实战指南:Kubernetes Dashboard的安装与高效管理
1. Kubernetes Dashboard入门指南
第一次接触Kubernetes Dashboard时,我被它简洁的UI界面惊艳到了。作为一个长期和命令行打交道的运维人员,终于不用再记那些复杂的kubectl命令了。Dashboard就像是给Kubernetes套上了一层可视化外衣,让集群管理变得像操作手机APP一样简单直观。
Dashboard的核心价值在于它提供了完整的集群可视化能力。你可以在一个界面上看到所有节点状态、Pod运行情况、资源使用率等关键指标。我特别喜欢它的部署功能,创建容器只需要填几个表单参数,比写YAML文件省事多了。对于刚接触K8s的新手来说,这绝对是降低学习曲线的神器。
不过要提醒的是,Dashboard默认安装后是不能直接使用的。需要配置Service Account和访问权限,这也是很多新手容易卡住的地方。我第一次安装时就因为token问题折腾了半天,后来才发现是ClusterRoleBinding没配好。接下来我会详细讲解这些关键步骤。
2. 在线安装Dashboard全流程
2.1 快速部署Dashboard组件
最方便的安装方式当然是直接使用官方提供的YAML文件。我通常用这个命令一键部署:
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml部署完成后别急着访问,先用这个命令检查Pod状态:
kubectl get pods -n kubernetes-dashboard -w看到所有Pod都变成Running状态才算成功。这里有个小技巧:加-w参数可以实时观察状态变化,比反复执行get命令方便多了。
2.2 配置访问权限
Dashboard默认使用RBAC鉴权,我们需要创建专门的Service Account。这是我常用的配置模板:
apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kubernetes-dashboard保存为user.yaml后apply生效。但这样创建的账号还没有任何权限,需要再创建ClusterRoleBinding:
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-user roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: admin-user namespace: kubernetes-dashboard这个配置给账号赋予了集群管理员权限。如果是生产环境,建议根据实际需求缩小权限范围。
2.3 获取访问Token
权限配置好后,用这个命令获取登录token:
kubectl -n kubernetes-dashboard create token admin-user复制输出的token字符串备用。这里有个常见问题:token默认有效期很短。如果需要长期有效的token,可以在创建ServiceAccount时添加annotation:
annotations: kubernetes.io/service-account.token-expiration: "87600h"2.4 暴露Dashboard服务
默认安装的Dashboard服务类型是ClusterIP,需要修改为NodePort才能从外部访问:
kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard找到spec.type字段,改为NodePort保存退出。然后用这个命令查看分配的端口号:
kubectl get svc -n kubernetes-dashboard通常端口号在30000-32767之间。访问地址格式为https://节点IP:端口号。第一次访问会遇到浏览器安全警告,在Chrome页面直接输入thisisunsafe即可继续。
3. 离线环境安装方案
3.1 准备离线镜像包
在没有外网的环境下安装Dashboard,需要提前准备镜像包。主要包括两个组件:
- kubernetesui/dashboard
- kubernetesui/metrics-scraper
用docker save命令将镜像打包:
docker save kubernetesui/dashboard:v2.7.0 -o dashboard_2_7_0.tar docker save kubernetesui/metrics-scraper:v1.0.8 -o metrics-scraper_1_0_8.tar将打包文件拷贝到离线机器后,用docker load恢复:
docker load -i dashboard_2_7_0.tar docker load -i metrics-scraper_1_0_8.tar3.2 部署离线YAML文件
官方提供的YAML文件需要稍作修改:
- 将imagePullPolicy改为IfNotPresent或Never
- 确认镜像名称与本地一致
这是我修改后的关键部分:
containers: - name: kubernetes-dashboard image: kubernetesui/dashboard:v2.7.0 imagePullPolicy: IfNotPresent保存为kubernetes-dashboard.yaml后执行:
kubectl apply -f kubernetes-dashboard.yaml3.3 验证离线安装
检查Pod状态确保运行正常:
kubectl get pods -n kubernetes-dashboard如果遇到ImagePullBackOff错误,通常是镜像名称不匹配导致的。可以用这个命令查看详细错误信息:
kubectl describe pod <pod名称> -n kubernetes-dashboard4. Dashboard高效管理技巧
4.1 容器快速部署实战
在Dashboard上部署nginx服务特别简单:
- 点击右上角"+"按钮
- 填写应用名称、容器镜像
- 设置Pod数量和Service类型
- 点击部署即可
部署完成后,在Services页面可以看到自动分配的NodePort。点击服务名称还能看到详细的Endpoint信息。我经常用这个功能快速搭建测试环境,比命令行方式直观多了。
4.2 资源监控与排查
Dashboard的监控页面是我的日常必备工具。几个实用功能:
- 节点资源视图:一眼看出哪个节点负载过高
- Pod日志查看器:不用再记复杂的kubectl logs命令
- 事件时间线:快速定位异常事件的触发时间
特别是排查OOMKilled问题时,Dashboard的资源图表比命令行更直观。我习惯在这里先看内存使用趋势,再决定是否需要调整limits配置。
4.3 安全加固建议
虽然Dashboard很方便,但安全风险也不容忽视。我总结了几条实践经验:
- 一定要启用HTTPS,不要使用HTTP
- 为不同用户创建不同权限的ServiceAccount
- 定期轮换访问token
- 考虑搭配Ingress使用,增加WAF防护
- 非必要不暴露NodePort,可以用kubectl proxy临时访问
生产环境中,我更喜欢通过API网关访问Dashboard,这样可以利用现有的认证鉴权体系。如果是测试环境,也可以考虑使用Port-forward方式:
kubectl port-forward -n kubernetes-dashboard service/kubernetes-dashboard 8443:443这样就能通过https://localhost:8443安全访问,不用担心暴露服务端口。