Commit 4e0a7fb3 authored by Théo Berger's avatar Théo Berger
Browse files

fix

parent bb8e9cdc
# Create RKE rancher cluster
## Longhorn
* Create ext4 partition on secondary disk and mount it on /data (add to fstab)
* Install open-iscsi
```
apt install open-iscsi
```
## Java ram limit for opensearch
```
sudo sysctl -w vm.max_map_count=262144
```
## Create cluster
Add nodes (all etcd / control plane / worker) with public IP as private
## Install Longhorn
Install longhorn
Add /data disks, remove defaults
# Créer un cluster kubernetes rancher RKE
## Longhorn
Pour chaques noeuds:
* Créer une partition sur le disque secondaire et le monter sur /data (ajouter la partition sur fstab en UUID)
* Installer open-iscsi (utilisé par longhorn):
```
apt install open-iscsi
```
## Java mmap limit
* Si vous installez opensearch, vous aurez besoin d'augmenter la limite maximal de la taille des memory maps.
```
sudo sysctl -w vm.max_map_count=262144
```
## Créer le cluster
* Créer un nouveau cluster sur rancher et ajouter les noeuds, tous ayants les rôles etcd, controle plate et worker
> :warning: Pour que la communication se fasse correctement entre les noeuds, il faut indiquer l'ip publique dans les champs "ip publique" et "ip privée" pour qu'il n'y ai pas de soucis de communication. En effet, l'ip privée de scaleway peut changer
## Installer Longhorn
* Installer la charte hem longhorn via rancher
* Ajouter les disques /data
* Rendre non schedulable les diques par default et les supprimer
## Monitoring
* Installer "Monitoring" via rancher
* Patcher les DaemonSet `pushprox-kube-etcd-client` pour ajouter l'argument `--insecure-skip-verify`. Celà permet le communication avec prometheus, les certificats étants signées avec l'IP privée des hosts.
```
kubectl patch DaemonSet pushprox-kube-etcd-client -n cattle-monitoring-system \
--type "json" \
--patch '[{"op":"add","path":"/spec/template/spec/containers/0/args/-","value":"--insecure-skip-verify"}]'
```
## Installer cert-manager
```
VERSION=v1.8.2
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/$VERSION/cert-manager.yaml
```
## Installer opensearch
### Opensearch
Plus d'info: https://git.fenrys.io/ops/kubernetes/Misc/-/tree/main/opensearch
Préparation:
* Editer le fichier value dans `opensearch/values.yaml` si nécessaire
* Indiquer ne nom de release helm et le namespace
```
cd opensearch
export OPENSEARCH_RELEASE=tlg-prod-opensearch
export OPENSEARCH_NAMESPACE=opensearch
```
Installer opensearch avec les scripts présents. Celà va installer opensearch avec le mot de passe du compte admin indiqué
```
../scripts/generate_certs.sh
../scripts/generate_kubernetes_secrets.sh <changeme>
../scripts/deploy-opensearch.sh <path.to.values.yaml>
```
### Opensearch dashboards
Editer les values:
```
opensearch:
host: "bm-opensearch"
releasename: "bm-opensearch"
ingress:
domain: localhost
class: gw-localhost
```
* Remplacer l'host et le releasename par le releasname indiqué précédément
* Remplacer le domain de l'ingress par celui qui sera utilisé
### Changer le mot de passe admin
Se connecter à un des containers d'opensearsh
Utiliser l'outil suivant pour générer un hash du nouveau mot de passe:
```
/usr/share/opensearch/plugins/opensearch-security/tools/hash.sh
```
Editer le fichier suivant et mettre à jours le nouveau hash:
```
/usr/share/opensearch/plugins/opensearch-security/securityconfig/internal_users.yml
```
Appliquer cette commande pour mettre à jours le nouveau mot de passe:
```
./securityadmin.sh -f ../securityconfig/internal_users.yml \
-t internalusers \
-icl \
-nhnv \
-cacert /usr/share/opensearch/config/root-ca.pem \
-cert /usr/share/opensearch/config/admin.pem \
-key /usr/share/opensearch/config/admin-key.pem
```
Supports Markdown
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment