Cluster Setup - GUI Elements GUI仪表盘
2021-05-13 22:41
1236 查看
1. 前言
这部分主要讲了kubernetes的Gui工具 dashboard。
1. 关于 GUI元素的访问控制
1. GUI元素和仪表盘
2. 外部访问仪表盘的方法
3. 访问的限制
2. GUI元素和仪表盘遵循的原则
1. 只在需要时向外部公开服务
2. 集群内部服务/仪表板也可以使用kubectlport-forward端口转发访问。
3. 需要开启rbac权限控制,否则蒋导致权限过大
4. 对外暴露不是必须的
2. 代理的方式
1. 关于 Kubectl porxy方式
1. create a proxy server between localhost and the kubernetes api server 在 localhost和kubernetes api服务器之间创建代理服务器 2. uses connection as configured in the kubeconfig 使用kubeconfig中配置的连接 3. allows to access api locally just over http and without authentication 允许通过HTTP本地访问api,无需身份验证
2. 关于kubectl port-forward
1. 将本地主机端口的连接转发到pod端口 2. 比使用kubectl代理更为通用 3. 可以用于所有tcp通信而不仅仅是http
3. ingress代理的方式,ingress-nginx traefik等等都可以
3. 安装和登陆dashboard gui
1.安装dashboard
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml
2. 使dashboard对外暴露(使用http的方式,在生产中这是禁止的)
root@cks-master:~/work/dashboard# kubectl get pod,svc -n kubernetes-dashboardNAME READY STATUS RESTARTS AGE pod/dashboard-metrics-scraper-79c5968bdc-mbgk7 1/1 Running 0 19m pod/kubernetes-dashboard-6568c7684c-9n6vp 1/1 Running 3 3m41s NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/dashboard-metrics-scraper ClusterIP 10.97.159.164 <none> 8000/TCP 19m service/kubernetes-dashboard NodePort 10.97.34.204 <none> 9090:32740/TCP 19m
NodePort端口可以用master或者work节点任意一IP+端口方式访问
4. 练习-用于仪表板的RBAC
我觉得关于rolebinding clusterrolebinding两个的区别有必要强调一下啊,一个是针对于命名空间的,另外一个是针对所有空间的。
#针对与一个命名空间 kubectl -n kubernetes-dashboard create rolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view #针对于所有空间 kubectl create clusterrolebinding insecure --serviceaccount kubernetes-dashboard:kubernetes-dashboard --clusterrole view
5. so正常的部署方式
#部署 kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.1.0/aio/deploy/recommended.yaml #修改网络类型NodePort kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard
https方式登陆
获取token
kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret | grep admin-user | awk ‘{print $1}’)
将token复制进去 oK登陆成功
至于kuberconfig的方式就不去试了,因为config里面都设置的内网ip。apiserver没有对外暴露
4. 总结:
- 尽在你需要的时候对外暴露,并且要保障足够的安全
- 弃用RBAC限制
- 实施用户认证
- 凭据要经常更改
相关文章推荐
- Hadoop_HBase_Zookeeper_Cluster_Setup
- Cluster Setup - Network Policies 网络规则
- How to Setup a windows 2008 Failover cluster[01]
- hadoop 2.2.0 cluster setup-linux
- http://hadoop.apache.org/docs/r1.0.4/cn/cluster_setup.html
- Solr Cluster Setup
- Setup Microsoft Windows 2008 R2 Failover Cluster in VMware Workstation
- MySQL Cluster Server Setup
- Weblogic 10.3 insallment and Cluster setup - 1
- How-to setup Kubernetes to manage Docker Cluster on ubuntu
- Weblogic 10.3 insallment and Cluster setup - 2
- zookeeper cluster setup
- Setup Kubernetes on a Raspberry Pi Cluster easily the official way!
- Steps to install Hadoop 2.x release (Yarn or Next-Gen) on single node cluster setup
- Weblogic 10.3 insallment and Cluster setup - 3
- Weblogic 10.3 insallment and Cluster setup - 4
- Hbase Cluster Setup Guide
- Hadoop V2.0.3 Cluster Setup Guide
- Steps To Setup Hadoop 2.4.0 (Single Node Cluster) on CentOS/RHEL Written by Rahul
- Cluster setup with Aggregates, VLAN's, and IPMP