Kubernetes Dashboard 深度探索：创建只读用户以轻松查看 DEMO

为 Kubernetes Dashboard 创建只读用户，安全且方便

Kubernetes Dashboard 是一个强大且易用的基于 Web 的界面，可提供直观的 Kubernetes 集群管理体验。虽然默认情况下为具有管理权限的用户授予全面访问权限，但这在大多数情况下都是不必要的。创建一个只读用户可以限制对敏感信息的访问，同时仍然允许非管理用户查看和监视集群状态。

创建只读用户的步骤

要创建只读用户，请按照以下步骤操作：

1. 创建服务账户

使用以下命令创建服务账户：

kubectl create serviceaccount dashboard-readonly

2. 绑定集群角色

使用以下命令绑定集群角色：

kubectl create clusterrolebinding dashboard-readonly-binding \
--clusterrole=view \
--serviceaccount=default:dashboard-readonly

3. 生成令牌

使用以下命令生成令牌：

kubectl create token dashboard-readonly \
--serviceaccount=default:dashboard-readonly

4. 检索令牌值

使用以下命令检索令牌值：

kubectl describe secret $(kubectl get secret | grep dashboard-readonly | awk '{print $1}') | grep token | awk '{print $2}'

使用只读用户访问 Dashboard

创建只读用户后，您可以使用令牌值访问 Kubernetes Dashboard。

1. 复制令牌值并将其粘贴到安全的地方。
2. 在浏览器中打开以下 URL：

https://<kubernetes-master-ip>:443/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/

3. 在提示输入凭据时，输入以下内容：

• 用户名： dashboard-readonly
• 令牌： 令牌值

限制和注意事项

• 只读用户无法创建、修改或删除任何资源。
• 只读用户可以查看和监视集群状态，但不能执行任何管理操作。
• 建议仅在需要时创建只读用户，并在不再需要时将其删除。

常见问题解答

1. 我可以创建多个只读用户吗？

是的，您可以创建多个只读用户。每个用户都会有自己的令牌值。

2. 如何撤销只读用户的访问权限？

您可以使用以下命令删除令牌：

kubectl delete secret $(kubectl get secret | grep dashboard-readonly | awk '{print $1}')

3. 只读用户可以访问哪些信息？

只读用户可以访问有关集群状态的信息，包括节点、吊舱、服务和部署。他们还可以在不影响集群的情况下执行某些操作，例如获取日志和事件。

4. 我可以更改只读用户的权限吗？

是的，您可以通过修改集群角色绑定来更改只读用户的权限。

5. 只读用户是否安全？

是的，只读用户是安全的，因为他们无法修改或删除集群中的任何资源。然而，重要的是要保护令牌值，因为它可以被用于访问 Kubernetes Dashboard。

结论

创建只读用户是一种安全且方便的方式，可以向非管理用户授予访问 Kubernetes Dashboard 的权限。这可以提高透明度并促进协作，同时仍然维护集群的安全性。通过遵循本文中的步骤，您可以轻松地设置只读用户并开始探索 Kubernetes Dashboard 的强大功能。