Dashboard管理Kubernetes集群与API访问配置


Posted in Servers onApril 01, 2022

Kubectl 命令大全

下面列出了 kubectl 的所有命令以及其缩写形式,供翻阅查询。

kubectl 命令格式:

kubectl [command] [type] [Name] [flag]
all events (ev) podsecuritypolicies (psp)
certificatesigningrequests (csr) horizontalpodautoscalers (hpa) podtemplates
clusterrolebindings ingresses (ing) replicasets (rs)
clusterroles jobs replicationcontrollers (rc)
clusters (valid only for federation apiservers) limitranges (limits) resourcequotas (quota)
componentstatuses (cs) namespaces (ns) rolebindings
configmaps (cm) networkpolicies (netpol) roles
controllerrevisions nodes (no) secrets
cronjobs persistentvolumeclaims (pvc) serviceaccounts (sa)
customresourcedefinition (crd) persistentvolumes (pv) services (svc)
daemonsets (ds) poddisruptionbudgets (pdb) statefulsets
deployments (deploy) podpreset storageclasses
endpoints (ep) pods (po)  

安装 Kubernetes-Dashboard

Kubernetes-Dashboard 是一个 管理 Kubernetes 集群的 Web UI,跟 kubectl 一样,其后端是 API-Server,使用在线的 YAML 文件部署 Kubernetes-Dashboard :

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.2.0/aio/deploy/recommended.yaml

dashboard 创建后会在 kubernetes-dashboard 命名空间中。

root@instance-1:~# kubectl get pods --namespace=kubernetes-dashboard
NAME                                         READY   STATUS    RESTARTS   AGE
dashboard-metrics-scraper-856586f554-4nd9v   1/1     Running   0          9d
kubernetes-dashboard-78c79f97b4-288js        1/1     Running   0          9d

root@instance-1:~# kubectl get services --namespace=kubernetes-dashboard
NAME                            TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)         AGE
dashboard-metrics-scraper       ClusterIP   10.98.50.123     <none>        8000/TCP        9d
kubernetes-dashboard            NodePort    10.111.44.44     <none>        443/TCP   9d

由于其网络默认是 NodePort 的方式,没有配置外界打开,所以为了能够被外界访问,可以修改其 service:

kubectl edit service kubernetes-dashboard --namespace=kubernetes-dashboard
ports:
  - nodePort: 30633
    port: 443
    protocol: TCP
    targetPort: 8443
  selector:
    k8s-app: kubernetes-dashboard
  sessionAffinity: None
  type: NodePort

或者把 type 修改为 LoadBalancer。

在集群内网可以通过 443 访问,在外网可以通过 30633 访问,访问方式是 https。

Dashboard管理Kubernetes集群与API访问配置

可以看到,访问方式有 Token 和配置文件方式(kubeconfing),这两者后面再讲。

通过下面这条命令我们可以查看 Token:

kubectl -n kube-system describe $(kubectl -n kube-system get secret -n kube-system -o name | grep namespace) | grep token

复制,填写到 Web UI 中,即可进入控制台。

RESTful API

我们可以集群中的任意节点访问 API-Server ,其端口是 6443。

API 可以使用 Token 和 证书方式 进行认证,我们可以使用上一小节查询出来的 token,对 API 进行访问:

curl https://k8smaster:6443/api/v1/pods -k --header "Authorization: bearer {此处填写你的token}"

注:使用 -k 可以忽略证书问题;k8smaster 是笔者配置 hosts 的,具体要以你的 主节点 ip为准。

也可以使用证书访问 API,其格式如下:

curl --cert /tmp/client.pem --key /tmp/client-key.pem \
--cacert /tmp/ca.pem -v -XGET \ 
https://k8smaster:6443/api/v1/pods

这里不多介绍 k8s 的 API,只介绍几个对调试有用的 API。

GET /api/v1/namespaces/{namespace}/pods/{name}/exec

GET /api/v1/namespaces/{namespace}/pods/{name}/log

GET /api/v1/watch/namespaces/{namespace}/pods/{name}

鉴权

由于 API-Server 需要一定权限才能访问,所以实际上用户使用 kubectl 工具时,也需要权限才能执行命令。

kubectl auth can-i 命令用来确定一个用户是否能够访问 API。

如果要确定当前用户是否有权限访问 deployments,可以使用:

kubectl auth can-i create deployments
kubectl auth can-i {命令}

如果要检查其它用户是否有权限,可以使用 --as

kubectl auth can-i create deployments --as ddddd
kubectl auth can-i create deployments --as ddddd --namespace kube-system

为了更加方便地获得权限,我们可以使用 SelfSubjectAccessReview 这个 API 来获得权限信息资源,它将 API 服务器鉴权公开给外部服务,其 API 说明文档地址:

https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.21/#selfsubjectaccessreview-v1-authorization-k8s-io

另外还有三个相关的 API:

  • SubjectAccessReview - 对任意用户的访问进行评估,而不仅仅是当前用户。 当鉴权决策被委派给 API 服务器时很有用。例如,kubelet 和扩展 API 服务器使用 它来确定用户对自己的 API 的访问权限。
  • LocalSubjectAccessReview - 与 SubjectAccessReview 类似,但仅限于特定的 名字空间。
  • SelfSubjectRulesReview - 返回用户可在名字空间内执行的操作集的审阅。 用户可以快速汇总自己的访问权限,或者用于 UI 中的隐藏/显示动作。

这里只需要了解,不需要深入。

注解

我们可以使用 Kubernetes 注解为对象附加任意的非标识的元数据,注解使用 annotations 标识。客户端程序(例如工具和库)能够获取这些元数据信息。

我们查看 dashboard 的相关 annotations :

kubectl describe services -n kubernetes-dashboard
... ...
Labels:                   k8s-app=kubernetes-dashboard
Annotations:              <none>
... ...

annotations 由 key/value 组成,类似 label,但是 annotations 支持一些特殊字符,可以用作构建发布镜像时的信息、日志记录等。

kubectl annotate service kubernetes-dashboard -n kubernetes-dashboard description='my test'
key=description

value=my test

重新查看 describe,可以看到:

Annotations:              description: my test

如果要覆盖 key 的值,需要加上 --overwrite 。

如果要删除一个 key:

kubectl annotate service kubernetes-dashboard description-

Pod YAML 结构

这是一个简单的 YAML 文件:

apiVersion: v1
kind: Pod
metadata:
    name: firstpod
spec:
    containers:
    - image: nginx
      name: stan

k8s 的 YAML 必须包含四个部分:

  • apiVersion:API 组的版本
  • kind:创建的对象类型
  • metadata:元数据,name 字段必填
  • spec:怎么创建对象,如果是 pod,则 container 必填。

配置

在 $HOME/.kube/config 文件中存储了 Kubernetes 的配置信息,可以直接打开文件查看,也可以通过 kubectl config view 查看(只显示部分信息)。

前面我们访问 API 时,使用了 token,现在我们可以通过这个 config,来创建证书文件,通过证书访问。。

client 密钥,就在这个 config 文件的 client-certificate-data 字段中存储。

grep client-cert $HOME/.kube/config |cut -d" " -f 6

key,在 client-key-data 字段中存储:

grep client-key-data $HOME/.kube/config |cut -d " " -f 6

API-Server 的公钥(auth),就在 certificate-authority-data 字段中存储:

grep certificate-authority-data $HOME/.kube/config |cut -d " " -f 6

意思就是三个重要的 密钥数据,这里为了方便,分别使用 client、key、auth 三个变量存储查询的数据。

export client=(grep client-cert $HOME/.kube/config |cut -d" " -f 6)
export key=(grep client-key-data $HOME/.kube/config |cut -d " " -f 6)
export auth=(grep certificate-authority-data $HOME/.kube/config |cut -d " " -f 6)

创建证书文件:

echo $client | base64 -d - > ./client.pems
echo $key | base64 -d - > ./client-key.pem
echo $auth | base64 -d - > ./ca.pem

然后访问的时候就可以通过证书安全地访问 API-Server:

curl --cert ./client.pem --key ./client-key.pem --cacert ./ca.pem https://k8smaster:6443/api/v1/pod

到此这篇关于Dashboard管理Kubernetes集群与API访问配置的文章就介绍到这了。希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Servers 相关文章推荐
Nginx设置日志打印post请求参数的方法
Mar 31 Servers
win10安装配置nginx的过程
Mar 31 Servers
nginx请求限制配置方法
Jul 09 Servers
教你利用Nginx 服务搭建子域环境提升二维地图加载性能的步骤
Sep 25 Servers
图文详解nginx日志切割的实现
Jan 18 Servers
tomcat的catalina.out日志按自定义时间格式进行分割的操作方法
Apr 02 Servers
docker compose 部署 golang 的 Athens 私有代理问题
Apr 28 Servers
nginx之内存池的实现
Jun 28 Servers
搭建zabbix监控以及邮件报警的超级详细教学
Jul 15 Servers
WIN10使用IIS部署ftp服务器详细教程
Aug 05 Servers
Elasticsearch6.2服务器升配后的bug(避坑指南)
Sep 23 Servers
keepalived + nginx 实现高可用方案
Dec 24 Servers
Kubernetes中Deployment的升级与回滚
Apr 01 #Servers
了解Kubernetes中的Service和Endpoint
Kubernetes控制节点的部署
Apr 01 #Servers
Kubernetes部署实例并配置Deployment、网络映射、副本集
Apr 01 #Servers
iSCSI服务器CHAP双向认证配置
Apr 01 #Servers
详解使用内网穿透工具Ngrok代理本地服务
Mar 31 #Servers
Vertica集成Apache Hudi重磅使用指南
You might like
当海贼王变成JOJO风
2020/03/02 日漫
php实现读取超大文件的方法
2014/07/28 PHP
php对关联数组循环遍历的实现方法
2015/03/13 PHP
php实现httpRequest的方法
2015/03/13 PHP
PHP使用正则表达式获取微博中的话题和对象名
2015/07/18 PHP
Yii视图CGridView实现操作按钮定义地址示例
2016/07/14 PHP
PHP fclose函数用法总结
2019/02/15 PHP
jquery应该如何来设置改变按钮input的onclick事件
2012/12/10 Javascript
javascript用户注册提示效果的简单实例
2013/08/17 Javascript
有关Promises异步问题详解
2015/11/13 Javascript
AngularJS实现根据不同条件显示不同控件
2017/04/20 Javascript
JS判断时间段的实现代码
2017/06/14 Javascript
详解vue-cli + webpack 多页面实例配置优化方法
2017/07/13 Javascript
node使用promise替代回调函数
2018/05/07 Javascript
javascript标准库(js的标准内置对象)总结
2018/05/26 Javascript
Vue项目引进ElementUI组件的方法
2018/11/11 Javascript
Node.js中Koa2在控制台输出请求日志的方法示例
2019/05/02 Javascript
浅谈JavaScript中等号、双等号、 三等号的区别
2020/08/06 Javascript
nuxt 页面路由配置,主页轮播组件开发操作
2020/11/05 Javascript
创建与框架无关的JavaScript插件
2020/12/01 Javascript
[36:22]VP vs Serenity 2018国际邀请赛小组赛BO2 第一场 8.16
2018/08/17 DOTA
python中for语句简单遍历数据的方法
2015/05/07 Python
Python实现给文件添加内容及得到文件信息的方法
2015/05/28 Python
Windows上使用virtualenv搭建Python+Flask开发环境
2016/06/07 Python
Python实现文件信息进行合并实例代码
2018/01/17 Python
python 爬虫一键爬取 淘宝天猫宝贝页面主图颜色图和详情图的教程
2018/05/22 Python
python用for循环求和的方法总结
2019/07/08 Python
Python代理IP爬虫的新手使用教程
2019/09/05 Python
python字符串替换re.sub()方法解析
2019/09/18 Python
详解tensorflow之过拟合问题实战
2020/11/01 Python
波兰在线杂货店:Polski Koszyk
2019/11/02 全球购物
银行营业厅大堂经理岗位职责
2014/01/06 职场文书
2014年幼儿园保育工作总结
2014/12/02 职场文书
初中作文评语
2014/12/25 职场文书
游戏《铁拳》动画化!2022年年内播出
2022/03/21 日漫
JavaScript正则表达式实现注册信息校验功能
2022/05/30 Java/Android