я следуюэтот урокчтобы открыть доступ к моей панели управления Kubernetes через Ingress и защитить вход с помощью базовой аутентификации, используяoauth2 проксис GitHub в качестве поставщика удостоверений.
По сути, любые запросы на доступ к моей панели управления Kubernetes (на хосте kubernetes.vismark.home
) должны перенаправляться на экран входа в GitHub, после чего пользователь вводит действительные учетные данные GitHub и в случае успеха перенаправляется на мою панель управления Kubernetes.
У меня есть oauth2-proxy.yaml
файл, который создает простое развертывание, обслуживание и вход для прокси-сервера oauth2, как показано ниже, который определяет конфигурацию моего приложения GitHub:
// oauth2-proxy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
replicas: 1
selector:
matchLabels:
k8s-app: oauth2-proxy
template:
metadata:
labels:
k8s-app: oauth2-proxy
spec:
containers:
- args:
- --provider=github
- --email-domain=*
- --upstream=file:///dev/null
- --http-address=0.0.0.0:4180
env:
- name: OAUTH2_PROXY_CLIENT_ID
value: 3d00820d20ac2d5494f3 # Our client ID
- name: OAUTH2_PROXY_CLIENT_SECRET
value: XXXXXXXX
- name: OAUTH2_PROXY_COOKIE_SECRET
value: XXXXXXXX
image: quay.io/oauth2-proxy/oauth2-proxy:latest
imagePullPolicy: Always
name: oauth2-proxy
ports:
- containerPort: 4180
protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ports:
- name: http
port: 4180
protocol: TCP
targetPort: 4180
selector:
k8s-app: oauth2-proxy
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ingressClassName: nginx
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /oauth2
pathType: Prefix
backend:
service:
name: oauth2-proxy
port:
number: 4180
Развертывание, обслуживание и вход для прокси-сервера oauth2 работают так, как и ожидалось: после создания объектов я могу получить к ним доступ http://kubernetees.vismark.home/oauth2
и мне предлагается войти в систему.
У меня проблема с yaml-файлом Ingress, который открывает панель управления Kubernetes kubernetes-ingress.yaml
:
// kubernetes-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: kubernetes-ingress
annotations:
nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: kubernetes-dashboard
port:
number: 80
В нем kubernetes-ingress.yaml
есть две аннотации, которые указывают, что oauth2-proxy
Служба должна использоваться для запроса аутентификации пользователя.
Но когда я пытаюсь получить доступ к хосту «http://kubernetes.vismark.home», я получаю ошибку 503.
Файл kubernetes-ingress.yaml
прекрасно отображает мою панель управления, когда я удаляю две аннотации oauth2-proxy, но как только я добавляю две аннотации обратно, я получаю ошибку 503.
Думаю, в этом kubernetes-proxy.yaml
файле я что-то неправильно настроил, просто не знаю, что именно.
Ниже представлен снимок экрана с конфигурациями моего приложения GitHub для дополнительного контекста:
- URL-адрес домашней страницы:
https://kubernetes.vismark.home
- URL обратного вызова авторизации:
https://kubernetes.vismark.home/oauth2/callback