Eclipse Che在EKS集群上的授权问题分析与解决方案

问题背景

在使用Eclipse Che企业版时，用户报告了一个在Amazon EKS集群上部署后出现的授权问题。具体表现为：用户成功登录Che仪表盘后，系统无法获取工作区列表和用户配置文件数据，同时创建新工作区时出现"Unauthorized"错误。

环境配置

用户部署环境的关键配置如下：

• Kubernetes平台：Amazon EKS
• 身份提供商：Keycloak作为OIDC身份提供者
• Che版本：7.89
• 网络配置：自定义域名和TLS证书

CheCluster自定义资源配置中包含了OAuth客户端信息、Keycloak身份提供者URL以及自定义域名等关键参数。

问题现象

用户登录后，仪表盘显示以下错误：

1. 无法获取可用工作区列表，原因是"Failed to fetch the list of devWorkspaces: Unauthorized"
2. 无法获取用户配置文件数据，原因是"Unable to get user profile data: Unauthorized"
3. 尝试创建空工作区时出现"Unable to create devworkspace: Unauthorized"错误

日志分析

从日志中可以观察到几个关键点：

1. 仪表盘服务尝试通过HTTPS连接到172.20.0.1:443地址访问Kubernetes API
2. 所有对Kubernetes API的请求都返回401 Unauthorized状态码
3. 虽然配置了EKS与Keycloak的OIDC关联，但日志中没有显示任何授权请求

根本原因

经过深入分析，发现问题根源在于：

1. Kubernetes API访问配置错误：Che仪表盘尝试通过内部IP地址(172.20.0.1)而非配置的自定义域名访问Kubernetes API
2. EKS OIDC关联失败：虽然用户配置了EKS与Keycloak的关联，但由于使用私有域名，EKS集群无法解析Keycloak的主机名，导致关联实际上并未生效
3. 授权流程中断：由于OIDC关联失败，Kubernetes API服务器无法验证来自Che的令牌，因此返回401未授权错误

解决方案

解决此问题的步骤如下：

1. 使用公共可解析域名：确保Keycloak使用的域名是公共可解析的，这样EKS集群才能成功验证OIDC令牌
2. 验证EKS OIDC关联：确认EKS集群与Keycloak的OIDC关联已正确建立
3. 检查网络配置：确保CheCluster资源配置中的域名与实际的公共域名一致
4. 重新部署组件：在修正配置后，重新部署相关组件使更改生效

经验总结

在EKS上部署Eclipse Che时，需要特别注意以下几点：

1. 域名解析：所有涉及的外部服务域名必须能够被EKS集群解析，建议使用公共域名
2. OIDC配置验证：部署后应验证EKS与身份提供者之间的OIDC关联是否真正生效
3. 网络配置一致性：确保CheCluster资源配置中的域名与实际访问域名一致
4. 日志监控：部署后应密切监控各组件日志，特别是授权相关的错误信息

通过解决这些问题，用户最终成功在EKS集群上部署了功能完整的Eclipse Che环境，能够正常创建和管理工作区。