置：Ingress 与证书

6.1 Ingress 的域名配置

在 Rancher 中，为部署的工作负载配置域名访问主要通过 Ingress 资源实现。Ingress 为集群内的所有服务提供了外网访问入口，提供外部访问 URL、负载均衡、SSL 终止和基于主机名/路径的路由等功能。

通过 Rancher UI 创建 Ingress 的步骤如下：

在左上角选择“集群管理”

进入目标集群，单击“Explore”

选择“服务发现 > Ingresses”

单击“创建”，选择命名空间，输入 Ingress 名称

配置转发规则和主机名

Rancher UI 还提供“自动生成 sslip.io 主机名”选项，适合测试环境使用。Rancher 使用 sslip.io 服务自动生成 DNS 名称，但该选项仅推荐用于测试场景。

6.2 SSL 证书管理

在 Rancher 和 Kubernetes 中创建 Ingress 时，如果需要对 HTTP 通信进行加密，必须提供包含 TLS 私钥和证书的 Secret 资源。

证书可以添加到项目或命名空间级别：

项目级证书：可在该项目下所有命名空间中使用

命名空间级证书：仅可用于该命名空间的工作负载

对于 Rancher Server 自身的证书更新，需要将服务器证书和任何中间证书合并到名为 tls.crt 的文件中，并提供对应的密钥文件 tls.key，然后创建 tls-rancher-ingress 密钥资源。

6.3 外部服务域名配置

对于部署在 Rancher 集群之外的服务，可以通过添加外部服务的功能将其整合到 Rancher 中，配置时可以选择使用外部 IP 地址或域名作为目标。

七、常见问题与注意事项

域名不可变问题：Rancher Server URL 一旦设置，官方不支持修改，初始配置务必准确

证书与域名匹配：SSL 证书中的 CN 或 SAN 必须包含所配置的域名

负载均衡器健康检查：可在节点的 /healthz 端点执行健康检查，该端点返回 HTTP 200

WebSocket 支持：负载均衡器必须支持 WebSocket 连接和 HTTP/2 协议

Ingress Controller 选择：社区 ingress-nginx controller 已于 2026 年 3 月到达 EOL，Rancher 环境推荐迁移至 Traefik

八、总结

Rancher 域名配置涉及从基础设施层到应用层的完整链路。合理的域名配置架构——包括正确的 DNS 解析、负载均衡器配置、SSL/TLS 证书管理和 Ingress 规则设置——是保障 Rancher 平台稳定运行的基础。生产环境下，强烈推荐采用高可用部署方案，通过四层负载均衡器和 Ingress Controller 的协作实现域名流量的高效分发。证书管理方面，Let's Encrypt 提供了免费的自动化证书方案，而企业内网场景则更适合使用私有 CA 证书。域名配置完成后务必做好变更管理，因为 Server URL 一旦设置后不支持修改，这一点需要特别留意。

上一条：rancher开发环境

下一条：没有了！