【traefik】forwadAuth中间件跨namespace请求的问题

前情提要 - fowardAuth鉴权中间件的使用:

【traefik】使用forwardAuth中间件做网关层的全局鉴权

1. 问题

我的 traefik-ingress-controller 所在 namespace: traefik

业务服务所在 namespace: apps

路由与 forwardAuth 中间件配置如下:

复制代码
# 路由
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: whoami-ingressroute
  namespace: apps
spec:
  entryPoints:
    - http
  routes:
    - match: Host(`vm.apps.com`) && PathPrefix(`/`)
      kind: Rule
      services:
        - name: whoami-svc
          port: 80
      middlewares:
        - name: forward-auth    # 鉴权中间件

# 鉴权中间件
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: forward-auth
  namespace: apps
spec:
  forwardAuth:
    address: "http://whoami-svc:80/forwardAuth"   # 转发到whoami-svc这个service

发现 traefik 找不到这个 address 地址,traefik 日志报错如下:

msg="Error calling http://whoami-svc:80/forwardAuth. Cause: Get \"http://whoami-svc:80/forwardAuth\\": dial tcp: lookup whoami-svc on 10.96.0.10:53: no such host" middlewareName=apps-forward-auth@kubernetescrd middlewareType=ForwardedAuthType

2. 解决

这个请求是一个跨 namespace 的请求,即 traefik-ingress-controller(在 ns: traefik 下)经过中间件请求 http://whoami-svc:80/forwardAuth 时,k8s DNS 根据 traefik 当前所在的 namespace 解析这个域名,而 ns: traefik 中并没有 whoami-svc 这个 service,因此解析失败。

因此,当你的 traefik 需要使用跨 namespace 的功能时,最好在 address 中配置完整的、携带 ns 名称的域名,即:

复制代码
将
  forwardAuth:
    address: "http://whoami-svc:80/forwardAuth"
改为
  forwardAuth:
    address: "http://whoami-svc.apps:80/forwardAuth"   # 显式指明apps这个ns

这样做的好处是增加了配置的明确性和可靠性,尤其是在多命名空间环境中。

这样可以确保无论 traefik 位于哪个命名空间,它都能正确解析到目标服务。

相关推荐
lovely_nn6 小时前
docker 介绍
docker·k8s
一只程序汪11 小时前
【如何实现分布式压测中间件】
分布式·中间件
William一直在路上12 小时前
主流分布式中间件及其选型
分布式·中间件
退役小学生呀10 天前
三、kubectl使用详解
云原生·容器·kubernetes·k8s
ALe要立志成为web糕手10 天前
Kubernetes安全
安全·web安全·网络安全·k8s·云安全
listhi52010 天前
深入浅出Node.js中间件机制
中间件·node.js
骆驼Lara11 天前
前端跨域解决方案(7):Node中间件
前端·javascript·中间件
无糖钨龙茶11 天前
理解后端开发中的中间件(以gin框架为例)
中间件·go·gin
白总Server11 天前
轻量化分布式AGI架构:基于区块链构建终端神经元节点的互联网智脑
分布式·microsoft·中间件·架构·区块链·github·agi