問題タブ [ambassador]

Google Cloud GCP に 2 つの Kubernetes クラスタ cluster-a、cluster-b があります。クラスター (クラスター a) でアンバサダーで公開されているサービスを、同じ GCP プロジェクト内の別のクラスター (クラスター b) から呼び出すことはできますか? VPC は異なりますか?

現在、アンバサダー サービス名でサービスを呼び出すことができます (同じクラスターで実行する場合)。

Internal TCP/UDP Load Balancingについて読みましたが、クラスター a とクラスター b が同じ VPC ネットワークにあり、クラスターが異なる VPC にある場合にのみ機能します。

それを達成するための別のアプローチはありますか？

Keycloak に対して x509 証明書を使用してクライアント認証を実行する方法を理解するために、いくつかのヒントが必要です。

シンプルな Spring Boot Web App (API REST) を Kubernetes クラスターに組み込みました。この Web アプリは、API Gateway (Ambassador) を介して公開されており、現在、ユーザーが自分のユーザー名とパスワードを入力できる Keycloak ログイン ページへのブラウザー リダイレクトで保護されています。

しかし、これは私たちが望むものではありません。私たちに必要なのは、クライアント認証 (React Native Mobile App) です。

• モバイル アプリはサーバー API REST エンドポイントを呼び出そうとします
• アンバサダーは有効なアクセス トークンをチェックし、(そうでない場合) 403 http ステータス (ブラウザー リダイレクトなし) で応答します。
• その後、モバイルアプリは認証を実行するために Keycloak にリダイレクトします
• Keycloak はユーザー名/パスワードのログイン ページを表示しませんが、代わりに、モバイル アプリはブラウザーを介して x509 ユーザー証明書を渡します。

残念ながら、IdP からアクセス トークンを取得するために、ユーザー データ (情報、ロールなど) を含む有効で信頼できる x509 証明書を生成する方法がわかりません。

そして... IdP はどのようにこのクライアント証明書をチェックして検証できますか? Keycloakのどこかにサーバー証明書の対応物をインストールする必要がありますか?

クライアント証明書をキークロークに渡すための正しい形式 (CURL など) は何ですか? 秘密鍵も渡す必要がありますか?その理由は?