使用同一域的两个不同后端服务的Google Identity Aware代理

时间:2018-12-17 04:38:09

标签: kubernetes google-cloud-platform google-iap

我有一个用例,我需要使用扇出入口(不同的路径)集成两个不同的服务。我之所以决定这样做,是因为这两个服务实际上是相关的,所以我不想分离域。另一个原因是我不想使用另一个入口。但是,出现此问题,据我了解,一旦激活Google IAP,将创建新的clientId和secretId。并且重定向javascript网址应该是一个域(不包含任何路径或采用通配符形式)。

我正在尝试访问https:// {my-domain} / {some-path}。原来我遇到了以下错误。

  1. 那是一个错误。

错误:redirect_uri_mismatch

  

请求中的重定向URI,   https:// {my-domain} / _gcp_gatekeeper / authenticate,与   授权给OAuth客户端的服务器。更新授权   重定向URI,请访问:   https://console.developers.google.com/apis/credentials/oauthclient/

这是我的入口配置:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.allow-http: "false"
    kubernetes.io/ingress.global-static-ip-name: <some-static-ip>
  name: <name>
  namespace: <namespace>
spec:
  backend:
    serviceName: <service-1>
    servicePort: <port-of-service-1>
  rules:
  - http:
      paths:
      - backend:
          serviceName: <service-2>
          servicePort: <port-of-service-2>
        path: /<some-path>/*
  tls:
  - secretName: <secret-name>

但是,当我尝试访问我的第一项服务时,它就可以正常工作并且可以正常工作。

只是想知道是否有可能使用同一个入口为两个不同的后端服务创建IAP。我无法找到更多有关此的信息。谢谢!

最好

1 个答案:

答案 0 :(得分:3)

我读完这篇文章:

  1. https://cloud.google.com/iap/docs/reference/compute-engine-apis#set_iap_properties_by_updating
  2. https://cloud.google.com/kubernetes-engine/docs/concepts/backendconfig
  3. https://cloud.google.com/iap/docs/enabling-kubernetes-howto

我意识到我只需要为我的第二个服务启用IAP,然后用我的第一个服务的IAP配置提供的值覆盖我的第二个服务的clientId和secretId的值。转到您的IAP控制台:

kubectl create secret generic backend-config-secret --namespace {namespace}  \
--from-literal=client_id=client_id_key  \
    --from-literal=client_secret=client_secret_key

创建您的BackendConfig:

apiVersion: cloud.google.com/v1beta1
kind: BackendConfig
metadata:
  name: {name}
  namespace: {namespace}
spec:
  iap:
    enabled: true
    oauthclientCredentials:
      secretName: backend-config-secret

将此添加到您的服务中:

beta.cloud.google.com/backend-config: '{"default": "{name}"}'