[转帖] k8s dashboard 的创建 升级 以及 admin token的创建和简单使用.

最新推荐文章于 2025-06-23 14:58:39 发布
转载 最新推荐文章于 2025-06-23 14:58:39 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/jinanxiaolaohu/p/9472651.html
文章标签:

#操作系统 #后端 #ux

本文介绍如何从Kubernetes 1.6版本的Dashboard升级到1.8版本,并开启用户登录认证功能。涉及删除旧版本、部署新版本、获取外部访问端口等步骤,支持kubeconfig和token两种认证方式。

Kubernetes Dashboard中的身份认证详解

https://jimmysong.io/posts/kubernetes-dashboard-upgrade/
 
Thu Nov 2, 2017
1900 Words|Read in about 4 Min
Tags: kubernetes   dashboard  

升级Dashboard

我们在kubernetes1.6的时候同时安装了dashboard插件,该插件也是基于kubernetes1.6版本开发的。如今kubernetes1.8版本业已发布,如何升级dashboard以获取新版中功能呢?

Dashboard的升级比较简单,因为它仅仅是一个前端应用,用来展现集群信息和与后端API交互,理论上只需要更新原先dashboard的yaml配置文件中的镜像就可以了,但是为了使用dashboard1.7版本中的用户登陆功能,还需要做一些额外的操作。

dashboard的更新日志请见release note,当前的最新版本为v1.7.1,下面将介绍将dashboard从v1.6.3升级到v1.7.1并开启用户登陆认证的详细步骤。

本文已归档到kubernetes-handbook中。

升级步骤

删除原来的版本

首先删除原来的dashboard资源:

kubectl delete -f dashboard/

dashboard目录下的所有yaml文件中的资源全部删除,包括Deployment、service和角色绑定等。

部署新版本

我们使用官方的配置文件来安装,首先下载官方配置:

wget https://raw.githubusercontent.com/kubernetes/dashboard/master/src/deploy/recommended/kubernetes-dashboard.yaml

修改其中的两个镜像地址为我们的私有地址。

  • gcr.io/google_containers/kubernetes-dashboard-init-amd64:v1.0.1
  • gcr.io/google_containers/kubernetes-dashboard-amd64:v1.7.1

这个两个镜像可以同时从时速云上获取:

  • index.tenxcloud.com/jimmy/kubernetes-dashboard-amd64:v1.7.1
  • index.tenxcloud.com/jimmy/kubernetes-dashboard-init-amd64:v1.0.1

将service type设置为NodePort,修改后的yaml文件见kubernetes-dashboard.yaml,然后就可以部署新版本的dashboard了。

kubectl create -f kubernetes-dashboard.yaml

获取dashboard的外网访问端口:

kubectl -n kube-system get svc kubernetes-dashboard
NAME                   CLUSTER-IP       EXTERNAL-IP   PORT(S)         AGE
kubernetes-dashboard   10.254.177.181   <nodes>       443:32324/TCP   49m

访问集群中的任何一个节点,即可打开dashboard登陆页面,如 https://172.20.0.113:32324/ (请使用https访问),支持使用kubeconfigtoken两种的认证方式:

登陆界面

选择本地的kubeconfig文件以登陆集群,kubeconfig文件中包括登陆的用户名、证书和token信息。

登陆之后首先看到的界面是这样的:

首页

这是因为该用户没有对default命名空间的访问权限。

修改URL地址中的namespace字段为该用户有权限访问的命名空间如brand:https://172.20.0.113:32324/#!/overview?namespace=brand

用户空间

身份认证

登陆 dashboard 的时候支持 kubeconfig 和 token 两种认证方式,kubeconfig 中也依赖 token 字段,所以生成 token 这一步是必不可少的。

下文分两块来讲解两种登陆认证方式:

  • 为 brand 命名空间下的 brand 用户创建 kubeconfig 文件
  • 为集群的管理员(拥有所有命名空间的 amdin 权限)创建 token

使用 kubeconfig

登陆dashboard的时候可以指定kubeconfig文件来认证用户权限,如何生成登陆dashboard时指定的kubeconfig文件请参考创建用户认证授权的kubeconfig文件

注意我们生成的 kubeconfig 文件中没有 token 字段,需要手动添加该字段。

比如我们为 brand namespace 下的 brand 用户生成了名为 brand.kubeconfig 的 kubeconfig 文件,还要再该文件中追加一行 token 的配置(如何生成 token 将在下文介绍),如下所示:

kubeconfig文件

这样就可以使用brand.kubeconfig文件来登陆dashboard了,而且只能访问和操作brand命名空间下的对象。

生成 token

需要创建一个 admin 用户并授予 admin 角色绑定,使用下面的 yaml 文件创建 admin 用户并赋予他管理员权限,然后可以通过 token 登陆 dashbaord,该文件见 admin-role.yaml。这种认证方式本质上是通过 Service Account 的身份认证加上 Bearer token 请求 API server 的方式实现,参考 Kubernetes 中的认证

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: admin annotations: rbac.authorization.kubernetes.io/autoupdate: "true" roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount name: admin namespace: kube-system --- apiVersion: v1 kind: ServiceAccount metadata: name: admin namespace: kube-system labels: kubernetes.io/cluster-service: "true" addonmanager.kubernetes.io/mode: Reconcile

然后执行下面的命令创建 serviceaccount 和角色绑定,对于其他命名空间的其他用户只要修改上述 yaml 中的 name 和 namespace 字段即可:

kubectl create -f admin-role.yaml

创建完成后获取 secret 和 token 的值:

# 获取admin-token的secret名字
$ kubectl -n kube-system get secret|grep admin-token
admin-token-nwphb                          kubernetes.io/service-account-token   3         6m
# 获取token的值
$ kubectl -n kube-system describe secret admin-token-nwphb
Name:		admin-token-nwphb
Namespace:	kube-system
Labels:		<none>
Annotations:	kubernetes.io/service-account.name=admin
		kubernetes.io/service-account.uid=f37bd044-bfb3-11e7-87c0-f4e9d49f8ed0

Type:	kubernetes.io/service-account-token

Data
====
namespace:	11 bytes
token:		非常长的字符串
ca.crt:		1310 bytes

在 dashboard 登录页面上使用上面输出中的那个非常长的字符串进行 base64 解码后作为 token 登录,即可以拥有管理员权限操作整个kubernetes集群中的对象。当然您也可以将这串 token 进行 base64 解码后,加到 admin 用户的kubeconfig文件中,继续使用kubeconfig登录,两种认证方式任您选择。

注意:一定要将 kubectl 的输出中的 token 值进行 base64 解码,在线解码工具 base64decode,Linux 和 Mac 有自带的 base64 命令也可以直接使用,输入 base64 是进行编码,Linux 中base64 -d 表示解码,Mac 中使用 base64 -D

也可以使用 jsonpath 的方式直接获取 token 的值,如:

kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d

注意我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 token 值会认证失败,详见 secret 配置。关于 JSONPath 的使用请参考 JSONPath 手册

参考

Thu Nov 2, 2017
1900 Words|Read in about 4 Min
Tags: kubernetes   dashboard  

转载于:https://www.cnblogs.com/jinanxiaolaohu/p/9472651.html

创建k8s-dashboardtoken
qq_46268601的博客
08-11 865
创建kubernetes-dashboardtoken
k8s创建管理员token
划水的银开的博客
03-08 3157
放到k8s集群里面,然后赋予可执行权限,执行即可得到token admin_account="k8s-cyk-admin" kubectl create serviceaccount ${admin_account} -n kube-system kubectl create clusterrolebinding ${admin_account} --clusterrole=cluster-admin --serviceaccount=kube-system:${admin_account} kubectl
kubernetes(k8s)部署Dashboard
最新发布
qq_41893255的博客
06-23 543
创建token:kubectl create token admin-user -n kubernetes-dashboard --duration=0。4.创建管理员账号,使用admin-user.yaml,创建后运行命令:kubectl apply -f admin-user.yaml。执行命令:kubectl get pod -A -o wide ,等待这两个pod状态变为running;6.执行命令:kubectl get svc -A -o wide ,查看dashboard映射的端口;
k8s admin 用户生成token
村长在路上
03-15 995
部署进k8s kubectl apply -f admin-namespce.yaml。
Kubernetes Dashboard 生成token
12-24 8714
Kubernetes Dashboard Token
k8s1.13/k8s-dashboard(证书+token
lihongbao80的专栏
06-04 8848
官方参考 (在本文中,我们将找到如何使用Kubernetes的服务帐户机制创建新用户,如何授予该用户admin权限以及如何使用与该用户绑定的承载令牌登录到Dashboard。) 显示集群信息,可以通过运行kubectl cluster-info 来查看master-ipapiserver-port。 kubectl cluster-info 查看绑定的用户 [root@k8s01 ~]# ku...
k8s dashboard v2.7.0离线镜像包
10-12
k8s dashboard v2.7.0离线镜像包
k8s搭建dashboard所需文件recommended.yaml、rbac.yaml
01-23
在构建部署Kubernetes (k8s) 系统时,搭建集群的管理界面是一个常见的需求,以便于更直观地管理Kubernetes资源监控集群状态。Kubernetes Dashboard正是一款流行的开源Web界面,用于对Kubernetes集群进行日常管理...
k8s dashboard-v2.5.1
06-29
k8s_dashboard_v2.5.1 亲测有用。
k8s dashboard token 生成/获取
牛奔的博客
09-11 1517
创建示例用户 在本指南中,我们将了解如何使用 Kubernetes 的服务帐户机制创建新用户、授予该用户管理员权限并使用与该用户绑定的承载令牌登录仪表板。 对于以下每个的代码片段ServiceAccount,ClusterRoleBinding您都应该将它们复制到新的清单文件(如)中,dashboard-adminuser.yaml并使用kubectl apply -f dashboard-...
k8s学习笔记4--搭建dashboard
weixin_43501172的博客
07-27 840
目前k8s的版本是1.24.3,dashboard的版本是2.50,均是最新版本。
kubernetes Dashboard 搭建
夜半子时
07-05 413
kubernetes Dashboard 搭建
Kubernetes】安装 Dashboard(仪表板)
爱意随风起,人生不可弃。
11-21 1345
Dashboard 是基于网页的 Kubernetes 用户界面。可以使用 Dashboard 将容器应用部署到 Kubernetes 集群中,也可以对容器应用排错,还能管理集群资源。
k8s——admin部署
weixin_48485805的博客
03-22 2396
一 服务器规划 序号 角色 IP 内存 CPU 系统 1 master 192.168.100.101 4 4 centos7.9 2 node-1 192.168.100.1012 4 4 centos7.9 3 node-2 192.168.100.1013 4 4 centos7.9 应用 版本 docker 20.10.5 K8S 1.20.4 二 服务器初始化 所有主机执行 2.1 修改主机名称 养成好习惯,避免错误操作服务器 hostn
【云原生Kubernetes】部署K8S集群架构(admin部署)
Kiro君的博客
08-22 1569
kubernetes有多种部署方式,目前主流的方式有kubeadm、minikube、二进制包minikube: 一个用于快速搭建单节点kubenetes的工具kubeadm: 一个用于快速搭建kubenetes集群的工具二进制包:从官网下载每个组件的二进制包,一次去安装,此方式对于理解kubernetes组件更有效。
k8s搭建(五、k8s可视化管理工具Dashboard配置)
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
12-30 2293
每个人都有惰性,但不断学习是好好生活的根本,共勉!
K8Sdashboard使用token登录
IT利刃出鞘的博客
12-28 3857
本文介绍K8Sdashboard如何使用token登录。
部署kubernetes的管理页面(dashboard)
rufeng的博客
11-28 325
k8s安装后,若需要查看各个部件的状态只能到服务器通过命令查看非常不方便,这时就需要一个服务用来管理操作k8s
Kubernetes部署Dashboard
屈帅波的技术博客
11-22 597
1、部署Dashboard wget https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml 2、将Service改为NodePort kind: Service apiVersion: v1 metadata: labels:...
k8s dashboard token无法登录
02-21
### Kubernetes Dashboard Token 登录失败解决方案 当遇到 Kubernetes Dashboard 使用 Token 登录失败的情况时,可能的原因包括但不限于 Token 获取方式错误、权限不足以及环境配置问题。以下是详细的排查解决方法。 #### 1. 正确获取 Admin Token 确保按照标准流程获取具有管理员权限的 Token 是解决问题的关键之一。可以通过以下命令获取 `dashboard-admin` 的 Token: ```bash kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep kubernetes-dashboard-admin-token | awk '{print $1}') ``` 这条命令会返回 Secret 中存储的 Token 值,用于后续登录操作[^1]。 #### 2. 检查 RBAC 权限设置 如果使用的是自定义角色或服务账户,则需确认该账号已赋予足够的访问权限。通常建议创建专门的服务账户并绑定 ClusterRoleBinding 或 RoleBinding 资源以授予适当权限。例如: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-user roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: admin-user namespace: kube-system ``` 此 YAML 文件定义了一个名为 `admin-user` 的 ClusterRoleBinding,将其与拥有完全控制权的 `cluster-admin` 角色关联起来[^4]。 #### 3. 确认 API Server Frontend 连接正常 有时前端页面加载缓慢甚至无法显示也可能影响到实际登录体验。此时可尝试通过端口转发的方式直接连接至本地浏览器查看是否存在网络层面的问题: ```bash kubectl -n kubernetes-dashboard port-forward svc/kubernetes-dashboard 8443:443 ``` 上述指令允许用户绕过外部代理直接访问 Dashboard 页面,有助于排除中间环节带来的干扰因素[^2]。 #### 4. 版本兼容性考量 考虑到不同版本间的差异可能导致某些特性不可用或者行为改变,在选择安装包时应尽量保持 Kubelet、API Server 及其他组件之间的版本一致性。对于较新的 Kubernetes 发行版而言,推荐选用官方维护支持的良好适配版本组合,比如 v2.x.x 系列作为 Dashboard 插件[^3]。 #### 5. 验证集群健康状态 最后一步是对整个集群的状态进行全面检查,特别是 CoreDNS Pod 是否处于 Running 状态以及其他关键服务是否运行良好。这可通过执行如下命令完成初步诊断: ```bash kubectl get cs kubectl get pods -A -o wide ``` 这些命令能够帮助识别潜在的基础架构故障点,从而为进一步分析提供依据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值