kubernetes系列(十七) - 經過helm安裝dashboard詳細教程

• 1. 前提條件
• 2. 配置https證書爲secret
• 3. dashboard安裝
  • 3.1 helm拉取dashboard的chart
  • 3.2 配置dashboard的chart包配置
  • 3.3 helm執行建立dashboard的release
  • 3.4 經過域名訪問dashboard
• 4. 查看token並使用token登錄
• 5. 給dashboard的serviceaccont受權

這篇博文介紹的是安裝Dashboard V2.0.3, 並將其映射到具體的域名上。先上一個成果圖，若是安裝過程當中有遇到什麼問題，能夠評論聯繫我

1. 前提條件

本次安裝基於Helm的chart包安裝的，且向外暴露服務的方式爲Ingress，因此有如下前提：

• 已安裝好Helm

如未安裝helm，能夠參照：kubernetes系列(十六) - Helm安裝和入門

• 集羣已經以DaemonSet方式安裝好了Ingress-nginx

如未安裝，安裝教程能夠參照下篇文章的第四小節部分：kubernetes系列(十) - 經過Ingress實現七層代理

• 一個已經備案過的域名，和具體的域名配套的https證書

由於使用的是ingress，因此必需要域名，且dashboard須要https才能外網訪問，證書能夠在阿里雲之類的購買一年期的免費贈書

---

2. 配置https證書爲secret

1. 上傳域名的nginx證書到服務器上

# 具體上傳過程不贅述
# 這裏假設證書aaa.key和bbb.crt已經上傳至路徑/usr/local/cert

cd /usr/local/cert

# 建立secret到kube-system命名空間下
# 以後咱們的dashboard也會建立在這個命名空間下，須要依賴這個，因此提早建立
kubectl creat secret tls dashboard-tls --key aaa.key --cert bbb.crt -n kube-system

---

3. dashboard安裝

3.1 helm拉取dashboard的chart

# 添加helmhub上的dashboard官方repo倉庫
helm repo add kubernetes-dashboard https://kubernetes.github.io/dashboard/

# 查看添加完成後的倉庫
helm repo list

# 查詢dashboard的chart
helm search repo  kubernetes-dashboard

# 新建文件夾用於保存chart
mkdir dashboard-chart && cd dashboard-chart

# 拉取chart
helm pull kubernetes-dashboard/kubernetes-dashboard

# 此時會有一個壓縮包，解壓它
tar -zxvf kubernetes-dashboard-2.3.0.tgz

# 進入到解壓後的文件夾
cd kubernetes-dashboard

3.2 配置dashboard的chart包配置

注意：如下建立的new-values.yaml是基於values.yaml修改的，即意味着若是須要跟自定義的配置，能夠本身參照values.yaml修改配置文件

1. 新建一個new-values.yaml，內容以下

注意：如下的host須要換成本身的域名，且secretname須要跟剛剛建立的secret對應起來

image:
  repository: kubernetesui/dashboard
  tag: v2.0.3
  pullPolicy: IfNotPresent
  pullSecrets: []
replicaCount: 1
annotations: {}
labels: {}
extraEnv: []
podAnnotations:
  seccomp.security.alpha.kubernetes.io/pod: 'runtime/default'
nodeSelector: {}
tolerations: []
affinity: {}

resources:
  requests:
    cpu: 100m
    memory: 200Mi
  limits:
    cpu: 2
    memory: 200Mi
protocolHttp: false

service:
  type: ClusterIP
  externalPort: 443
  annotations: {}
  labels: {}

ingress:
  enabled: true
  annotations:
    nginx.ingress.kubernetes.io/secure-backends: "true"
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
  paths:
    - /
  customPaths: []
  hosts:
    - xxx.xxx.com # 你的域名
  tls:
    # 注意這個名字要跟前面新建的secret對上
    - secretName: dashboard-tls
      hosts:
        - xxx.xxx.com # 你的域名

metricsScraper:
  enabled: false
  image:
    repository: kubernetesui/metrics-scraper
    tag: v1.0.4
  resources: {}
  containerSecurityContext:
    allowPrivilegeEscalation: false
    readOnlyRootFilesystem: true
    runAsUser: 1001
    runAsGroup: 2001

metrics-server:
  enabled: false

rbac:
  create: true
  clusterRoleMetrics: true
  clusterReadOnlyRole: false

serviceAccount:
  create: true
  name:

livenessProbe:
  initialDelaySeconds: 30
  timeoutSeconds: 30

podDisruptionBudget:
  enabled: false
  minAvailable:
  maxUnavailable:

containerSecurityContext:
  allowPrivilegeEscalation: false
  readOnlyRootFilesystem: true
  runAsUser: 1001
  runAsGroup: 2001

networkPolicy:
  enabled: false

3.3 helm執行建立dashboard的release

# 執行路徑在new-values.yaml目錄
helm install -f new-values.yaml --namespace kube-system kubernetes-dashboard .

3.4 經過域名訪問dashboard

注意：雲服務商的域名解析處，須要將域名經過A記錄解析到某個node節點上

而後訪問剛剛配置文件配置的域名應該可以訪問到以下界面

---

4. 查看token並使用token登錄

這裏咱們須要查看token

1. 查看內容含有token的secret

[root@k8s-master kubernetes-dashboard]# kubectl get secret -n kube-system | grep kubernetes-dashboard-token
kubernetes-dashboard-token-vgp9w                 kubernetes.io/service-account-token   3      22h

2. describe一下獲取token值

kubectl describe secret kubernetes-dashboard-token-vgp9w -n kube-system

3. 複製這一串token

4. 根據以下的登錄
   

5. 登錄成功

---

5. 給dashboard的serviceaccont受權

此時咱們剛進去界面，發現什麼資源都顯示不了，是由於dashboard默認的serviceaccount並無權限，因此咱們須要給予它受權。

• 注意：我這裏直接賦予的是admin權限，若是須要更加細顆粒度的受權，請參照官方的說明

https://github.com/kubernetes/dashboard/blob/master/docs/user/access-control/README.md

1. 建立dashboard-admin.yaml,內容爲如下

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: kubernetes-dashboard
    namespace: kube-system

2. 應用資源文件dashboard-admin.yaml

kubectl apply -f dashboard-admin.yaml

3. 受權成功，能夠經過dashboard查看到資源