基于web的UI前端,认证是由Kubernetes完成的。登陆dashboard的密码是k8s的账号和密码,和dashboard自身没有关系。dashboard自身不做认证。

text
1

kubectl patch svc kubernetes-dashboard -p'{"spec":{"type":"NodePort"}}'-n kube-system

如使用域名访问,CN一定要与域名保持一致。

text
1
2
3
4

(umask 077; openssl genrsa -out dashboard.key 2048)
openssl req -new -key dashboard.key -out dashboard.csr -subj "/O=test/CN=dashboard"
openssl req -in dashboard.csr -noout -text
openssl x509 -req -in dashboard.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dashboard.crt -days 3650

Certificate Attributes

要想穿透集群边界,从集群外访问集群内部某一服务或Pod上的容器的应用,有两种方式 nodePort、NodeBlanc 或ingress

text
1
2
3
4
5

kubectl create secret generic \
dashboard-cert \
-n kube-system \
--from-file=dashboard.crt=./dashboard.crt \
--from-file=dashboard.key=./dashboard.key

dashboard运行在Pod中时,当用户通过浏览器来进行登陆时,所提供的认证证书必须时serviceaccount,

text
1

kubectl create serviceaccount dashboard-admin -n kube-system

通过rolebindding吧对应的dashboard-admin和集群管理员建立起绑定关系,否则无法透过rbac的权限检查。

指明serviceaccount时,必须指明是哪个名称空间的的哪个账号,格式:namespace:serviceaccount

text
1

kubectl create clusterrolebinding dashboard-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin

使serviceaccount用户,能够有权限访问整个集群级别的资源。

查询dashboard-admin的secret,这个是自动生成的。

text
1

kubectl get secret $(kubectl get secret -n kube-system|grep dashboard-admin-token|awk '{print $1}') -n kube-system -o jsonpath={.data.token}|base64 -d

kubectl config set-credentials 命令,用户的认证方式,既可以使用证书方式,也可以使用token认证。

在apply之前先将证书做成secret,apply操作会将其加载成为apply操作对外提供https服务时使用的证书。此操作作为serviceaccount认证是没有关系的,只不过是被dashboard用来做https证书的。如果不提供证书,dashboard会自动生成新的证书。

kubernetes dashboard延长自动超时注销

方法1:部署清单时,修改yaml文件,添加 container.Args 增加 --token-ttl=43200 其中43200是设置自动超时的秒数。也可以设置 token-ttl=0 以完全禁用超时。

方法2:操作已经部署的配置,kubectl edit deployment -n kube-system kubernetes-dashboard,新增上面参数到 args