🥇הפעלת Keycloak במצב HA ב-Kubernetes

TL; DR: יהיה תיאור של Keycloak, מערכת בקרת גישה בקוד פתוח, ניתוח המבנה הפנימי, פרטי תצורה.

מבוא ורעיונות מרכזיים

במאמר זה נראה את הרעיונות הבסיסיים שיש לזכור בעת פריסת אשכול Keycloak על גבי Kubernetes.

אם אתה רוצה לדעת יותר על Keycloak, עיין בקישורים בסוף המאמר. כדי להתעמק יותר בתרגול, אתה יכול ללמוד המאגר שלנו עם מודול שמיישם את הרעיונות העיקריים של מאמר זה (מדריך ההשקה נמצא שם, מאמר זה יספק סקירה כללית של המכשיר וההגדרות, משוער. מְתוּרגְמָן).

Keycloak היא מערכת מקיפה הכתובה ב-Java ובנויה על גבי שרת יישומים זבוב בר. בקיצור, זוהי מסגרת להרשאה המעניקה למשתמשי אפליקציות יכולות הפדרציה ו-SSO (כניסה יחידה).

אנו מזמינים אתכם לקרוא את הרשמי сайт או ויקיפדיה להבנה מפורטת.

השקת Keycloak

Keycloak דורש שני מקורות נתונים קבועים כדי לפעול:

מסד נתונים המשמש לאחסון נתונים מבוססים, כגון מידע משתמש
מטמון Datagrid, המשמש לשמירה במטמון של נתונים ממסד הנתונים, כמו גם לאחסון כמה מטא נתונים קצרי מועד ומשתנים לעתים קרובות, כגון הפעלות של משתמשים. מוטמע אינסוף, שהוא בדרך כלל מהיר משמעותית ממסד הנתונים. אבל בכל מקרה, הנתונים שנשמרו ב-Infinispan הם ארעיים - ואין צורך לשמור אותם בשום מקום כאשר האשכול מופעל מחדש.

Keycloak פועל בארבעה מצבים שונים:

נורמלי - תהליך אחד ויחיד, המוגדר באמצעות קובץ standalone.xml
אשכול רגיל (אפשרות זמינות גבוהה) - כל התהליכים חייבים להשתמש באותה תצורה, שיש לסנכרן באופן ידני. ההגדרות מאוחסנות בקובץ עצמאי-ha.xml, בנוסף אתה צריך לעשות גישה משותפת למסד הנתונים ומאזן עומסים.
אשכול דומיין - התחלת אשכול במצב רגיל הופכת במהירות למשימה שגרתית ומשעממת ככל שהאשכול גדל, שכן בכל פעם שהתצורה משתנה, יש לבצע את כל השינויים בכל צומת אשכול. מצב הפעולה של הדומיין פותר בעיה זו על ידי הגדרת מיקום אחסון משותף ופרסום התצורה. הגדרות אלו מאוחסנות בקובץ domain.xml
שכפול בין מרכזי נתונים - אם אתה רוצה להפעיל את Keycloak באשכול של מספר מרכזי נתונים, לרוב במיקומים גיאוגרפיים שונים. באפשרות זו, לכל מרכז נתונים יהיה אשכול משלו של שרתי Keycloak.

במאמר זה נשקול בפירוט את האפשרות השנייה, כלומר אשכול רגיל, וגם ניגע מעט בנושא של שכפול בין מרכזי נתונים, שכן הגיוני להפעיל את שתי האפשרויות הללו ב-Kubernetes. למרבה המזל, ב-Kubernetes אין בעיה עם סנכרון ההגדרות של מספר פודים (צמתי Keycloak), אז אשכול תחום זה לא יהיה מאוד קשה לעשות.

שימו לב גם שהמילה אשכול שכן שאר המאמר יחול אך ורק על קבוצה של צמתים של Keycloak הפועלים יחד, אין צורך להתייחס לאשכול Kubernetes.

אשכול Keycloak רגיל

כדי להפעיל את Keycloak במצב זה אתה צריך:

להגדיר מסד נתונים משותף חיצוני
להתקין מאזן עומסים
יש רשת פנימית עם תמיכה ב-IP Multicast

לא נדון בהקמת מאגר מידע חיצוני, שכן אין זו מטרת מאמר זה. בוא נניח שיש בסיס נתונים עובד איפשהו – ויש לנו נקודת חיבור אליו. אנו פשוט נוסיף את הנתונים הללו למשתני הסביבה.

כדי להבין טוב יותר כיצד Keycloak עובד באשכול כשל (HA), חשוב לדעת עד כמה הכל תלוי ביכולות האשכולות של Wildfly.

Wildfly משתמש במספר תתי מערכות, חלקן משמשות כאיזון עומסים, חלקן לסובלנות תקלות. מאזן העומס מבטיח זמינות של יישומים כאשר צומת אשכול עומס יתר על המידה, וסובלנות תקלות מבטיחה זמינות של יישומים גם אם כמה צומת אשכול נכשלים. חלק מתתי המערכות הללו:

mod_cluster: עובד בשילוב עם Apache כמאזן עומס HTTP, תלוי ב-TCP Multicast כדי למצוא מארחים כברירת מחדל. ניתן להחלפה באיזון חיצוני.
infinispan: מטמון מבוזר המשתמש בערוצי JGroups כשכבת תעבורה. בנוסף, הוא יכול להשתמש בפרוטוקול HotRod כדי לתקשר עם אשכול Infinispan חיצוני כדי לסנכרן את תוכן המטמון.
jgroups: מספק תמיכה בתקשורת קבוצתית עבור שירותים זמינים במיוחד המבוססים על ערוצי JGroups. צינורות בעלי שם מאפשרים לחבר מופעי יישומים באשכול לקבוצות כך שלתקשורת יש מאפיינים כמו אמינות, סדר ורגישות לכשלים.

מאזן עומסים

בעת התקנת איזון כבקר כניסה באשכול Kubernetes, חשוב לזכור את הדברים הבאים:

Keycloak מניח שהכתובת המרוחקת של הלקוח המתחבר באמצעות HTTP לשרת האימות היא כתובת ה-IP האמיתית של מחשב הלקוח. הגדרות מאזן וכניסה צריכות להגדיר כותרות HTTP בצורה נכונה X-Forwarded-For и X-Forwarded-Proto, וגם לשמור את הכותרת המקורית HOST. הגרסה העדכנית ביותר ingress-nginx (>0.22.0) משבית זאת כברירת מחדל

הפעלת הדגל proxy-address-forwarding על ידי הגדרת משתנה סביבה PROXY_ADDRESS_FORWARDING в true נותן ל-Keycloak את ההבנה שהוא עובד מאחורי פרוקסי.

אתה צריך גם להפעיל מפגשים דביקים בכניסה. Keycloak משתמש במטמון Infinispan מבוזר כדי לאחסן נתונים המשויכים להפעלת האימות הנוכחית ולהפעלת המשתמש. מטמונים פועלים עם בעלים בודד כברירת מחדל, במילים אחרות, ההפעלה המסוימת הזו מאוחסנת בצומת כלשהו באשכול, וצמתים אחרים חייבים לבצע שאילתות בו מרחוק אם הם זקוקים לגישה להפעלה זו.

ספציפית, בניגוד לתיעוד, צירוף הפעלה עם השם cookie לא עבד עבורנו AUTH_SESSION_ID. ל-Keycloak יש לולאה להפניה מחדש, לכן אנו ממליצים לבחור שם קובץ Cookie אחר עבור ההפעלה הדביקה.

Keycloak מצרף גם את שם הצומת שהגיב ראשון AUTH_SESSION_ID, ומכיוון שכל צומת בגרסה הזמינה ביותר משתמש באותו מסד נתונים, כל אחד מהם חייב מזהה צומת נפרד וייחודי לניהול עסקאות. מומלץ להכניס JAVA_OPTS פרמטרים jboss.node.name и jboss.tx.node.id ייחודי לכל צומת - אתה יכול, למשל, לשים את שם התרמיל. אם תכניס שם תרמיל, אל תשכח את מגבלת 23 התווים עבור משתני jboss, אז עדיף להשתמש ב-StatefulSet ולא ב-Deployment.

גריפה נוספת - אם הפוד נמחק או מופעל מחדש, המטמון שלו אבד. בהתחשב בכך, כדאי להגדיר את מספר בעלי המטמון לכל המטמון לשניים לפחות, כך שיישאר עותק של המטמון. הפתרון הוא לרוץ תסריט עבור Wildfly בעת הפעלת הפוד, הצב אותו בספרייה /opt/jboss/startup-scripts במיכל:

תוכן התסריט

embed-server --server-config=standalone-ha.xml --std-out=echo
batch

echo * Setting CACHE_OWNERS to "${env.CACHE_OWNERS}" in all cache-containers

/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=authenticationSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})

run-batch
stop-embedded-server

לאחר מכן הגדר את הערך של משתנה הסביבה CACHE_OWNERS לדרוש.

רשת פרטית עם תמיכה ב-IP Multicast

אם אתה משתמש ב-Weavenet כ-CNI, שידור ריבוי יפעל מיד - וצמתי ה-Keycloak שלך יראו זה את זה ברגע שהם יושקו.

אם אין לך תמיכה ב-ip multicast באשכול Kubernetes שלך, אתה יכול להגדיר את JGroups לעבוד עם פרוטוקולים אחרים כדי למצוא צמתים.

האפשרות הראשונה היא להשתמש KUBE_DNSשמשתמש headless service כדי למצוא צמתים של Keycloak, אתה פשוט מעביר ל-JGroups את שם השירות שישמש למציאת הצמתים.

אפשרות נוספת היא להשתמש בשיטה KUBE_PING, שעובד עם ה-API לחיפוש צמתים (עליך להגדיר serviceAccount עם זכויות list и get, ולאחר מכן הגדר את הפודים לעבוד עם זה serviceAccount).

הדרך שבה JGroups מוצאות צמתים מוגדרת על ידי הגדרת משתני סביבה JGROUPS_DISCOVERY_PROTOCOL и JGROUPS_DISCOVERY_PROPERTIES. עבור KUBE_PING אתה צריך לבחור תרמילים על ידי בקשה namespace и labels.

️ אם אתה משתמש ב-multicast ומפעיל שני אשכולות Keycloak או יותר באשכול Kubernetes אחד (נניח אחד במרחב השמות production, השני - staging) - צמתים של אשכול Keycloak אחד יכולים להצטרף לאשכול אחר. הקפד להשתמש בכתובת ריבוי שידור ייחודית עבור כל אשכול על ידי הגדרת משתניםjboss.default.multicast.address и jboss.modcluster.multicast.address в JAVA_OPTS.

שכפול בין מרכזי נתונים

קשר

Keycloak משתמש במספר אשכולות מטמון נפרדים של Infinispan עבור כל מרכז נתונים שבו ממוקמים אשכולות Keycloack המורכבים מצמתי Keycloak. אבל אין הבדל בין צומת Keycloak במרכזי נתונים שונים.

צמתי Keycloak משתמשים ב-Java Data Grid חיצוני (שרתי Infinispan) לתקשורת בין מרכזי נתונים. התקשורת פועלת לפי הפרוטוקול Infinispan HotRod.

יש להגדיר מטמונים של Infinispan עם התכונה remoteStore, כך שניתן לאחסן את הנתונים מרחוק (במרכז נתונים אחר, משוער. מְתוּרגְמָן) מטמונים. בין שרתי ה-JDG יש אשכולות נפרדים של אינפיניספין, כך שהנתונים המאוחסנים ב-JDG1 באתר site1 ישוכפל ל-JDG2 באתר site2.

ולבסוף, שרת ה-JDG המקבל מודיע לשרתי Keycloak על האשכול שלו באמצעות חיבורי לקוח, שהוא מאפיין של פרוטוקול HotRod. צמתי Keycloak פועלים site2 עדכן את מטמוני ה-Infinispan שלהם והפעלת המשתמש הספציפית הופכת לזמינה גם בצמתי Keycloak ב- site2.

עבור מטמונים מסוימים, אפשר גם לא לבצע גיבויים ולהימנע מכתיבת נתונים דרך שרת Infinispan לחלוטין. לשם כך עליך להסיר את ההגדרה remote-store מטמון ספציפי של Infinispan (בקובץ עצמאי-ha.xml), ולאחר מכן כמה ספציפי replicated-cache גם לא יהיה צורך יותר בצד שרת Infinispan.

הגדרת מטמונים

ישנם שני סוגים של מטמונים ב-Keycloak:

מְקוֹמִי. הוא ממוקם ליד מסד הנתונים ומשמש להפחתת העומס על מסד הנתונים, כמו גם להפחתת זמן השהיית תגובה. סוג זה של מטמון מאחסן תחום, לקוחות, תפקידים ומטא נתונים של משתמשים. סוג זה של מטמון אינו משוכפל, גם אם המטמון הוא חלק מאשכול Keycloak. אם ערך במטמון משתנה, הודעה על השינוי נשלחת לשרתים הנותרים באשכול, ולאחר מכן הערך אינו נכלל מהמטמון. ראה תיאור work ראה להלן לתיאור מפורט יותר של ההליך.
משוכפל. מעבד הפעלות משתמש, אסימונים לא מקוונים, וגם עוקב אחר שגיאות התחברות כדי לזהות ניסיונות דיוג בסיסמה והתקפות אחרות. הנתונים המאוחסנים במטמונים אלה הם זמניים, מאוחסנים רק ב-RAM, אך ניתן לשכפל אותם ברחבי האשכול.

מטמוני Infinispan

מושבים - קונספט ב-Keycloak, מטמונים נפרדים הנקראים authenticationSessions, משמשים לאחסון נתונים של משתמשים ספציפיים. בקשות ממטמונים אלה נחוצות בדרך כלל על ידי הדפדפן ושרתי Keycloak, לא על ידי יישומים. כאן נכנסת לתמונה התלות בסשנים דביקים, ואין צורך לשכפל מטמונים כאלה עצמם, אפילו במקרה של מצב אקטיבי-אקטיב.

אסימוני פעולה. מושג נוסף, המשמש בדרך כלל לתרחישים שונים כאשר, למשל, המשתמש חייב לעשות משהו באופן אסינכרוני בדואר. למשל, במהלך ההליך forget password מטמון actionTokens משמש למעקב אחר מטא נתונים של אסימונים משויכים - לדוגמה, אסימון כבר היה בשימוש ולא ניתן להפעילו שוב. סוג זה של מטמון בדרך כלל צריך להיות משוכפל בין מרכזי נתונים.

שמירת מטמון והזדקנות של נתונים מאוחסנים פועל כדי להקל על העומס על מסד הנתונים. סוג זה של מטמון משפר את הביצועים, אך מוסיף בעיה ברורה. אם שרת Keycloak אחד מעדכן נתונים, יש ליידע את השרתים האחרים כדי שיוכלו לעדכן את הנתונים במטמונים שלהם. Keycloak משתמש במטמונים מקומיים realms, users и authorization לשמירה במטמון ממסד הנתונים.

יש גם מטמון נפרד work, אשר משוכפל בכל מרכזי הנתונים. היא עצמה אינה מאחסנת נתונים ממסד הנתונים, אלא משמשת לשליחת הודעות על הזדקנות הנתונים לצמתים בין מרכזי נתונים. במילים אחרות, ברגע שהנתונים מתעדכנים, הצומת Keycloak שולח הודעה לצמתים אחרים במרכז הנתונים שלו, כמו גם לצמתים במרכזי נתונים אחרים. לאחר קבלת הודעה כזו, כל צומת מנקה את הנתונים המתאימים במטמונים המקומיים שלו.

הפעלות משתמש. מטמונים עם שמות sessions, clientSessions, offlineSessions и offlineClientSessions, משוכפלים בדרך כלל בין מרכזי נתונים ומשמשים לאחסון נתונים על הפעלות של משתמשים פעילים בזמן שהמשתמש פעיל בדפדפן. מטמונים אלה עובדים עם היישום המעבד בקשות HTTP ממשתמשי קצה, כך שהם משויכים להפעלות דביקות ויש לשכפל אותם בין מרכזי נתונים.

הגנה על כוח גס. מטמון loginFailures משמש למעקב אחר נתוני שגיאות כניסה, כגון כמה פעמים משתמש הזין סיסמה שגויה. שכפול של מטמון זה הוא באחריות המנהל. אבל לצורך חישוב מדויק, כדאי להפעיל שכפול בין מרכזי נתונים. אבל מצד שני, אם לא תשכפל את הנתונים האלה, תשפר את הביצועים, ואם בעיה זו תתעורר, ייתכן שכפול לא תופעל.

בעת הפעלת אשכול Infinispan, עליך להוסיף הגדרות מטמון לקובץ ההגדרות:

<replicated-cache-configuration name="keycloak-sessions" mode="ASYNC" start="EAGER" batching="false">
</replicated-cache-configuration>

<replicated-cache name="work" configuration="keycloak-sessions" />
<replicated-cache name="sessions" configuration="keycloak-sessions" />
<replicated-cache name="offlineSessions" configuration="keycloak-sessions" />
<replicated-cache name="actionTokens" configuration="keycloak-sessions" />
<replicated-cache name="loginFailures" configuration="keycloak-sessions" />
<replicated-cache name="clientSessions" configuration="keycloak-sessions" />
<replicated-cache name="offlineClientSessions" configuration="keycloak-sessions" />

עליך להגדיר ולהפעיל את אשכול Infinispan לפני הפעלת אשכול Keycloak

אז אתה צריך להגדיר remoteStore עבור מטמוני Keycloak. לשם כך, מספיק סקריפט, שנעשה בדומה לקודם, המשמש להגדרת המשתנה CACHE_OWNERS, אתה צריך לשמור אותו בקובץ ולשים אותו בספרייה /opt/jboss/startup-scripts:

תוכן התסריט

embed-server --server-config=standalone-ha.xml --std-out=echo
batch

echo *** Update infinispan subsystem ***
/subsystem=infinispan/cache-container=keycloak:write-attribute(name=module, value=org.keycloak.keycloak-model-infinispan)

echo ** Add remote socket binding to infinispan server **
/socket-binding-group=standard-sockets/remote-destination-outbound-socket-binding=remote-cache:add(host=${remote.cache.host:localhost}, port=${remote.cache.port:11222})

echo ** Update replicated-cache work element **
/subsystem=infinispan/cache-container=keycloak/replicated-cache=work/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=work, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)

/subsystem=infinispan/cache-container=keycloak/replicated-cache=work:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache sessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=sessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache offlineSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=offlineSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache clientSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=clientSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache offlineClientSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=offlineClientSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache loginFailures element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=loginFailures, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache actionTokens element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    cache=actionTokens, 
    remote-servers=["remote-cache"], 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache authenticationSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=authenticationSessions:write-attribute(name=statistics-enabled,value=true)

echo *** Update undertow subsystem ***
/subsystem=undertow/server=default-server/http-listener=default:write-attribute(name=proxy-address-forwarding,value=true)

run-batch
stop-embedded-server

אל תשכח להתקין JAVA_OPTS לצמתי Keycloak להפעיל את HotRod: remote.cache.host, remote.cache.port ושם השירות jboss.site.name.

קישורים ותיעוד נוסף

המאמר תורגם והוכן להבר על ידי עובדים מרכז אימוני סלרם - קורסים אינטנסיביים, קורסי וידאו והכשרה ארגונית ממומחים מתרגלים (Kubernetes, DevOps, Docker, Ansible, Ceph, SRE)

מקור: www.habr.com

הפעלת Keycloak במצב HA ב-Kubernetes