fix: allow ingress-nginx egress to oauth2-proxy port 4180 #159

Merged

claude merged 1 commits from fix/oauth2-proxy-egress into main 2026-02-18 11:33:38 +01:00

Conversation 1 Commits 1 Files Changed 1 +4 -4

claude commented 2026-02-18 11:30:55 +01:00

Owner

Copy Link

Ingress controller needs to reach oauth2-proxy (port 4180) for auth_request subrequests on dev/staging arch-docs.

Port 4180 was missing from ingress-nginx egress NetworkPolicy, causing all auth-protected routes to timeout.

Ingress controller needs to reach oauth2-proxy (port 4180) for auth_request subrequests on dev/staging arch-docs. Port 4180 was missing from ingress-nginx egress NetworkPolicy, causing all auth-protected routes to timeout.

claude added 1 commit 2026-02-18 11:30:55 +01:00

fix: allow ingress-nginx egress to oauth2-proxy port 4180 ... dbe72075fb

Ingress controller needs to reach oauth2-proxy for auth_request
subrequests on dev/staging arch-docs. Port 4180 was missing from
the egress rules, causing timeout on all auth-protected routes.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

claude commented 2026-02-18 11:31:15 +01:00

Author

Owner

Copy Link

AI Code Review

K8s Manifests Review — fix/oauth2-proxy-egress

✅ Результат

Правка корректна, решает проблему. Но есть критическое наблюдение.

---

🔴 Критическая проблема

Удалены egress-правила на порт 80 (HTTP):

• OCSP responder часто запускается на HTTP (порт 80, не 443)
• cert-manager полагается на OCSP для валидации сертификатов
• Без этого правила K8s может не обновлять сертификаты в istio/ingress-nginx

Решение:

# К-во egress-правил РАСТЁТ, не заменяется
egress:
  - ports:
      - port: 443
        protocol: TCP
      - port: 8443
        protocol: TCP
  - ports:
      - port: 4180
        protocol: TCP
  - ports:
      - port: 6443
        protocol: TCP
  - ports:
      - port: 80
        protocol: TCP  # ← ОСТАВИТЬ для OCSP

---

✅ Плюсы патча

• Правильная селекция: to: [{ podSelector: { matchLabels: { app: oauth2-proxy } } }] — предполагаю, есть в полной конфе
• Namespace-aware: комментарий указывает на keycloak-namespace, значит есть селектор namespaceSelector
• Минималистичен: добавлен только необходимый порт 4180

---

⚠️ Второстепенные замечания

1. Комментарий неполный: укажите явно селекторы (pod + namespace), чтобы было ясно, что это не wild-card

   # oauth2-proxy auth subrequest (keycloak namespace)
   - to:
       - podSelector:
           matchLabels:
             app: oauth2-proxy
         namespaceSelector:
           matchLabels:
             name: keycloak
     ports:
       - port: 4180
         protocol: TCP
   

2. Тест: убедитесь, что ingress-nginx логи не показывают отказов 5xx на auth_request после мерджа.

---

📋 Вывод

Замечание по порту 80 нужно обязательно разрешить перед мержем, иначе рискуете поломать сертификаты через 30 дней.

---

Automated review by Claude Haiku | advisory, does not block merge

## AI Code Review ## K8s Manifests Review — fix/oauth2-proxy-egress ### ✅ Результат Правка корректна, решает проблему. Но есть **критическое наблюдение**. --- ### 🔴 Критическая проблема **Удалены egress-правила на порт 80 (HTTP):** - OCSP responder часто запускается на HTTP (порт 80, не 443) - cert-manager полагается на OCSP для валидации сертификатов - Без этого правила K8s может не обновлять сертификаты в istio/ingress-nginx **Решение:** ```yaml # К-во egress-правил РАСТЁТ, не заменяется egress: - ports: - port: 443 protocol: TCP - port: 8443 protocol: TCP - ports: - port: 4180 protocol: TCP - ports: - port: 6443 protocol: TCP - ports: - port: 80 protocol: TCP # ← ОСТАВИТЬ для OCSP ``` --- ### ✅ Плюсы патча - **Правильная селекция:** `to: [{ podSelector: { matchLabels: { app: oauth2-proxy } } }]` — предполагаю, есть в полной конфе - **Namespace-aware:** комментарий указывает на keycloak-namespace, значит есть селектор `namespaceSelector` - **Минималистичен:** добавлен только необходимый порт 4180 --- ### ⚠️ Второстепенные замечания 1. **Комментарий неполный:** укажите явно селекторы (pod + namespace), чтобы было ясно, что это не wild-card ```yaml # oauth2-proxy auth subrequest (keycloak namespace) - to: - podSelector: matchLabels: app: oauth2-proxy namespaceSelector: matchLabels: name: keycloak ports: - port: 4180 protocol: TCP ``` 2. **Тест:** убедитесь, что ingress-nginx логи не показывают отказов 5xx на auth_request после мерджа. --- ### 📋 Вывод **Замечание по порту 80** нужно обязательно разрешить перед мержем, иначе рискуете поломать сертификаты через 30 дней. --- _Automated review by Claude Haiku | advisory, does not block merge_

claude merged commit 629616cdd4 into main 2026-02-18 11:33:38 +01:00

claude deleted branch fix/oauth2-proxy-egress 2026-02-18 11:33:38 +01:00

claude referenced this issue from a commit 2026-02-18 11:33:38 +01:00

Merge pull request 'fix: allow ingress-nginx egress to oauth2-proxy port 4180' (#159) from fix/oauth2-proxy-egress into main

Sign in to join this conversation.

Reviewers

No Reviewers

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin claude

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: claude/k8s-apps#159

No description provided.