Dashboard
Dashboard 的项目网站,可以查看说明文档和基本的使用情况。
下载yaml
wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.6.0/aio/deploy/recommended.yaml
注意需要修改镜像,不然可能会拉去不下来镜像
cat recommended.yaml | grep -i image#image: kubernetesui/dashboard:v2.6.0 --原有镜像image: registry.cn-hangzhou.aliyuncs.com/kube-iamges/dashboard:v2.0.0-beta8imagePullPolicy: Always#image: kubernetesui/metrics-scraper:v1.0.8 --原有镜像 image: registry.cn-hangzhou.aliyuncs.com/kube-iamges/metrics-scraper:v1.0.1yaml简单说明
- 所有的对象都属于“kubernetes-dashboard”名字空间。
- Dashboard 使用 Deployment 部署了一个实例,端口号是 8443。
- 容器启用了 Liveness 探针,使用 HTTPS 方式检查存活状态。
- Service 对象使用的是 443 端口,它映射了 Dashboard 的 8443 端口
使用命令 kubectl apply 就可以轻松部署 Dashboard :
kubectl apply -f recommended.yaml
# 查看pod
kubectl get pod -n kubernetes-dashboard
#查看dashboard svc
kubectl get svc -n kubernetes-dashboard
发现不是typeNode类型,无法外部直接访问
修改SVC类型为NodePort
修改SVC类型为NodePort,允许机器外部提供访问能力
# 修改服务的配置
kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard
# 找到 type: ClusterIP#修改成type: NodePort # 将类型更改为 NodePort
#修改后保存查看,已有外部访问端口
kubectl get svc -n kubernetes-dashboard
Ingress/Ingress Controller
通过ingress Controller 提供外部访问能力
由于 Dashboard 默认使用的是加密的 HTTPS 协议,拒绝明文 HTTP 访问,所以我们要先生成证书,让 Ingress 也走 HTTPS 协议。
直接用 Linux 里的命令行工具“openssl”来生成一个自签名的证书(如果你有条件,也可以考虑找 CA 网站申请免费证书):
openssl req -x509 -days 365 -out k8s.test.crt -keyout k8s.test.key \-newkey rsa:2048 -nodes -sha256 \-subj '/CN=k8s.test' -extensions EXT -config <( \printf "[dn]\nCN=k8s.test\n[req]\ndistinguished_name = dn\n[EXT]\nsubjectAltName=DNS:k8s.test\nkeyUsage=digitalSignature\nextendedKeyUsage=serverAuth")
它生成的是一个 X509 格式的证书,有效期 365 天,私钥是 RSA2048 位,摘要算法是 SHA256,签发的网站是“k8s.test”。
运行命令行后会生成两个文件,一个是证书“k8s.test.crt”,另一个是私钥“k8s.test.key”,我们需要把这两个文件存入 Kubernetes 里供 Ingress 使用。
注意:
使用上述命令生成的自签名证书 k8s.test.crt 和私钥 k8s.test.key 是自签名的证书,其安全性在开发或测试环境中通常是可以接受的,但不会被主流浏览器(如Chrome、Firefox、Edge等)视为安全,因为它们未经公共颁发机构(CA)的认证和签名。
在开发或测试环境中,可以使用这样的自签名证书来进行测试和开发工作。浏览器通常会显示安全警告,因为它们无法验证该证书的真实性和信任级别,因此认为连接可能不是私密的或不安全的。
要在浏览器中消除这些警告,需要手动将生成的证书导入到浏览器的信任存储中,具体步骤可以参考之前提到的浏览器信任证书的操作。这样浏览器就会信任您的自签名证书,不再显示安全警告。
因为这两个文件属于机密信息,存储的方式需要用 Secret
dashborad.yml
apiVersion: v1
kind: Secret
metadata:name: dash-tlsnamespace: kubernetes-dashboard
type: kubernetes.io/tlsdata:tls.crt: LS0tLS1CRUdJTiBDRVJU...自己生成的crttls.key: LS0tLS1CRUdJTiBQUklW...自己生成的key
vim dashboard-secret.yml
kubectl apply -f dashboard-secret.yml
#或者根据文件生成 kubectl create secret tls dash-tls -n kubernetes-dashboard --cert=k8s.test.crt --key=k8s.test.keykubectl get secrets -n kubernetes-dashboard
Ingress Class
dash-ink.yml
apiVersion: networking.k8s.io/v1
kind: IngressClassmetadata:name: dash-inknamespace: kubernetes-dashboard
spec:controller: nginx.org/ingress-controller
Ingress 对象可以用 kubectl create 命令自动生成
kubectl create ing dash-ing --rule="k8s.test/=kubernetes-dashboard:443" --class=dash-ink -n kubernetes-dashboard $out
因为是 HTTPS 协议,所以我们要在 Ingress 里多加一点东西,一个是“annotations”字段,指定后端目标是 HTTPS 服务,另一个是“tls”字段,指定域名和证书,也就是刚才创建的 Secret:
dash-ingress.yml
apiVersion: networking.k8s.io/v1
kind: Ingressmetadata:name: dash-ingnamespace: kubernetes-dashboardannotations:nginx.org/ssl-services: "kubernetes-dashboard"spec:ingressClassName: dash-inktls:- hosts:- k8s.testsecretName: dash-tlsrules:- host: k8s.testhttp:paths:- path: /pathType: Prefixbackend:service:name: kubernetes-dashboardport:number: 443
Ingress Controller
dash-kic.yml
apiVersion: apps/v1
kind: DaemonSet
metadata:name: dash-kic-depnamespace: nginx-ingress
spec:selector:matchLabels:app: dash-kic-deptemplate:metadata:labels:app: dash-kic-depapp.kubernetes.io/name: nginx-ingressspec:serviceAccountName: nginx-ingresshostNetwork: trueautomountServiceAccountToken: truesecurityContext:seccompProfile:type: RuntimeDefaultcontainers:- image: nginx/nginx-ingress:2.2-alpineimagePullPolicy: IfNotPresentname: nginx-ingressports:- name: httpcontainerPort: 80- name: httpscontainerPort: 443- name: readiness-portcontainerPort: 8081- name: prometheuscontainerPort: 9113readinessProbe:httpGet:path: /nginx-readyport: readiness-portperiodSeconds: 1resources:requests:cpu: "100m"memory: "128Mi"#limits:# cpu: "1"# memory: "1Gi"securityContext:allowPrivilegeEscalation: true
# readOnlyRootFilesystem: truerunAsUser: 101 #nginxrunAsNonRoot: truecapabilities:drop:- ALLadd:- NET_BIND_SERVICEenv:- name: POD_NAMESPACEvalueFrom:fieldRef:fieldPath: metadata.namespace- name: POD_NAMEvalueFrom:fieldRef:fieldPath: metadata.nameargs:- -nginx-configmaps=$(POD_NAMESPACE)/nginx-config- -ingress-class=dash-ink要让我们在外面能够访问 Ingress Controller,还要为它再定义一个 Service,类型是“NodePort”,端口指定是“30443”:
dash-kic-svc.yml
apiVersion: v1
kind: Service
metadata:name: dash-kic-svcnamespace: nginx-ingressspec:ports:- port: 443protocol: TCPtargetPort: 443nodePort: 30443selector:app: dash-kic-deptype: NodePort
创建上面的 Ingress Class、Ingress、Ingress Controller、Service
vim dash-ink.ymlvim dash-ingress.ymlvim dash-kic.ymlvim dash-kic-svc.ymlkubectl apply -f dash-ink.yml -f dash-ingress.yml -f dash-kic.yml -f dash-kic-svc.yml kubectl get ingressclasses.networking.k8s.io -n kubernetes-dashboard
kubectl get ingress -n kubernetes-dashboard
kubectl get pod,svc -n kubernetes-dashboard
kubectl get pod,svc -n nginx-ingress
对象关系图
访问 Dashboard
创建用户,登录进 Dashboard。Dashboard官网示例
dashboard-adminuser.yml
apiVersion: v1
kind: ServiceAccount
metadata:name: admin-usernamespace: kubernetes-dashboard---apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:name: admin-user
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: cluster-admin
subjects:
- kind: ServiceAccountname: admin-usernamespace: kubernetes-dashboard
vim dashboard-adminuser.yml
kubectl apply -f dashboard-adminuser.yml
获取sa的token,通过token的方式登录部署好的dashboard
# 获取账户
kubectl get secret -n kubernetes-dashboard
# 根据上面的命令 获取token
kubectl describe secrets -n kubernetes-dashboard admin-user-token-xxxx
登录访问
使用dashboard service
ip+service typenode端口
在当前页面用键盘输入 thisisunsafe ,不是在地址栏输入,就直接敲键盘就行了,页面即会自动刷新进入网页。
使用域名
https://k8s.test:30443/ (注意添加域名解析)
![[算法刷题积累] 两数之和以及进阶引用](https://img-blog.csdnimg.cn/direct/f1f5d46142224eaf8e55d574f365b472.png)
