Как войти в панель приборов кубернете?

Я только что обновил kubeadm и kubelet до v1.8.0. И установите панель инструментов после официального .

$ kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/master/src/deploy/recommended/kubernetes-dashboard.yaml

После этого я запустил панель управления, запустив

$ kubectl proxy --address="192.168.0.101" -p 8001 --accept-hosts='^*$'

Тогда, к счастью, я смог получить доступ к панели мониторинга через http://192.168.0.101:8001/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/

Я был перенаправлен на страницу входа, подобную этой, которой я никогда раньше не встречал. Похоже, существует два способа аутентификации.

Я попытался загрузить /etc/kubernetes/admin.conf в качестве kubeconfig, но потерпел неудачу. Затем я попытался использовать токен, который я получил из kubeadm token list, чтобы войти, но снова не сработал.

Вопрос в том, как я могу войти в панель инструментов. Похоже, что они добавили много механизмов безопасности, чем раньше. Благодарю.

Ответы

Ответ 1

Начиная с версии 1.7 Dashboard использует более безопасную настройку. Это означает, что по умолчанию он имеет минимальный набор привилегий и доступен только через HTTPS. Перед выполнением любых дальнейших действий рекомендуется прочитать руководство по контролю доступа.

Начиная с версии 1.7 Dashboard поддерживает аутентификацию пользователей на основе:

Токен на предъявителя, который можно использовать в представлении входа в Dashboard.

Имя пользователя/пароль, которые можно использовать при просмотре входа в Dashboard.
--- Панель инструментов на Github

знак

Здесь Token может быть Static Token токеном, токеном Service Account Token, токеном OpenID Connect Token от Kubernetes Authenticating, но не токеном kubeadm Bootstrap Token.

С помощью kubectl мы можем получить служебную учетную запись (например, контроллер развертывания), созданную в kubernetes по умолчанию.

$ kubectl -n kube-system get secret
# All secrets with type 'kubernetes.io/service-account-token' will allow to log in.
# Note that they have different privileges.
NAME                                     TYPE                                  DATA      AGE
deployment-controller-token-frsqj        kubernetes.io/service-account-token   3         22h

$ kubectl -n kube-system describe secret deployment-controller-token-frsqj
Name:         deployment-controller-token-frsqj
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name=deployment-controller
              kubernetes.io/service-account.uid=64735958-ae9f-11e7-90d5-02420ac00002

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.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.OqFc4CE1Kh6T3BTCR4XxDZR8gaF1MvH4M3ZHZeCGfO-sw-D0gp826vGPHr_0M66SkGaOmlsVHmP7zmTi-SJ3NCdVO5viHaVUwPJ62hx88_JPmSfD0KJJh6G5QokKfiO0WlGN7L1GgiZj18zgXVYaJShlBSz5qGRuGf0s1jy9KOBt9slAN5xQ9_b88amym2GIXoFyBsqymt5H-iMQaGP35tbRpewKKtly9LzIdrO23bDiZ1voc5QZeAZIWrizzjPY5HPM1qOqacaY9DcGc7akh98eBJG_4vZqH2gKy76fMf0yInFTeNKr45_6fWt8gRM77DQmPwb3hbrjWXe1VvXX_g

Kubeconfig

Пользователю в файле kubeconfig требуется либо username & password либо token, в то время как admin.conf имеет только client-certificate.

$ kubectl config set-credentials cluster-admin --token=bearer_token

Альтернатива (не рекомендуется для производства)

Вот два способа обойти аутентификацию, но используйте для осторожности.

Развернуть панель мониторинга с помощью HTTP

$ kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/master/src/deploy/alternative/kubernetes-dashboard.yaml

Панель инструментов можно загрузить по адресу http://localhost: 8001/ui с kubectl proxy.

Предоставление прав администратора учетной записи службы Dashboard

$ cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: kubernetes-dashboard
  namespace: kube-system
EOF

После этого вы можете использовать опцию Skip на странице входа для доступа к панели инструментов.

Если вы используете инструментальную панель версии v1.10.1 или новее, вы также должны добавить --enable-skip-login к аргументам командной строки развертывания. Вы можете сделать это, добавив его к args в kubectl edit deployment/kubernetes-dashboard --namespace=kube-system.

Пример:

      containers:
      - args:
        - --auto-generate-certificates
        - --enable-skip-login            # <-- add this line
        image: k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1

Ответ 2

TL; DR

Чтобы получить токен в одном oneliner:

kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | awk '/^deployment-controller-token-/{print $1}') | awk '$1=="token:"{print $2}'

Это предполагает, что ваш ~/.kube/config присутствует и действителен. А также, что kubectl config get-contexts указывает, что вы используете правильный контекст (кластер и пространство имен) для панели, в которую вы входите.

Объяснение

Я получил этот ответ из того, что я узнал из ответа @silverfox. Это очень информативная запись. К сожалению, вам не приходится рассказывать вам, как фактически внедрять информацию на практике. Возможно, я слишком долго занимаюсь DevOps, но я думаю, что в оболочке. Мне гораздо труднее учиться на английском языке.

Вот, что oneliner с разрывами строк и отступов для удобочитаемости:

kubectl -n kube-system describe secret $(
  kubectl -n kube-system get secret | \
  awk '/^deployment-controller-token-/{print $1}'
) | \
awk '$1=="token:"{print $2}'

Существует 4 различных команды, которые вызываются в следующем порядке:

Строка 2 - это первая команда из раздела @silverfox Token.
Строка 3 - напечатайте только первое поле строки, начинающееся с deployment-controller-token- (которое является именем модуля)
Строка 1 - это вторая команда из раздела @silverfox Token.
Строка 5 - печатает только второе поле строки, первое поле которого - "токен:"

Ответ 3

Если вы не хотите предоставлять права администратора учетной записи службы панели мониторинга, вы можете создать учетную запись службы администратора кластера.

$ kubectl create serviceaccount cluster-admin-dashboard-sa
$ kubectl create clusterrolebinding cluster-admin-dashboard-sa \
  --clusterrole=cluster-admin \
  --serviceaccount=default:cluster-admin-dashboard-sa

И тогда вы можете использовать токен только что созданной учетной записи службы администратора кластера.

$ kubectl get secret | grep cluster-admin-dashboard-sa
cluster-admin-dashboard-sa-token-6xm8l   kubernetes.io/service-account-token   3         18m
$ kubectl describe secret cluster-admin-dashboard-sa-token-6xm8l

Я процитировал его из руководства giantswarm - https://docs.giantswarm.io/guides/install-kubernetes-dashboard/

Ответ 4

Сочетание двух ответов: 49992698 и 47761914:

# Create service account
kubectl create serviceaccount cluster-admin-dashboard-sa

# Bind ClusterAdmin role to the service account
kubectl create clusterrolebinding cluster-admin-dashboard-sa \
  --clusterrole=cluster-admin \
  --serviceaccount=default:cluster-admin-dashboard-sa

# Parse the token
TOKEN=$(kubectl describe secret $(kubectl -n kube-system get secret | awk '/^cluster-admin-dashboard-sa-token-/{print $1}') | awk '$1=="token:"{print $2}')

Ответ 5

Все предыдущие ответы хороши для меня. Но прямой ответ с моей стороны будет дан по адресу https://github.com/kubernetes/dashboard/wiki/Creating-sample-user#bearer-token. Просто используйте kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}'). У вас будет много значений для некоторых ключей (Name, Namespace, Labels ,..., token). Наиболее важным является token который соответствует вашему имени. скопируйте этот токен и вставьте его в поле токена. Надеюсь это поможет.

Ответ 6

Вход в систему с пропуском по умолчанию отключен из-за проблем безопасности. https://github.com/kubernetes/dashboard/issues/2672

в вашей приборной панели yaml добавить этот аргумент

- --enable-skip-login

чтобы вернуть его

Ответ 7

Не требующий пояснений простой однострочник для извлечения токена для входа на панель управления kubernetes.

kubectl describe secret -n kube-system | grep deployment -A 12

Скопируйте токен и вставьте его на панель управления kubernetes под параметром входа токена, и вы можете использовать панель управления kubernetes.

Ответ 8

Скачать https://raw.githubusercontent.com/kubernetes/dashboard/master/src/deploy/alternative/kubernetes-dashboard.yaml

добавить

type: NodePort for the Service

И затем запустите эту команду:

kubectl apply -f kubernetes-dashboard.yaml

Найдите открытый порт с помощью команды:

kubectl get services -n kube-system

Вы можете получить панель управления http://hostname:exposedport/ без аутентификации

Ответ 9

Используйте этот сценарий bash, чтобы получить токен-носитель для входа в систему на панели мониторинга Kubernetes. Скрипт скопирует токен и в ваш родной буфер обмена ОС, чтобы его можно было вставить в форму входа, поле значения токена.

Ответ 10

Я также сталкиваюсь с проблемой при входе в систему kubernetes Dashboard.

Я попробовал следующее руководство, но при входе в токен веб-интерфейс ничего не сделал.

https://github.com/kubernetes/dashboard/wiki/Creating-sample-user