Wie kann ich das Kubernetes Dashboard im privaten Netzwerk zugänglich machen?
- Dashboard Deployment und Service
- Service-Typ anpassen
- Zugriff über Ingress oder Reverse Proxy
- Sicherheit und Authentifizierung
- Zugriff über kubectl proxy
- Zusammenfassung
Das Kubernetes Dashboard ist eine webbasierte Benutzeroberfläche, die es ermöglicht, Kubernetes-Cluster zu verwalten und zu überwachen. Standardmäßig ist das Dashboard innerhalb des Clusters nur über einen sicheren Proxy oder mit administrativen Berechtigungen erreichbar. Möchte man das Dashboard im privaten Netzwerk zugänglich machen, beispielsweise innerhalb eines Unternehmensnetzwerks, gibt es dazu verschiedene Möglichkeiten, die sicher und sinnvoll konfiguriert werden sollten.
Dashboard Deployment und Service
Zunächst wird das Dashboard normalerweise über ein Deployment im Kubernetes-Cluster bereitgestellt. Der Dashboard-Service ist häufig als ClusterIP konfiguriert, wodurch dieser nur innerhalb des Clusters erreichbar ist. Um von einem privaten Netzwerk aus darauf zuzugreifen, muss der Service oder das Deployment so angepasst werden, dass es Netzwerkzugriffe von außerhalb zulässt.
Service-Typ anpassen
Eine Möglichkeit besteht darin, den Typ des Services von ClusterIP zu NodePort oder LoadBalancer zu ändern. Der Typ NodePort öffnet einen bestimmten Port an jedem Arbeitsknoten, über den der Service zugänglich wird. Dabei wird eine hohe Portnummer auf den Dashboard-Service weitergeleitet. Der Zugriff ist dann über die IP-Adresse eines Knotens im privaten Netzwerk möglich.
Beispiel, um den Service auf NodePort zu ändern: Die Service-Definition des Dashboards kann mit kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard geöffnet werden. Dort wird der Typ von ClusterIP auf NodePort geändert, und optional wird ein bestimmter Port angegeben. So kann man beispielsweise den Port 30000 bis 32767 nutzen. Nach der Änderung kann man das Dashboard über http://NODE_IP:NODE_PORT abrufen.
Zugriff über Ingress oder Reverse Proxy
Alternativ kann ein Ingress-Controller eingerichtet werden, der Verbindungen aus dem privaten Netzwerk entgegen nimmt und an den Dashboard-Service weiterleitet. Dabei kann man das Dashboard zum Beispiel unter einer klaren URL in Ihrem Netzwerk verfügbar machen. Zusätzlich kann eine Authentifizierung auf dem Ingress stattfinden, um die Sicherheit zu erhöhen.
Eine weitere Möglichkeit ist das Einrichten eines Reverse Proxys (z. B. mit Nginx oder Traefik), der den internen Kubernetes-Dashboard-Service kapselt und Zugriffe aus dem privaten Netzwerk steuert. Dabei lässt sich auch SSL/TLS nutzen, um die Verbindung abzusichern.
Sicherheit und Authentifizierung
Da das Dashboard administrative Zugriffe erlaubt, ist es wichtig, den Zugriff zu beschränken. Beim Öffnen für das private Netzwerk sollten Sie unbedingt sicherstellen, dass nur autorisierte Nutzer Zugang erhalten. Das kann über Kubernetes-Rollen und Rollenbindungen (RBAC) realisiert werden, die den Zugriff über Token oder den Kubernetes Proxy erlauben.
Wenn Sie das Dashboard öffentlich in einem privaten Netzwerk verfügbar machen, sollten Sie die Verbindung mit HTTPS absichern und beispielsweise Basic Auth oder OAuth2 vor den Zugriff stellen. Außerdem sollten Sie regelmäßig überprüfen, welche Tokens oder Credentials Zugriff auf das Dashboard haben, und diese gegebenenfalls einschränken oder rotieren.
Zugriff über kubectl proxy
Für einen temporären und sicheren Zugriff aus dem privaten Netzwerk kann auch das Kommando kubectl proxy genutzt werden. Dabei wird ein Proxy lokal gestartet, der den Dashboard-Zugriff vom lokalen Rechner aus ermöglicht, ohne dass der Dashboard-Service angepasst werden muss. Man kann dies auf einem Rechner im privaten Netzwerk ausführen und über diesen Proxy dann auf das Dashboard zugreifen.
Zusammenfassung
Um das Kubernetes Dashboard im privaten Netzwerk zugänglich zu machen, empfiehlt es sich zunächst, den Service-Typ auf NodePort zu ändern oder einen Ingress bzw. Reverse Proxy zu konfigurieren. Dabei sollten Sie stets die Sicherheit im Blick behalten und den Zugang absichern durch Authentifizierung und Rollen-Management. Alternativ kann auch ein kubectl proxy genutzt werden, um ohne Änderungen am Cluster einen temporären Zugang herzustellen.