Kubernetes Dashboard部署与生产环境优化指南

1. Kubernetes Dashboard 部署背景与核心价值

作为 Kubernetes 原生的 Web 管理界面，Dashboard 解决了集群可视化管理的刚需。我在生产环境中发现，当集群规模超过 20 个节点时，纯命令行操作会出现以下典型问题：

• 资源状态查看需要反复执行 kubectl describe
• 跨命名空间的资源关联性分析效率低下
• 权限管控缺乏直观的界面化操作

Dashboard 通过聚合以下核心功能模块实现管理提效：

1. 集群资源全景视图（CPU/Memory/Pod 分布热力图）
2. 可视化工作负载管理（Deployment 扩缩容滚动升级）
3. 实时日志流式查看（支持多容器日志同屏显示）
4. RBAC 权限的图形化配置（角色绑定关系可视化）

2. 部署方案设计与环境准备

2.1 版本兼容性矩阵

实测建议：生产环境推荐使用 2.6.0 版本，其与 1.23-1.26 版本集群兼容性最佳

2.2 前置依赖检查清单

1. 集群网络插件状态验证：

bash复制kubectl get pods -n kube-system -l k8s-app=cilium

2. 存储类可用性测试：

bash复制kubectl get storageclasses -o jsonpath='{.items[*].provisioner}'

3. 节点资源余量确认（每个 Dashboard Pod 需要 200mCPU+200Mi 内存）：

bash复制kubectl top nodes

3. 分步部署实操指南

3.1 主组件部署流程

1. 应用官方部署清单（含推荐的 RBAC 配置）：

bash复制kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.6.0/aio/deploy/recommended.yaml

2. 验证 Pod 就绪状态：

bash复制watch kubectl get pods -n kubernetes-dashboard

预期输出应显示所有 Pod 状态为 Running 且 READY 1/1

3. 配置 NodePort 服务暴露（生产环境建议使用 Ingress）：

yaml复制apiVersion: v1
kind: Service
metadata:
  name: dashboard-exposed
  namespace: kubernetes-dashboard
spec:
  ports:
    - port: 443
      targetPort: 8443
      nodePort: 30443
  selector:
    k8s-app: kubernetes-dashboard
  type: NodePort

3.2 认证体系配置

3.2.1 服务账户令牌登录方案

1. 创建管理员服务账户：

yaml复制apiVersion: v1
kind: ServiceAccount
metadata:
  name: dashboard-admin
  namespace: kubernetes-dashboard

2. 绑定集群管理员角色：

yaml复制apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dashboard-admin-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: dashboard-admin
  namespace: kubernetes-dashboard

3. 获取访问令牌：

bash复制kubectl -n kubernetes-dashboard create token dashboard-admin

3.2.2 证书登录方案（企业级推荐）

1. 生成客户端证书：

bash复制openssl req -new -newkey rsa:2048 -nodes -keyout dashboard.key -out dashboard.csr -subj "/CN=dashboard-user"

2. 使用集群 CA 签署证书：

bash复制openssl x509 -req -in dashboard.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out dashboard.crt -days 365

3. 配置 kubeconfig 文件：

yaml复制apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: $(cat /etc/kubernetes/pki/ca.crt | base64 -w0)
    server: https://<API-SERVER-IP>:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: dashboard-user
  name: dashboard-context
current-context: dashboard-context
kind: Config
users:
- name: dashboard-user
  user:
    client-certificate-data: $(cat dashboard.crt | base64 -w0)
    client-key-data: $(cat dashboard.key | base64 -w0)

4. 高阶功能配置详解

4.1 自定义指标监控集成

1. 部署 Prometheus Adapter：

bash复制helm install prometheus-adapter prometheus-community/prometheus-adapter -f values.yaml

2. 配置 Dashboard 的 CM 启用自定义指标：

yaml复制# kubernetes-dashboard-settings
args:
  - --enable-insecure-login
  - --system-banner="Production Cluster"
  - --metric-provider=prometheus
  - --metric-provider-prometheus-url=http://prometheus-server.monitoring.svc:9090

4.2 多集群联邦视图

1. 在主集群部署 Dashboard 联邦控制器：

bash复制kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/dashboard-federation/v0.1.0/deploy/recommended.yaml

2. 配置成员集群 kubeconfig 的 Secret：

bash复制kubectl create secret generic cluster1-kubeconfig --from-file=config=./cluster1.kubeconfig -n kubernetes-dashboard

3. 创建联邦 Cluster 对象：

yaml复制apiVersion: federation.dashboard.k8s.io/v1alpha1
kind: Cluster
metadata:
  name: cluster1
spec:
  kubeconfigSecret:
    name: cluster1-kubeconfig
  displayName: "EU-West-1 Production"

5. 生产环境运维要点

5.1 性能调优参数

5.2 安全加固 checklist

1. 网络策略限制访问源IP：

yaml复制apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: dashboard-allow-only-office
  namespace: kubernetes-dashboard
spec:
  podSelector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 192.168.1.0/24

2. 定期轮换服务账户令牌：

bash复制kubectl -n kubernetes-dashboard delete secret $(kubectl -n kubernetes-dashboard get secret | grep dashboard-admin-token | awk '{print $1}')

3. 启用审计日志记录：

yaml复制# audit-policy.yaml
rules:
- level: Metadata
  resources:
  - group: ""
    resources: ["secrets"]
    verbs: ["create", "update", "patch"]

6. 故障排查手册

6.1 常见错误代码速查表

6.2 诊断数据收集脚本

bash复制#!/bin/bash
# dashboard-diag.sh
NAMESPACE=kubernetes-dashboard
kubectl get pods -n $NAMESPACE -o wide
kubectl logs -n $NAMESPACE -l k8s-app=kubernetes-dashboard --tail=100
kubectl describe endpoints kubernetes-dashboard -n $NAMESPACE
kubectl get apiservices v1beta1.metrics.k8s.io -o yaml

7. 可视化功能深度优化

7.1 自定义界面主题

1. 构建定制化前端镜像：

dockerfile复制FROM kubernetesui/dashboard:v2.6.0
COPY branding/ /usr/share/nginx/html/assets/branding/

2. 配置企业品牌元素：

json复制// branding-config.json
{
  "logo": "data:image/svg+xml;base64,...",
  "title": "K8s Enterprise Console",
  "favicon": "/assets/branding/favicon.ico"
}

7.2 资源视图增强插件

1. 安装拓扑图插件：

bash复制kubectl apply -f https://github.com/kubernetes-sigs/dashboard-topology/releases/download/v0.1.0/deployment.yaml

2. 配置 Dashboard 侧边栏集成：

yaml复制# dashboard-configmap.yaml
data:
  plugins: |
    - name: topology-viewer
      src: "http://dashboard-topology.plugins.svc:8080/static/plugin.js"
      crossorigin: "anonymous"