使用Dex实现Solo-io Gloo网关的OAuth身份认证

前言

在现代微服务架构中，API网关的安全认证是至关重要的环节。Solo-io Gloo作为一个功能强大的API网关，提供了灵活的认证机制。本文将详细介绍如何利用Dex身份提供者(Identity Provider)为Gloo网关配置OAuth认证流程。

什么是Dex

Dex是一个开源的OpenID Connect(OIDC)身份枢纽，它充当了认证中间件的角色。Dex的主要优势在于：

1. 提供统一的OIDC接口
2. 支持多种后端认证方式（LDAP、SAML、其他OIDC提供商等）
3. 允许在不影响系统其他部分的情况下更换认证后端
4. 可以与Kubernete API服务器集成

准备工作

环境要求

在开始配置前，请确保：

1. 已安装并运行Gloo网关
2. 拥有Kubernete集群管理权限
3. 了解基本的OAuth/OIDC概念

注意事项

由于Gloo的外部认证服务需要与OIDC提供者通信，认证流程可能超过默认的200ms超时时间。建议在全局设置中调整requestTimeout值。

部署示例应用

我们使用一个宠物诊所(Petclinic)应用作为演示：

kubectl apply -f <petclinic应用YAML地址>

创建虚拟服务

定义基础路由规则，将所有请求转发到petclinic服务：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: petclinic
  namespace: gloo-system
spec:
  virtualHost:
    domains: ['*']
    routes:
    - matchers: [{prefix: /}]
      routeAction:
        single:
          kube:
            ref: {name: petclinic, namespace: default}
            port: 80

通过端口转发测试应用是否可访问：

kubectl -n gloo-system port-forward svc/gateway-proxy 8080:80

配置Dex身份提供者

Dex Helm配置

创建dex-values.yaml配置文件：

config:
  issuer: http://dex.gloo-system.svc.cluster.local:32000
  staticClients:
  - id: gloo
    redirectURIs: ['http://localhost:8080/callback']
    name: 'GlooApp'
    secret: secretvalue
  enablePasswordDB: true
  storage: {type: memory}
  staticPasswords:
  - email: "admin@example.com"
    hash: "$2a$10$2b2cU8CPhOTaGrs1HRQuAueS7JTT5ZHsHSzYiFPm1leZck7Mc8T4W"
    username: "admin"
    userID: "08a8684b-db88-4b73-90a9-3cd1661f5466"

部署Dex

helm repo add dex <Dex Helm仓库地址>
helm install dex --namespace gloo-system dex/dex -f dex-values.yaml

配置Gloo认证

创建OAuth密钥

Gloo需要客户端密钥与Dex通信：

apiVersion: v1
kind: Secret
type: extauth.solo.io/oauth
metadata:
  name: oauth
  namespace: gloo-system
data:
  client-secret: <base64编码的secretvalue>

创建AuthConfig

定义OIDC认证配置：

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: oidc-dex
  namespace: gloo-system
spec:
  configs:
  - oauth2:
      oidcAuthorizationCode:
        appUrl: http://localhost:8080/
        callbackPath: /callback
        clientId: gloo
        clientSecretRef: {name: oauth, namespace: gloo-system}
        issuerUrl: http://dex.gloo-system.svc.cluster.local:32000/
        scopes: [email]
        session: {cookieOptions: {notSecure: true}}

更新虚拟服务

将认证配置应用到虚拟服务：

spec:
  virtualHost:
    options:
      extauth:
        configRef: {name: oidc-dex, namespace: gloo-system}

测试配置

1. 端口转发Dex服务：

   kubectl -n gloo-system port-forward svc/dex 32000:32000
   

2. 添加本地域名解析：

   echo "127.0.0.1 dex.gloo-system.svc.cluster.local" | sudo tee -a /etc/hosts
   

3. 访问应用：

   • 打开浏览器访问http://localhost:8080
   • 使用admin@example.com/password登录

故障排查

常见问题

1. 404错误：确保路由配置包含/callback路径
2. 超时问题：检查并调整requestTimeout设置
3. 证书问题：生产环境应配置SSL证书

查看日志

kubectl logs -n gloo-system deploy/extauth -f

成功配置后应看到日志："got new config"

清理资源

完成测试后，执行以下命令清理：

# 删除域名解析条目
sudo sed '/127.0.0.1 dex.gloo-system.svc.cluster.local/d' /etc/hosts

# 停止端口转发
kill <port-forward进程ID>

# 删除Kubernete资源
helm delete --purge dex
kubectl delete -n gloo-system secret oauth
kubectl delete virtualservice -n gloo-system petclinic
kubectl delete authconfig -n gloo-system oidc-dex
kubectl delete -f <petclinic应用YAML地址>

总结

通过本文，我们完成了使用Dex为Gloo网关配置OIDC认证的全过程。这种集成方式不仅提供了强大的认证能力，还能灵活适应各种身份验证后端。生产环境中，建议进一步配置SSL证书和更复杂的用户存储方案。