IBM Cloud: как включить App ID для приложения в кластере Kubernetes с помощью K8s Ingress и ALB OAuth Proxy?

Я пытаюсь настроить аутентификацию на основе идентификатора приложения для приложения, развернутого в IBM Cloud Kubernetes Service (IKS), работающего в VPC. В прошлом он хорошо работал с собственным Ingress IBM. Однако это устарело. Теперь я следую руководству , которое использует сообщество Ingress и рассказывает о добавлении идентификатора приложения IBM.

Вроде все настроил, но до хоста/сайта не достучаться. Вот как выглядит ресурс Ingress:

"apiVersion": "networking.k8s.io/v1beta1",
    "kind": "Ingress",
    "metadata": {
        "annotations": {
            "kubernetes.io/ingress.class": "public-iks-k8s-nginx",
            "nginx.ingress.kubernetes.io/auth-signin": "https://$host/oauth2-myappid/start?rd=$escaped_request_uri",
            "nginx.ingress.kubernetes.io/auth-url": "https://$host/oauth2-myappid",
            "nginx.ingress.kubernetes.io/configuration-snippet": "auth_request_set $access_token $upstream_http_x_auth_request_access_token;
        access_by_lua_block {
         if ngx.var.access_token ~= \"\" then
           ngx.req.set_header(\"Authorization\", \"Bearer \" .. ngx.var.access_token)
         end
        }
        "
        },
        "name": "ingress-for-mytest",
        "namespace": "sfs"
    },
    "spec": {
        "rules": [
            {
                "host": "myhost.henrik-cluster-cd5d3f574d7d8057a176af82152f5-0000.eu-de.containers.appdomain.cloud",
                "http": {
                    "paths": [
                        {
                            "backend": {
                                "serviceName": "my-service",
                                "servicePort": 8081
                            },
                            "path": "/"
                        }
                    ]
                }
            }
        ],
        "tls": [
            {
                "hosts": [
                    "myhost.henrik-cluster-cd5d3f574d7d8057a176af82152f5-0000.eu-de.containers.appdomain.cloud"
                ],
                "secretName": "henrik-cluster-cd5d3f574d7d8057a176af82152f5-0000"
            }
        ]
    }
}
containers ibm-cloud kubernetes-ingress ibm-appid
10.12.2020 09:19
Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
0
466
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Я заставил его работать со следующим определением:

---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-for-mytest
  annotations:
    kubernetes.io/ingress.class: "public-iks-k8s-nginx"
    nginx.ingress.kubernetes.io/auth-url: https://$host/oauth2-myappid/auth
    nginx.ingress.kubernetes.io/auth-signin: https://$host/oauth2-myappid/start?rd=$escaped_request_uri
    nginx.ingress.kubernetes.io/configuration-snippet: |
      auth_request_set $access_token $upstream_http_x_auth_request_access_token;
      auth_request_set $id_token $upstream_http_authorization;
      access_by_lua_block {
        if ngx.var.id_token ~= "" and ngx.var.access_token ~= "" then
          ngx.req.set_header("Authorization", "Bearer " .. ngx.var.access_token .. " " .. ngx.var.id_token:match("%s*Bearer%s*(.*)"))
        end
      }
spec:
  tls:
  - hosts:
    - myhost
    secretName: ingress-secret-for-mytest
  rules:
  - host: myhost
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port: 
              number: 8081

Важно отметить, что прокси-сервер OAuth2 (см. шаги, касающиеся надстройки прокси-сервера и интеграции идентификатора приложения) будет успешно развертываться в пространстве имен Kubernetes, отличном от используемого по умолчанию, только в том случае, если секрет (кластера) Ingress скопирован в это пространство имен. .

Вы можете найти секрет Ingress, используя следующую команду и наблюдая за секретом в пространстве имен по умолчанию:

ibmcloud ks ingress secret ls -c your-cluster-name

После этого (повторно) создайте этот секрет в пространстве имен не по умолчанию, скопировав CRN и имя этого секрета:

ibmcloud ks ingress secret create -c your-cluster-name -n your-namespace
    --cert-crn the-crn-shown-in-the-output-above --name the-secret-name-shown-above
11.12.2020 09:53

Другие вопросы по теме

IBM Cloud Code Engine: локально созданный образ контейнера выдает ошибку формата exec при развертывании
Оператор UPDATE не работает в ibm db2, но работает в phpmyadmin
IBM Cloud: наименьшие привилегии для идентификатора службы, которому необходимо обновить приложение Code Engine?
Как получить доступ к частному реестру контейнеров из IBM Cloud Delivery Pipeline (Tekton)
IBM Cloud Code Engine: разное время отклика для версий приложений при разделении трафика
Создать папку в DXL - ДВЕРИ
Spring DataSource в Kubernetes для MySQL
Какой формат SQL для Db2 в IBM Cloud?
Не удается создать корзину облачного хранилища объектов в рамках упрощенного плана
Где я могу найти документацию Swagger (документ JSON) для API IBM Cloud IAM Identity Services

Похожие вопросы

Kubectl удалить модуль с именем развертывания
Autofac multitenant — переопределение арендатора во время выполнения
Flutter: как сделать так, чтобы высота контейнера огибала его содержимое
Docker/DB2 — снята блокировка файла /database/config/db2inst1/sqllib/ctrl/db2strst.lck — как это исправить?
Не удается получить доступ к экземпляру Postgres, работающему в контейнере Docker, из Pgadmin
Как исправить ошибку Bundle ID с помощью CloudKit
Не удается выполнить развертывание в Реестре контейнеров Azure из GitLab
Почему контейнеры докеров полагаются на загрузку (больших) изображений, а не на сборку из файлов спецификаций?
JVM -XX: MaxRAMPercentage не применяется в контейнере
Как рассчитывается возврат std::map::max_size()?