3

在此处输入图像描述

请参考上图,我正在尝试使用 Kubernetes API 访问 Kubernetes 集群,为此目的,如文档中所述,我正在使用 Python Kuberentes 客户端,它需要一个令牌才能与之通信Kube API

当我尝试使用Kube-configKube 登录在文件中添加的令牌对用户进行身份验证时,一切正常,其中KeycloakREST API 提供的令牌会导致未授权错误。

如果有人能就这个问题提供任何见解,我会很高兴。

4

1 回答 1

1

我们已经解决了这个问题,以下是我们的发现和解决方案:

  • 使用 KubeLogin 客户端和 Keycloak Rest API 生成的令牌存在差异,颁发者 URL 是使用 KubeLogin 生成的令牌中的主机名,而使用 Keycloak Rest API 生成的令牌中,颁发者 URL 是 IP 地址。
  • 此外,在我们的(Keycloak 实例)生成的证书中,我们将主机名作为颁发者名称,这可能是导致未授权错误的原因。我们使用具有 DNS 名称的新证书重新配置了 Keycloak。
  • 我们必须创建具有集群范围的 RBAC。
于 2019-05-08T15:16:47.573 回答