Kubernetes 仪表板显示未经授权

我使用 KUBEADM 工具 IN LOCAL 配置了具有 1 个主节点和 4 个工作节点的 kubernetes 集群。所有节点都运行良好。部署了一个应用程序并能够从浏览器访问该应用程序。我尝试了很多方法使用 kubectl 创建仪表板，但失败了。

TRY1:直接尝试使用以下命令：

$ sudo kubectl proxy --address="172.20.22.101" -p 8001 

尝试使用 url 访问仪表板http://172.20.22.101:8001/api/v1 http://172.20.22.101:8001/api/v1，但它说未经授权。

TRY2:创建了包含以下内容的仪表板-admin.yaml 文件：

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
   name: kubernetes-dashboard
   labels:
     k8s-app: kubernetes-dashboard
roleRef:
   apiGroup: rbac.authorization.k8s.io
   kind: ClusterRole
   name: cluster-admin
subjects:
-  kind: ServiceAccount
   name: kubernetes-dashboard
   namespace: kube-system

并运行以下命令：

$ kubectl create -f dashboard-admin.yaml

它向我展示了：clusterrolebinding.rbac.authorization.k8s.io/kubernetes-dashboard created.

运行以下命令：

$ sudo kubectl proxy --address="172.20.22.101" -p 443

它运行良好。我正在访问http://172.20.22.101:443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ http://172.20.22.101:443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/来自浏览器的 URL。它显示相同的未经授权的错误。

运行 kubectl 代理命令--接受主机 option

 kubectl proxy --address="172.20.22.101" -p 8001  --accept-hosts="^*$"

它会工作得很好。

注意：对于生产级 kubernetes 集群，不建议这样做，因为您是通过纯 http 访问仪表板。

更安全的替代方案是通过 ssh 隧道运行访问仪表板，如下所示。

在一个终端运行：

kubectl proxy 

在另一个终端中运行到 localhost:8001 （默认的 kubernetes 仪表板端口）的 ssh 隧道

ssh -NT -l SSH_USER -p SSH_PORT K8S_CONTROLLER_IP_ADDR -L 8001:localhost:8001