k8s搭建WebUI--Dashborad管理界面
k8s的webUI管理界面可以更好更直观更便捷的让我们去管理我们的k8s集群。
我们知道,由于某些原因我们无法直接拉取dashboard的镜像,但是国内有些人已经将镜像下载到dockerhub中可以给我们使用
- 在GitHub官网中获取dashboard的资源清单:https://github.com/kubernetes/dashboard
1 wget https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml
- 使用docker获取dashboard的镜像仓库:
- 修改dashboard的资源清单的镜像仓库路径:
1 vim kubernetes-dashboard.yaml
- 应用此资源清单:
1 kubectl apply -f kubernetes-dashboard.yaml
此时会创建很多资源,其中service是访问时的代理,访问service就可以访问到dashboard的webUI,但是默认生成的service访问类型是ClusterIP,所以集群外部不能访问到。
根据官方文档,目前访问Dashboard有四种方式:NodePort、API Server、kubectl proxy、Ingress
为了方便,我们使用NodePort
- 修改service的访问方式为NodePort:
1 kubectl edit svc kubernetes-dashboard -n kube-system
- 访问
此时就可以用浏览器访问集群中任意一节点的30443端口,注意使用https://方式访问。但是会有警告,点击高级接受风险继续
可以看到有两种登录方式:kubeconfig文件、token令牌。
要想登录,得先有账号
k8s集群中,账号分为两种:UserAccount(现实中的人)、ServiceAccount(集群内的客户端)
由于dashboard在集群中是以Pod方式运行提供的服务,所以要使用ServiceAccount访问,简称sa
然而并不是随随便便找个账号就能登录,我们对账号还要设置访问控制,哪些资源允许什么样的操作。
这就用到我前面写的RBAC(基于角色的访问控制)这里就不再细讲,想要了解点击这里。
- 使用Token登录(相对于以kubeconfig文件登录要简单)
- 首先创建一个sa
1 kubectl create serviceaccount mysa(SA_NAME) -n default(NAMESPACE_NAME)
-
- 创建rolebinding\clusterrolebinding,然后将此sa绑定至集群中存在的或自定义的role或clusterrole,绑定哪个role\clusterrole,sa就会具有此role\clusterrole对应的权限
1 kubectl create clusterrolebinding dashboard-admin(NAME) --clusterrole=admin(CLUSTERROLE_NAME) --serviceaccount=default:mysa(NAMESPACE_NAME:SA_NAME)
-
- 查看sa的secret,里面就有token
-
- 复制token,登录dashboard
- kubeconfig文件方式登录。(设置相对直接token登录复杂些,不过登录所需就是一文件,有这个文件你可以在其他电脑上登录,所以各有有点。)
1 ##将secret中的token使用base64方式进行解码,然后使用变量引用
2 DASH_TOCKEN=$(kubectl get secret mysa-token-wjd28 -o jsonpath={.data.token}|base64 -d)
3
4 ##创建一个集群,将信息输出到/root/dashbord-admin.conf
5 kubectl config set-cluster dashboard-UI --server=192.168.1.100:6443 --kubeconfig=/root/dashbord-admin.conf
6
7 ##创建一个集群用户,并引用sa的token,并输出到/root/dashbord-admin.conf
8 kubectl config set-credentials dashboard-admin --token=$DASH_TOCKEN --kubeconfig=/root/dashbord-admin.conf
9
10 ##创建一个上下文,指定集群名、集群用户名,并输出到/root/dashbord-admin.conf
11 kubectl config set-context dashboard-admin@dashboard-UI --cluster=dashboard-UI --user=dashboard-admin --kubeconfig=/root/dashbord-admin.conf
12
13 ##设置集群中当前使用的用户,并输出到/root/dashbord-admin.conf
14 kubectl config use-context dashboard-admin@dashboard-UI --kubeconfig=/root/dashbord-admin.conf
生成的dashbord-admin.conf即可用于登录dashboard
可以将此文件复制到其他主机,这样其他主机也可以登录
不过,不管是刚用到token登录或kubeconfig文件登录,设置的权限是整个集群中最高的管理员的权限,切记当心泄露
生产环境中,最好将sa绑定到自定义权限的role或者cluster,可以降低role和cluster的权限,来保证集群安全
希望对大家有所帮助,谢谢