всем привет,
пишу сюда, потому что вопрос по теме больше к unix тяготеет.

Задача:
нужно решить вопрос авторизации пользователя (OAuth2) на уровне кластера.

С k8s начал недавно. Изучил доку в общих чертах и обнаружил что вопрос авторизации пользоватлей для микросервисов (spring boot) исполняющихся в pod не решен. Т.е. концепт авторизации (как он должен быть) работает на уровне системных вызово к KubernetesAPI, но для пользователских задач его применить напрямую нельзя. Пишут мол, решение есть от сторонних разработчиков. Я честно сказать растерялся уже, потому что гугл конечно сыпет корзину, но всё изучить сразу невозможно. Подскажите кто сталкивался какое решение целесообразно выбрать ?

PS.
в букваре пишут что K8s предлагает концепцию CustomResourceDefinition, которая позволяет описать пользовательский ресурс (в терминах k8s ), создать для него контроллер, посадить контроллер в pod и таким образом как бы решить специфическую задачу. Если кто-то с подобным решением сталкивался, буду благодарен за ссылку, чтобы изучить.

bga83,

в настоящий момент так и работает. НО. Количество микросервисов имеет тренд к увеличению. В случае изменения правил доступа к микросервисам, нужно будет их переписывать вручную, что при их большом количестве явно не веселит. Поэтому оркестрировать доступ к микросервисам целесообразнее на уровне кластера.

Я выяснил, что К8s предлагает артифакт "NetworkPolicy". С его помощью можно регулировать доступ к микросервису (работающего в pod), но настройки позволяют это делать на уровне pod <-> pod. Мне же нужно регулировать доступ к pod на уровне "URL -> POD". Т.е. чисто теоретически можно было бы "перегрузить" NetworkPolicy и расширить его до необходимой функциональности. Понятно, что это примет форму CustomResourceDefinition с частным решением, но как воинтегрироваться в цепочку вызовов NetworkPolicy расширить его функциональность - открытый вопрос.