# 配置Kuboard环境变量

# 环境变量

安装 Kuboard 后,有如下几个环境变量值得您关注:

环境变量名 描述 默认值
KUBERNETES_CLUSTER_DOMAIN Kubernetes Cluster Name cluster.local
KUBOARD_ICP_DESCRIPTION 您的 ICP 备案号
KUBOARD_PROXY_COOKIE_TTL Kuboard Proxy 中 Cookie 的有效时长 36000
KUBOARD_SAFE_MODE 是否禁用监控套件的转发
OIDC_ISSUER OpenID Connect 对应的 Identity Provider

# 修改Kuboard环境变量

  • 打开 Kuboard 界面,并导航到 Kuboard 工作负载编辑页:

    kube-system 名称空间 --> Kuboard 工作负载 --> 编辑

  • 也可以按如下方式直接进入 Kuboard 工作负载编辑页:

    打开链接 http://节点IP:32567/namespace/kube-system/workload/edit/Deployment/kuboard

在 Kuboard 工作负载编辑页,为 kuboard 容器添加、修改环境变量,如下图,正在修改 KUBOARD_ICP_DESCRIPTION 的取值

image-20200214211230317

# KUBERNETES_CLUSTER_DOMAIN

如果您通过 kubeadm 安装 Kubernetes 集群,执行命令

kubeadm config view
1

可以查看到输出结果中的 networking.dnsDomain 字段,该字段通常取值为 cluster.local,如下所示:



















 



apiServer:
  extraArgs:
    authorization-mode: Node,RBAC
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: apiserver.demo:6443
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
imageRepository: gcr.azk8s.cn/google-containers
kind: ClusterConfiguration
kubernetesVersion: v1.16.4
networking:
  dnsDomain: cluster.local
  serviceSubnet: 10.96.0.0/12
scheduler: {}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

少数情况下,您安装集群时可能修改了这个字段的取值,此时,请确保您为 Kuboard 设置了 KUBERNETES_CLUSTER_DOMAIN 这个环境变量,并将其取值设置与 networking.dnsDomain 的取值相同。否则 Kuboard 的一部分功能将无法正常工作。

# KUBOARD_ICP_DESCRIPTION

自 Kuboard v1.0.6.3 开始,用户可以修改 Kuboard 登录页面页尾的 ICP 备案编号及URL。

为 Kuboard 增加环境变量 KUBOARD_ICP_DESCRIPTION 取值为您的 ICP 备案号,例如 京ICP备19008693号-2,应用生效后,进入 Kuboard 登录界面,将在页尾显示您的 ICP 备案编号,如下图所示:

image-20200214211506647

安全提示

Kuboard 用于管理的 Kubernetes 集群上部署的各类资源,如果您想通过公有网络访问 Kuboard,请做好安全防护:

  • 建议您限制可以访问 Kuboard 的 IP 地址白名单;
  • 不要泄露 ServiceAccount 的 Token,如需要修改 ServiceAccount 的 Token,请参考 为名称空间创建管理员用户 中,关于在 ServiceAccount 界面上删除 Secret 的部分;
  • 建议使用 GitLab/GitHub 单点登录
  • 请为 Kuboard 配置 https 证书,配置方式有:
    • http://节点IP:32567/namespace/kube-system/workload/edit/Deployment/kuboard 界面上互联网入口(Ingress)这一部分开启 https 即可配置;
    • 如果您在 Kuboard 前面另外配置了反向代理,请在您自己的反向代理中配置 https 证书;
  • 请设置 KUBOARD_SAFE_MODE

# KUBOARD_SAFE_MODE

在 Kuboard 早期版本中,为了尝试监控套件的功能,在 Kuboard 所使用的 nginx 中设置了比较宽泛的动态转发,具体配置如下所示:

location ^~ /eip-monitor/ {
    location ~ "^/eip-monitor/namespace/(.*)/service/(.*)/port/(.*)/(.*)" {
        resolver 127.0.0.1 valid=5s;
        proxy_pass http://$2.$1.svc.KUBERNETES_CLUSTER_DOMAIN:$3/$4$is_args$args;
        gzip on;
    }
}

location ^~ /addons/ {
    location ~ "^/addons/namespace/(.*)/service/(.*)/port/(.*)/(.*)" {
        resolver 127.0.0.1 valid=5s;
        proxy_pass http://$2.$1.svc.KUBERNETES_CLUSTER_DOMAIN:$3/$4$is_args$args;
        gzip on;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

得益于这样的 nginx 转发规则,kuboard 可以在监控套件的功能中非常简便地跳转到 Kubernetes 上部署的任意 Service。但是,如果将 Kuboard 直接部署到公网,这种操作也使得 Kuboard 留下了一个安全隐患。

通过将环境变量 KUBOARD_SAFE_MODE 的值设置为 KUBOARD_SAFE_MODE_ENABLED,可以禁用这个转发规则,以获得更好地安全性。

  • 当前,如果您想使用 Kuboard 的 全局监控套件,请不要设置 KUBOARD_SAFE_MODE,请通过其他方式确保安全性,例如,限制只能在内网访问 Kuboard;
  • 在 2020年3月份即将发布 Kuboard v1.0.7 的版本中,将引入 Kuboard Proxy 的功能,该功能可以在兼容 Kuboard 套件的情况下,提升安全性,禁止未经授权的访问;届时,将不再需要设置 KUBOARD_SAFE_MODE

# OIDC_ISSUER

OIDC_ISSUER 这个环境变量与 Kubernetes Authentication 相关,建议您不要手工设置此环境变量,如果您想通过 OpenID Connect 的方式登录 Kuboard / Kubectl 请参考 Kubernetes Authentication 安装向导,在该向导的引导下,您将能够顺利配置 Kuboard 与 GitHub / GitLab 等的单点登录。

设置 OIDC_ISSUER 是该向导自动完成的一个步骤。