Kubernetes Dashboard部署与安全配置指南

1. Kubernetes Dashboard 部署概述

作为 Kubernetes 集群的官方 Web UI，Dashboard 提供了可视化方式管理集群资源的能力。我在生产环境中部署过二十余次 Dashboard，发现它特别适合以下场景：

• 开发团队需要直观查看 Pod 状态
• 运维人员快速排查部署问题
• 教学演示时展示集群拓扑关系

最新版 Dashboard (v2.7.0) 需要 Kubernetes 1.24+ 版本支持，如果你的集群版本较旧，建议先升级或使用兼容版本。下面这张对比表列出了不同 Kubernetes 版本对应的 Dashboard 版本选择：

2. 部署准备与前置检查

2.1 环境需求验证

在开始部署前，建议先运行以下命令检查集群状态：

bash复制kubectl get nodes
kubectl cluster-info

我曾遇到过因为节点 NotReady 导致 Dashboard 无法启动的情况。典型问题包括：

• 节点内存不足（需至少 2GB 可用）
• 网络插件未正确安装（如 Calico 的 Pod 处于 CrashLoopBackOff）
• kube-proxy 服务异常

2.2 证书配置要点

Dashboard 默认使用自签名证书，生产环境建议替换为正规 CA 签发的证书。通过这个命令可以检查现有证书：

bash复制kubectl get secret kubernetes-dashboard-certs -n kubernetes-dashboard

如果需要自定义证书，创建 secret 的完整流程如下：

1. 准备证书文件（tls.crt 和 tls.key）
2. 执行创建命令：

   bash复制kubectl create secret tls dashboard-tls \
     --cert=tls.crt \
     --key=tls.key \
     -n kubernetes-dashboard
   

3. 完整部署流程详解

3.1 官方推荐部署方式

使用以下命令部署最新版 Dashboard：

bash复制kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

这个 yaml 文件包含以下关键组件：

• dashboard-metrics-scraper：负责收集指标数据
• kubernetes-dashboard：主应用容器
• 相关 ServiceAccount 和 RoleBinding

重要提示：默认配置下 Dashboard 仅监听集群内网（ClusterIP），如需从外部访问需要修改 Service 类型为 NodePort 或 LoadBalancer

3.2 访问方式配置

3.2.1 NodePort 方式暴露

修改 service 配置的典型命令：

bash复制kubectl patch svc kubernetes-dashboard \
  -n kubernetes-dashboard \
  -p '{"spec":{"type":"NodePort","ports":[{"port":443,"targetPort":8443,"nodePort":30443}]}}'

安全建议：

• 不要使用 80/443 等常见端口
• 配合网络策略限制访问源 IP
• 启用 Ingress 的 TLS 加密

3.2.2 Ingress 配置示例

以下是 Nginx Ingress 的典型配置：

yaml复制apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: dashboard-ingress
  namespace: kubernetes-dashboard
  annotations:
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
spec:
  tls:
  - hosts:
    - dashboard.example.com
    secretName: dashboard-tls
  rules:
  - host: dashboard.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 443

4. 认证与权限控制

4.1 创建管理员 Token

推荐使用以下模版创建受限权限的 admin 用户：

yaml复制apiVersion: v1
kind: ServiceAccount
metadata:
  name: dashboard-admin
  namespace: kubernetes-dashboard

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dashboard-admin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: dashboard-admin
  namespace: kubernetes-dashboard

获取 token 的命令：

bash复制kubectl -n kubernetes-dashboard \
  create token dashboard-admin \
  --duration=8760h

4.2 常见权限问题排查

当出现 "forbidden" 错误时，按以下步骤检查：

1. 确认 token 是否过期（默认有效期 1 小时）
2. 检查 RoleBinding 是否绑定到正确 namespace
3. 验证 ClusterRole 是否包含所需权限

可以通过这个命令验证权限：

bash复制kubectl auth can-i create deployments --as=system:serviceaccount:kubernetes-dashboard:dashboard-admin

5. 高级配置与优化

5.1 资源限制设置

生产环境建议配置资源限制，避免 Dashboard 占用过多资源：

yaml复制resources:
  requests:
    cpu: "100m"
    memory: "256Mi"
  limits:
    cpu: "500m"
    memory: "512Mi"

5.2 自定义界面配置

通过 configmap 可以修改界面语言、主题等设置：

bash复制kubectl edit cm kubernetes-dashboard-settings -n kubernetes-dashboard

可调整参数包括：

• disableAccessDeniedNotifications：隐藏权限不足提示
• itemsPerPage：设置每页显示数量
• language：界面语言（支持 zh-Hans）

6. 安全加固建议

6.1 网络策略配置

限制只允许特定命名空间访问 Dashboard：

yaml复制apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: dashboard-access
  namespace: kubernetes-dashboard
spec:
  podSelector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: allowed-namespace

6.2 审计日志配置

启用访问日志记录：

bash复制kubectl logs deploy/kubernetes-dashboard -n kubernetes-dashboard

建议配合 fluentd 或 filebeat 收集以下日志：

• 登录成功/失败记录
• 资源变更操作
• 异常访问模式

7. 故障排查指南

7.1 常见错误代码处理

7.2 性能问题优化

当 Dashboard 响应缓慢时：

1. 检查 etcd 健康状况
2. 增加 API Server 资源配额
3. 减少默认显示的 itemsPerPage 数量

可以通过这个命令测试响应时间：

bash复制time curl -k -H "Authorization: Bearer <TOKEN>" https://<DASHBOARD-URL>/api/v1/pod

8. 版本升级策略

升级 Dashboard 的标准流程：

1. 备份现有配置：

   bash复制kubectl get deploy kubernetes-dashboard \
     -n kubernetes-dashboard \
     -o yaml > dashboard-backup.yaml
   

2. 删除旧版本：

   bash复制kubectl delete -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.6.1/aio/deploy/recommended.yaml
   

3. 部署新版本（见第3章）
4. 恢复自定义配置

升级后常见问题：新版可能弃用某些 API，需要检查控制台日志中的 deprecated 警告