Istio 1.5 cors не работает - Ответ на предполетный запрос не проходит проверку контроля доступа

Question

Запросы предварительной проверки Cors не работают, если на цели istio-ingressgateway настроена политика Jwt.

Шлюз

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: api-gateway
  namespace: foo
spec:
  selector:
    istio: ingressgateway # use istio default controller
  servers:
    - port:
        number: 80
        name: http
        protocol: HTTP
      hosts:
        - "api.example.com"
      tls:
        httpsRedirect: true # sends 301 redirects for http requests
    - port:
        number: 443
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE
        serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
        privateKey: /etc/istio/ingressgateway-certs/tls.key
      hosts:
        - "api.example.com"

Виртуальная служба

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: backend-vs
  namespace: foo
spec:
  hosts:
    - "api.example.com"
  gateways:
    - api-gateway
  http:
    - match:
        - uri:
            prefix: /api/v1/info
      route:
        - destination:
            host: backend.foo.svc.cluster.local
      corsPolicy:
        allowOrigin:
          - "https://app.example.com"
        allowMethods:
          - POST
          - GET
          - PUT
          - DELETE
          - PATCH
          - OPTIONS
        allowHeaders:
          - authorization
          - content-type
          - accept
          - origin
          - user-agent
        allowCredentials: true
        maxAge: 300s

Безопасность

apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:
  name: "jwt-example"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: backend
  jwtRules:
    - issuer: "http://keycloak.foo/auth/realms/example"
      jwksUri: "http://keycloak.foo/auth/realms/example/protocol/openid-connect/certs"
---
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt-example
  namespace: foo
spec:
  selector:
    matchLabels:
      app: backend
  action: ALLOW
  rules:
    - from:
        - source:
            requestPrincipals: ["http://keycloak.foo/auth/realms/example/http://keycloak.foo/auth/realms/example"]
      when:
        - key: request.auth.claims[groups]
          values: ["group1"]

, когда я тестирую веб-приложение в firefox, оно работает нормально, но в других браузерах, таких как Opera, chrome, сафари, это завершается ошибкой со следующей ошибкой:

Access to XMLHttpRequest at 'https://api.example.com/api/v1/info' from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Что делает меня более вдумчивым, так это то, что в firefox он работает хорошо, но в других браузерах он терпит неудачу

ПРИМЕЧАНИЕ: Чтобы проверить правильность политики cors в istio, я отключил эту политику в istio и протестировал в firefox, чтобы увидеть, что происходит, в результате возникла проблема с cors действительно вышло, но когда я снова включил cors в istio при повторном запуске в firefox, запрос работает нормально.

Answer 1

Хорошо после выполнения сегментированных тестов и выяснения причины ошибки, я обнаружил, что проблема возникла, когда я создал шлюз keycloak (keycloak.example.com), который работал на том же сервисном порте (backend.example.com) который по умолчанию для https равен 443, а для http - 80.

То, что я сделал, это выставил keycloak на другой порт шлюза ( ingressgateway ). с вышеупомянутым и приложением angular я прекращаю ставить проблему cors.