如何修改 Kubernetes Ingress 以与 oath2-proxy 配合使用

tag-icon tag-icon kubernetes oauth
如何修改 Kubernetes Ingress 以与 oath2-proxy 配合使用

我正在跟进本教程通过 Ingress 公开我的 Kubernetes 仪表板,并使用基本身份验证保护入口oauth2 代理使用 GitHub 作为身份提供者。

基本上,任何访问我的 Kubernetes 仪表板(在主机上kubernetes.vismark.home)的请求都应重定向到 GitHub 登录屏幕,然后用户将输入有效的 GitHub 凭证,如果成功,则将重定向到我的 Kubernetes 仪表板。

我有一个oauth2-proxy.yaml文件,它为 oauth2 代理创建了一个简单的部署、服务和入口,如下所示,它指定了我的 GitHub 应用程序配置:

// oauth2-proxy.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: oauth2-proxy
  template:
    metadata:
      labels:
        k8s-app: oauth2-proxy
    spec:
      containers:
      - args:
        - --provider=github
        - --email-domain=*
        - --upstream=file:///dev/null
        - --http-address=0.0.0.0:4180
        env:
        - name: OAUTH2_PROXY_CLIENT_ID
          value: 3d00820d20ac2d5494f3 # Our client ID
        - name: OAUTH2_PROXY_CLIENT_SECRET
          value: XXXXXXXX
        - name: OAUTH2_PROXY_COOKIE_SECRET
          value: XXXXXXXX
        image: quay.io/oauth2-proxy/oauth2-proxy:latest
        imagePullPolicy: Always
        name: oauth2-proxy
        ports:
        - containerPort: 4180
          protocol: TCP

---

apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ports:
  - name: http
    port: 4180
    protocol: TCP
    targetPort: 4180
  selector:
    k8s-app: oauth2-proxy

---

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: oauth2-proxy
  namespace: kubernetes-dashboard
spec:
  ingressClassName: nginx
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /oauth2
        pathType: Prefix
        backend:
          service:
            name: oauth2-proxy
            port:
              number: 4180

oauth2 代理的部署、服务和入口按预期工作——创建对象后,我可以访问http://kubernetees.vismark.home/oauth2并提示登录。

我的问题在于公开 Kubernetes 仪表板的 Ingress yaml kubernetes-ingress.yaml

// kubernetes-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: kubernetes-ingress
  annotations:
    nginx.ingress.kubernetes.io/auth-url: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://oauth2-proxy.kubernetes-dashboard.svc.cluster.local/oauth2/start?rd=$escaped_request_uri"
spec:
  rules:
  - host: kubernetes.vismark.home
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 80

kubernetes-ingress.yaml两个注释,指定应使用该oauth2-proxy服务提示用户进行身份验证。

但是当我尝试访问主机“http://kubernetes.vismark.home”时,出现 503 错误。

当我删除两个 oauth2-proxy 注释时,该kubernetes-ingress.yaml文件可以很好地显示我的仪表板,但是一旦我重新添加这两个注释,我就会得到 503。

我相信这个kubernetes-proxy.yaml文件是我错误配置的地方,我只是不知道那是什么。

下面是我的 GitHub 应用程序配置的屏幕截图,用于提供更多背景信息:

  • 主页网址:https://kubernetes.vismark.home
  • 授权回调URL:https://kubernetes.vismark.home/oauth2/callback

相关内容