estou seguindoeste tutorialpara expor meu painel do Kubernetes por meio de um Ingress e proteger o ingresso com autenticação básica usandoproxy oauth2com GitHub como provedor de identidade.
Basicamente, qualquer solicitação para acessar meu painel do Kubernetes (em host kubernetes.vismark.home
) deve ser redirecionada para a tela de login do GitHub, o usuário inserirá credenciais válidas do GitHub e, se for bem-sucedido, será redirecionado para o meu painel do Kubernetes.
Eu tenho um oauth2-proxy.yaml
arquivo que cria uma implantação, serviço e entrada simples para o proxy oauth2, conforme mostrado abaixo, que especifica a configuração do meu aplicativo GitHub:
// oauth2-proxy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
replicas: 1
selector:
matchLabels:
k8s-app: oauth2-proxy
template:
metadata:
labels:
k8s-app: oauth2-proxy
spec:
containers:
- args:
- --provider=github
- --email-domain=*
- --upstream=file:///dev/null
- --http-address=0.0.0.0:4180
env:
- name: OAUTH2_PROXY_CLIENT_ID
value: 3d00820d20ac2d5494f3 # Our client ID
- name: OAUTH2_PROXY_CLIENT_SECRET
value: XXXXXXXX
- name: OAUTH2_PROXY_COOKIE_SECRET
value: XXXXXXXX
image: quay.io/oauth2-proxy/oauth2-proxy:latest
imagePullPolicy: Always
name: oauth2-proxy
ports:
- containerPort: 4180
protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ports:
- name: http
port: 4180
protocol: TCP
targetPort: 4180
selector:
k8s-app: oauth2-proxy
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ingressClassName: nginx
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /oauth2
pathType: Prefix
backend:
service:
name: oauth2-proxy
port:
number: 4180
A implantação, o serviço e a entrada do proxy oauth2 funcionam conforme o esperado – depois de criar os objetos que posso acessar http://kubernetees.vismark.home/oauth2
e sou solicitado a fazer login.
Meu problema é com o yaml do Ingress que expõe o painel do Kubernetes kubernetes-ingress.yaml
:
// kubernetes-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: kubernetes-ingress
annotations:
nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: kubernetes-dashboard
port:
number: 80
O kubernetes-ingress.yaml
possui duas anotações que especificam que o oauth2-proxy
Serviço deve ser usado para solicitar autenticação ao usuário.
Mas quando tento acessar o host "http://kubernetes.vismark.home", recebo um erro 503.
O kubernetes-ingress.yaml
arquivo expõe meu painel perfeitamente quando removo as duas anotações do proxy oauth2, mas assim que adiciono as duas anotações novamente, recebo o 503.
Acredito que kubernetes-proxy.yaml
foi neste arquivo que configurei algo errado, só não sei o que é.
Abaixo está uma captura de tela das configurações do meu aplicativo GitHub para contexto adicional:
- URL da Página incial:
https://kubernetes.vismark.home
- URL de retorno de chamada de autorização:
https://kubernetes.vismark.home/oauth2/callback