Kubernetes Dashboard部署与安全配置实战

1. Kubernetes Dashboard 部署全指南

作为Kubernetes生态中最常用的可视化管理工具，Dashboard面板的部署是每个云原生工程师的必修课。今天我将分享一套经过生产环境验证的部署方案，包含完整的安装流程、访问配置和常见问题解决方案。

1.1 为什么选择Helm部署

Helm作为Kubernetes的包管理工具，相比直接使用YAML文件部署Dashboard有以下优势：

• 版本管理：方便升级和回滚
• 参数定制：通过values.yaml灵活配置
• 依赖处理：自动处理相关组件依赖
• 社区支持：官方维护的chart保持更新

提示：生产环境建议使用Helm 3.x版本，它不再需要Tiller服务，安全性更高

2. 部署准备与环境检查

2.1 前置条件确认

在开始部署前，请确保满足以下条件：

1. 已安装kubectl并配置正确的kubeconfig
2. Helm 3.x已安装（检查命令：helm version）
3. 集群节点有足够的资源（建议至少2核CPU和4GB内存）
4. 节点能够访问外网以下载镜像（或已配置镜像仓库代理）

2.2 网络策略检查

由于Dashboard需要访问Kubernetes API，需要确认：

bash复制kubectl get pod -n kube-system -l component=kube-apiserver
kubectl get endpoints kubernetes

如果集群使用NetworkPolicy，需要确保允许以下通信：

• Dashboard命名空间到kube-system命名空间的API访问
• 节点端口到Dashboard服务的访问

3. 详细部署步骤

3.1 添加Helm仓库

首先添加官方Dashboard仓库并更新索引：

bash复制helm repo add kubernetes-dashboard https://kubernetes.github.io/dashboard/
helm repo update

验证仓库添加成功：

bash复制helm search repo kubernetes-dashboard

预期输出应包含kubernetes-dashboard/kubernetes-dashboard条目

3.2 安装Dashboard

使用NodePort方式部署到独立命名空间：

bash复制helm install kubernetes-dashboard kubernetes-dashboard/kubernetes-dashboard \
  --namespace kubernetes-dashboard \
  --create-namespace \
  --set service.type=NodePort

关键参数说明：

• --create-namespace：自动创建不存在的命名空间
• service.type=NodePort：通过节点端口暴露服务
• 默认会安装最新稳定版（当前v6.0.0）

3.3 验证部署状态

检查Pod启动情况（需等待2-5分钟）：

bash复制kubectl get pods -n kubernetes-dashboard -w

正常状态应显示所有Pod为Running：

code复制NAME                                             READY   STATUS    RESTARTS   AGE
kubernetes-dashboard-7c4f6b9c58-2h4xk           1/1     Running   0          2m
metrics-scraper-64bcc67c9d-8xv4p                1/1     Running   0          2m

3.4 访问配置

方法一：端口转发（开发环境推荐）

bash复制kubectl port-forward -n kubernetes-dashboard \
  svc/kubernetes-dashboard 8443:443 --address 0.0.0.0

访问：https://localhost:8443

方法二：NodePort访问（生产环境）

获取分配的节点端口：

bash复制kubectl get svc -n kubernetes-dashboard

输出示例：

code复制NAME                        TYPE       CLUSTER-IP      PORT(S)         AGE
kubernetes-dashboard        NodePort   10.96.123.123  443:32443/TCP   5m

访问：https://<节点IP>:32443

4. 认证与权限配置

4.1 创建管理员ServiceAccount

创建dashboard-admin.yaml：

yaml复制apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kubernetes-dashboard
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kubernetes-dashboard

应用配置：

bash复制kubectl apply -f dashboard-admin.yaml

4.2 获取访问令牌

获取管理员token：

bash复制kubectl -n kubernetes-dashboard create token admin-user

复制输出的token内容，在登录界面选择"Token"方式粘贴使用。

5. 常见问题排查

5.1 镜像拉取失败

典型报错：

code复制ImagePullBackOff
ErrImagePull

解决方案：

1. 手动拉取镜像到所有节点：

bash复制docker pull kubernetesui/dashboard:v2.7.0
docker pull kubernetesui/metrics-scraper:v1.0.8

2. 或者配置国内镜像仓库：

bash复制helm upgrade kubernetes-dashboard \
  --set image.repository=registry.cn-hangzhou.aliyuncs.com/google_containers/dashboard \
  --set metricsScraper.image.repository=registry.cn-hangzhou.aliyuncs.com/google_containers/metrics-scraper

5.2 证书错误

访问时浏览器提示证书不安全，解决方法：

1. 生成自签名证书：

bash复制openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout dashboard.key -out dashboard.crt -subj "/CN=dashboard.local"

2. 更新部署：

bash复制helm upgrade kubernetes-dashboard \
  --set ingress.tls[0].secretName=dashboard-tls \
  --set ingress.tls[0].hosts[0]=dashboard.local

5.3 权限不足

即使使用admin账户仍提示权限不足，检查：

1. 集群是否启用RBAC：

bash复制kubectl api-versions | grep rbac

2. 检查ClusterRoleBinding：

bash复制kubectl get clusterrolebinding admin-user -o yaml

6. 生产环境优化建议

6.1 启用Ingress访问

推荐使用Ingress配合域名访问：

bash复制helm upgrade kubernetes-dashboard \
  --set ingress.enabled=true \
  --set ingress.hosts[0]=dashboard.yourdomain.com \
  --set service.type=ClusterIP

6.2 配置持久化日志

启用metrics-scraper数据持久化：

bash复制helm upgrade kubernetes-dashboard \
  --set metricsScraper.persistence.enabled=true \
  --set metricsScraper.persistence.size=1Gi

6.3 资源限制配置

设置合理的资源限制：

bash复制helm upgrade kubernetes-dashboard \
  --set resources.limits.cpu=500m \
  --set resources.limits.memory=512Mi \
  --set metricsScraper.resources.limits.cpu=200m \
  --set metricsScraper.resources.limits.memory=256Mi

7. 安全加固措施

7.1 启用自动注销

配置15分钟无操作自动注销：

bash复制helm upgrade kubernetes-dashboard \
  --set extraArgs[0]="--token-ttl=900"

7.2 审计日志

启用操作审计：

bash复制helm upgrade kubernetes-dashboard \
  --set auditLog.enabled=true \
  --set auditLog.volume.size=1Gi

7.3 网络策略

限制Dashboard服务访问：

yaml复制apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: dashboard-policy
  namespace: kubernetes-dashboard
spec:
  podSelector:
    matchLabels:
      app.kubernetes.io/name: kubernetes-dashboard
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: kube-system
    ports:
    - protocol: TCP
      port: 8443

8. 版本升级与回滚

8.1 检查可用版本

bash复制helm search repo kubernetes-dashboard --versions

8.2 执行升级

bash复制helm upgrade kubernetes-dashboard kubernetes-dashboard/kubernetes-dashboard \
  --version 6.0.0 \
  -n kubernetes-dashboard

8.3 回滚操作

查看历史：

bash复制helm history kubernetes-dashboard -n kubernetes-dashboard

回滚到指定版本：

bash复制helm rollback kubernetes-dashboard 1 -n kubernetes-dashboard

我在生产环境部署Dashboard时发现，合理配置资源限制和网络策略可以显著提高安全性。建议至少每季度检查一次版本更新，及时修复已知漏洞。对于关键业务集群，可以考虑部署多副本Dashboard实例以提高可用性。