dashboard 1.8

最新推荐文章于 2024-05-18 20:07:07 发布
最新推荐文章于 2024-05-18 20:07:07 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kuberntes dashboard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mailjoin/article/details/79679853
版权

新版的dashboard在安全方面下了不少功夫,也提供了多种认证方式。以下就踩过的坑来进行一下介绍。

dashboard官方文档:

https://github.com/kubernetes/dashboard/wiki

Installation

dashboard有两个发行版本,offical和deployment. 这里使用offical版本。

dashboard的安装文档中提到了3中方式:
1. quick setup
快速安装,但是只能通过kubectl proxy的方式使用本机地址(localhost,127.0.0.1)来进行登录。
2. recommended setup
常规安装,可以通过NodePortingress的方式访问。
3. alternative setup
采用http协议访问,出于安全性考虑,就没使用这个了。

快速安装和常规安装几乎一模一样,唯一不同的是采用常规安装的时候,需要先生成dashboard的服务器端证书,然后通过configMap挂载到dashboard容器中。

第一步,生成证书:

mkdir certs && cd certs

openssl genrsa -out dashboard.key 2048

openssl req -new -key dashboard.key -out dashboard.csr -config dashboard-csr.conf

openssl x509 -req -in dashboard.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out dashboard.crt -days 1000 -extensions v3_ext -extfile dashboard-csr.conf

dashboard-csr.conf 文件内容如下:

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
L = SZ
O = Fonsview
CN = 172.16.6.79

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes-dashboard
DNS.2 = kubernetes-dashboard.kube-system
DNS.3 = kubernetes-dashboard.kube-system.svc
DNS.4 = kubernetes-dashboard.kube-system.svc.cluster
DNS.5 = kubernetes-dashboard.kube-system.svc.cluster.local
DNS.6 = dashboard.k8s.fonsview.com
IP.1 = 172.16.6.79
IP.2 = 172.16.6.47
IP.3 = 172.16.6.249

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

这里我直接使用了kubernetes 里面的ca证书,用浏览器访问的时候会提示该网站证书不可靠. 官方推荐是去Let’s Encrypt 网站中生成自己的证书。

将创建好的证书,添加到Secret中.

kubectl create secret generic kubernetes-dashboard-certs --from-file=./certs -n kube-system

下载kubernetes-dashboard.yaml

修改kubernetes-dashboard的yaml文件:

kind: Deployment
apiVersion: apps/v1beta2
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kube-system
spec:
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
    spec:
      containers:
      - name: kubernetes-dashboard
        image: gcr.io/google_containers/kubernetes-dashboard-amd64:v1.8.0
        ports:
        - containerPort: 8443
          protocol: TCP
        args:
          # - --auto-generate-certificates
          - --tls-key-file=dashboard.key
          - --tls-cert-file=dashboard.crt
          - --authentication-mode=basic
          # Uncomment the following line to manually specify Kubernetes API server Host
          # If not specified, Dashboard will attempt to auto discover the API server and connect
          # to it. Uncomment only if the default does not work.
          # - --apiserver-host=http://my-address:port
        volumeMounts:
        - name: kubernetes-dashboard-certs
          mountPath: /certs
          # Create on-disk volume to store exec logs
        - mountPath: /tmp
          name: tmp-volume
        livenessProbe:
          httpGet:
            scheme: HTTPS
            path: /
            port: 8443
          initialDelaySeconds: 30
          timeoutSeconds: 30
      volumes:
      - name: kubernetes-dashboard-certs
        secret:
          secretName: kubernetes-dashboard-certs
      - name: tmp-volume
        emptyDir: {}
      serviceAccountName: kubernetes-dashboard
      # Comment the following tolerations if Dashboard must not be deployed on master
      tolerations:
      - key: node-role.kubernetes.io/master
        effect: NoSchedule

添加--tls-key-file--tls-cert-file.

如果要采用用户名和密码的认证形式,需要加上--authentication-mode=basic。 默认是使用token认证。

Note: 这里要注意证书的路径

然后执行

kubectl apply -f kubernetes-dashboard.yaml

不出意外的话,可以用命令看到pod能正常启动:

[root@walker-1 kubernetes]# kubectl get po -o wide --namespace=kube-system | grep dashboard
kubernetes-dashboard-68b6699b8-mrvfl         1/1       Running   0          5s        192.168.187.202   walker-1.novalocal

访问dashboard

修改dashboard的service, 改为NodePort的访问形式

[root@walker-1 kubernetes]# kubectl describe svc kubernetes-dashboard -n kube-system
Name:                     kubernetes-dashboard
Namespace:                kube-system
Labels:                   k8s-app=kubernetes-dashboard
Annotations:              kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"labels":{"k8s-app":"kubernetes-dashboard"},"name":"kubernetes-dashboard","namespace":...
Selector:                 k8s-app=kubernetes-dashboard
Type:                     NodePort
IP:                       10.103.175.251
Port:                     <unset>  443/TCP
TargetPort:               8443/TCP
NodePort:                 <unset>  32723/TCP
Endpoints:                192.168.187.202:8443
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>

至此就可以通过 https://<nodeip>:<nodeport> 的方式来访问dashboard了

image

官网上还提及了通过apiserver和kubectl proxy 的方式来访问页面。据个人实际使用,kubectl proxy默认监听127.0.0.1。只能通过本地地址去访问。当然可以绑定到其他地址,但是页面无法进行登录操作。这在文档中有描述:

NOTE: Dashboard should not be exposed publicly using kubectl proxy command as it only allows HTTP connection. For domains other than localhost and 127.0.0.1 it will not be possible to sign in. Nothing will happen after clicking Sign in button on login page.

通过apiserver端口来访问时,会出现403权限问题。提示是以匿名用户身份访问的,权限拒绝。但是要让浏览器支持提供身份请求显然不现实,所以也放弃了。

为用户授权

如果使用token的认证方式来登录,也是可行的。不过需要为service account添加合适的权限。如果想直接跳过认证,那么默认是以kubernetes-dashboard的service account账户来访问。如果不做配置,kubernetes-dashboard 只能访问很少一部分资源。官方文档中提供了将所有权限赋予kubernetes-dashboard的配置。

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: kubernetes-dashboard
  namespace: kube-system

将用户绑定到 cluster-admin权限组。这样一来kubernetes-dashboard就能访问平台所有资源。这样做很方便,但有安全风险,不建议。

token认证方案已经很好了,但是大佬们显然更倾向使用账户+密码的方式认证。具体配置步骤如下:

  1. 在dashboard的deployment配置中,添加 --authentication-mode=basic

  2. 修改apiserver的配置,在启动参数中添加密码文件、ABAC认证以及指定ABAC策略文件。

    • 编辑密码文件
      密码文件的格式如下:
password,user,uid,"group1, group2..."

详情可参考:https://kubernetes.io/docs/admin/authentication/#static-password-file

为了方便起见,我创建了/etc/kubernetes/dashboard 文件夹

[root@walker-1 ~]# cd /etc/kubernetes/dashboard/
[root@walker-1 dashboard]# cat dashboard.basic 
password,walker,123123,system:authenticated

Note: 一定要为用户添加system:authenticated组,否则默认为system:unauthenticated组,用户被视为匿名用户,丧失访问权限。

  • 编辑ABAC策略文件
[root@walker-1 dashboard]# cat dashboard-abac.json 
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "walker", "namespace": "*", "resource": "*", "apiGroup": "*"}}

这里把所有权限放开给walker用户。

有关ABAC认证参考:https://kubernetes.io/docs/admin/authorization/abac/

Note: 策略文件中的用户名要和密码文件对应。

  • 修改apiserver配置
apiVersion: v1
kind: Pod
metadata:
  annotations:
    scheduler.alpha.kubernetes.io/critical-pod: ""
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --enable-bootstrap-token-auth=true
    - --admission-control=Initializers,NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota
    - --advertise-address=172.16.6.47
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --insecure-port=0
    - --requestheader-username-headers=X-Remote-User
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-allowed-names=front-proxy-client
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    - --allow-privileged=true
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --secure-port=6443
    - --requestheader-group-headers=X-Remote-Group
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --authorization-mode=Node,RBAC,ABAC
    - --authorization-policy-file=/etc/kubernetes/dashboard/dashboard-abac.json
    - --basic-auth-file=/etc/kubernetes/dashboard/dashboard.basic
    - --etcd-servers=http://walker-1:2379,http://walker-2:2379,http://walker-4:2379
    image: gcr.io/google_containers/kube-apiserver-amd64:v1.8.1
    livenessProbe:
      failureThreshold: 8
      httpGet:
        host: 127.0.0.1
        path: /healthz
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 15
      timeoutSeconds: 15
    name: kube-apiserver
    resources:
      requests:
        cpu: 250m
    volumeMounts:
    - mountPath: /etc/kubernetes/pki
      name: k8s-certs
      readOnly: true
    - mountPath: /etc/kubernetes/dashboard
      name: k8s-dashboard
      readOnly: true
    - mountPath: /etc/ssl/certs
      name: ca-certs
      readOnly: true
    - mountPath: /etc/pki
      name: ca-certs-etc-pki
      readOnly: true
  hostNetwork: true
  volumes:
  - hostPath:
      path: /etc/kubernetes/pki
      type: DirectoryOrCreate
    name: k8s-certs
  - hostPath:
      path: /etc/kubernetes/dashboard
      type: DirectoryOrCreate
    name: k8s-dashboard
  - hostPath:
      path: /etc/ssl/certs
      type: DirectoryOrCreate
    name: ca-certs
  - hostPath:
      path: /etc/pki
      type: DirectoryOrCreate
    name: ca-certs-etc-pki
status: {}

添加了ABAC认证方式,--authorization-policy-file以及--basic-auth-file。将/etc/kubernetes/dashboard 挂载到容器中。

  1. 重启apiserver, 使用添加的用户进行访问。
    先使用一个错误的密码试试认证有没有生效:

image

在使用正确密码登录:

image

至此密码认证方式配置完毕。

discsthnew
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S应用实战-第三篇(仪表盘Dashboard
DT辰白
05-14 1525
k8s的集群搭建已经完成,那么页面怎么管理呢?本文详细介绍k8s-dashboard页面管理。注意:完结撒花,注意页面访问是Https请求,需要证书认证,我们可以使用【火狐浏览器】,直接跳过Https签名认证。
K8s(kubernetes)集群搭建及dashboard安装、基础应用部署
Ricardo.M.Yu的博客
07-12 1842
本质是一组服务器集群,在集群每个节点上运行特定的程序,来对节点中的容器进行管理。实现资源管理的自动化。
Kubernetes Dashboard部署安装
lpfstudy的博客
07-17 6934
创建dashboard成功!跟grafana差不多。
10.3.k8s的附加组件-图形化管理工具dashboard
最新发布
qq_22321199的专栏
05-18 621
Dashboard是k8s集群管理的一个WebUI,它是k8s的一个附加组件,所以需要单独来部署; 我们可以通过图形化的方法,创建、删除、修改、查询k8s资源;
K8S(kubernetes)学习(六):K8S之Dashboard图形界面
HaleyTiger的博客
01-15 2414
一、Dashboard简介 官网:https://kubernetes.io/docs/tasks/access-application-cluster/web-ui-dashboard/   Dashboard是基于web的Kubernetes用户界面。您可以使用指示板将容器化的应用程序部署到Kubernetes集群,对容器化的应用程序进行故障排除,并管理集群资源。您可以使用Dashboard来获得运行在集群上的应用程序的概览,以及创建或修改单独的Kubernetes资源(例如部署、作业、守.
k8s--部署--03--安装Dashboard
zhou920786312的博客
01-01 860
dashboard是kubernetes官方提供的可视化界面。
持久化sentinel-dashboard1.8源码
07-09
基于源码做的Sentinel-Dashboard1.8,持久化到Nacos。网关、流控、降级。。。都实现了。绝对靠谱,可以支持自己打包成jar包
Sentinel-Dashboard1.8-持久化-放心下载
01-01
连续2天改造Sentinel-Dashboard1.8源码做的持久化。经过本人测试好使。有任何问题可留言~
sentinel-dashboard-1.8.0.jar免费下载
09-29
sentinel-dashboard-1.8.0.jar免费下载, github太慢, 还好有国外服务器下载并回传...免费分享,快乐分享
sentinel-dashboard-1.8.0.zip
05-06
sentinel-dashboard-1.8.0.jar
最新版 sentinel-dashboard-1.8.4.jar
04-13
最新版 sentinel-dashboard-1.8.4.jar
Kubernetes详解(五十七)——Dashboard令牌访问控制
永远是少年
05-11 2747
今天继续给大家介绍Linux运维相关知识,本文主要内容是Dashboard令牌访问控制。 一、Dashboard访问控制 二、生成访问证书 三、ServiceAccount创建 四、token访问
kubernetes-dashboard 实现 http 访问以及免 token 登录
以梦为马|越骑越傻
02-01 2403
kubernetes-dashboard 实现 http 访问以及免 token 登录
Kubernetes dashboard1.8.0 WebUI安装与配置
热门推荐
Aurora Silent
12-19 3万+
kubernetes-dashboard.yamlapiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard addonmanager.kubernetes.io/mode: Reconcile name: kubernetes-dashboard namespac
kubernetes Dashboard 使用RBAC 权限认证控制
忘归的博客
07-09 6671
在参考大神的教程安装kubernetes集群的同时安装了dashboard;部署时使用到的dashboard-rbac.yaml文件如下: apiVersion: v1 kind: ServiceAccount metadata: name: dashboard namespace: kube-system --- kind: ClusterRoleBinding apiVersion:...
部署k8s-dashboard完成以后访问出现错误v
iouczp的博客
05-13 6685
原文:http://dockone.io/question/1266浏览器访问8080端跳转出现这个,是什么原因Error: 'dial tcp 172.17.34.2:9090: getsockopt: connection refused'Trying to reach: 'http://172.17.34.2:9090/'求各位大神支招 qq 2323273838pod文件是官方的Copyr...
Kubernetes dashboard1.8.3
易拉罐子
01-10 387
出现的问题 首次安装,如果没有做apiserver参数配置,则可能会出现一些问题。下面就看下常见问题的解决方法 system:anonymous问题 访问dashboard网页时,可能出现下面这种报错: { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure&qu
Kubernetes集群中部署dashboard
用心做事
10-16 9367
部署 dashboard 插件下载k8s后的解压缩目录结构:kubernetes/cluster/addons/dashboard使用的文件:$ ls *.yaml dashboard-controller.yaml dashboard-rbac.yaml dashboard-service.yaml 新加了 dashboard-rbac.yaml 文件,定义 dashboard 使用的 Rol
Graphite的Dashboard绘制的注意事项和最佳实践
八荒六合唯我独尊
02-27 1527
Graphite绘制注意事项为: 命名规范: 业务接口采用:API-业务组-模块-EXT方式,例如API-Status-Feed 相关依赖采用:-HTTP,-RPC的方式,例如Feed依赖的RPC服务API-Status-Feed-RPC 后端服务:RPC-服务名,例如 RPC-Object Dashboard整体设置: 时间设置:Relative
sentinel-dashboard1.8 zook
06-25
Sentinel-dashboard1.8是针对阿里云分布式应用的运维、管理平台,能够提供大规模分布式系统的实时监控、异常报警、流量控制等多种功能,并通过可视化操作界面方便用户使用。而其中的zook则是其内置的zookeeper管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值