docker - 在 Openshift 上保护基于路径的路由-6ren

docker - 在 Openshift 上保护基于路径的路由

转载作者：行者123 更新时间：2023-12-02 11:59:37

我在 openshift 上部署的应用程序的 url 为 https://host:port/app/v1/hello/
我使用 ServiceAccount 作为 Oauth 客户端，并且提供者是 Openshift，所以我应该被重定向到 Openshift 登录页面进行授权。
我们已经配置了 openshift/oauth-proxy，效果很好。
https://github.com/openshift/oauth-proxy/
现在我们进一步要求基于路径的路由，例如如果 URL 有/app/v1 然后重定向到 Service1，如果/app/v2 然后重定向到 Service2
这是我的配置的工作示例，

`kind: Template
apiVersion: v1
metadata:
  name: deployment-template
objects:
  - apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: my-service-account
      annotations:
        serviceaccounts.openshift.io/oauth-redirectreference.first: '{"kind":"OAuthRedirectReference","apiVersion":"v1","reference":{"kind":"Route","name":"my-route"}}'
  - apiVersion: v1
    kind: Service
    metadata:
      name: my-service
      annotations:
        service.alpha.openshift.io/serving-cert-secret-name: proxy-tls
    spec:
      selector:
        app: spring-boot-docker-openshift-hello-world
      ports:
        - name: api
          protocol: TCP
          port: 443 #Port the service listens on.
          targetPort: 8443 #Port on the backing pods to which the service forwards connections.
  - apiVersion: v1
    kind: Route
    metadata:
      name: my-route
    spec:
      port:
        targetPort: api
      path: "/"
      to:
        kind: Service
        name: my-service
      tls:
        termination: Reencrypt
  - apiVersion: apps.openshift.io/v1
    kind: DeploymentConfig
    metadata:
      labels:
        app: spring-boot-docker-openshift-hello-world
        version: 0.0.1-SNAPSHOT.1.dev
      name: spring-boot-docker-openshift-hello-world
    spec:
      replicas: 1
      selector:
        app: spring-boot-docker-openshift-hello-world
      strategy:
        rollingParams:
          timeoutSeconds: 3600
        type: Rolling
      template:
        metadata:
          labels:
            app: spring-boot-docker-openshift-hello-world
            version: 0.0.1-SNAPSHOT.1.dev
        spec:
          serviceAccount: my-service-account
          serviceAccountName: my-service-account
          containers:
          - name: spring-boot-docker-openshift-hello-world
            env:
              - name: KUBERNETES_NAMESPACE
                valueFrom:
                  fieldRef:
                    fieldPath: metadata.namespace
            image: pokarjm/spring-boot-docker-openshift-hello-world:0.0.1-SNAPSHOT.1.dev
            imagePullPolicy: IfNotPresent
            securityContext:
              privileged: false
            ports:
              - containerPort: 8080
                protocol: TCP
          - name: oauth-proxy
            image: openshift/oauth-proxy:latest
            imagePullPolicy: IfNotPresent
            ports:
              - containerPort: 8443
                name: public
            args:
              - --https-address=:8443
              - --provider=openshift
              - --openshift-service-account=my-service-account
              - --upstream=http://localhost:8080
              - --tls-cert=/etc/tls/private/tls.crt
              - --tls-key=/etc/tls/private/tls.key
              - --cookie-secret-file=/etc/proxy/secret/session_secret
              - --openshift-ca=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
              - --openshift-sar={"namespace":"spring-boot-docker-openshift-hello-world","resource":"services","name":"my-service","verb":"get"}
              - --request-logging=true
            volumeMounts:
              - mountPath: /etc/tls/private
                name: proxy-tls
                readOnly: true
              - mountPath: /etc/proxy/secret
                name: oauth-proxy-secret
                readOnly: true
          volumes:
            - name: proxy-tls
              secret:
                defaultMode: 420
                secretName: proxy-tls
            - name: oauth-proxy-secret
              secret:
                defaultMode: 420
                secretName: oauth-proxy-secret
      triggers:
        - type: ConfigChange
`

现在为了支持基于路径的路由，即将请求/app/v1 映射到 Service1，我只是在路由中添加了路径，如下所示，

- apiVersion: v1
    kind: Route
    metadata:
      name: my-route
    spec:
      port:
        targetPort: api
      path: "/app/v1"
      to:
        kind: Service
        name: my-service
      tls:
        termination: Reencrypt

但是通过这些更改，我可以看到如下所示的初始登录页面

但是在单击上面的按钮而不是获取 openshift 登录页面后，我在下面看到，

如果我将路径中的路径更改为路径:“/”它可以工作并显示登录屏幕。
感谢有关修复 openshift/oauth-proxy 中基于路径的路由的任何帮助。

最佳答案

尝试添加类似 --proxy-prefix=/app/v1 的内容, 到您的 oauth 代理容器。
例如:

[...]
        args:
          - --https-address=:8443
          - --provider=openshift
          - --proxy-prefix=/app/v1
          - --openshift-service-account=my-service-account
[...]

否则，oauth-proxy 将假定它正在服务的应用程序位于您的 Route 的根目录，从而中断登录回调重定向。

现在，关于您在评论中提出的问题，我不确定我自己是否得到了这一切，我没有一个 OpenShift 集群来测试它，...... 加点盐，欢迎编辑，如果有人能得到这个权利。
据我了解和记忆:

客户端通过您的 oauth-proxy 连接到您的应用程序。

代理看到您的客户端未经身份验证，并使用其客户端 ID 和 secret (已设置 openshift-service-account ，从 /var/run/secrets/kubernetes.io/serviceaccount/ 中读取)从 Oauth 门户请求 token 。您可以改用 client-id=system:serviceaccount:$ns:$sa和 client-secret-file=/var/run/secrets/kubernetes.io/serviceaccount/token ，如果检测以某种方式不起作用。

Oauth SP 使用 serviceaccounts.openshift.io/oauth-redirectreference 检查我们的 ServiceAccount。 annotation (尽管还有另一种方法可以做到这一点，我不太熟悉 OauthClient)，匹配客户端请求的应用程序 URL。成功匹配后，SP 使用一些临时 token

回复 oauth-proxy

知道那个 token 和 proxy-prefix ，oauth-proxy 将未经身份验证的用户重定向到 Oauth 登录门户，并使用一些编码的回调 URL 作为 GET 参数

用户登录 OpenShift 用户群

成功登录后，Oauth 门户使用从您的代理接收到的回调 URL

将您重定向到 oauth-proxy

oauth-proxy 赎回其 token

如果 openshift-sar被定义后，oauth-proxy 会进行一些额外的检查以确保客户端被授权，否则任何用户都可以登录

用户可选择同意授予某些权限

在 OpenShift 上下文中，初始 token 请求是使用 login-url 完成的。参数，默认为 kubernetes.default.svc/oauth/authorize ，尽管在某些情况下(不确定是否记得，一些不寻常的网络策略)，您可能希望强制使用您的 OpenShift 控制台 FQDN。
代币兑换通过 redeem-url 完成。默认为 kubernetes.default.svc/oauth/token .同样，如果 SDN 拒绝此流量，您可以在此处使用您的公共(public)控制台 FQDN。

那么，proxy-prefix 是如何出现的:只需要您的 oauth-proxy 构建正确的回调 URL，登录表单才能将您发送回应用程序的正确子路径。
OAuthRedirectReference 主要由 OpenShift 使用，以确保请求 token 的客户端确实是针对给定路由的经过身份验证的客户端。在你的情况下，只匹配一个 FQDN，虽然我认为除了 serviceaccounts.openshift.io/oauth-redirectreference.$name: {"kind": ...} , 你也可以设置 serviceaccounts.openshift.io/oauth-redirecturi.name: my-path

关于docker - 在 Openshift 上保护基于路径的路由，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64040017/

文章推荐： java - 停止线程内的无限循环

文章推荐： java - 如果从启动器运行，Vertx 重新部署功能无法调试

文章推荐： Haskell:递归地将十六进制字符串转换为整数？

文章推荐： java - 使用 Java Core 实现 REST API

openshift - openshift buildconfig和管道有什么区别
我是 devops 的新手，并且正在阅读有关此的 openshift 文档。似乎 buildconfig 和 pipeline(openshift 4.6 中的 tekton)都可以实现 source
openshift-origin - OpenShift Origin 与 OpenShift Enterprise
我正在寻找 OpenShift Origin 和 OpenShift Enterprise 之间的主要区别。我知道第一个是开源的，后者是商业版。与开源版本相比，OpenShift Enterprise
openshift - Openshift 上的应用程序监控
在 Openshift 上部署应用程序后，收集应用程序的 1) CPU、2) 网络、3) 内存、4) 磁盘存储使用情况的推荐方法/最佳实践是什么？基本上是为了监控应用程序。如果它们能够以时间序列格式
openshift - 无法登录到 Openshift
几天来，我一直在尝试通过 Openshift 连接到我的应用程序，但仍然没有运气。我现在不确定该去哪个论坛，因为我在任何地方都没有得到帮助。 1) 我通过终端运行sudo rhc setup (我之
openshift - Openshift 上的大三角帆
Spinnaker 是否可以作为云提供商在 Red Hat 的 Openshift 上运行和部署应用程序？如果没有，需要什么才能使之成为现实？谢谢。最佳答案首先，您需要为 Openshift
openshift - 继续学习 Openshift 的好地方？
我目前正在使用 Red Had 提供的免费培训来学习 Openshift 作为开发人员和管理员。你知道我可以用来获得“刺激”经验的任何其他地方吗？提前致谢。 :) 最佳答案红帽提供的免费培训是一个良
openshift - 如何在 openshift 中降级我的齿轮类型？
我在 openshift 中创建应用程序时不小心选择了大齿轮。有没有办法在不重新创建我的应用程序的情况下降级齿轮类型？比如从大到中，甚至从大到小。highcpu。提前谢谢各位最佳答案您确实必须重
openshift - 在 Openshift 中部署现有应用
我创建了一个 Web 应用程序，我想在 Openshift 上进行部署。最简单的方法是什么？我正在使用 Openshift Eclipse 客户端。我应该创建一个新的 openshift，然后从我
openshift - 为 Openshift 路由配置多个路径
我想在 Openshift 中定义一条具有多条路径的路由，每条路径转发到不同的服务。例如/pathA 会将请求转发到 ServiceA ，而/pathB 会将请求转发到 ServiceB。这在 Op
openshift - 如何为 Openshift 中的构建配置提供多个源输入
我想创建一个构建器图像 app_name:latest这将采用多个源输入，例如，另一个图像和二进制源，然后将输出创建到 app_name:latest . 示例 - { "kind": "Bu
openshift - 如何将 openshift 部署重置为新状态？
我有一个 openshift 应用程序，我在本地彻底重新设计了该应用程序，并希望在 openshift 服务器上重新开始。我可以删除所有齿轮并重做它们，但是有没有一种优雅的方法或任何方法可以将 op
openshift - OpenShift Starter 帐户配置需要多长时间？
大约一周以来，它说: Queued for provisioning Due to an increase in OpenShift Online Starter popularity, please
openshift - 如何在 OpenShift 的部署配置中使用图像流
我希望我的部署配置使用作为构建配置输出的镜像。我目前正在使用这样的东西: - apiVersion: v1 kind: DeploymentConfig metadata: anno
openshift - OpenShift Origin 的局限性
与 OpenShift Container Platform(以前的 Enterprise)相比，OpenShift Origin 是否有任何强制限制？我的意思是，像 Origin 这样的东西，你最多
openshift - 单个 openshift 应用程序可以有多个域吗？
一个 openshift 应用程序可以有多个域吗？ Heroku 允许这样做。完全不同的域(app.abc.com、app.xyz.com)或子域(*.abc.com、*.xyz.com)。 open
openshift - 如何在 Openshift 中调试盒式脚本？
我想开发一种新的墨盒供我自己使用。我使用 OpenShift Cartridge Development Kit 开始我的工作。我的构建脚本写在.openshift/action_hooks/buil
openshift - Flask-migrate on openshift
我正在使用 flask 。我安装了 Flask-migrate 并一直在使用它来迁移我的 postgresql 数据库。它在我的本地盒子上工作正常。但是，当我在 openshift 上运行它时出现错误
openshift - 将更改推送到 openshift 项目时出错
当我尝试在打开的类次项目中推送一些更改时，我在尝试构建项目时遇到了这个错误: remote: Found pom.xml... attempting to build with 'mvn --glob
openshift - 在 Openshift 齿轮闲置之前多长时间没有流量？
在不可扩展的奇异齿轮中，齿轮空闲多长时间没有流量。我看过 https://access.redhat.com/site/documentation/en-US/OpenShift_Online/2.0
openshift - 使用外部镜像触发 OpenShift 中的部署
我试图在 OpenShift 中更新图像时触发部署。该图像托管在私有(private)外部 docker 注册表中。我创建了一个 ImageStream映射到这个外部图像。当我将新图像推送到注册表时，

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

docker - 在 Openshift 上保护基于路径的路由