Eclipse Che 企业网络环境下GitHub令牌添加问题解析

2025-05-30 07:41:25作者：范靓好Udolf

在企业级开发环境中，Eclipse Che作为一款流行的云原生IDE平台，经常需要配置网络服务来访问外部资源。本文将深入分析在企业网络环境下添加GitHub个人访问令牌(PAT)时出现的连接超时问题及其解决方案。

问题现象

在企业网络环境中部署Eclipse Che 7.98版本后，当用户尝试在UI界面添加GitHub个人访问令牌时，系统会出现HTTP连接超时错误。具体表现为：

添加令牌后，Che服务器Pod日志中出现大量"HTTP connect timed out"错误
用户界面响应缓慢，需要等待超时后才能继续操作
错误日志显示Che服务器无法通过网络服务连接到GitHub API

根本原因分析

经过深入排查，发现该问题由以下因素共同导致：

网络策略配置不当：Che服务器Pod与网络服务之间的网络策略错误地使用了服务端口而非Pod端口，导致实际连接无法建立。
网络配置传递不完整：虽然CheCluster CRD中正确配置了网络服务信息，但这些配置未能完全传递给Java应用的HTTP客户端。
JVM网络参数缺失：Java应用未正确设置-Dhttp.proxyHost和-Dhttps.proxyHost等JVM参数，导致无法通过网络服务访问外部资源。

解决方案

1. 修正网络策略配置

确保网络策略中允许Che服务器Pod访问网络服务的实际工作端口，而不仅是服务端口。这是最关键的修复点。

2. 完善网络配置

在CheCluster自定义资源中，确保网络配置完整且正确：

spec:
  components:
    cheServer:
      proxy:
        nonProxyHosts:
          - 127.0.0.0/8
          - 10.0.0.0/8
          - 172.16.0.0/12
          - 192.168.0.0/16
          - .example.com
          - localhost
          - .svc.cluster.local
          - .svc
        port: '8080'
        url: http://network-service.network-namespace.svc.cluster.local

3. 补充JVM网络参数

通过环境变量为Che服务器容器添加必要的JVM参数：

spec:
  components:
    cheServer:
      deployment:
        containers:
          - env:
              - name: JAVA_OPTS
                value: >-
                  -Dhttp.proxyHost=network-service.network-namespace.svc.cluster.local
                  -Dhttp.proxyPort=8080
                  -Dhttps.proxyHost=network-service.network-namespace.svc.cluster.local
                  -Dhttps.proxyPort=8080
                  -Dhttp.nonProxyHosts="localhost|127.0.0.1|10.*|*.svc|*.svc.cluster.local|*.example.com"
                  -Dhttps.nonProxyHosts="localhost|127.0.0.1|10.*|*.svc|*.svc.cluster.local|*.example.com"
            name: che