Русский

Auth

Содержание

Основные понятия

Что такое Auth

Auth — это механизм, который выполняет аутентификацию до того, как запрос попадёт в реальный сервис. Он позволяет обрабатывать аутентификацию на уровне ALB единообразно, без необходимости реализовывать логику аутентификации в каждом бэкенд-сервисе.

Поддерживаемые методы аутентификации

ALB поддерживает два основных метода аутентификации:

Forward Auth (Внешняя аутентификация)
- Отправка запроса во внешний сервис аутентификации для проверки личности пользователя
- Сценарии применения: требуется сложная логика аутентификации, например OAuth, SSO и т.д.
- Рабочий процесс:
  1. Запрос пользователя поступает в ALB
  2. ALB пересылает информацию для аутентификации в сервис аутентификации
  3. Сервис аутентификации возвращает результат проверки
  4. На основе результата аутентификации принимается решение о допуске к бэкенд-сервису
Basic Auth (Базовая аутентификация)
- Простой механизм аутентификации на основе имени пользователя и пароля
- Сценарии применения: простое управление доступом, защита среды разработки
- Рабочий процесс:
  1. Запрос пользователя поступает в ALB
  2. ALB проверяет имя пользователя и пароль в запросе
  3. Сравнивает с настроенной информацией для аутентификации
  4. Если проверка успешна, запрос пересылается в бэкенд-сервис

Способы настройки Auth

Глобальная аутентификация
- Настраивается на уровне ALB, применяется ко всем сервисам
- Настраивается в ALB или FT CR
Аутентификация на уровне пути
- Настраивается на конкретном пути Ingress
- Настраивается на конкретном Rule
- Может переопределять глобальную конфигурацию аутентификации
Отключение аутентификации
- Отключение аутентификации для конкретного пути
- Настраивается в Ingress с аннотацией: alb.ingress.cpaas.io/auth-enable: "false"
- Настраивается в Rule с помощью CR

Обработка результата аутентификации

Успешная аутентификация: запрос будет перенаправлен в бэкенд-сервис
Ошибка аутентификации: возвращается ошибка 401 unauthorized
Можно настроить поведение перенаправления после ошибки аутентификации (применимо для Forward Auth)

Быстрый старт

Настройка Basic Auth с ALB

Развёртывание ALB

cat <<EOF | kubectl apply -f -
apiVersion: crd.alauda.io/v2
kind: ALB2
metadata:
  name: auth
  namespace: cpaas-system
spec:
  config:
    networkMode: container
    projects:
    - ALL_ALL
    replicas: 1
    vip:
      enableLbSvc: false
  type: nginx
EOF
export ALB_IP=$(kubectl get pods -n cpaas-system -l service_name=alb2-auth -o jsonpath='{.items[*].status.podIP}');echo $ALB_IP

Настройка Secret и Ingress

# echo "Zm9vOiRhcHIxJHFJQ05aNjFRJDJpb29pSlZVQU1tcHJxMjU4L0NoUDE=" | base64 -d #  foo:$apr1$qICNZ61Q$2iooiJVUAMmprq258/ChP1
# openssl passwd -apr1 -salt qICNZ61Q bar # $apr1$qICNZ61Q$2iooiJVUAMmprq258/ChP1

kubectl apply -f - <<'END'
apiVersion: v1
kind: Secret
metadata:
  name: auth-file
type: Opaque
data:
  auth: Zm9vOiRhcHIxJHFJQ05aNjFRJDJpb29pSlZVQU1tcHJxMjU4L0NoUDE=
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: auth-file
  annotations:
    "nginx.ingress.kubernetes.io/auth-type": "basic"
    "nginx.ingress.kubernetes.io/auth-secret": "default/auth-file"
    "nginx.ingress.kubernetes.io/auth-secret-type": "auth-file"
spec:
  rules:
  - http:
      paths:
      - path: /app-file
        pathType: Prefix
        backend:
          service:
            name: app-server
            port:
              number: 80
END

Проверка

# echo "Zm9vOiJhYXIi" | base64 -d # foo:bar
curl -v -X GET -H "Authorization: Basic Zm9vOmJhcg==" http://$ALB_IP:80/app-file # должен вернуть 200
# неправильный пароль
curl -v -X GET -H "Authorization: Basic XXXXOmJhcg==" http://$ALB_IP:80/app-file # должен вернуть 401

Связанные аннотации Ingress

Ingress-nginx определяет ряд аннотаций для настройки конкретных деталей процесса аутентификации. Ниже приведён список аннотаций, поддерживаемых ALB, где "v" означает поддержку, а "x" — отсутствие поддержки.

	support	type	note
forward-auth			forward auth путём отправки http запроса
nginx.ingress.kubernetes.io/auth-url	v	string
nginx.ingress.kubernetes.io/auth-method	v	string
nginx.ingress.kubernetes.io/auth-signin	v	string
nginx.ingress.kubernetes.io/auth-signin-redirect-param	v	string
nginx.ingress.kubernetes.io/auth-response-headers	v	string
nginx.ingress.kubernetes.io/auth-proxy-set-headers	v	string
nginx.ingress.kubernetes.io/auth-request-redirect	v	string
nginx.ingress.kubernetes.io/auth-always-set-cookie	v	boolean
nginx.ingress.kubernetes.io/auth-snippet	x	string
basic-auth			аутентификация по имени пользователя и паролю через секрет
nginx.ingress.kubernetes.io/auth-realm	v	string
nginx.ingress.kubernetes.io/auth-secret	v	string
nginx.ingress.kubernetes.io/auth-secret-type	v	string
nginx.ingress.kubernetes.io/auth-type	-	"basic" or "digest"	basic: поддерживается apr1 digest: не поддерживается
auth-cache
nginx.ingress.kubernetes.io/auth-cache-key	x	string
nginx.ingress.kubernetes.io/auth-cache-duration	x	string
auth-keepalive			keepalive при отправке запроса. Поведение keepalive задаётся через набор аннотаций
nginx.ingress.kubernetes.io/auth-keepalive	x	number
nginx.ingress.kubernetes.io/auth-keepalive-share-vars	x	"true" or "false"
nginx.ingress.kubernetes.io/auth-keepalive-requests	x	number
nginx.ingress.kubernetes.io/auth-keepalive-timeout	x	number
auth-tls			при https запросе дополнительная проверка сертификата
nginx.ingress.kubernetes.io/auth-tls-secret	x	string
nginx.ingress.kubernetes.io/auth-tls-verify-depth	x	number
nginx.ingress.kubernetes.io/auth-tls-verify-client	x	string
nginx.ingress.kubernetes.io/auth-tls-error-page	x	string
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream	x	"true" or "false"
nginx.ingress.kubernetes.io/auth-tls-match-cn	x	string

forward-auth

Связанные аннотации:

nginx.ingress.kubernetes.io/auth-url
nginx.ingress.kubernetes.io/auth-method
nginx.ingress.kubernetes.io/auth-signin
nginx.ingress.kubernetes.io/auth-signin-redirect-param
nginx.ingress.kubernetes.io/auth-response-headers
nginx.ingress.kubernetes.io/auth-proxy-set-headers
nginx.ingress.kubernetes.io/auth-request-redirect
nginx.ingress.kubernetes.io/auth-always-set-cookie

Эти аннотации описывают изменения, вносимые в auth-request, app-request и cli-response на диаграмме выше.

Конфигурация связанных аннотаций

auth-url

URL для auth-request, значение может быть переменной.

auth-method

Метод для auth-request.

auth-proxy-set-headers

Значение — ссылка на ConfigMap в формате ns/name. По умолчанию все заголовки из cli-request отправляются в auth-server. Дополнительные заголовки можно настроить через proxy_set_header. По умолчанию отправляются следующие заголовки:

X-Original-URI          $request_uri;
X-Scheme                $pass_access_scheme;
X-Original-URL          $scheme://$http_host$request_uri;
X-Original-Method       $request_method;
X-Sent-From             "alb";
X-Real-IP               $remote_addr;
X-Forwarded-For         $proxy_add_x_forwarded_for;
X-Auth-Request-Redirect $request_uri;

Конфигурация аннотаций, связанных с app-request

auth-response-headers

Значение — строка с разделёнными запятыми заголовками, позволяющая передавать определённые заголовки из auth-response в app-request. пример:

nginx.ingress.kubernetes.io/auth-response-headers: Remote-User,Remote-Name

Когда ALB инициирует app-request, он включит Remote-User и Remote-Name из заголовков auth-response.

auth-response и app-response могут устанавливать cookie. По умолчанию, только если app-response успешен, cookie из auth-response.set-cookie будут объединены с cli-response.set-cookie.

Конфигурация, связанная с Redirect sign

Когда auth-server возвращает 401, можно установить заголовок redirect в cli-response, чтобы браузер перенаправился на URL, указанный в auth-signin для прохождения проверки.

Значение — URL, задаёт заголовок location в cli-response.

Имя параметра запроса в signin-url, по умолчанию rd. Если signin-url не содержит параметр с именем, указанным в auth-signin-redirect-param, ALB автоматически добавит этот параметр. Значение параметра будет установлено в $pass_access_scheme://$http_host$escaped_request_uri, используется для записи исходного URL запроса.

auth-request-redirect

Устанавливает заголовок x-auth-request-redirect в auth-request.

basic-auth

basic-auth — процесс аутентификации, описанный в RFC 7617. Процесс взаимодействия следующий:

auth-realm

описание защищённой области Это значение realm в заголовке WWW-Authenticate cli-response. WWW-Authenticate: Basic realm="$realm"

auth-type

Тип схемы аутентификации, в настоящее время поддерживается только basic

auth-secret

Ссылка на секрет с именем пользователя и паролем, формат ns/name

auth-secret-type

Секрет поддерживает два типа:

auth-file: данные секрета содержат только один ключ "auth", значение — строка в формате Apache htpasswd. Например:
```
data:
  auth: "user1:$apr1$xyz..."
```
auth-map: в данных секрета каждый ключ — это имя пользователя, а соответствующее значение — хэш пароля (без имени пользователя в формате htpasswd). Например:
```
data:
  user1: "$apr1$xyz...."
  user2: "$apr1$abc...."
```

Примечание: в настоящее время поддерживаются только хэши паролей в формате htpasswd, сгенерированные с использованием алгоритма apr1.

CR

В ALB CR добавлены конфигурационные параметры, связанные с аутентификацией, которые можно настроить в ALB/Frontend/Rule CR. Во время выполнения ALB преобразует аннотации в Ingress в правила.

auth:
  # Конфигурация базовой аутентификации
  basic:
    #  string; соответствует nginx.ingress.kubernetes.io/auth-type: basic
    auth_type: "basic"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-realm
    realm: "Restricted Access"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-secret
    secret: "ns/name"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-secret-type
    secret_type: "auth-map|auth-file"
  # Конфигурация Forward аутентификации
  forward:
    #  boolean; соответствует nginx.ingress.kubernetes.io/auth-always-set-cookie
    always_set_cookie: true
    #  string; соответствует nginx.ingress.kubernetes.io/auth-proxy-set-headers
    auth_headers_cm_ref: "ns/name"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-request-redirect
    auth_request_redirect: "/login"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-method
    method: "GET"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-signin
    signin: "/signin"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-signin-redirect-param
    signin_redirect_param: "redirect_to"
    #  []string; соответствует nginx.ingress.kubernetes.io/auth-response-headers
    upstream_headers:
      - "X-User-ID"
      - "X-User-Name"
      - "X-User-Email"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-url
    url: "http://auth-service/validate"

Поддерживается конфигурация Auth на:

Alb CR в .spec.config.auth
Frontend CR в .spec.config.auth
Rule CR в .spec.config.auth

Порядок наследования: Alb > Frontend > Rule. Если дочерний CR не настроен, используется конфигурация родительского CR.

Специальная аннотация Ingress для ALB

При обработке Ingress ALB определяет приоритет на основе префикса аннотации. Приоритет от высокого к низкому:

index.$rule_index-$path_index.alb.ingress.cpaas.io
alb.ingress.cpaas.io
nginx.ingress.kubernetes.io

Это позволяет решать проблему совместимости с ingress-nginx и задавать конфигурацию аутентификации на конкретном пути Ingress.

Auth-Enable

alb.ingress.cpaas.io/auth-enable: "false"

Новая аннотация, добавленная ALB, используется для указания, включена ли функция аутентификации для данного Ingress.

Другие функции, связанные с аутентификацией в Ingress-Nginx

Global-Auth

В ingress-nginx можно задать глобальную аутентификацию через ConfigMap. Это эквивалентно настройке аутентификации для всех Ingress. В ALB аутентификация настраивается в ALB2 и FT CR. Правила внутри них наследуют эти настройки.

No-Auth-Locations

В ALB можно отключить функцию аутентификации для данного Ingress, настроив аннотацию: alb.ingress.cpaas.io/auth-enable: "false" в Ingress.

Примечание: несовместимые моменты с Ingress-Nginx

Не поддерживается auth-keepalive
Не поддерживается auth-snippet
Не поддерживается auth-cache
Не поддерживается auth-tls
Basic-auth поддерживает только basic, digest не поддерживается
Basic-auth basic поддерживает только алгоритм apr1, bcrypt, sha256 и др. не поддерживаются

Устранение неполадок

Проверьте логи контейнера Nginx в pod ALB
Проверьте заголовок X-ALB-ERR-REASON в ответе

Просмотреть полную документацию в формате PDF

Auth

Содержание

Основные понятия

Что такое Auth

Поддерживаемые методы аутентификации

ALB поддерживает два основных метода аутентификации:

Forward Auth (Внешняя аутентификация)
- Отправка запроса во внешний сервис аутентификации для проверки личности пользователя
- Сценарии применения: требуется сложная логика аутентификации, например OAuth, SSO и т.д.
- Рабочий процесс:
  1. Запрос пользователя поступает в ALB
  2. ALB пересылает информацию для аутентификации в сервис аутентификации
  3. Сервис аутентификации возвращает результат проверки
  4. На основе результата аутентификации принимается решение о допуске к бэкенд-сервису
Basic Auth (Базовая аутентификация)
- Простой механизм аутентификации на основе имени пользователя и пароля
- Сценарии применения: простое управление доступом, защита среды разработки
- Рабочий процесс:
  1. Запрос пользователя поступает в ALB
  2. ALB проверяет имя пользователя и пароль в запросе
  3. Сравнивает с настроенной информацией для аутентификации
  4. Если проверка успешна, запрос пересылается в бэкенд-сервис

Способы настройки Auth

Глобальная аутентификация
- Настраивается на уровне ALB, применяется ко всем сервисам
- Настраивается в ALB или FT CR
Аутентификация на уровне пути
- Настраивается на конкретном пути Ingress
- Настраивается на конкретном Rule
- Может переопределять глобальную конфигурацию аутентификации
Отключение аутентификации
- Отключение аутентификации для конкретного пути
- Настраивается в Ingress с аннотацией: alb.ingress.cpaas.io/auth-enable: "false"
- Настраивается в Rule с помощью CR

Обработка результата аутентификации

Успешная аутентификация: запрос будет перенаправлен в бэкенд-сервис
Ошибка аутентификации: возвращается ошибка 401 unauthorized
Можно настроить поведение перенаправления после ошибки аутентификации (применимо для Forward Auth)

Быстрый старт

Настройка Basic Auth с ALB

Развёртывание ALB

cat <<EOF | kubectl apply -f -
apiVersion: crd.alauda.io/v2
kind: ALB2
metadata:
  name: auth
  namespace: cpaas-system
spec:
  config:
    networkMode: container
    projects:
    - ALL_ALL
    replicas: 1
    vip:
      enableLbSvc: false
  type: nginx
EOF
export ALB_IP=$(kubectl get pods -n cpaas-system -l service_name=alb2-auth -o jsonpath='{.items[*].status.podIP}');echo $ALB_IP

Настройка Secret и Ingress

# echo "Zm9vOiRhcHIxJHFJQ05aNjFRJDJpb29pSlZVQU1tcHJxMjU4L0NoUDE=" | base64 -d #  foo:$apr1$qICNZ61Q$2iooiJVUAMmprq258/ChP1
# openssl passwd -apr1 -salt qICNZ61Q bar # $apr1$qICNZ61Q$2iooiJVUAMmprq258/ChP1

kubectl apply -f - <<'END'
apiVersion: v1
kind: Secret
metadata:
  name: auth-file
type: Opaque
data:
  auth: Zm9vOiRhcHIxJHFJQ05aNjFRJDJpb29pSlZVQU1tcHJxMjU4L0NoUDE=
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: auth-file
  annotations:
    "nginx.ingress.kubernetes.io/auth-type": "basic"
    "nginx.ingress.kubernetes.io/auth-secret": "default/auth-file"
    "nginx.ingress.kubernetes.io/auth-secret-type": "auth-file"
spec:
  rules:
  - http:
      paths:
      - path: /app-file
        pathType: Prefix
        backend:
          service:
            name: app-server
            port:
              number: 80
END

Проверка

# echo "Zm9vOiJhYXIi" | base64 -d # foo:bar
curl -v -X GET -H "Authorization: Basic Zm9vOmJhcg==" http://$ALB_IP:80/app-file # должен вернуть 200
# неправильный пароль
curl -v -X GET -H "Authorization: Basic XXXXOmJhcg==" http://$ALB_IP:80/app-file # должен вернуть 401

Связанные аннотации Ingress

	support	type	note
forward-auth			forward auth путём отправки http запроса
nginx.ingress.kubernetes.io/auth-url	v	string
nginx.ingress.kubernetes.io/auth-method	v	string
nginx.ingress.kubernetes.io/auth-signin	v	string
nginx.ingress.kubernetes.io/auth-signin-redirect-param	v	string
nginx.ingress.kubernetes.io/auth-response-headers	v	string
nginx.ingress.kubernetes.io/auth-proxy-set-headers	v	string
nginx.ingress.kubernetes.io/auth-request-redirect	v	string
nginx.ingress.kubernetes.io/auth-always-set-cookie	v	boolean
nginx.ingress.kubernetes.io/auth-snippet	x	string
basic-auth			аутентификация по имени пользователя и паролю через секрет
nginx.ingress.kubernetes.io/auth-realm	v	string
nginx.ingress.kubernetes.io/auth-secret	v	string
nginx.ingress.kubernetes.io/auth-secret-type	v	string
nginx.ingress.kubernetes.io/auth-type	-	"basic" or "digest"	basic: поддерживается apr1 digest: не поддерживается
auth-cache
nginx.ingress.kubernetes.io/auth-cache-key	x	string
nginx.ingress.kubernetes.io/auth-cache-duration	x	string
auth-keepalive			keepalive при отправке запроса. Поведение keepalive задаётся через набор аннотаций
nginx.ingress.kubernetes.io/auth-keepalive	x	number
nginx.ingress.kubernetes.io/auth-keepalive-share-vars	x	"true" or "false"
nginx.ingress.kubernetes.io/auth-keepalive-requests	x	number
nginx.ingress.kubernetes.io/auth-keepalive-timeout	x	number
auth-tls			при https запросе дополнительная проверка сертификата
nginx.ingress.kubernetes.io/auth-tls-secret	x	string
nginx.ingress.kubernetes.io/auth-tls-verify-depth	x	number
nginx.ingress.kubernetes.io/auth-tls-verify-client	x	string
nginx.ingress.kubernetes.io/auth-tls-error-page	x	string
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream	x	"true" or "false"
nginx.ingress.kubernetes.io/auth-tls-match-cn	x	string

forward-auth

Связанные аннотации:

nginx.ingress.kubernetes.io/auth-url
nginx.ingress.kubernetes.io/auth-method
nginx.ingress.kubernetes.io/auth-signin
nginx.ingress.kubernetes.io/auth-signin-redirect-param
nginx.ingress.kubernetes.io/auth-response-headers
nginx.ingress.kubernetes.io/auth-proxy-set-headers
nginx.ingress.kubernetes.io/auth-request-redirect
nginx.ingress.kubernetes.io/auth-always-set-cookie

Эти аннотации описывают изменения, вносимые в auth-request, app-request и cli-response на диаграмме выше.

Конфигурация связанных аннотаций

auth-url

URL для auth-request, значение может быть переменной.

auth-method

Метод для auth-request.

auth-proxy-set-headers

X-Original-URI          $request_uri;
X-Scheme                $pass_access_scheme;
X-Original-URL          $scheme://$http_host$request_uri;
X-Original-Method       $request_method;
X-Sent-From             "alb";
X-Real-IP               $remote_addr;
X-Forwarded-For         $proxy_add_x_forwarded_for;
X-Auth-Request-Redirect $request_uri;

Конфигурация аннотаций, связанных с app-request

auth-response-headers

nginx.ingress.kubernetes.io/auth-response-headers: Remote-User,Remote-Name

Когда ALB инициирует app-request, он включит Remote-User и Remote-Name из заголовков auth-response.

Конфигурация, связанная с Redirect sign

Значение — URL, задаёт заголовок location в cli-response.

auth-request-redirect

Устанавливает заголовок x-auth-request-redirect в auth-request.

basic-auth

basic-auth — процесс аутентификации, описанный в RFC 7617. Процесс взаимодействия следующий:

auth-realm

описание защищённой области Это значение realm в заголовке WWW-Authenticate cli-response. WWW-Authenticate: Basic realm="$realm"

auth-type

Тип схемы аутентификации, в настоящее время поддерживается только basic

auth-secret

Ссылка на секрет с именем пользователя и паролем, формат ns/name

auth-secret-type

Секрет поддерживает два типа:

auth-file: данные секрета содержат только один ключ "auth", значение — строка в формате Apache htpasswd. Например:
```
data:
  auth: "user1:$apr1$xyz..."
```
auth-map: в данных секрета каждый ключ — это имя пользователя, а соответствующее значение — хэш пароля (без имени пользователя в формате htpasswd). Например:
```
data:
  user1: "$apr1$xyz...."
  user2: "$apr1$abc...."
```

CR

auth:
  # Конфигурация базовой аутентификации
  basic:
    #  string; соответствует nginx.ingress.kubernetes.io/auth-type: basic
    auth_type: "basic"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-realm
    realm: "Restricted Access"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-secret
    secret: "ns/name"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-secret-type
    secret_type: "auth-map|auth-file"
  # Конфигурация Forward аутентификации
  forward:
    #  boolean; соответствует nginx.ingress.kubernetes.io/auth-always-set-cookie
    always_set_cookie: true
    #  string; соответствует nginx.ingress.kubernetes.io/auth-proxy-set-headers
    auth_headers_cm_ref: "ns/name"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-request-redirect
    auth_request_redirect: "/login"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-method
    method: "GET"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-signin
    signin: "/signin"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-signin-redirect-param
    signin_redirect_param: "redirect_to"
    #  []string; соответствует nginx.ingress.kubernetes.io/auth-response-headers
    upstream_headers:
      - "X-User-ID"
      - "X-User-Name"
      - "X-User-Email"
    #  string; соответствует nginx.ingress.kubernetes.io/auth-url
    url: "http://auth-service/validate"

Поддерживается конфигурация Auth на:

Alb CR в .spec.config.auth
Frontend CR в .spec.config.auth
Rule CR в .spec.config.auth

Порядок наследования: Alb > Frontend > Rule. Если дочерний CR не настроен, используется конфигурация родительского CR.

Специальная аннотация Ingress для ALB

При обработке Ingress ALB определяет приоритет на основе префикса аннотации. Приоритет от высокого к низкому:

index.$rule_index-$path_index.alb.ingress.cpaas.io
alb.ingress.cpaas.io
nginx.ingress.kubernetes.io

Auth-Enable

alb.ingress.cpaas.io/auth-enable: "false"

Другие функции, связанные с аутентификацией в Ingress-Nginx

Global-Auth

No-Auth-Locations

Примечание: несовместимые моменты с Ingress-Nginx

Не поддерживается auth-keepalive
Не поддерживается auth-snippet
Не поддерживается auth-cache
Не поддерживается auth-tls
Basic-auth поддерживает только basic, digest не поддерживается
Basic-auth basic поддерживает только алгоритм apr1, bcrypt, sha256 и др. не поддерживаются

Устранение неполадок

Проверьте логи контейнера Nginx в pod ALB
Проверьте заголовок X-ALB-ERR-REASON в ответе

ACP CLI (ac)

Управление узлами

Управляемые кластеры

Импорт кластеров

Инициализация кластера в публичном облаке

Инициализация сети

Инициализация хранилища

Как сделать

Как сделать

Управление резервным копированием

Управление восстановлением

Архитектура

Основные понятия

Руководства

Как сделать

ALB

Устранение неполадок

Основные понятия

Руководства

Как сделать

Устранение неполадок

Установка

Основные понятия

Руководства

Как сделать

Восстановление после сбоев

Основные понятия

Руководства

Как сделать

Руководства

Как сделать

Соответствие требованиям

Как сделать

API Refiner

Пользователь

Руководства

Группа

Руководства

Роль

Руководства

IDP

Руководства

Устранение неполадок

Политика пользователя

Руководства

Обзор

Образы

Руководства

Как сделать

Виртуальная машина

Руководства

Как сделать

Устранение неполадок

Сеть

Руководства

Как сделать

Хранение данных

Руководства

Резервное копирование и восстановление

Руководства

Основные понятия

Пространства имён

Создание приложений

Эксплуатация и сопровождение приложений

Развертывание приложений

KEDA (Kubernetes Event-driven Autoscaling)

Как сделать

Рабочие нагрузки

Конфигурации

Наблюдаемость приложения

Как сделать

Как сделать

Установка

Руководство пользователя

Обзор

Установка

Обновление

Руководства

Как сделать

Основные понятия