Cluster Setup - GUI Elements GUI仪表盘

原创

对你无可奈何

修改于 2021-03-11 17:58:01

1.1K0

修改于 2021-03-11 17:58:01

文章被收录于专栏：运维专栏运维专栏

1. 前言

/act?from=10680

/act/season?from=14065

/?from=10680

(照旧加几个腾讯云连接)

这部分主要讲了kubernetes的Gui工具 dashboard。

1. 关于 GUI元素的访问控制

1. GUI元素和仪表盘

2. 外部访问仪表盘的方法

3. 访问的限制

2. GUI元素和仪表盘遵循的原则

1. 只在需要时向外部公开服务

2. 集群内部服务/仪表板也可以使用kubectl port-forward端口转发访问。

3. 需要开启rbac权限控制，否则蒋导致权限过大

4. 对外暴露不是必须的

2. 代理的方式

1. 关于 Kubectl porxy方式

1. create a proxy server between localhost and the kubernetes api server   在               localhost和kubernetes api服务器之间创建代理服务器
2. uses connection as configured in the kubeconfig  使用kubeconfig中配置的连接
3. allows to access api locally just over http and without authentication  允许通过HTTP本地访问api，无需身份验证

2. 关于kubectl port-forward

1. 将本地主机端口的连接转发到pod端口
2. 比使用kubectl代理更为通用
3. 可以用于所有tcp通信而不仅仅是http

3. ingress代理的方式，ingress-nginx traefik等等都可以

3. 安装和登陆dashboard gui

1.安装dashboard

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml

2. 使dashboard对外暴露（使用http的方式，在生产中这是禁止的）

root@cks-master:~/work/dashboard# kubectl get pod,svc -n kubernetes-dashboard
NAME                                             READY   STATUS    RESTARTS   AGE
pod/dashboard-metrics-scraper-79c5968bdc-mbgk7   1/1     Running   0          19m
pod/kubernetes-dashboard-6568c7684c-9n6vp        1/1     Running   3          3m41s

NAME                                TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
service/dashboard-metrics-scraper   ClusterIP   10.97.159.164   <none>        8000/TCP         19m
service/kubernetes-dashboard        NodePort    10.97.34.204    <none>        9090:32740/TCP   19m

NodePort端口可以用master或者work节点任意一IP+端口方式访问

4. 练习-用于仪表板的RBAC

我觉得关于rolebinding clusterrolebinding两个的区别有必要强调一下啊，一个是针对于命名空间的，另外一个是针对所有空间的。

 #针对与一个命名空间
kubectl -n kubernetes-dashboard create rolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view 


#针对于所有空间
kubectl create clusterrolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view

5. so正常的部署方式

#部署
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml
#修改网络类型NodePort
kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard

https方式登陆

获取token

kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret | grep admin-user | awk '{print $1}')

将token复制进去 oK登陆成功

至于kuberconfig的方式就不去试了，因为config里面都设置的内网ip。apiserver没有对外暴露

4. 总结：

尽在你需要的时候对外暴露，并且要保障足够的安全
弃用RBAC限制
实施用户认证
凭据要经常更改

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

kubernetes

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

kubernetes

登录后参与评论

0 条评论

热度