库伯内特仪表板 - 启用用户身份验证 [ 一步一步 ]

是否了解如何安装 Kubernetes 仪表板并启用用户身份验证？在本教程中，我们将向您展示如何安装 Kubernetes 仪表板，并使用运行 Ubuntu Linux 的计算机上的用户名和密码启用身份验证。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

本教程假定您安装了 Kubernetes 主节点。

在我们的示例中，Kubernetes 节点 IP 地址为 192.168.15.200。

库伯内特 - 教程

在此页面上，我们提供对与 Kubernetes 相关的教程列表的快速访问。

教程库伯内特仪表板 - 启用用户身份验证

安装所需软件包的列表。

Copy to Clipboard

下载所需的 YAML 文件。

Copy to Clipboard

编辑此 YAML 文件。

Copy to Clipboard

找到名为"部署"的区域并添加以下配置。

Copy to Clipboard

这里是部署区域，在我们的配置之前。

Copy to Clipboard

这里是部署区域，在我们的配置之后。

Copy to Clipboard

安装所需的库伯内特仪表板配置。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

创建库伯内特仪表板密码文件。

Copy to Clipboard

这是文件内容。

Copy to Clipboard

在我们的示例中，我们创建了一个名为 ADMIN 的用户帐户并配置了密码 ADMINPASS123。

编辑库伯内特 API 配置文件。

Copy to Clipboard

找到名为"卷"的区域并添加以下配置。

Copy to Clipboard

这里是卷区，在我们的配置之前。

Copy to Clipboard

这里是卷区，在我们的配置之后。

Copy to Clipboard

找到名为"卷山"的区域并添加以下配置。

Copy to Clipboard

这里是卷蒙斯区域，在我们的配置之前。

Copy to Clipboard

这里是卷蒙斯区域，在我们的配置后。

Copy to Clipboard

找到名为 COMMAND 的区域并添加以下配置。

Copy to Clipboard

这里是命令区域，在我们的配置之前。

Copy to Clipboard

spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.15.200
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

这里是命令区域，在我们的配置之后。

Copy to Clipboard

spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.15.200
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    - --basic-auth-file=/etc/kubernetes/auth/auth.csv

更改 Kubernetes API 配置文件后，系统将自动使用旧配置删除 POD。

系统还将使用新配置生成新的 POD。

这可能需要 1 到 5 分钟。

您可以监视 Syslog 文件以验证此过程。

Copy to Clipboard

等待此过程完成。

启动代理以启用对 Kubernetes 仪表板的访问。

Copy to Clipboard

重要！通过 HTTP 访问 Kubernetes 仪表板仅允许本地主机访问。

如果此计算机具有图形界面，请打开浏览器并访问以下 URL：

• http://127.0.0.1:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/

应显示 Kubernetes 仪表板登录界面。

选择"基本"选项并输入以前创建的用户名和密码。

• 用户名：管理员
• 密码： adminpass123

成功登录后，应显示 Kubernetes 仪表板。

您已完成 Kubernetes 仪表板配置，以使用基本身份验证。

库伯内特仪表板 - 使用 Apache 代理进行远程访问

通过 HTTP 访问 Kubernetes 仪表板仅允许本地主机访问。

让我们使用 Apache 作为代理，以允许在 Kubernetes 仪表板上进行远程访问。

在主节点上，安装 Apache 服务器。

Copy to Clipboard

启用所需的 Apache 模块。

Copy to Clipboard

编辑 Apache 配置文件。

Copy to Clipboard

在此文件末尾添加以下行。

Copy to Clipboard

使用 OpenSSL 命令创建私钥和证书。

Copy to Clipboard

输入请求的信息。

Copy to Clipboard

在名为"COMMON_NAME"的选项上，您需要输入 IP 地址或主机名。

在我们的示例中，我们使用 IP 地址：192.168.15.200

编辑默认网站的 Apache 配置文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

这是我们配置后的文件。

Copy to Clipboard

在我们的示例中，我们将 HTTP 用户重定向到网站的 HTTPS 版本。

在我们的示例中，Apache 服务器将用作代理，并将所有请求发送到 Kubernetes 代理。

在我们的示例中，我们使用自签名证书。

重新启动 Apache 服务。

Copy to Clipboard

启动代理以启用对 Kubernetes 仪表板的访问。

Copy to Clipboard

打开浏览器并输入 Web 服务器的 IP 地址。

在我们的示例中，浏览器中输入了以下 URL：

• https://192.168.15.200/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/#/login

Apache 服务器将用作代理并显示 Kubernetes 仪表板。

选择"基本"选项并输入以前创建的用户名和密码。

• 用户名：管理员
• 密码： adminpass123

成功登录后，应显示 Kubernetes 仪表板。

祝贺！您成功完成了 Apache 作为 Kubernetes 仪表板的代理配置。

库伯内特仪表板 - 启用用户身份验证