Keycloak KubeAPI 认证失败
Keycloak KubeAPI Authentication Fails
请参考上图,我正在尝试使用 Kubernetes API 访问 Kubernetes 集群,为此 documents 中提到的目的,我正在使用 Python Kuberentes 客户端,需要令牌才能与 Kube API
.
通信
当我尝试使用 Kube 登录在 Kube-config
文件中添加的令牌对用户进行身份验证时,一切正常,其中 Keycloak
REST API 提供的令牌导致 un -授权错误。
如果有人能就此问题提供任何见解,我将很高兴。
我们已经解决了这个问题,以下是我们的发现和解决方案:
- 与 KubeLogin 客户端生成的令牌存在差异
和 Keycloak Rest API,发行者 URL 是使用 KubeLogin 生成的令牌中的主机名,而在使用 Keycloak Rest API 生成的令牌中
颁发者 URL 是 IP 地址。
- 此外,在我们的(Keycloak 实例)生成的证书中,我们有
主机名作为发行者名称,这可能是出现 un-authorization 错误的原因。我们使用具有 DNS 名称的新证书重新配置了 Keycloak。
- 我们必须创建具有集群作用域的 RBAC。
请参考上图,我正在尝试使用 Kubernetes API 访问 Kubernetes 集群,为此 documents 中提到的目的,我正在使用 Python Kuberentes 客户端,需要令牌才能与 Kube API
.
当我尝试使用 Kube 登录在 Kube-config
文件中添加的令牌对用户进行身份验证时,一切正常,其中 Keycloak
REST API 提供的令牌导致 un -授权错误。
如果有人能就此问题提供任何见解,我将很高兴。
我们已经解决了这个问题,以下是我们的发现和解决方案:
- 与 KubeLogin 客户端生成的令牌存在差异 和 Keycloak Rest API,发行者 URL 是使用 KubeLogin 生成的令牌中的主机名,而在使用 Keycloak Rest API 生成的令牌中 颁发者 URL 是 IP 地址。
- 此外,在我们的(Keycloak 实例)生成的证书中,我们有 主机名作为发行者名称,这可能是出现 un-authorization 错误的原因。我们使用具有 DNS 名称的新证书重新配置了 Keycloak。
- 我们必须创建具有集群作用域的 RBAC。