estoy siguiendoeste tutorialexponer mi panel de Kubernetes a través de un Ingress y asegurar el ingreso con autenticación básica usandoproxy oauth2con GitHub como proveedor de identidad.
Básicamente, cualquier solicitud para acceder a mi panel de Kubernetes (en el host kubernetes.vismark.home) debe redirigirse a la pantalla de inicio de sesión de GitHub, luego el usuario ingresará credenciales de GitHub válidas y, si tiene éxito, será redirigido a mi panel de Kubernetes.
Tengo un oauth2-proxy.yamlarchivo que crea una implementación, servicio e ingreso simples para el proxy oauth2, como se muestra a continuación, que especifica la configuración de mi aplicación GitHub:
// oauth2-proxy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
replicas: 1
selector:
matchLabels:
k8s-app: oauth2-proxy
template:
metadata:
labels:
k8s-app: oauth2-proxy
spec:
containers:
- args:
- --provider=github
- --email-domain=*
- --upstream=file:///dev/null
- --http-address=0.0.0.0:4180
env:
- name: OAUTH2_PROXY_CLIENT_ID
value: 3d00820d20ac2d5494f3 # Our client ID
- name: OAUTH2_PROXY_CLIENT_SECRET
value: XXXXXXXX
- name: OAUTH2_PROXY_COOKIE_SECRET
value: XXXXXXXX
image: quay.io/oauth2-proxy/oauth2-proxy:latest
imagePullPolicy: Always
name: oauth2-proxy
ports:
- containerPort: 4180
protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ports:
- name: http
port: 4180
protocol: TCP
targetPort: 4180
selector:
k8s-app: oauth2-proxy
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ingressClassName: nginx
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /oauth2
pathType: Prefix
backend:
service:
name: oauth2-proxy
port:
number: 4180
La implementación, el servicio y el ingreso para el proxy oauth2 funcionan como se esperaba: después de crear los objetos, puedo acceder http://kubernetees.vismark.home/oauth2y se me solicita que inicie sesión.
Mi problema es con el yaml de Ingress que expone el panel de Kubernetes kubernetes-ingress.yaml:
// kubernetes-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: kubernetes-ingress
annotations:
nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: kubernetes-dashboard
port:
number: 80
Tiene kubernetes-ingress.yamldos anotaciones que especifican que el oauth2-proxyServicio debe usarse para solicitar al usuario la autenticación.
Pero cuando intento acceder al host "http://kubernetes.vismark.home", aparece un error 503.
El kubernetes-ingress.yamlarchivo expone bien mi panel cuando elimino las dos anotaciones de oauth2-proxy, pero tan pronto como vuelvo a agregar las dos anotaciones, obtengo el 503.
Creo que este kubernetes-proxy.yamlarchivo es donde configuré mal algo, simplemente no sé qué es ese algo.
A continuación se muestra una captura de pantalla de las configuraciones de mi aplicación GitHub para contexto adicional:
- URL de la Pagina Principal:
https://kubernetes.vismark.home - URL de devolución de llamada de autorización:
https://kubernetes.vismark.home/oauth2/callback