duiniwukenaihe SRE Engineer(target)

Cluster Setup - GUI Elements GUI仪表盘

2021-03-11
duiniwukenaihe
cks

  • content {:toc

1. 前言

这部分主要讲了kubernetes的Gui工具 dashboard。

1. 关于 GUI元素的访问控制

1. GUI元素和仪表盘

2. 外部访问仪表盘的方法

3. 访问的限制

2. GUI元素和仪表盘遵循的原则

1. 只在需要时向外部公开服务

2. 集群内部服务/仪表板也可以使用kubectlport-forward端口转发访问。

3. 需要开启rbac权限控制,否则蒋导致权限过大

4. 对外暴露不是必须的

image.png

image.png

2. 代理的方式

1. 关于 Kubectl porxy方式

####

1. create a proxy server between localhost and the kubernetes api server   在               localhost和kubernetes api服务器之间创建代理服务器
2. uses connection as configured in the kubeconfig  使用kubeconfig中配置的连接
3. allows to access api locally just over http and without authentication  允许通过HTTP本地访问api,无需身份验证

image.png

2. 关于kubectl port-forward

1. 将本地主机端口的连接转发到pod端口
2. 比使用kubectl代理更为通用
3. 可以用于所有tcp通信而不仅仅是http

image.png

image.png

3. ingress代理的方式,ingress-nginx traefik等等都可以image.png

3. 安装和登陆dashboard gui

1.安装dashboard

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml

image.png

2. 使dashboard对外暴露(使用http的方式,在生产中这是禁止的)

image.png image.png image.png image.png

root@cks-master:~/work/dashboard# kubectl get pod,svc -n kubernetes-dashboard
NAME                                             READY   STATUS    RESTARTS   AGE
pod/dashboard-metrics-scraper-79c5968bdc-mbgk7   1/1     Running   0          19m
pod/kubernetes-dashboard-6568c7684c-9n6vp        1/1     Running   3          3m41s

NAME                                TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
service/dashboard-metrics-scraper   ClusterIP   10.97.159.164   <none>        8000/TCP         19m
service/kubernetes-dashboard        NodePort    10.97.34.204    <none>        9090:32740/TCP   19m

NodePort端口可以用master或者work节点任意一IP+端口方式访问 image.png

4. 练习-用于仪表板的RBAC

image.png 我觉得关于rolebinding clusterrolebinding两个的区别有必要强调一下啊,一个是针对于命名空间的,另外一个是针对所有空间的。

 #针对与一个命名空间
kubectl -n kubernetes-dashboard create rolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view 


#针对于所有空间
kubectl create clusterrolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view

image.png

5. so正常的部署方式

#部署
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml
#修改网络类型NodePort
kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard

image.png https方式登陆 image.png 获取token kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret | grep admin-user | awk ‘{print $1}’) image.png 将token复制进去 oK登陆成功

image.png 至于kuberconfig的方式就不去试了,因为config里面都设置的内网ip。apiserver没有对外暴露 image.png

4. 总结:

  1. 尽在你需要的时候对外暴露,并且要保障足够的安全
  2. 弃用RBAC限制
  3. 实施用户认证
  4. 凭据要经常更改

image.png


Similar Posts

Comments