Eclipse Che在EKS集群上的授权问题分析与解决方案

问题背景

在Kubernetes环境中部署Eclipse Che时，经常会遇到授权相关的问题。本文将重点分析在Amazon EKS集群上部署Eclipse Che时出现的"Unauthorized"错误，以及如何解决这些问题。

典型错误表现

用户在使用Keycloak作为OIDC身份提供者(IdP)部署Eclipse Che到EKS集群后，会遇到以下两类主要错误：

1. 工作空间列表获取失败：控制台显示"Failed to fetch available workspaces, reason: Failed to fetch the list of devWorkspaces. Unable to list devworkspaces: Unauthorized"

2. 用户信息获取失败：显示"Failed to fetch the user profile data. Unable to get user profile data: Unauthorized"

3. 工作空间创建失败：尝试创建空工作空间时出现"Unable to create devworkspace: Unauthorized"错误

根本原因分析

通过日志分析，可以发现几个关键问题点：

1. Kubernetes API请求认证失败：从日志中可以看到，Eclipse Che Dashboard尝试向Kubernetes API服务器(172.20.0.1:443)发送请求时收到了401 Unauthorized响应。

2. OIDC配置问题：虽然Keycloak作为OIDC提供者已正确配置，但EKS集群未能正确识别来自Keycloak的身份令牌。

3. 域名解析问题：关键发现是使用了私有域名，导致EKS集群无法解析Keycloak的主机名，从而无法完成OIDC验证流程。

详细解决方案

1. 检查EKS OIDC配置

确保EKS集群已正确配置为信任Keycloak作为OIDC提供者。这包括：

• 在EKS集群上创建OIDC身份提供者
• 配置正确的Keycloak Realm URL
• 验证客户端ID和密钥匹配

2. 验证Eclipse Che配置

检查CheCluster自定义资源中的关键配置项：

spec:
  networking:
    auth:
      oAuthClientName: kubernetes
      oAuthSecret: xxx
      identityProviderURL: https://<keycloak-url>/realms/che
    domain: che.<che-url>.com
    tlsSecretName: che.tls

确保所有URL使用可公开解析的域名，而非内部IP地址或私有域名。

3. 解决域名解析问题

这是最常见的根本原因。必须确保：

• Keycloak的URL是公开可解析的
• EKS集群节点能够解析该域名
• 不使用内部IP地址(如172.20.0.1)作为任何服务的端点

4. 验证RBAC配置

检查Kubernetes RBAC配置，确保：

• Eclipse Che服务账户有足够权限
• OIDC用户被授予了适当角色
• 工作空间命名空间中的权限设置正确

最佳实践建议

1. 使用公开域名：始终为所有服务端点配置公开可解析的域名，避免使用内部IP或私有域名。

2. 分阶段验证：

   • 首先验证Keycloak独立工作
   • 然后验证EKS OIDC集成
   • 最后验证Eclipse Che集成

3. 日志分析：遇到问题时，按顺序检查以下组件日志：

   • Eclipse Che Dashboard
   • Che Gateway (特别是oauth-proxy和kube-rbac-proxy)
   • Keycloak服务器

4. 测试认证流程：使用kubectl和原始OIDC令牌手动测试认证流程，隔离问题。

总结

Eclipse Che在EKS上的授权问题通常源于OIDC配置或域名解析问题。通过系统性地验证每个集成点，并确保使用公开可解析的域名，可以解决大多数"Unauthorized"错误。记住，Kubernetes生态系统对域名解析有严格要求，特别是在涉及OIDC等安全组件时，必须确保所有相关服务都能正确解析彼此的主机名。