Kubernetes Dashboard 部署与安全配置实战指南

1. Kubernetes Dashboard 部署全指南

作为 Kubernetes 集群的可视化管理门户，Dashboard 提供了直观的 Web UI 界面，让管理员能够轻松查看和管理集群资源。我在多个生产环境中部署过不同版本的 Dashboard，今天将分享最实用的部署方案和避坑经验。

这次我们以 v2.7.0 版本为例，重点解决内网环境部署、节点调度控制、访问安全配置等实际问题。不同于官方文档的通用方案，我会特别说明每个调整背后的考量，并针对 Kubernetes 1.24 版本前后的重要变化给出兼容性方案。

2. 部署前准备

2.1 镜像与文件准备

在内网环境部署时，需要提前下载好相关镜像。这里有两个关键镜像：

bash复制# 控制台主镜像 (178MB)
docker pull kubernetesui/dashboard:v2.7.0

# 指标采集器镜像 (40MB) 
docker pull kubernetesui/metrics-scraper:v1.0.8

保存镜像到本地文件：

bash复制docker save kubernetesui/dashboard:v2.7.0 -o dashboard-v2.7.0.tar
docker save kubernetesui/metrics-scraper:v1.0.8 -o metrics-scraper-v1.0.8.tar

经验之谈：即使有外网访问权限，也建议提前下载镜像。我曾遇到过因网络抖动导致 kubectl apply 超时的情况，提前准备能确保部署过程一气呵成。

2.2 部署文件获取

下载对应版本的部署清单文件：

bash复制wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

文件结构解析：

• 包含 Namespace、ServiceAccount、Service、Deployment 等资源定义
• 默认使用 ClusterIP 服务类型
• 镜像拉取策略为 Always

3. 定制化部署配置

3.1 关键修改项说明

原始配置需要调整三个关键点：

1. 服务暴露方式：

yaml复制kind: Service
spec:
  type: NodePort  # 修改为NodePort
  ports:
    - nodePort: 30098  # 添加nodePort定义

2. 节点调度控制：

yaml复制kind: Deployment
spec:
  nodeName: k8s-master.obboda.org  # 指定运行节点

3. 镜像拉取策略：

yaml复制containers:
  - imagePullPolicy: IfNotPresent  # 改为优先使用本地镜像

3.2 修改背后的设计考量

1. NodePort vs Ingress：

   • 选择 NodePort 是为了简化配置，避免额外依赖 Ingress Controller
   • 端口 30098 是经验值，通常 30000-32767 范围内未被占用的端口均可

2. 节点绑定的必要性：

   • 在混合节点环境中，确保 Dashboard 运行在控制平面节点
   • 避免调度到工作节点导致镜像重复拉取

3. 拉取策略调整：

   • 内网环境无法访问外网时，必须改为 IfNotPresent
   • 即使有外网，也建议使用本地镜像保证部署速度

4. 部署与权限配置

4.1 应用部署清单

bash复制kubectl apply -f recommended.yaml

验证部署状态：

bash复制kubectl -n kubernetes-dashboard get pod,svc

预期输出应显示两个 Running 状态的 Pod 和 NodePort 类型的 Service。

4.2 权限配置最佳实践

创建管理员级 ServiceAccount：

bash复制kubectl create serviceaccount dashboard-admin -n kubernetes-dashboard

绑定集群角色：

bash复制kubectl create clusterrolebinding dashboard-admin-binding \
  --clusterrole=cluster-admin \
  --serviceaccount=kubernetes-dashboard:dashboard-admin

安全提示：生产环境应遵循最小权限原则，可根据实际需求创建定制化 Role 而非直接使用 cluster-admin。

5. 访问与认证方案

5.1 访问入口

通过 NodePort 暴露的地址访问：

code复制https://<节点IP>:30098

注意：

• 必须使用 HTTPS
• 浏览器会提示证书不安全，这是预期行为

5.2 认证令牌获取

5.2.1 Kubernetes 1.24 之前版本

自动生成的 Secret 令牌查看方式：

bash复制kubectl -n kubernetes-dashboard get secret
kubectl -n kubernetes-dashboard describe secret <token-secret-name>

特点：

• 令牌永久有效
• 存储在 Secret 资源中

5.2.2 Kubernetes 1.24 及之后版本

手动创建临时令牌：

bash复制# 默认1小时有效期
kubectl -n kubernetes-dashboard create token dashboard-admin

# 可指定有效期（如7天）
kubectl -n kubernetes-dashboard create token dashboard-admin --duration=168h

重要变化：

• 不再自动生成永久令牌
• 令牌直接通过 API 获取
• 默认1小时有效期增强安全性

6. 常见问题排查指南

6.1 镜像拉取失败

症状：

• Pod 处于 ImagePullBackOff 状态
• 日志显示 "Failed to pull image"

解决方案：

1. 确认镜像已正确加载到指定节点：

   bash复制docker images | grep kubernetesui
   

2. 检查 deployment 中的 imagePullPolicy
3. 节点是否有正确的镜像标签

6.2 无法访问 Dashboard

症状：

• 访问端口无响应
• 连接被拒绝

排查步骤：

1. 确认 Service 类型和端口：

   bash复制kubectl -n kubernetes-dashboard get svc
   

2. 检查节点防火墙规则
3. 测试节点本地访问：

   bash复制curl -k https://localhost:30098
   

6.3 令牌认证失败

症状：

• 登录时提示 "Invalid credentials"
• 令牌已过期

解决方法：

1. 对于 1.24+ 版本，重新生成令牌
2. 检查令牌有效期：

   bash复制kubectl -n kubernetes-dashboard get secret <token-name> -o jsonpath='{.data.token}' | base64 --decode | jq -R 'split(".")[1] | @base64d | fromjson | .exp'
   

3. 确认 ServiceAccount 绑定关系

7. 生产环境增强建议

1. Ingress 集成：

   • 搭配 Nginx Ingress 实现域名访问
   • 配置有效的 TLS 证书

2. 审计日志：

   yaml复制apiVersion: v1
   kind: ConfigMap
   metadata:
     name: dashboard-audit-log
     namespace: kubernetes-dashboard
   data:
     audit-log-enabled: "true"
     audit-log-path: "/var/log/dashboard-audit.log"
   

3. 自动令牌续期：

   bash复制# 使用kubectl定时任务更新令牌
   while true; do
     kubectl -n kubernetes-dashboard create token dashboard-admin --duration=8h > token.txt
     sleep 6h
   done
   

4. 资源限制：

   yaml复制resources:
     limits:
       cpu: "1"
       memory: 512Mi
     requests:
       cpu: "0.5" 
       memory: 256Mi
   

我在实际运维中发现，Dashboard 在以下场景特别有价值：

• 快速查看集群状态
• 排查资源分配问题
• 演示和教学场景
• 开发测试环境调试

对于关键生产环境，建议配合 Prometheus 和 Grafana 实现更全面的监控体系。Dashboard 更适合作为辅助管理工具而非唯一的监控方案。