Kubernetes Dashboard 设置用户密码登陆

Kubernetes Dashboard 设置用户密码登陆

标签(空格分隔): Kubernetes
2019年05月20日

K8s 文档
K8s 1.13源码安装
k8s dashboard token访问



仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如部署,作业,守护进程等)。例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。

默认Kubernetes UI界面是使用token登陆,但是由于token相比较麻烦。我们这里使用密码登陆

</br>

1.首先确保K8S集群内部一切正常

[[email protected] ~]# kubectl get node
NAME                   STATUS   ROLES    AGE   VERSION
yzsjhl82-138.opi.com   Ready    <none>   22h   v1.13.5
yzsjhl82-139.opi.com   Ready    <none>   22h   v1.13.5
yzsjhl82-140.opi.com   Ready    <none>   22h   v1.13.5
yzsjhl82-142.opi.com   Ready    <none>   22h   v1.13.5

[[email protected] ~]# kubectl get pod --all-namespaces
NAMESPACE     NAME                          READY   STATUS    RESTARTS   AGE
default       busybox                       1/1     Running   23         22h
kube-system   coredns-d7964c8db-2t8wl       1/1     Running   1          22h
kube-system   coredns-d7964c8db-sbztp       1/1     Running   1          22h
kube-system   kube-flannel-ds-amd64-cv5hx   1/1     Running   2          22h
kube-system   kube-flannel-ds-amd64-f2f7x   1/1     Running   2          22h
kube-system   kube-flannel-ds-amd64-vmm74   1/1     Running   2          22h
kube-system   kube-flannel-ds-amd64-zgfmq   1/1     Running   1          22h

2.配置
首先需要说明一点,默认kubernetes Dashboard是需要token登陆。不方便登记,我们可以让dashboard使用用户密码验证登陆

k8s dashboard 搭建

需要注意几点

  • 修改apiserver
  • 创建用户密码文件
  • 创建yaml文件

[一] 在master上节点上创建文件(用户密码文件)

cat /etc/kubernetes/basic_auth_file
admin,admin,1
cyh,cyh,2

#前面为用户,后面为密码,数字为用户ID不可重复

[二] 在所有master的apiserver启动文件添加一行配置

vim /usr/lib/systemd/system/kube-apiserver.service
--basic-auth-file=/etc/kubernetes/basic_auth_file
#添加完毕后重启api-server

这里需要说明,以上操作在所有master上执行,在所有节点操作是为了防止有pod飘到非master节点,当然也可以做pod亲和力

[三]创建yaml文件

wget http://down.i4t.com/k8s-passwd-dashboard.yaml| kubectl apply -f k8s-passwd-dashboard.yaml

为了防止地址失效,我这里在手动cp一份

# ------------------- Dashboard Secret ------------------- #

apiVersion: v1
kind: Secret
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard-certs
  namespace: kube-system
type: Opaque

---
# ------------------- Dashboard Service Account ------------------- #

apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kube-system

---
# ------------------- Dashboard Role & Role Binding ------------------- #

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: kubernetes-dashboard-minimal
  namespace: kube-system
rules:
  # Allow Dashboard to create ‘kubernetes-dashboard2-key-holder‘ secret.
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["create"]
  # Allow Dashboard to create ‘kubernetes-dashboard2-settings‘ config map.
- apiGroups: [""]
  resources: ["configmaps"]
  verbs: ["create"]
  # Allow Dashboard to get, update and delete Dashboard exclusive secrets.
- apiGroups: [""]
  resources: ["secrets"]
  resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs"]
  verbs: ["get", "update", "delete"]
  # Allow Dashboard to get and update ‘kubernetes-dashboard2-settings‘ config map.
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["kubernetes-dashboard-settings"]
  verbs: ["get", "update"]
  # Allow Dashboard to get metrics from heapster.
- apiGroups: [""]
  resources: ["services"]
  resourceNames: ["heapster"]
  verbs: ["proxy"]
- apiGroups: [""]
  resources: ["services/proxy"]
  resourceNames: ["heapster", "http:heapster:", "https:heapster:"]
  verbs: ["get"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-dashboard-minimal
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: kubernetes-dashboard-minimal
subjects:
- kind: ServiceAccount
  name: kubernetes-dashboard
  namespace: kube-system

---
# ------------------- Dashboard Deployment ------------------- #

kind: Deployment
apiVersion: apps/v1beta2
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kube-system
spec:
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
    spec:
      containers:
      - name: kubernetes-dashboard
        image: mirrorgooglecontainers/kubernetes-dashboard-amd64:v1.8.3
        ports:
        - containerPort: 8443
          protocol: TCP
        args:
          - --auto-generate-certificates
          - --authentication-mode=basic
          # Uncomment the following line to manually specify Kubernetes API server Host
          # If not specified, Dashboard will attempt to auto discover the API server and connect
          # to it. Uncomment only if the default does not work.
          # - --apiserver-host=http://my-address:port
        volumeMounts:
        - name: kubernetes-dashboard-certs
          mountPath: /certs
          # Create on-disk volume to store exec logs
        - mountPath: /tmp
          name: tmp-volume
        livenessProbe:
          httpGet:
            scheme: HTTPS
            path: /
            port: 8443
          initialDelaySeconds: 30
          timeoutSeconds: 30
      volumes:
      - name: kubernetes-dashboard-certs
        secret:
          secretName: kubernetes-dashboard-certs
      - name: tmp-volume
        emptyDir: {}
      serviceAccountName: kubernetes-dashboard
      # Comment the following tolerations if Dashboard must not be deployed on master
      tolerations:
      - key: node-role.kubernetes.io/master
        effect: NoSchedule

---
# ------------------- Dashboard Service ------------------- #

kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kube-system
spec:
  type: NodePort
  ports:
    - port: 80
      targetPort: 8443
      nodePort: 30000
  selector:
    k8s-app: kubernetes-dashboard

我们可以用过下面命令进行检查
kubectl get pod,svc -n kube-system

这里要说一点,我这里的镜像使用的是v1.8.3如果觉得版本低可以更高版本的。

访问dashboard界面

由于没有ingress,使用的是IP访问。所以会提示我们证书不安全,我们这里点击忽略直接访问。个别浏览器会造成打不开的,建议使用谷歌或火狐

访问地址:https://master-IP:30000

在任意一台master上访问即可

这里需要我们输入api-server指定的文件里面的账号密码

跳过是没有权限查看k8s里面所有的信息

原文地址:https://blog.51cto.com/abcdocker/2397969

时间: 2024-11-06 09:33:20

Kubernetes Dashboard 设置用户密码登陆的相关文章

为Kubernetes dashboard访问用户添加权限控制

为Kubernetes dashboard访问用户添加权限控制 [TOC] 1. 需求 在开发环境给开发人员创建应用部署管理权限,可以使用dashboard的token和kubeconfig文件登录,并在开发人员机器上安装kubectl命令,可以使用kubectl port-forward命令. 2. 方案 因为我们用到了dashboard和kubeapps,所以他们的rbac权限都要分配. 创建namespace:dev 创建ServiceAccount:dev-user1 给相应权限,并绑定

oracle 11g 设置用户密码大小写敏感

11g通过一个参数设置密码大小写敏感,下面来做个试验: C:\Documents and Settings\guogang>sqlplus gg_test/[email protected]_gg SQL*Plus: Release 10.2.0.1.0 - Production on 星期一 8月 4 17:54:19 2014 Copyright (c) 1982, 2005, Oracle.  All rights reserved. 连接到: Oracle Database 11g En

Docker给MongoDB设置用户密码

Docker给MongoDB设置用户密码 没有用户和密码,MongoDB的客户端NoSQL Manager for MongoDB是无法连接的 设置用户和密码如下 #admin进入 docker exec -it 10b15378e5ae mongo admin #创建用户和密码 db.createUser({ user: 'admin', pwd: '123456', roles: [ { role: "userAdminAnyDatabase", db: "admin&q

Python用户密码登陆匹配验证

#需求 编写登陆接口 - 输入用户名密码 - 认证成功后显示欢迎信息 - 输错三次后锁定 #脚本目录 [[email protected] opt]# tree  . ├── account_lock.txt ├── accounts.txt └── login.py 0 directories, 3 files #脚本文件 #!/usr/bin/env python #_*_ coding:utf-8 _*_ import sys retry_limit = 3 retry_count = 0

ubuntu samba安装与设置用户密码

1.安装samba sudo apt-get install samba-common smbclient samba 2.配置samba sudo vim /etc/samba/smb.conf [brian] path = /home/brian available = yes browseable = yes writable = yes valid users = brian ===> 设置用户 3.设置密码 smbpasswa -a [用户名]                     

mongodb 设置用户密码权限

1 设置管理员账户 use admindb.createUser({ user: "useradmin", pwd: "adminpassword", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] }) mongodb中的用户是基于身份role的,该管理员账户的 role是 userAdminAnyDatabase. ‘userAdmin’代表用户管理身份,’An

Oracle设置用户密码永不过期

1.查看用户的profile是那个,一般是default: select username, profile from dba_users; 2.查看指定概要文件(如default)的密码有效期设置: select * from dba_profiles where profile = 'DEFAULT' and resource_name = ‘PASSWORD_LIFE_TIME'; 3.将密码有效期由默认180天修改成“无限制”: ALTER PROFILE DEFAULT LIMIT P

Oracle 设置用户密码永不过期

--1.查看用户的proifle,一般是default select username,profile from dba_users; --2.查看概要文件(default)的密码有效期设置 select * from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LIFE_TIME'; --3.将密码有效期由默认的180天修改成 UNLIMITED '无限制' alter profile default lim

用户管理命令:添加用户useradd,设置用户密码passwd,查看当前用户who.

Linux下添加用户:useradd 用户名 为用户名添加密码:passwd 用户名 查看系统中的所有用户:cat /etc/passwd |cut -f 1 -d : 注意:| 是管道,把cat的输出传给cut处理:后面的cut取出每一行的以:分割的第一栏. 用who命令可以查看当前登录的用户有哪些,一个用户可以多次登录比如有两个root.一个root在它的本地,一个root 在远程通过secureCRT来登录 who显示的信息解释: 第一列是登录用户名 第二列是登录终端,登录终端中的tty表