我正在跟進本教程透過 Ingress 公開我的 Kubernetes 儀表板,並使用基本驗證來保護入口oauth2代理以 GitHub 作為身分提供者。
基本上,任何訪問我的 Kubernetes 儀表板(在主機上kubernetes.vismark.home
)的請求都應該重定向到 GitHub 登入螢幕,然後用戶將輸入有效的 GitHub 憑證,如果成功,將被重定向到我的 Kubernetes 儀表板。
我有一個oauth2-proxy.yaml
為 oauth2 代理建立簡單的部署、服務和入口的文件,如下所示,它指定了我的 GitHub 應用程式配置:
// oauth2-proxy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
replicas: 1
selector:
matchLabels:
k8s-app: oauth2-proxy
template:
metadata:
labels:
k8s-app: oauth2-proxy
spec:
containers:
- args:
- --provider=github
- --email-domain=*
- --upstream=file:///dev/null
- --http-address=0.0.0.0:4180
env:
- name: OAUTH2_PROXY_CLIENT_ID
value: 3d00820d20ac2d5494f3 # Our client ID
- name: OAUTH2_PROXY_CLIENT_SECRET
value: XXXXXXXX
- name: OAUTH2_PROXY_COOKIE_SECRET
value: XXXXXXXX
image: quay.io/oauth2-proxy/oauth2-proxy:latest
imagePullPolicy: Always
name: oauth2-proxy
ports:
- containerPort: 4180
protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ports:
- name: http
port: 4180
protocol: TCP
targetPort: 4180
selector:
k8s-app: oauth2-proxy
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: oauth2-proxy
namespace: kubernetes-dashboard
spec:
ingressClassName: nginx
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /oauth2
pathType: Prefix
backend:
service:
name: oauth2-proxy
port:
number: 4180
oauth2 代理程式的部署、服務和入口按預期運作-建立我可以存取的物件後http://kubernetees.vismark.home/oauth2
,系統會提示您登入。
我的問題是公開 Kubernetes 儀表板的 Ingress yaml kubernetes-ingress.yaml
:
// kubernetes-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: kubernetes-ingress
annotations:
nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
rules:
- host: kubernetes.vismark.home
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: kubernetes-dashboard
port:
number: 80
有kubernetes-ingress.yaml
兩個註釋指定該oauth2-proxy
服務應該用於提示使用者進行身份驗證。
但當我嘗試造訪主機「http://kubernetes.vismark.home」時,出現 503 錯誤。
當我刪除兩個 oauth2-proxy 註釋時,該kubernetes-ingress.yaml
文件可以很好地暴露我的儀表板,但是一旦我重新添加這兩個註釋,我就會收到 503。
我相信這個kubernetes-proxy.yaml
文件是我配置錯誤的地方,我只是不知道那是什麼。
以下是我的 GitHub 應用程式配置的螢幕截圖,以了解更多上下文:
- 主頁網址:
https://kubernetes.vismark.home
- 授權回呼位址:
https://kubernetes.vismark.home/oauth2/callback