Rancher中vSphere节点部署时cloud-init执行失败问题分析

问题背景

在使用Rancher 2.11.0版本通过vSphere部署下游Kubernetes集群时，管理员遇到了一个典型的基础设施配置问题。当尝试通过Rancher UI创建RKE2集群时，节点部署过程会卡在"waiting for agent to check in and apply initial plan"状态，导致集群无法正常启动。

问题现象

通过检查节点上的cloud-init日志，发现了以下关键错误信息：

1. cloud-init执行状态显示为error
2. 具体错误指向scripts_user模块执行失败
3. 日志中出现关键错误信息："Aborting system-agent installation due to requested strict CA verification with no CA checksum provided"

根本原因分析

经过深入排查，发现问题的根源在于Rancher Manager的全局安全设置。当agent-tls-mode设置为"Strict"模式时，系统要求提供CA校验和(checksum)来验证证书的合法性。然而在当前的部署配置中：

1. 部署过程中没有提供必要的CA校验和信息
2. 严格的TLS验证模式导致agent安装过程被中止
3. 这一失败进而影响了整个cloud-init执行流程

解决方案

针对这一问题，可以采取以下两种解决方案：

方案一：调整TLS验证模式

1. 登录Rancher Manager管理界面
2. 导航至全局设置(Global Settings)
3. 找到agent-tls-mode设置项
4. 将值从"Strict"改为"system-store"
5. 保存设置后重新尝试集群部署

方案二：提供CA校验和

如果组织安全策略要求必须使用Strict模式，则需要：

1. 获取Rancher Server使用的CA证书
2. 计算该CA证书的校验和(checksum)
3. 在集群部署配置中指定该校验和
4. 确保网络配置允许节点访问CA证书存储位置

技术原理深入

在Rancher的架构设计中，agent-tls-mode参数控制着节点agent与Rancher Server之间通信的安全验证级别：

• Strict模式：要求严格的证书验证，必须提供CA校验和
• system-store模式：使用系统证书存储进行验证，灵活性更高
• insecure模式：不验证证书，仅用于测试环境

在vSphere环境下部署时，cloud-init负责完成节点的初始配置工作。当agent安装失败时，会导致整个cloud-init流程中断，进而影响集群的初始化过程。

最佳实践建议

1. 对于生产环境，建议使用Strict模式但必须正确配置CA校验和
2. 测试环境可以使用system-store模式简化部署
3. 在部署前检查vSphere模板中的cloud-init兼容性
4. 确保节点能够访问Rancher Server的证书存储
5. 对于大规模部署，考虑预先配置好所有安全相关参数

总结

Rancher在vSphere环境下的节点部署问题往往与安全配置密切相关。理解agent-tls-mode的不同设置对部署流程的影响，能够帮助管理员快速定位和解决类似问题。正确的安全配置不仅能保证部署成功，还能确保集群运行时的通信安全。