Parla con un esperto
Home / Deployment K8s / RKE2
Production Kubernetes

RKE2

La distribuzione Kubernetes enterprise CIS-hardened di SUSE. Per cluster di produzione, ambienti regolamentati, workload GPU.

RKE2 · open source
RKE2 logo
Cos'è

Kubernetes che passa l'audit, di default.

RKE2 (Rancher Kubernetes Engine v2) è la successione naturale di RKE: stesso obiettivo (Kubernetes pronto per la produzione, deploy in pochi minuti), ma con security baseline molto più stretta — pacchettizzata e mantenuta da SUSE.

CIS Kubernetes Benchmark scorato di default, FIPS 140-2 compliance opzionale, etcd cifrato a riposo, containerd come runtime (no Docker), policy admission built-in. Tutto questo senza dover scrivere un kustomize per ogni cluster.

In Clodino è la nostra prima scelta per cluster on-prem 3+ control plane: PA, sanità, finanza, manifatturiero regolato. Anche per i cluster GPU che serviamo per workload AI (vedi 'AI privata'), dove FIPS e l'isolamento etcd sono requisiti contrattuali.

Caratteristiche chiave

Le sei cose che lo rendono enterprise.

Niente è opzionale. Tutto è già acceso, configurato, documentato.

CIS hardened

kube-apiserver, kubelet, etcd, controllers tutti CIS-scored. Reportistica integrata con kube-bench.

FIPS 140-2

Build FIPS-compliant per ambienti governativi e regolamentati. Crittografia validata.

etcd encryption

Secrets cifrati a riposo nativamente. Backup automatici, encryption key rotation gestita.

Single binary

Tutto in un binario Go: server, agent, containerd, runc. Deploy via systemd, niente Docker.

Air-gap ready

Image bundle offline scaricabile. Deploy in datacenter senza internet, validato in produzione.

GPU & accelerator

NVIDIA GPU Operator pre-integrato. MIG, time-slicing, MPS supportati out of the box.

Come lo usiamo

Come deployamo RKE2 in produzione.

RKE2 1.30+containerdCilium eBPFCeph CSIVeleroNVIDIA GPU OperatorKyvernoExternal Secretskube-bench
  • Architettura HA: 3 control plane, etcd embedded o dedicato, worker per pool (general / gpu / storage).
  • Cilium CNI con eBPF: network policy avanzate, no kube-proxy, observability nativa.
  • Ceph CSI per persistent volume (block + RWX), Velero per backup applicativi su S3 Clodino Cloud.
  • Cluster sotto Rancher centrale: GitOps via Fleet, policy via Kyverno, secrets via External Secrets Operator.
  • Upgrade rolling tra minor (1.30 → 1.31 → 1.32) testati in staging, eseguiti come Change con runbook.
  • Reportistica CIS mensile, audit log su SIEM cliente, dashboard SLI/SLO su Grafana.
“Quando un cliente ci dice 'serve un cluster K8s in produzione, regolamentato', la risposta è RKE2 in 9 casi su 10.”
Hands on

Bootstrap di un cluster RKE2 HA.

shell · rke2 server~/clodino
$ cat /etc/rancher/rke2/config.yaml
token: ...
tls-san: [k8s.client.tld]
cni: cilium
profile: cis
selinux: true
secrets-encryption: true

$ systemctl enable --now rke2-server
 Loaded config from /etc/rancher/rke2/config.yaml
 etcd initialized · 1 member
 kube-apiserver listening on 6443
 cilium-operator ready

$ kubectl get nodes
NAME      STATUS   ROLES                       VERSION
cp-01     Ready    control-plane,etcd,master   v1.30.5+rke2r1
cp-02     Ready    control-plane,etcd,master   v1.30.5+rke2r1
cp-03     Ready    control-plane,etcd,master   v1.30.5+rke2r1

Devi mettere K8s in produzione sul serio?

Design, deploy e operations di cluster RKE2 enterprise — pronti all'audit dal giorno uno.

← Deployment Parla con noi