[k8s] headlamp

#Kubernetes

headlamp는 쿠버네티스 리소스를 Web UI로 관리할 수 있게 해주는 편의성 대시보드다.

원래 kubernetes-dashboard라는 기본 플러그인이 있었는데, 그게 관리 중단되고 나서는 이게 대체재로서 권장된다.

설치

helm으로 설치할 수 있다. 쿠버 밖에도 설치가 가능하긴 하지만, 대체로는 그냥 쿠버 내에 설치하는 것이 편리할 것이다.

helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/
helm install headlamp headlamp/headlamp --namespace kube-system

설치 자체는 간단하다.

설치가 완료되면 다음 명령을 사용해서 프로비저닝 상태를 점검할 수 있다.

kubectl get all -l "app.kubernetes.io/name=headlamp,app.kubernetes.io/instance=headlamp" -n kube-system

이렇게 뜨면 다 잘 된 것이다.

서비스를 적당히 외부 개방 해주고 쓰면 된다.

kubectl patch svc headlamp -n kube-system --type=json -p='[{"op": "replace", "path": "/spec/ports", "value": [{"name":"default", "port":17200, "targetPort": 4266, "protocol": "TCP"}]}]'
kubectl patch svc headlamp -n kube-system -p '{"spec": {"type":"ClusterIP", "externalIPs": ["192.168.0.8"]}}'

사용법

Service 엔드포인트로 진입하면 먼저 토큰을 치라고 할 것이다.

다시 돌아가서, 쿠버로 토큰을 뽑아내고, 그걸 입력해서 쓰면 된다.

kubectl create token headlamp --namespace kube-system --duration=8760h

성공적으로 대시보드에 진입했다면, 이런 메인페이지에 진입할 수 있다.

대략적인 메트릭과 문제가 있는 리소스들을 나열해준다.

노드 목록도 볼 수 있고

리소스도 타입별로 골라서 볼 수 있다.

deployment의 경우

deploy에 속한 pod도 모아볼 수 있고

각각의 pod에 대한 메트릭, 로그, 컨테이너 정보들을 편리하게 관측할 수 있다.

즉시 yaml을 편집해서 적용하는 것도 가능하고

yaml 넣어서 리소스를 신규 생성하는 것도 가능하다.

Read-Only 계정 만들기

headlamp의 기본계정은 어드민이다.
만약 읽기만 가능한 뷰어 계정이 필요하다면 따로 만들어야 한다.

다음과 같이 role을 정의하고

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: headlamp-readonly
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["get", "list", "watch"]

kubectl apply -f role.yaml

계정을 만들어서 붙인다.

apiVersion: v1
kind: Secret
metadata:
  name: headlamp-readonly-token
  namespace: kube-system
  annotations:
    kubernetes.io/service-account.name: headlamp-readonly
type: kubernetes.io/service-account-token

# Read-only 계정
kubectl create serviceaccount headlamp-readonly -n kube-system
kubectl create clusterrolebinding headlamp-read-only-binding \
  --clusterrole=headlamp-readonly \
  --serviceaccount=kube-system:headlamp-readonly \
  -n kube-system

kubectl apply -f headlamp-readonly-token.yaml
kubectl get secret headlamp-readonly-token -n kube-system -o jsonpath='{.data.token}' | base64 -d

그리고 받은 토큰으로 로그인해서 쓰기 작업을 시도해보면, 전부 막혀있을 것이다.

참조
https://headlamp.dev/#download-platforms
https://github.com/kubernetes-sigs/headlamp