Нужна помощь, сначала настройте ibm appid на kubernetes и istio - PullRequest
Новая
       31

Нужна помощь, сначала настройте ibm appid на kubernetes и istio

1 голос
/ 29 апреля 2020

Я пытаюсь настроить первый oid c и токен jwt с удостоверением приложения ibm и адаптером доступа, и после того, как все установлено, он что-то пропустил, и я не могу понять, что.

Версия

Istio 1.5

Kubernetes 1.17

id приложения ibm: стабильный репозиторий helm

helm: 3.2

Первый шаг: установить Istio с началом работы .

Я выполнил следующие действия: https://istio.io/docs/setup/getting-started/

Второй шаг: идентификация приложения ibm и адаптер доступа

Я установил, следуя инструкции в файле readme. , Мне просто пришлось изменить команду, чтобы использовать helm3, как я на kubernetes 1.17.

Третий шаг:

Добавление конфигурации: 

# socio-jwt.yaml
apiVersion: "security.cloud.ibm.com/v1"
kind: JwtConfig
metadata:
  name: socio-jwt
  # namespace: default 
  namespace: istio-system # tried with both default and istio-system
spec:
  jwksUrl: https://sso.staging.infra-socotec.net/auth/realms/socotec-user/protocol/openid-connect/certs

# socio-keycloak-oidc.yaml
apiVersion: "security.cloud.ibm.com/v1"
kind: OidcConfig
metadata:
  name: socio-keycloak-oidc
  # namespace: default 
  namespace: istio-system # tried with both default and istio-system
spec:
  discoveryUrl: https://sso.staging.infra-socotec.net/auth/realms/socotec-user/.well-known/openid-configuration
  clientId: 1234-abcd-efgh-4567
  clientSecret: <name-of-my-kube-secret> # I use a real one here of course
  # clientSecretRef:
  #     name: <name-of-my-kube-secret>
  #     key: <key-in-my-kube-secret>

# socio-oidc-policy.yaml
apiVersion: "security.cloud.ibm.com/v1"
kind: Policy
metadata:
  name: socio-oidc-policy
  # namespace: default 
  namespace: istio-system # tried with both default and istio-system
spec:
  targets:
    - serviceName: productpage # internal service name
      paths:
        - prefix: /productpage
          method: ALL
          policies:
            - policyType: oidc
              config: socio-keycloak-oidc

        - prefix: /api/v1
          method: ALL
          policies:
            - policyType: jwt
              config: socio-jwt
    - serviceName: bookinfo # external virtual service name see https://raw.githubusercontent.com/istio/istio/release-1.5/samples/bookinfo/networking/bookinfo-gateway.yaml
      paths:
        - prefix: /productpage
          method: ALL
          policies:
            - policyType: oidc
              config: socio-keycloak-oidc

        - prefix: /api/v1
          method: ALL
          policies:
            - policyType: jwt
              config: socio-jwt

Я использовал эти команды для добавления конфигурации (если пространство имен было istio-system, я добавил опцию -n istio-system):

kubectl apply -f istio-yaml / social-jwt.yaml

применить kubectl -f istio-yaml / social-keycloak-oid c .yaml

применить kubectl -f istio-yaml / social-oid c -policy.yaml

Глобальная информация о kubernetes:

Глобальная информация о Kubernetes

Журнал приложения Ibm:

log

I Я застрял сейчас. Все кажется хорошим, но когда я перехожу к http://in51aonvlo.lb.c1.gra.k8s.ovh.net/productpage или http://in51aonvlo.lb.c1.gra.k8s.ovh.net/api/v1/products, аутентификация отсутствует.

Я, конечно, что-то упускаю, но мне нужна помощь, чтобы выяснить, что.

...