安装部署dashboard（默认不安装）

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml

参考官网：Web 界面 (Dashboard)

如果image被墙，使用
kubectl apply -f https://github.com/chenjiangtao/spring-boot-on-kubernetes/blob/main/kubernetes/monitoring/new/kube-dashboard-v2.0.yaml

启动

kubectl proxy
显示：Starting to serve on 127.0.0.1:8001

访问kubernetes-dashboard 完整地址如下：

http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/#/overview?namespace=default

需要登陆token

创建token

kubectl get secret $(kubectl get serviceaccount dashboard -o jsonpath="{.secrets[0].name}") -o jsonpath="{.data.token}" | base64 --decode

如果没有就创建一个

kubectl create serviceaccount dashboard -n default
kubectl create clusterrolebinding dashboard-admin -n default --clusterrole=cluster-admin  --serviceaccount=default:dashboard

使用手动生成自定义证书

上面的安装是使用自动生成证书的办法，下面使用自定义证书：

手动创建证书（目的是加载自定义证书）

kubectl create namespace kubernetes-dashboard
kubectl create secret generic kubernetes-dashboard-certs --from-file=/root/certs/new-for-dashboard -n kubernetes-dashboard

改deployment文件

把recommended.yaml下载下来（加入下面两项）

- --tls-cert-file=/root/certs/kubecfg.crt
- --tls-key-file=/root/certs/kubecfg.key

tls-cert-file作用：
apiserver本身是一个http服务器，需要tls证书

如图：

注意下面的--auto-generate-certificates参数：如果没有证书会自动生成一个。

证书生成两种方式

x509证书crt文件的创建办法

• 截取k8s的证书

mkdir certs & certs/
grep 'client-certificate-data' ~/.kube/config | head -n 1 | awk '{print $2}' | base64 -d >> kubecfg.crt
grep 'client-key-data' ~/.kube/config | head -n 1 | awk '{print $2}' | base64 -d >> kubecfg.key

• 新证书

openssl genrsa -des3 -passout pass:over4chars -out dashboard.pass.key 2048
openssl rsa -passin pass:over4chars -in dashboard.pass.key -out dashboard.key
openssl req -new -key dashboard.key -out dashboard.csr
openssl x509 -req -sha256 -days 365 -in dashboard.csr -signkey dashboard.key -out dashboard.crt

查看证书内容

 openssl x509 -in dashboard.crt -text -noout