Eclipse Che 在 EKS 上部署时的授权问题分析与解决方案

问题背景

在 Kubernetes 环境中部署 Eclipse Che 时，用户可能会遇到授权相关的问题。本文以一个典型场景为例，分析在 Amazon EKS 上部署 Eclipse Che 并使用 Keycloak 作为 OIDC 身份提供商时出现的授权错误及其解决方案。

问题现象

用户在 EKS 上部署 Eclipse Che 后，虽然能够成功登录到 Che 仪表板，但在尝试创建或管理工作区时遇到以下错误：

1. 获取可用工作区失败，原因是无法列出 devWorkspaces：未授权
2. 获取用户配置文件数据失败：未授权
3. 创建 devworkspace 失败：未授权

错误分析

从日志中可以观察到几个关键点：

1. Kubernetes API 请求被拒绝，返回 401 未授权状态码
2. 请求的目标地址显示为内部 IP 地址（172.20.0.1:443），而非预期的公开域名
3. 虽然配置了 EKS 与 Keycloak 的 OIDC 关联，但系统似乎没有正确使用这一配置

根本原因

经过深入排查，发现问题根源在于：

1. 域名解析问题：使用的 Keycloak 域名是私有域名，EKS 集群无法解析该主机名
2. 配置不完整：虽然设置了 OIDC 配置，但未正确验证 EKS 与 Keycloak 的关联是否真正生效
3. 网络配置：Che 集群自定义资源中指定的域名未正确应用到所有组件

解决方案

1. 使用公开可解析的域名：

   • 确保 Keycloak 和 Che 使用的域名都是公开可解析的
   • 避免使用内部或私有域名，除非有完整的 DNS 解析配置

2. 验证 EKS OIDC 配置：

   • 确认 EKS 集群已正确关联到 Keycloak
   • 检查 IAM OIDC 提供商的配置是否正确
   • 验证服务账户的信任关系

3. 完整的 CheCluster 配置：

   apiVersion: org.eclipse.che/v2
   metadata:
     name: eclipse-che
     namespace: eclipse-che
   spec:
     networking:
       auth:
         oAuthClientName: kubernetes
         oAuthSecret: your-secret-here
         identityProviderURL: https://your-keycloak-url/realms/che
       domain: che.your-public-domain.com
       tlsSecretName: che.tls
     components:
       cheServer:
         extraProperties:
           CHE_OIDC_AUTH__SERVER__URL: https://your-keycloak-url/realms/che
           CHE_OIDC_USERNAME__CLAIM: email
   

4. 网络连通性测试：

   • 从 EKS 集群内部测试能否访问 Keycloak 端点
   • 验证证书链是否完整有效

最佳实践建议

1. 部署前验证：

   • 在部署前验证所有域名都能从集群内部解析
   • 测试 OIDC 配置是否正常工作

2. 日志监控：

   • 监控 che-dashboard、che-gateway 和 kube-rbac-proxy 的日志
   • 特别关注 401 和 403 错误

3. 渐进式配置：

   • 先验证基础功能，再逐步添加高级配置
   • 每次更改后验证系统状态

4. 文档参考：

   • 参考 Eclipse Che 官方文档中的 EKS 部署指南
   • 查阅 Kubernetes 和 Keycloak 的集成文档

总结

在 EKS 上部署 Eclipse Che 时，授权问题通常与域名解析和 OIDC 配置相关。通过确保使用公开可解析的域名、正确配置 EKS OIDC 提供者以及完整设置 CheCluster 自定义资源，可以解决大多数授权问题。部署前进行充分的验证和测试是避免此类问题的关键。