如何解决在 kubernetes 中使用 nginx-ingress 和 keycloak 进行身份验证的正确设计是什么
目标
我想使用 keycloak 作为 minikube 集群的 oauth/oidc 提供程序。
问题
我对可用的文档感到困惑。
根据这个documentation ngnix-ingress 可以处理带有注解的外部认证
- nginx.ingress.kubernetes.io/auth-method
- nginx.ingress.kubernetes.io/auth-signin
但是从文档中并不清楚这里使用了哪种身份验证。是 OAUTH/BASIC/SAML 吗???
例如,我没有找到任何变量来为入口提供 oauth CLIENTID。
其他发现
我也发现了这个项目https://github.com/oauth2-proxy/oauth2-proxy 这似乎是我需要的并提供以下设计
用户 -> ngnix-ingress -> oauth2-proxy -> keycloak
问题:
- 我是否必须使用 oauth2-proxy 来实现 keycloak oauth?
- ngnix-ingress 没有直接连接到 keycloak 的功能,我说得对吗?
- 是否有明确的文档说明 nginx.ingress.kubernetes.io/auth-method 和 nginx.ingress.kubernetes.io/auth-signin 在做什么?
- 是否有任何正确的方法/文档来构建 user -> ngnix-ingress -> oauth2-proxy -> keycloak 集成?
解决方法
nginx 入口控制器文档提供了 auth-url 和 auth-signin 的 example:
...
metadata:
name: application
annotations:
nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$escaped_request_uri"
...
请注意,此功能仅适用于两个入口对象:
通过部署多个 Ingress 对象启用此功能 对于单个主机。一个 Ingress 对象没有特殊的注释,并且 处理身份验证。
然后可以以需要的方式注释其他 Ingress 对象
用户对第一个 Ingress 的端点进行身份验证,并且可以
将 401 重定向到同一端点。
此 document 展示了如何使用这两个入口对象来实现此功能的一个很好的示例。
所以这里的第一个入口指向 /oauth2 路径,然后在单独的入口对象中定义该路径,因为这个入口没有为自己配置身份验证。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$escaped_request_uri"
name: external-auth-oauth2
namespace: MYNAMESPACE
spec:
rules:
- host: foo.bar.com
前面提到的第二个入口定义了同一域下的 /oauth2 路径,并指向您的 ouauth2 代理部署,这也回答了您提出的一个问题
第二个ingress对象定义了同域下的/oauth2路径,指向oauth2-proxy部署:
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: oauth2-proxy
namespace: MYNAMESPACE
annotations:
cert-manager.io/cluster-issuer: designate-clusterissuer-prod
kubernetes.io/ingress.class: nginx
spec:
rules:
- host: foo.bar.com
http:
paths:
- backend:
serviceName: oauth2-proxy
servicePort: 80
path: /oauth2
是否有任何关于 nginx.ingress.kubernetes.io/auth-method 和 nginx.ingress.kubernetes.io/auth-signin 在做什么?
auth-method 注释指定要使用的 HTTP 方法,而
auth-signin 指定错误页面的位置。请查看有效的 nginx 控制器方法 here。
需要了解/考虑的几点:
-
主要目标是什么:
-- authentication to kubernetes 集群使用 OIDC 和 keycloak?
-- 使用 dex:https://dexidp.io/docs/kubernetes/
-- minikube openid authentication:
-
Securing 使用 keycloak 的应用程序和服务
Keycloak 支持 OpenID Connect(OAuth 2.0 的扩展)和 SAML 2.0。在保护客户端和服务时,您需要决定的第一件事是您将使用两者中的哪一个。如果需要,您还可以选择使用 OpenID Connect 保护某些安全,而使用 SAML 保护其他安全。
为了保护客户端和服务,您还需要一个适用于您选择的协议的适配器或库。 Keycloak 为选定平台提供了自己的适配器,但也可以使用通用的 OpenID Connect Relying Party 和 SAML Service Provider 库。
在大多数情况下,Keycloak 建议使用 OIDC。例如,OIDC 也更适合 HTML5/JavaScript 应用程序,因为它比 SAML 更容易在客户端实现。
另请参阅 adding authentication 到带有 Keycloak 文档的 Kubernetes Web 应用程序。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。