Kubernetes Dashboard访问问题排查与解决方案

在部署Kubernetes集群时，Dashboard作为可视化界面是重要的管理工具。本文针对follow-me-install-kubernetes-cluster项目中Dashboard访问失败的问题进行深入分析，并提供完整的解决方案。

问题现象

当用户按照文档部署Kubernetes Dashboard后，通过浏览器访问Dashboard服务时出现证书错误提示。具体表现为浏览器无法验证服务器证书的有效性，提示"证书无效"的安全警告。

根本原因分析

1. 证书验证机制：Dashboard默认使用自签名证书，这些证书未被系统信任库收录
2. 端口转发安全性：通过kubectl port-forward转发时使用的是临时证书
3. Dashboard版本特性：v2.0.0-rc4版本默认启用了严格的TLS验证

详细解决方案

方案一：信任自签名证书

1. 导出Dashboard使用的证书

   kubectl get secret kubernetes-dashboard-certs -n kubernetes-dashboard -o jsonpath='{.data.tls\.crt}' | base64 --decode > dashboard.crt
   

2. 将证书导入系统信任库

   • MacOS: 使用钥匙串访问工具导入
   • Windows: 通过证书管理器导入
   • Linux: 复制到/etc/ssl/certs目录

方案二：使用kubectl代理访问

1. 启动本地代理

   kubectl proxy
   

2. 通过以下URL访问Dashboard

   http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/
   

方案三：修改Dashboard部署配置

1. 编辑Dashboard部署

   kubectl edit deploy kubernetes-dashboard -n kubernetes-dashboard
   

2. 添加以下参数

   args:
     - --tls-cert-file=/tls.crt
     - --tls-key-file=/tls.key
     - --enable-insecure-login
   

最佳实践建议

1. 对于生产环境，建议配置有效的CA签名证书
2. 考虑使用Ingress暴露Dashboard服务并配置有效的TLS证书
3. 结合RBAC严格控制Dashboard的访问权限
4. 定期更新Dashboard版本以获取安全补丁

后续维护

1. 监控Dashboard日志中的TLS错误

   kubectl logs -n kubernetes-dashboard <dashboard-pod-name>
   

2. 定期检查证书有效期

3. 关注Kubernetes Dashboard项目的安全公告

通过以上方法，用户可以安全可靠地访问Kubernetes Dashboard，同时保证集群的安全性。对于开发测试环境，方案二最为简便；生产环境则推荐使用方案三配合有效的证书管理策略。