oath2-proxy와 작동하도록 Kubernetes Ingress를 수정하는 방법

tag-icon tag-icon kubernetes oauth
oath2-proxy와 작동하도록 Kubernetes Ingress를 수정하는 방법

나는 팔로우하고 있다이 튜토리얼Ingress를 통해 내 Kubernetes 대시보드를 노출하고 다음을 사용하여 기본 인증으로 수신을 보호합니다.oauth2 프록시GitHub를 ID 공급자로 사용합니다.

기본적으로 내 Kubernetes 대시보드(호스트에서)에 액세스하려는 모든 요청은 kubernetes.vismark.homeGitHub 로그인 화면으로 리디렉션되어야 하며, 사용자는 유효한 GitHub 자격 증명을 입력하고, 성공하면 내 Kubernetes 대시보드로 리디렉션됩니다.

oauth2-proxy.yaml아래와 같이 GitHub 애플리케이션 구성을 지정하는 oauth2 프록시에 대한 간단한 배포, 서비스 및 수신을 생성하는 파일이 있습니다 .

// oauth2-proxy.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: oauth2-proxy
  template:
    metadata:
      labels:
        k8s-app: oauth2-proxy
    spec:
      containers:
      - args:
        - --provider=github
        - --email-domain=*
        - --upstream=file:///dev/null
        - --http-address=0.0.0.0:4180
        env:
        - name: OAUTH2_PROXY_CLIENT_ID
          value: 3d00820d20ac2d5494f3 # Our client ID
        - name: OAUTH2_PROXY_CLIENT_SECRET
          value: XXXXXXXX
        - name: OAUTH2_PROXY_COOKIE_SECRET
          value: XXXXXXXX
        image: quay.io/oauth2-proxy/oauth2-proxy:latest
        imagePullPolicy: Always
        name: oauth2-proxy
        ports:
        - containerPort: 4180
          protocol: TCP

---

apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ports:
  - name: http
    port: 4180
    protocol: TCP
    targetPort: 4180
  selector:
    k8s-app: oauth2-proxy

---

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ingressClassName: nginx
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /oauth2
        pathType: Prefix
        backend:
          service:
            name: oauth2-proxy
            port:
              number: 4180

oauth2 프록시에 대한 배포, 서비스 및 수신은 예상대로 작동합니다. 액세스할 수 있는 객체를 생성한 후 http://kubernetees.vismark.home/oauth2로그인하라는 메시지가 표시됩니다.

내 문제는 Kubernetes 대시보드를 노출하는 Ingress yaml과 관련이 있습니다 kubernetes-ingress.yaml.

// kubernetes-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: kubernetes-ingress
  annotations:
    nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 80

에는 사용자에게 인증을 요청하는 데 서비스를 사용해야 함 kubernetes-ingress.yaml을 지정하는 두 개의 주석이 있습니다 .oauth2-proxy

하지만 "http://kubernetes.vismark.home" 호스트에 액세스하려고 하면 503 오류가 발생합니다.

두 개의 oauth2-proxy 주석을 제거하면 파일 kubernetes-ingress.yaml에 대시보드가 ​​제대로 표시되지만 두 개의 주석을 다시 추가하자마자 503이 표시됩니다.

나는 이 kubernetes-proxy.yaml파일이 내가 무언가를 잘못 구성한 곳이라고 생각합니다. 나는 그것이 무엇인지 모릅니다.

다음은 추가 컨텍스트에 대한 내 GitHub 애플리케이션 구성의 스크린샷입니다.

  • 홈페이지 URL:https://kubernetes.vismark.home
  • 승인 콜백 URL:https://kubernetes.vismark.home/oauth2/callback

관련 정보