使用 Traefik 的 Kubernetes 基本身份验证
Kubernetes basic authentication with Traefik
我正在尝试使用 Traefik 作为 Ingress 控制器在 Nginx 示例上配置基本身份验证。
我刚刚在 Kubernetes 机密上创建了机密 "mypasswd"。
这是我正在使用的 Ingress:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginxingress
annotations:
ingress.kubernetes.io/auth-type: basic
ingress.kubernetes.io/auth-realm: traefik
ingress.kubernetes.io/auth-secret: mypasswd
spec:
rules:
- host: nginx.mycompany.com
http:
paths:
- path: /
backend:
serviceName: nginxservice
servicePort: 80
我检查了 Traefik 仪表板,它显示,如果我访问 nginx.mycompany.com 我可以检查 Nginx 网页,但没有基本身份验证。
这是我的 nginx 部署:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-deployment
spec:
replicas: 3
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.7.9
ports:
- containerPort: 80
Nginx 服务:
apiVersion: v1
kind: Service
metadata:
labels:
name: nginxservice
name: nginxservice
spec:
ports:
# The port that this service should serve on.
- port: 80
# Label keys and values that must match in order to receive traffic for this service.
selector:
app: nginx
type: ClusterIP
流行使用基本身份验证。参考 Kubernetes documentation,您应该能够使用以下步骤保护对 Traefik 的访问:
- 使用
htpasswd 工具创建身份验证文件。系统会要求您输入用户密码:
htpasswd -c ./auth
- 现在使用
kubectl 使用 htpasswd 创建的文件在监控命名空间中创建一个秘密。
kubectl create secret generic mysecret --from-file auth
--namespace=monitoring
- 通过将注释附加到 Ingress 对象来启用基本身份验证:
ingress.kubernetes.io/auth-type: "basic"
ingress.kubernetes.io/auth-secret: "mysecret"
因此,基本身份验证的完整示例配置如下所示:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: prometheus-dashboard
namespace: monitoring
annotations:
kubernetes.io/ingress.class: traefik
ingress.kubernetes.io/auth-type: "basic"
ingress.kubernetes.io/auth-secret: "mysecret"
spec:
rules:
- host: dashboard.prometheus.example.com
http:
paths:
- backend:
serviceName: prometheus
servicePort: 9090
- 您可以按以下方式应用示例:
kubectl create -f prometheus-ingress.yaml -n monitoring
这应该没有任何问题。
Kubernetes 和 Traefik 2 的基本 Auth 配置似乎略有变化。我花了一些时间才找到解决方案,这就是为什么我想分享它。顺便说一句,我使用 k3s。
步骤 1 + 2 与@d0bry 写的相同,创建秘密:
printf "my-username:`openssl passwd -apr1`\n" >> my-auth
kubectl create secret generic my-auth --from-file my-auth --namespace my-namespace
第 3 步是创建入口对象并应用将处理身份验证的中间件
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
name: my-auth-middleware
namespace: my-namespace
spec:
basicAuth:
removeHeader: true
secret: my-auth
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: my-ingress
namespace: my-namespace
annotations:
kubernetes.io/ingress.class: traefik
traefik.ingress.kubernetes.io/router.middlewares: my-namespace-my-auth-middleware@kubernetescrd
spec:
rules:
- host: my.domain.net
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: my-service
port:
number: 8080
然后当然是应用配置
kubectl apply -f my-ingress.yaml
参考资料:
我正在尝试使用 Traefik 作为 Ingress 控制器在 Nginx 示例上配置基本身份验证。
我刚刚在 Kubernetes 机密上创建了机密 "mypasswd"。
这是我正在使用的 Ingress:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginxingress
annotations:
ingress.kubernetes.io/auth-type: basic
ingress.kubernetes.io/auth-realm: traefik
ingress.kubernetes.io/auth-secret: mypasswd
spec:
rules:
- host: nginx.mycompany.com
http:
paths:
- path: /
backend:
serviceName: nginxservice
servicePort: 80
我检查了 Traefik 仪表板,它显示,如果我访问 nginx.mycompany.com 我可以检查 Nginx 网页,但没有基本身份验证。
这是我的 nginx 部署:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-deployment
spec:
replicas: 3
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.7.9
ports:
- containerPort: 80
Nginx 服务:
apiVersion: v1
kind: Service
metadata:
labels:
name: nginxservice
name: nginxservice
spec:
ports:
# The port that this service should serve on.
- port: 80
# Label keys and values that must match in order to receive traffic for this service.
selector:
app: nginx
type: ClusterIP
流行使用基本身份验证。参考 Kubernetes documentation,您应该能够使用以下步骤保护对 Traefik 的访问:
- 使用
htpasswd工具创建身份验证文件。系统会要求您输入用户密码:
htpasswd -c ./auth
- 现在使用
kubectl使用htpasswd创建的文件在监控命名空间中创建一个秘密。
kubectl create secret generic mysecret --from-file auth --namespace=monitoring
- 通过将注释附加到 Ingress 对象来启用基本身份验证:
ingress.kubernetes.io/auth-type: "basic"
ingress.kubernetes.io/auth-secret: "mysecret"
因此,基本身份验证的完整示例配置如下所示:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: prometheus-dashboard
namespace: monitoring
annotations:
kubernetes.io/ingress.class: traefik
ingress.kubernetes.io/auth-type: "basic"
ingress.kubernetes.io/auth-secret: "mysecret"
spec:
rules:
- host: dashboard.prometheus.example.com
http:
paths:
- backend:
serviceName: prometheus
servicePort: 9090
- 您可以按以下方式应用示例:
kubectl create -f prometheus-ingress.yaml -n monitoring
这应该没有任何问题。
Kubernetes 和 Traefik 2 的基本 Auth 配置似乎略有变化。我花了一些时间才找到解决方案,这就是为什么我想分享它。顺便说一句,我使用 k3s。
步骤 1 + 2 与@d0bry 写的相同,创建秘密:
printf "my-username:`openssl passwd -apr1`\n" >> my-auth
kubectl create secret generic my-auth --from-file my-auth --namespace my-namespace
第 3 步是创建入口对象并应用将处理身份验证的中间件
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
name: my-auth-middleware
namespace: my-namespace
spec:
basicAuth:
removeHeader: true
secret: my-auth
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: my-ingress
namespace: my-namespace
annotations:
kubernetes.io/ingress.class: traefik
traefik.ingress.kubernetes.io/router.middlewares: my-namespace-my-auth-middleware@kubernetescrd
spec:
rules:
- host: my.domain.net
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: my-service
port:
number: 8080
然后当然是应用配置
kubectl apply -f my-ingress.yaml
参考资料: