如何修改 Kubernetes Ingress 以與 oath2-proxy 搭配使用

tag-icon tag-icon kubernetes oauth
如何修改 Kubernetes Ingress 以與 oath2-proxy 搭配使用

我正在跟進本教程透過 Ingress 公開我的 Kubernetes 儀表板,並使用基本驗證來保護入口oauth2代理以 GitHub 作為身分提供者。

基本上,任何訪問我的 Kubernetes 儀表板(在主機上kubernetes.vismark.home)的請求都應該重定向到 GitHub 登入螢幕,然後用戶將輸入有效的 GitHub 憑證,如果成功,將被重定向到我的 Kubernetes 儀表板。

我有一個oauth2-proxy.yaml為 oauth2 代理建立簡單的部署、服務和入口的文件,如下所示,它指定了我的 GitHub 應用程式配置:

// oauth2-proxy.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: oauth2-proxy
  template:
    metadata:
      labels:
        k8s-app: oauth2-proxy
    spec:
      containers:
      - args:
        - --provider=github
        - --email-domain=*
        - --upstream=file:///dev/null
        - --http-address=0.0.0.0:4180
        env:
        - name: OAUTH2_PROXY_CLIENT_ID
          value: 3d00820d20ac2d5494f3 # Our client ID
        - name: OAUTH2_PROXY_CLIENT_SECRET
          value: XXXXXXXX
        - name: OAUTH2_PROXY_COOKIE_SECRET
          value: XXXXXXXX
        image: quay.io/oauth2-proxy/oauth2-proxy:latest
        imagePullPolicy: Always
        name: oauth2-proxy
        ports:
        - containerPort: 4180
          protocol: TCP

---

apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ports:
  - name: http
    port: 4180
    protocol: TCP
    targetPort: 4180
  selector:
    k8s-app: oauth2-proxy

---

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ingressClassName: nginx
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /oauth2
        pathType: Prefix
        backend:
          service:
            name: oauth2-proxy
            port:
              number: 4180

oauth2 代理程式的部署、服務和入口按預期運作-建立我可以存取的物件後http://kubernetees.vismark.home/oauth2,系統會提示您登入。

我的問題是公開 Kubernetes 儀表板的 Ingress yaml kubernetes-ingress.yaml

// kubernetes-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: kubernetes-ingress
  annotations:
    nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 80

kubernetes-ingress.yaml兩個註釋指定該oauth2-proxy服務應該用於提示使用者進行身份驗證。

但當我嘗試造訪主機「http://kubernetes.vismark.home」時,出現 503 錯誤。

當我刪除兩個 oauth2-proxy 註釋時,該kubernetes-ingress.yaml文件可以很好地暴露我的儀表板,但是一旦我重新添加這兩個註釋,我就會收到 503。

我相信這個kubernetes-proxy.yaml文件是我配置錯誤的地方,我只是不知道那是什麼。

以下是我的 GitHub 應用程式配置的螢幕截圖,以了解更多上下文:

  • 主頁網址:https://kubernetes.vismark.home
  • 授權回呼位址:https://kubernetes.vismark.home/oauth2/callback

相關內容