Objetivo: habilitar Identity Aware Proxy (IAP) em conjunto com Kubernetes (k8s).
Métodos:
- Dois aplicativos foram implantados
- Um balanceador de carga SSL foi colocado na frente
- Quando se navega para domínio/app1, app1 é mostrado
- Este tutorial foi seguido para habilitar o IAP para k8s https://cloud.google.com/iap/docs/enabling-kubernetes-howto
Resultados
- A tela de login do Google aparece quando se navega para domínio/app1
- Quando o login é bem-sucedido, um 'gateway padrão - 404' é mostrado em vez do aplicativo quando o IAP está desabilitado
Discussão
- Um redirecionamento não deve ser configurado em algum lugar? Quando a autenticação e autorização são bem-sucedidas, um URI _gcp_gatekeeper/authenticate foi adicionado e um 404 foi retornado, enquanto um redirecionamento para o aplicativo deve ser feito certo?
- Quando um mecanismo de aplicativo é implantado, o IAP é ativado, o IAP funciona imediatamente. O que torna essa implantação diferente? Talvez o App Engine contenha alguns elementos que são omitidos no k8s.
Problema atual
Quando a autenticação é bem-sucedida, o seguinte erro é mostrado:
There was a problem with your request. Error code 11
Para começar, aqui estão algumas informações gerais:
Para começar a usar o IAP no GCP, adicione um aplicativo do App Engine ou configure o Cloud Load Balancer para IAP . Caso você esteja executando o cluster Kubernetes, você já pode ter o Load Balancer configurado.
Então você deve habilitar o IAP para ele aqui:
Menu -> Security -> Identity-Aware ProxyE, finalmente, esse é o local onde o URI de redirecionamento pode ser configurado. Você pode chegar lá a partir da etapa anterior selecionando o ponto triplo no lado direito do seu App/LB e escolhendo
Edit OAuth Client.Crie
OAuth clientIDe definaAuthorized redirect URIspara isso.Para aplicativos do App Engine , esse valor é predefinido, mas você pode ajustá-lo de acordo com suas necessidades.