学习笔记

kubernetes nginx ingress custom 401/500 page

刘经济发表于 2022-02-21 14:30:41 标签： k8s

在k8s中，通常会使用ingress的方式将内部服务进行暴露，与此同时会加上鉴权的功能，如：Basic Auth、Oauth2和JWT等等。

使用方法

在Ingress资源的metadata的annotations中增加nginx.ingress.kubernetes.io/auth-url来指定鉴权的地址。如：nginx.ingress.kubernetes.io/auth-url: http://10.11.0.123:8081/api-auth

这样一来，我们在编写/api-auth这个接口的时候，可以根据请求头拿到客户端的认证信息，进而判断是否对其请求进行放行，返回状态码为200即为放行，nginx会将客户端的请求转发到对应的后端服务；返回状态码为401即表示没有授权，nginx直接对其拦截，并返回给客户端默认的响应。

响应Header头：

HTTP/2 401
date: Mon,21 Feb 2022 06:42:41 GMT
content-type: text/html
content-length: 574

响应Body体：

<html>
<head><title>401 Authorization Required</title></head>
<body>
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx</center>
</body>
</html>
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->

但是客户端仅知道请求是因为授权问题被拒绝了，但是不知道具体的原因，如果需要得知具体的拒绝原因，可以按照如下方法进行优化。

优化方法

因为nginx中没有直接获取upsream返回结果的方法（可通过重新编译，用Lua实现），但是可获取到响应头，所以我们利用响应头来返回拒绝的原因。

首先，在/api-auth中，增加一个响应头my_auth_error，内容可以直接填写您需要返回给客户端的原因，我这里会填入一个json串的Base64编码值。

然后我们回到nginx-ingress的配置文件，增加两个声明：nginx.ingress.kubernetes.io/configuration-snippet和nginx.ingress.kubernetes.io/server-snippet。

metadata:
  # 此处省略N个字
  annotations:
    nginx.ingress.kubernetes.io/auth-url: http://10.11.0.123:8081/api-auth
    nginx.ingress.kubernetes.io/configuration-snippet: |
      error_page 401 = @ingress_service_custom_error_401;
      
      auth_request_set $my_auth_error $upstream_http_wwd_auth_error;
      auth_request_set $my_auth_error_content_type $upstream_http_content_type;
      auth_request_set $my_auth_status $upstream_status;
    nginx.ingress.kubernetes.io/server-snippet: |
      location @ingress_service_custom_error_401 {
        internal;

        # Decode auth response header
        set_decode_base64 $my_auth_error_decoded $my_auth_error;

        # Return the error from auth service if any
        if ($my_auth_error_decoded != ""){
          add_header Content-Type $my_auth_error_content_type always;
          return 401 $my_auth_error_decoded;
        }

        # Fall back to default nginx response
        return 401;
      }
  # 此处省略N个字

配置解释

configuration-snippet用来对location进行自定义配置，上面对401的错误页面定义了一个@ingress_service_custom_error_401，然后增加了3个变量my_auth_error、my_auth_error_content_type和my_auth_status分别取值自定义响应头、响应类型和响应状态码。

server-snippet用来对server块进行自定义配置，上面相当于在server块增加了一个location，该location即为401时的默认响应，其中会对my_auth_error进行base64解码，然后判断解码内容，若其内容为空，则直接返回最初的默认401页面，否则在响应头中增加Content-Type为具体的自定义类型，并返回401状态码和自定义响应Body。

如此一来，就可以实现nginx-ingress根据auth接口响应的结果来执行不同的行为。最终实现不同的效果。

响应头：

HTTP/2 401
date: Mon, 21 Feb 2022 07:14:36 GMT
content-type: text/html
content-length: 51
content-type: application/json

响应Body体：

{
  "message": "用户未登录",
  "code": 14,
  "data": null
}

时间	事件
2017/01/17	考虑到服务器5个月后到期，无法提供一个月65元的费用（因为性价比），寻求新的方式
2017/01/18	快速学习Hexo与Github Pages，初步学习如此方式的博客
2017/01/19	配置Hexo和域名解析，完成以前的文章的迁移（图片还没找到合适的方法），imsry.cn域名正式使用！

字符	实体	字符	实体	字符	实体	字符	实体
´	´	©	©	>	>	µ	µ
&	&	°	°	¡	¡
¦	¦	÷	÷	¿	¿	¬	¬
§	§	•	•	½	½	«	«
¶	¶	¨	¨	§	§	•	•
½	½	«	«	¶	¶	¨	¨
¸	¸	¼	¼	<	<	±	±
×	×	¢	¢	¾	¾	¯	¯
“	"	™	™	€	€	£	£
¥	¥	„	&bdquo;	…	…	·	·
›	&rsaquo;	ª	ª	ˆ	&circ;	“	“
—	—	’	’	º	º	†	&dagger;
‹	&lsaquo;	–	–	‚	&sbquo;	”	”
‡	&Dagger;	‘	‘	‰	&permil;
˜	&tilde;	≈	≈	⁄	&frasl;	←	←
∂	∂	♠	&spades;	∩	∩	≥	≥
≤	≤	″	″	∑	∑	♣	&clubs;
↔	↔	◊	&loz;	′	′	↑	↑
↓	↓	♥	&hearts;	−	−	∏	∏
‍	&zwj;	♦	&diams;	∞	∞	≠	≠
√	√	‌	&zwnj;	≡	&equiv;	∫	∫
‾	&oline;	→	→	α	α	η	η
μ	μ	π	π	θ	θ	β	β
γ	γ	ν	ν	ψ	ψ	υ	υ
χ	χ	ι	ι	ω	ω	ρ	ρ
ξ	ξ	δ	δ	κ	κ	ο	ο
σ	σ	ζ	ζ	ε	ε	λ	λ
φ	φ	τ	τ	Α	Α	Η	Η
Μ	Μ	Π	Π	Θ	Θ	Β	Β
Γ	Γ	Ν	Ν	Ψ	Ψ	Υ	Υ
Χ	Χ	Ι	Ι	Ω	Ω	Ρ	Ρ
Ξ	Ξ	Δ	Δ	Κ	Κ	Ο	Ο
Σ	Σ	Ζ	Ζ	Ε	Ε	Λ	Λ
Φ	Φ	Τ	Τ	ς	&sigmaf;

HTML原代码	显示结果	描述
<	<	小于号或显示标记
>	>	大于号或显示标记
&	&	可用于显示其它特殊字符
"	“	引号
®	®	已注册
©	©	版权
™	™	商标
&ensp;		半个空白位
&emsp;		一个空白位
		不断行的空白

文章归档

使用方法

优化方法

配置解释

参考资料

介绍

实验

原始材料

尝试球形转方形

画面旋转

写在前面

前置条件

物联网平台

设备端

注册流程

第一步：生成验签参数

问题分析

首先

再者

首先

再者

关于Docker以及Dockerfile

创建自己的PHP7.3镜像

一、渐进符号

第一步，安装certbot

第二步，运行certbot

type-1.仅仅制作证书

阅读文档：

阅读文档：

阅读文档：

阅读文档：

阅读文档：

阅读文档：

方法一： PHP自带函数

写在前面的话：

使用场景

错误日志（error_log）

慢查询日志（slow_query_log）

二进制查询日志（bin_log）

通用查询日志（general_log）

上面的废话只是简单描述我遇到这个问题是如何应对的

提要

敲黑板了（实现）

擦黑板了（原理）

转眼间，青春不再年华

两年，或许是个新开始

MarkDown的学习

非技术篇：

冒泡：

水仙花数

题目：已知单链表H，写一算法将其倒置。

问题背景

排查过程

一、C/C++篇

第一章：

使用Altova XMLSpy 2010软件编写XML文档

第二章：

创建通讯录的XML文档

第三章：

3-1：使用内部DTD编写动物园内动物信息的XML文档

3-2：结合已知外部DTD创建XML文档

1、所需工具和资源

2、具体步骤

1、首先启动glassfish服务器，在地址栏中输入http://localhost:4848/,进入服务器的配置界面,如下:

2、在Common Tasks下选择Resources的JDBC，可以看到JDBC资源(JDBC Resources)和Connection Pools(连接池)，在Connection Pools(连接池)中点击New按钮，建立一个连接池jdbc_new，如下：

问题一：Apache无法正常启动？

一、现有情况：

二、预期效果：

vi /etc/my.cnf

/etc/init.d/mysqld restart

/usr/bin/mysql

vi /etc/my.cnf

/etc/init.d/mysqld restart