热门搜索:
ghcr.io/skooner-k8s/skooner:debug
ghcr.iolinux/amd64debug大小: 未知更新于 2026年5月23日
Skooner - Kubernetes 仪表板
我们正将名称从 k8dash 更改为 Skooner!在我们更新文档和代码库以反映此变更期间,请耐心等待。如果您之前安装了 k8dash,需要从集群中卸载它并安装 Skooner。大多数情况下,可通过运行以下 kubectl 命令完成:
kubectl delete deployment,service k8dash
Skooner 是管理 Kubernetes 集群最简单的方式。Skooner 现已成为云原生计算基金会(Cloud Native Computing Foundation)的沙箱项目!
- 完整的集群管理:命名空间(Namespaces)、节点(Nodes)、Pod、副本集(Replica Sets)、部署(Deployments)、存储(Storage)、RBAC 等
- 极速且实时:无需刷新页面即可查看最新集群状态
- 快速概览集群健康状态:实时图表帮助快速定位性能不佳的资源
- 简单的 CRUD 和扩缩容操作:外加内联 API 文档,便于理解每个字段的作用
- 100% 响应式(可在手机/平板上运行)
- 简单的 OpenID 集成:无需特殊代理
- 简单安装:使用提供的 yaml 资源,可在 1 分钟内启动并运行 Skooner(真的,不夸张)
- 查看 Skooner 实际运行效果:
目录
- Skooner - Kubernetes 仪表板
- 目录
- 前提条件
- 快速开始
- kubectl proxy
- 登录
- 服务账户令牌(Service Account Token)
- OIDC
- NodePort
- 指标(Metrics)
- 开发
- Skooner 架构
- 服务器(Server)
- 客户端(Client)
- 许可证(License)
前提条件
- 运行中的 Kubernetes 集群(例如 minikube),并满足:
- 已安装指标服务器(metrics server,可选,但强烈推荐)
- OpenID Connect 身份验证配置(可选)
- 已安装指标服务器(metrics server,可选,但强烈推荐)
- OpenID Connect 身份验证配置(可选)
(返回目录)
快速开始
使用如下方式部署 Skooner……
[!NOTE] 切勿信任从互联网下载的文件。在运行以下脚本前,请务必检查 kubernetes-skooner.yaml 的内容。
kubectl apply -f https://raw.githubusercontent.com/skooner-k8s/skooner/master/kubernetes-skooner.yaml
要访问 Skooner,必须使其可公开访问。如果已设置入口服务器(ingress server),可通过添加如下路由实现:
kind: Ingress
apiVersion: networking.k8s.io/v1
metadata:
name: skooner
namespace: kube-system
spec:
rules:
- host: skooner.example.com
http:
paths:
- path: /
backend:
service:
name: skooner
port:
number: 80
pathType: ImplementationSpecific
注意:Kubernetes v1.22+ 要求使用 networking.k8s.io/v1 版本的 Ingress;extensions/v1beta1 版本的 Ingress 在 v1.14+ 中已弃用,并在 v1.22+ 中不可用。
(返回目录)
kubectl proxy
遗憾的是,无法使用 kubectl proxy 访问 Skooner。根据此评论,kubectl proxy 在代理请求时会剥离 Authorization 头。
这是预期行为。通过 API 服务器进行“代理”不会提供标准的代理行为(端到端保留 Authorization 头),因为该 API 并非用作标准代理
(返回目录)
登录
登录仪表板有多种方式:服务账户令牌(Service Account Token)、OIDC 和 NodePort。
服务账户令牌(Service Account Token)
第一种(也是最简单的)方式是创建专用服务账户。在命令行中执行:
# 在当前命名空间中创建服务账户(假设为 default)
kubectl create serviceaccount skooner-sa
# 为该服务账户授予集群管理员权限
kubectl create clusterrolebinding skooner-sa --clusterrole=cluster-admin --serviceaccount=default:skooner-sa
# 适用于 Kubernetes v1.21 或更低版本
# 查找为服务账户创建的包含令牌的密钥
kubectl get secrets
# 显示密钥内容以提取令牌
kubectl describe secret skooner-sa-token-xxxxx
# 适用于 Kubernetes v1.22 或更高版本
kubectl create token skooner-sa
从密钥中复制令牌(token)值,并在登录界面输入以访问仪表板。
OIDC
Skooner 简化了 OpenID Connect 身份验证的使用。假设您的集群已配置为使用 OIDC,只需创建包含凭据的密钥并应用 kubernetes-skooner-oidc.yaml 即可。
要了解有关为集群配置 OIDC 的更多信息,请查看以下优质链接:
- Authenticating | Kubernetes
- Kubernetes Day 2 Operations: AuthN/AuthZ with OIDC and a Little Help From Keycloak | by Bob Killen | Medium
- kubectl with OpenID Connect. TL;DR | by Hidetake Iwata | Medium
- kubernetes configure oidc - Google Search
您可以使用如下脚本部署支持 OIDC 的 Skooner……
[!NOTE] 切勿信任从互联网下载的文件。在运行以下脚本前,请务必检查 kubernetes-skooner-oidc.yaml 的内容。
OIDC_URL=
OIDC_ID=
OIDC_SECRET=
kubectl create secret -n kube-system generic skooner \
--from-literal=url=$OIDC_URL \
--from-literal=id=$OIDC_ID \
--from-literal=secret=$OIDC_SECRET
kubectl apply -f https://raw.githubusercontent.com/skooner-k8s/skooner/master/kubernetes-skooner-oidc.yaml
此外,您可以通过以下环境变量提供其他 OIDC 选项:
OIDC_SCOPES:默认值为openid email,但也可添加其他作用域,例如OIDC_SCOPES="openid email groups"OIDC_METADATA:Skooner 使用优秀的 node-openid-client 模块。OIDC_METADATA接受 JSON 字符串并将其传递给Client构造函数。文档参见此处。例如:OIDC_METADATA='{"token_endpoint_auth_method":"client_secret_post"}
NodePort
如果未设置入口服务器,可使用 kubernetes-skooner-nodeport.yaml 中配置的 NodePort 服务。这在创建单节点主节点或希望快速启动运行时非常理想。
这会将 Skooner 的 4654 端口映射到运行节点上随机选择的端口。可通过以下命令查看分配的端口:
$ kubectl get svc --namespace=kube-system
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
skooner NodePort 10.107.107.62 4654:32565/TCP 1m
指标(Metrics)
开发
您需要:
- 一个运行中的Kubernetes集群。安装并运行minikube是实现此目的的简单方法。安装minikube后,您可以使用以下命令运行它:
minikube start --driver=docker - 安装并运行minikube是实现此目的的简单方法。
- 安装minikube后,您可以使用以下命令运行它:
minikube start --driver=docker
- 集群启动并运行后,按照上述说明创建一些登录凭据
(返回目录)
Skooner架构
服务器
要运行服务器,请从/server目录运行npm i以安装依赖项,然后运行npm start以启动服务器。该服务器是一个简单的express.js服务器,主要负责将请求代理到Kubernetes API服务器。
npm i
/server
npm start
在开发过程中,服务器将使用~/.kube/config中配置的内容来连接目标集群。例如,如果您使用minikube,可以运行kubectl config set-context minikube来正确设置~/.kube/config。
~/.kube/config
kubectl config set-context minikube
~/.kube/config
客户端
客户端是一个React应用程序(使用TypeScript),几乎没有其他依赖项。
要运行客户端,请打开一个新的终端选项卡并导航到/client目录,运行npm i,然后运行npm start。这将打开一个浏览器窗口,显示您的本地Skooner仪表板。如果一切编译正确,它将加载网站,然后会弹出错误消息:Unhandled Rejection (Error): Api request error: Forbidden....。该错误消息的右上角有一个“X”按钮可以关闭该消息。关闭后,您应该会看到可以输入令牌的UI。
/client
npm i
npm start
Unhandled Rejection (Error): Api request error: Forbidden...
(返回目录)
故障排除
Keycloak配置建议:
- 将OIDC_URL设置为Keycloak的OpenId端点配置页面。
- OIDC_URL=https://{keycloak_domain}/realms/foo/.well-known/openid-configuration
OIDC_URL=https://{keycloak_domain}/realms/foo/.well-known/openid-configuration
- 同时在本地设置
$OIDC_ID,使用OIDC_ID={client_id}
$OIDC_ID
OIDC_ID={client_id}
- 您可以从Keycloak获取
$OIDC_SECRET(您需要启用“Client authentication”切换;对于旧版本的Keycloak,应将访问类型切换为“confidential”)
$OIDC_SECRET
- (您需要启用“Client authentication”切换;对于旧版本的Keycloak,应将访问类型切换为“confidential”)
- 创建密钥时,使用正确的变量名并使用skooner命名空间(默认是
kube-system):
kube-system
kubectl create secret generic skooner \
--from-literal=url=$OIDC_URL \
--from-literal=id=$OIDC_ID \
--from-literal=secret=$OIDC_SECRET \
--namespace=kube-system
- 之后,使用以下命令重新部署Skooner服务器:
kubectl apply -f https://raw.githubusercontent.com/skooner-k8s/skooner/master/kubernetes-skooner-oidc.yaml
- 通过检查
kubectl rollout status deploy/skooner --namespace=kube-system确保Skooner正在运行。如果没有,请通过kubectl describe pod skooner --namespace=kube-system查看日志以报告错误
kubectl rollout status deploy/skooner --namespace=kube-system
kubectl describe pod skooner --namespace=kube-system
- [可选] 为Skooner创建一个入口,您可以以
provision/keycloak/skooner-ingress.yaml作为示例
provision/keycloak/skooner-ingress.yaml
- 访问Skooner,检查登录是否成功
- [故障排除] 如果API调用返回403,且消息包含类似以下错误:
User \"system:anonymous\" cannot list resource \"selfsubjectrulesreviews\" in API group \"authorization.k8s.io\" at the cluster scope"
- 这意味着您需要绑定集群角色。您可以以
provision/keycloak/skooner-oidc-patch.yaml作为示例
provision/keycloak/skooner-oidc-patch.yaml
- @elieassi建议单独创建一个服务账户,我觉得这样更安全,但尚未测试。有关更多详细信息,请参见此issue
- 如果失败,请同时报告客户端和服务器错误。客户端错误:检查浏览器控制台并发送截图。服务器错误:通过
kubectl logs deploy/skooner --namespace=kube-system检查日志。请注意,RequestError: connect ECONNREFUSED可能表示配置问题而非Skooner的问题。
kubectl logs deploy/skooner --namespace=kube-system
RequestError: connect ECONNREFUSED
许可证
Apache License 2.0
(返回目录)
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
轩辕镜像支持 docker push 上传本地镜像吗?
不支持 push
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"