De NetworkPolicy output laat precies zien waarom de verbinding wordt geweigerd. Het probleem zit in de logica van het eerste ingress-blok:

ingress:

• ports:
  • port: 8080 protocol: TCP
  • port: 7800 protocol: TCP

Omdat hier geen from-sectie is gedefinieerd, blokkeert Kubernetes (afhankelijk van de gebruikte CNI-netwerkplugin, zoals Cilium of Calico) al het inkomende verkeer op poort 8080, tenzij het specifiek matcht met de regels daaronder. De enige pod die nu wél expliciet toegang heeft tot poort 8080 en 7800, is de keycloak-config-cli pod. De Django-applicatie (docs-backend) wordt volledig buitengesloten. We gaan de policy zo aanpassen dat alle pods uit de default namespace verbinding mogen maken met Keycloak op poort 8080.

De Oplossing

Pas de NetworkPolicy handmatig aan in het cluster:

1. Open de policy in de editor:

kubectl edit networkpolicy keycloak-keycloak -n default

2. Zoek het ingress: blok op en vervang het volledig door deze structuur (dit voegt de default namespace en de pod-selectors correct samen):

spec: egress:

• {} ingress:
• from:
  • namespaceSelector: matchLabels: kubernetes.io/metadata.name: default ports:
  • port: 8080 protocol: TCP
  • port: 7800 protocol: TCP

1. Sla het bestand op en sluit de editor (:wq in Vim of Ctrl+O -> Enter -> Ctrl+X in Nano).

Waarom lost dit het probleem op?

Door de namespaceSelector direct te koppelen aan de poorten 8080 en 7800, vertel je de Kubernetes firewall dat elke pod die in de default namespace leeft (inclusief jouw docs-backend, meet-backend en drive-backend) via het interne netwerk met Keycloak mag praten. Zodra je de policy hebt opgeslagen, is de wijziging direct actief. Probeer de login in je Django-applicatie opnieuw uit. Is de Connection refused foutmelding nu verdwenen en loopt de OAuth-callback succesvol door?