Kubernetes मा HA मोडमा कीक्लोक चलाउँदै

TL; ड: त्यहाँ कीक्लोकको विवरण हुनेछ, खुला स्रोत पहुँच नियन्त्रण प्रणाली, आन्तरिक संरचनाको विश्लेषण, कन्फिगरेसन विवरणहरू।

परिचय र मुख्य विचारहरू

यस लेखमा, हामी Kubernetes को शीर्षमा Keycloak क्लस्टर तैनात गर्दा दिमागमा राख्नको लागि आधारभूत विचारहरू देख्नेछौं।

यदि तपाइँ Keycloak बारे थप जान्न चाहनुहुन्छ भने, लेखको अन्त्यमा लिङ्कहरू हेर्नुहोस्। अभ्यासमा थप डुब्नको लागि, तपाइँ अध्ययन गर्न सक्नुहुन्छ हाम्रो भण्डार यस लेखको मुख्य विचारहरू लागू गर्ने मोड्युलको साथ (लन्च गाइड त्यहाँ छ, यस लेखले उपकरण र सेटिङहरूको एक सिंहावलोकन प्रदान गर्नेछ, लगभग। अनुवादक).

Keycloak जाभा मा लेखिएको एक व्यापक प्रणाली हो र एक अनुप्रयोग सर्भर को शीर्ष मा निर्मित वनफ्लाइ। छोटकरीमा, यो प्राधिकरणको लागि एक ढाँचा हो जसले अनुप्रयोग प्रयोगकर्ताहरू महासंघ र SSO (एकल साइन-अन) क्षमताहरू दिन्छ।

हामी तपाईंलाई आधिकारिक पढ्न आमन्त्रित गर्दछौं वेबसाइट वा विकिपिडिया विस्तृत बुझाइको लागि।

कीक्लोक सुरु गर्दै

Keycloak लाई चलाउनको लागि दुई निरन्तर डेटा स्रोतहरू चाहिन्छ:

• स्थापित डाटा भण्डारण गर्न प्रयोग गरिने डाटाबेस, जस्तै प्रयोगकर्ता जानकारी
• Datagrid क्यास, जुन डाटाबेसबाट डाटा क्यास गर्न प्रयोग गरिन्छ, साथै केही अल्पकालीन र बारम्बार परिवर्तन हुने मेटाडेटा भण्डारण गर्न, जस्तै प्रयोगकर्ता सत्रहरू। कार्यान्वयन भएको छ Infinispan, जुन सामान्यतया डाटाबेस भन्दा धेरै छिटो हुन्छ। तर कुनै पनि अवस्थामा, Infinispan मा बचत गरिएको डाटा क्षणिक हुन्छ - र क्लस्टर पुन: सुरु हुँदा यसलाई कहीं पनि बचत गर्न आवश्यक छैन।

कीक्लोकले चार फरक मोडहरूमा काम गर्दछ:

• साधारण - एक र केवल एक प्रक्रिया, फाइल मार्फत कन्फिगर standalone.xml
• नियमित क्लस्टर (उच्च उपलब्धता विकल्प) - सबै प्रक्रियाहरूले समान कन्फिगरेसन प्रयोग गर्नुपर्छ, जुन म्यानुअल रूपमा सिङ्क्रोनाइज हुनुपर्छ। सेटिङहरू फाइलमा भण्डारण गरिएका छन् standalone-ha.xml, थप रूपमा तपाईले डाटाबेसमा साझा पहुँच र लोड ब्यालेन्सर बनाउन आवश्यक छ।
• डोमेन क्लस्टर - सामान्य मोडमा क्लस्टर सुरु गर्नु चाँडै एक दिनचर्या र बोरिंग कार्य हुन्छ जब क्लस्टर बढ्दै जान्छ, प्रत्येक पटक कन्फिगरेसन परिवर्तन हुँदा, प्रत्येक क्लस्टर नोडमा सबै परिवर्तनहरू गरिनुपर्छ। सञ्चालनको डोमेन मोडले केही साझा भण्डारण स्थान सेटअप गरेर र कन्फिगरेसन प्रकाशित गरेर यो समस्या समाधान गर्छ। यी सेटिङहरू फाइलमा भण्डारण गरिएका छन् domain.xml
• डाटा केन्द्रहरू बीच प्रतिकृति - यदि तपाइँ धेरै डाटा केन्द्रहरूको क्लस्टरमा Keycloak चलाउन चाहनुहुन्छ भने, प्राय: विभिन्न भौगोलिक स्थानहरूमा। यस विकल्पमा, प्रत्येक डाटा केन्द्रमा किक्लोक सर्भरहरूको आफ्नै क्लस्टर हुनेछ।

यस लेखमा हामी विस्तृत रूपमा दोस्रो विकल्प विचार गर्नेछौं, त्यो हो नियमित क्लस्टर, र हामी डेटा केन्द्रहरू बीचको प्रतिकृतिको विषयमा पनि अलिकति छुनेछौं, किनकि यसले यी दुई विकल्पहरू Kubernetes मा चलाउन अर्थपूर्ण हुन्छ। सौभाग्य देखि, Kubernetes मा धेरै पोडहरू (Keycloak नोडहरू) को सेटिङहरू सिङ्क्रोनाइज गर्न कुनै समस्या छैन, त्यसैले डोमेन क्लस्टर यो गर्न धेरै गाह्रो हुनेछैन।

यो शब्दलाई पनि ध्यान दिनुहोस् क्लस्टर बाँकी लेखको लागि मात्र सँगै काम गर्ने Keycloak नोडहरूको समूहमा लागू हुनेछ, त्यहाँ Kubernetes क्लस्टरलाई सन्दर्भ गर्न आवश्यक छैन।

नियमित कीक्लोक क्लस्टर

यो मोडमा कीक्लोक चलाउनको लागि तपाईलाई आवश्यक छ:

• बाह्य साझा डाटाबेस कन्फिगर गर्नुहोस्
• लोड ब्यालेन्सर स्थापना गर्नुहोस्
• आईपी ​​मल्टिकास्ट समर्थन संग एक आन्तरिक नेटवर्क छ

हामी बाह्य डाटाबेस सेटअप गर्ने बारे छलफल गर्दैनौं, किनकि यो यस लेखको उद्देश्य होइन। मानौं कि त्यहाँ कतै काम गर्ने डाटाबेस छ - र हामीसँग यसको जडान बिन्दु छ। हामी यो डाटालाई वातावरण चरहरूमा थप्नेछौं।

फेलओभर (HA) क्लस्टरमा Keycloak ले कसरी काम गर्छ भन्ने राम्रोसँग बुझ्नको लागि, यो सबै Wildfly को क्लस्टरिङ क्षमताहरूमा कति निर्भर छ भनेर जान्न महत्त्वपूर्ण छ।

वाइल्डफ्लाइले धेरै उपप्रणालीहरू प्रयोग गर्दछ, तिनीहरूमध्ये केही लोड ब्यालेन्सरको रूपमा प्रयोग गरिन्छ, केही गल्ती सहनशीलताको लागि। लोड ब्यालेन्सरले क्लस्टर नोड ओभरलोड हुँदा एप्लिकेसनको उपलब्धता सुनिश्चित गर्दछ, र केही क्लस्टर नोडहरू असफल भए तापनि त्रुटि सहिष्णुताले अनुप्रयोगको उपलब्धता सुनिश्चित गर्दछ। यी मध्ये केही उपप्रणालीहरू:

• mod_cluster: HTTP लोड ब्यालेन्सरको रूपमा Apache सँग संयोजनमा काम गर्दछ, पूर्वनिर्धारित रूपमा होस्टहरू फेला पार्न TCP मल्टिकास्टमा निर्भर गर्दछ। बाह्य ब्यालेन्सरको साथ प्रतिस्थापन गर्न सकिन्छ।

• infinispan: यातायात तहको रूपमा JGroups च्यानलहरू प्रयोग गरेर वितरण गरिएको क्यास। थप रूपमा, यसले क्यास सामग्रीहरू सिङ्क्रोनाइज गर्न बाह्य Infinispan क्लस्टरसँग सञ्चार गर्न HotRod प्रोटोकल प्रयोग गर्न सक्छ।

• jgroups: JGroups च्यानलहरूमा आधारित अत्यधिक उपलब्ध सेवाहरूको लागि समूह संचार समर्थन प्रदान गर्दछ। नामित पाइपहरूले क्लस्टरमा अनुप्रयोग उदाहरणहरूलाई समूहहरूमा जडान गर्न अनुमति दिन्छ ताकि सञ्चारमा विश्वसनीयता, सुव्यवस्थितता, र विफलताहरूप्रति संवेदनशीलता जस्ता गुणहरू हुन्छन्।

लोड ब्यालेन्सर

Kubernetes क्लस्टरमा प्रवेश नियन्त्रकको रूपमा ब्यालेन्सर स्थापना गर्दा, निम्न कुराहरूलाई ध्यानमा राख्नु महत्त्वपूर्ण छ:

Keycloak ले HTTP मार्फत प्रमाणीकरण सर्भरमा जडान गर्ने क्लाइन्टको रिमोट ठेगाना क्लाइन्ट कम्प्युटरको वास्तविक IP ठेगाना हो भनी मान्दछ। ब्यालेन्सर र प्रवेश सेटिङहरूले HTTP हेडरहरू सही रूपमा सेट गर्नुपर्छ X-Forwarded-For и X-Forwarded-Proto, र मूल शीर्षक पनि बचत गर्नुहोस् HOST। नवीनतम संस्करण ingress-nginx (>०.२२.०) यसलाई पूर्वनिर्धारित रूपमा असक्षम गर्दछ

झण्डा सक्रिय गर्दै proxy-address-forwarding वातावरण चर सेट गरेर PROXY_ADDRESS_FORWARDING в true किक्लोकले यो प्रोक्सी पछाडि काम गरिरहेको छ भन्ने बुझाउँछ।

तपाईंले पनि सक्षम गर्न आवश्यक छ टाँसिने सत्रहरू प्रवेश मा। Keycloak ले हालको प्रमाणीकरण सत्र र प्रयोगकर्ता सत्रसँग सम्बन्धित डाटा भण्डारण गर्न वितरित Infinispan क्यास प्रयोग गर्दछ। क्यासहरू पूर्वनिर्धारित रूपमा एकल मालिकसँग सञ्चालन हुन्छन्, अन्य शब्दहरूमा, त्यो विशेष सत्र क्लस्टरको केही नोडमा भण्डार गरिएको छ, र अन्य नोडहरूले त्यस सत्रमा पहुँच चाहिन्छ भने टाढाबाट सोध्नु पर्छ।

विशेष गरी, कागजातको विपरित, कुकी नामको साथ सत्र संलग्न गर्नाले हाम्रो लागि काम गरेन AUTH_SESSION_ID। कीक्लोकमा रिडिरेक्ट लुप छ, त्यसैले हामी टाँसिने सत्रको लागि फरक कुकी नाम छनोट गर्न सिफारिस गर्छौं।

Keycloak ले नोडको नाम पनि संलग्न गर्दछ जुन पहिले प्रतिक्रिया दियो AUTH_SESSION_ID, र उच्च उपलब्ध संस्करणमा प्रत्येक नोडले समान डाटाबेस प्रयोग गरेको हुनाले, ती मध्ये प्रत्येक हुनुपर्छ लेनदेन प्रबन्ध गर्न को लागी एक अलग र अद्वितीय नोड पहिचानकर्ता। राख्न सिफारिस गरिन्छ JAVA_OPTS मापदण्डहरू jboss.node.name и jboss.tx.node.id प्रत्येक नोडको लागि अद्वितीय - तपाईले, उदाहरणका लागि, पोडको नाम राख्न सक्नुहुन्छ। यदि तपाईंले पोड नाम राख्नुभयो भने, jboss चरहरूको लागि 23 क्यारेक्टर सीमाको बारेमा नबिर्सनुहोस्, त्यसैले डिप्लोयमेन्ट भन्दा स्टेटफुलसेट प्रयोग गर्नु राम्रो हुन्छ।

अर्को रेक - यदि पोड मेटाइयो वा पुन: सुरु भयो भने, यसको क्यास हराएको छ। यसलाई ध्यानमा राख्दै, सबै क्यासहरूको लागि क्यास मालिकहरूको संख्या कम्तिमा दुईमा सेट गर्न लायक छ, ताकि क्यासको प्रतिलिपि रहनेछ। चलाउनु नै समाधान हो Wildfly को लागि लिपि पोड सुरु गर्दा, यसलाई डाइरेक्टरीमा राख्दै /opt/jboss/startup-scripts कन्टेनर मा:

लिपि सामग्री

embed-server --server-config=standalone-ha.xml --std-out=echo
batch

echo * Setting CACHE_OWNERS to "${env.CACHE_OWNERS}" in all cache-containers

/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=authenticationSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures:write-attribute(name=owners, value=${env.CACHE_OWNERS:1})

run-batch
stop-embedded-server

त्यसपछि वातावरण चर को मान सेट गर्नुहोस् CACHE_OWNERS आवश्यक को लागी।

IP मल्टिकास्ट समर्थन संग निजी नेटवर्क

यदि तपाइँ एक CNI को रूपमा Weavenet प्रयोग गर्नुहुन्छ भने, मल्टिकास्ट तुरुन्तै काम गर्नेछ - र तपाइँको कीक्लोक नोडहरू सुरु हुने बित्तिकै एक अर्कालाई देख्नेछन्।

यदि तपाइँसँग तपाइँको Kubernetes क्लस्टरमा ip multicast समर्थन छैन भने, तपाइँ नोडहरू फेला पार्न अन्य प्रोटोकलहरूसँग काम गर्न JGroups कन्फिगर गर्न सक्नुहुन्छ।

पहिलो विकल्प प्रयोग गर्न हो KUBE_DNSजो प्रयोग गर्दछ headless service Keycloak नोडहरू फेला पार्न, तपाईंले JGroups लाई नोडहरू फेला पार्न प्रयोग गरिने सेवाको नाम मात्र पास गर्नुहोस्।

अर्को विकल्प विधि प्रयोग गर्न हो KUBE_PING, जसले नोडहरू खोज्न API सँग काम गर्दछ (तपाईँले कन्फिगर गर्न आवश्यक छ serviceAccount अधिकार संग list и get, र त्यसपछि यससँग काम गर्न पोडहरू कन्फिगर गर्नुहोस् serviceAccount).

JGroups ले नोडहरू फेला पार्ने तरिका वातावरण चरहरू सेट गरेर कन्फिगर गरिएको छ JGROUPS_DISCOVERY_PROTOCOL и JGROUPS_DISCOVERY_PROPERTIES। को लागी KUBE_PING तपाईंले सोधेर पोडहरू चयन गर्न आवश्यक छ namespace и labels.

️ यदि तपाइँ मल्टिकास्ट प्रयोग गर्नुहुन्छ र एउटा कुबर्नेट्स क्लस्टरमा दुई वा बढी कीक्लोक क्लस्टरहरू चलाउनुहुन्छ (नेमस्पेसमा एउटा भनौं। production, दोस्रो - staging) - एउटा कीक्लोक क्लस्टरको नोडहरू अर्को क्लस्टरमा सामेल हुन सक्छन्। चर सेट गरेर प्रत्येक क्लस्टरको लागि एक अद्वितीय मल्टिकास्ट ठेगाना प्रयोग गर्न निश्चित हुनुहोस्jboss.default.multicast.address и jboss.modcluster.multicast.address в JAVA_OPTS.

डाटा केन्द्रहरू बीच प्रतिकृति

कनेक्टिविटी

Keycloak ले प्रत्येक डेटा केन्द्रको लागि धेरै अलग इन्फिनिस्प्यान क्यास क्लस्टरहरू प्रयोग गर्दछ जहाँ Keycloak नोडहरू मिलेर बनेका Keycloack क्लस्टरहरू अवस्थित छन्। तर विभिन्न डाटा केन्द्रहरूमा Keycloak नोडहरू बीच कुनै भिन्नता छैन।

कीक्लोक नोडहरूले डाटा केन्द्रहरू बीच सञ्चारको लागि बाह्य जाभा डाटा ग्रिड (इन्फिनिस्पान सर्भर) प्रयोग गर्दछ। संचार प्रोटोकल अनुसार काम गर्दछ Infinispan HotRod.

Infinispan क्यासहरू विशेषतासँग कन्फिगर गरिनुपर्छ remoteStore, ताकि डाटा टाढाबाट भण्डारण गर्न सकिन्छ (अर्को डाटा केन्द्रमा, लगभग। अनुवादक) क्यास। त्यहाँ JDG सर्भरहरू बीच अलग-अलग इन्फिनिस्पन क्लस्टरहरू छन्, ताकि साइटमा JDG1 मा भण्डारण गरिएको डाटा। site1 साइटमा JDG2 मा प्रतिकृति गरिनेछ site2.

र अन्तमा, प्राप्त गर्ने JDG सर्भरले ग्राहक जडानहरू मार्फत यसको क्लस्टरको कीक्लोक सर्भरहरूलाई सूचित गर्दछ, जुन HotRod प्रोटोकलको विशेषता हो। किक्लोक नोडहरू सक्रिय छन् site2 तिनीहरूको Infinispan क्यासहरू अद्यावधिक गर्नुहोस् र विशिष्ट प्रयोगकर्ता सत्र Keycloak नोडहरूमा पनि उपलब्ध हुन्छ site2.

केहि क्यासहरूका लागि, ब्याकअपहरू नगर्न र Infinispan सर्भर मार्फत पूर्ण रूपमा डाटा लेख्नबाट जोगिन पनि सम्भव छ। यो गर्नको लागि तपाईंले सेटिङ हटाउन आवश्यक छ remote-store विशिष्ट Infinispan क्यास (फाइलमा standalone-ha.xml), जस पछि केहि विशिष्ट replicated-cache Infinispan सर्भर साइडमा पनि अब आवश्यक पर्दैन।

क्यासहरू सेटअप गर्दै

Keycloak मा दुई प्रकारका क्यासहरू छन्:

• स्थानिय। यो डाटाबेसको छेउमा अवस्थित छ र डाटाबेसमा लोड कम गर्न, साथै प्रतिक्रिया विलम्बता कम गर्न सेवा गर्दछ। यस प्रकारको क्यासले क्षेत्र, ग्राहकहरू, भूमिकाहरू, र प्रयोगकर्ता मेटाडेटा भण्डार गर्दछ। क्यास किक्लोक क्लस्टरको अंश भए तापनि यस प्रकारको क्यास प्रतिकृति हुँदैन। यदि क्यासमा प्रविष्टि परिवर्तन भयो भने, परिवर्तनको बारेमा सन्देश क्लस्टरमा बाँकी सर्भरहरूमा पठाइन्छ, त्यसपछि प्रविष्टि क्यासबाट बहिष्कृत हुन्छ। विवरण हेर्नुहोस् work प्रक्रियाको थप विस्तृत विवरणको लागि तल हेर्नुहोस्।

• नक्कल गरियो। प्रयोगकर्ता सत्रहरू, अफलाइन टोकनहरू प्रशोधन गर्दछ, र पासवर्ड फिसिङ प्रयासहरू र अन्य आक्रमणहरू पत्ता लगाउन लगइन त्रुटिहरू पनि निगरानी गर्दछ। यी क्यासहरूमा भण्डारण गरिएको डाटा अस्थायी हो, RAM मा मात्र भण्डारण गरिन्छ, तर क्लस्टरभरि प्रतिलिपि गर्न सकिन्छ।

Infinispan क्यासहरू

सत्रहरू - Keycloak मा एक अवधारणा, अलग क्यास भनिन्छ authenticationSessions, विशिष्ट प्रयोगकर्ताहरूको डाटा भण्डारण गर्न प्रयोग गरिन्छ। यी क्यासहरूबाट अनुरोधहरू सामान्यतया ब्राउजर र कीक्लोक सर्भरहरूद्वारा आवश्यक हुन्छन्, अनुप्रयोगहरूद्वारा होइन। यहाँ स्टिकी सत्रहरूमा निर्भरता खेलमा आउँछ, र सक्रिय-सक्रिय मोडको अवस्थामा पनि त्यस्ता क्यासहरू आफैंलाई दोहोर्याउन आवश्यक पर्दैन।

कार्य टोकनहरू। अर्को अवधारणा, सामान्यतया विभिन्न परिदृश्यहरूको लागि प्रयोग गरिन्छ जब, उदाहरणका लागि, प्रयोगकर्ताले मेल मार्फत एसिन्क्रोनस रूपमा केहि गर्नुपर्छ। उदाहरण को लागी, प्रक्रिया को समयमा forget password क्याच actionTokens सम्बन्धित टोकनहरूको मेटाडेटा ट्र्याक गर्न प्रयोग गरिन्छ - उदाहरणका लागि, टोकन पहिले नै प्रयोग भइसकेको छ र फेरि सक्रिय गर्न सकिँदैन। यस प्रकारको क्यास सामान्यतया डाटा केन्द्रहरू बीच प्रतिकृति गर्न आवश्यक छ।

भण्डार गरिएको डाटाको क्यासिङ र एजिङ डाटाबेसमा भार कम गर्न काम गर्दछ। यस प्रकारको क्यासिङले कार्यसम्पादन सुधार गर्छ, तर स्पष्ट समस्या थप्छ। यदि एउटा किक्लोक सर्भरले डाटा अपडेट गर्छ भने, अन्य सर्भरहरूलाई सूचित गरिनुपर्छ ताकि तिनीहरूले आफ्नो क्यासमा डाटा अपडेट गर्न सकून्। कीक्लोकले स्थानीय क्यासहरू प्रयोग गर्दछ realms, users и authorization डाटाबेसबाट डाटा क्यास गर्नका लागि।

त्यहाँ एक अलग क्यास पनि छ work, जुन सबै डाटा केन्द्रहरूमा दोहोरिएको छ। यसले डाटाबेसबाट कुनै पनि डाटा भण्डार गर्दैन, तर डाटा केन्द्रहरू बीचको क्लस्टर नोडहरूमा डाटा एजिंगको बारेमा सन्देशहरू पठाउन सेवा गर्दछ। अर्को शब्दमा, डाटा अपडेट हुने बित्तिकै, Keycloak नोडले यसको डाटा सेन्टरमा रहेका अन्य नोडहरू, साथै अन्य डाटा केन्द्रहरूमा रहेका नोडहरूमा सन्देश पठाउँछ। यस्तो सन्देश प्राप्त गरेपछि, प्रत्येक नोडले यसको स्थानीय क्यासहरूमा सम्बन्धित डाटा खाली गर्दछ।

प्रयोगकर्ता सत्रहरू। नाम सहित क्यास sessions, clientSessions, offlineSessions и offlineClientSessions, सामान्यतया डाटा सेन्टरहरू बीच दोहोरिन्छ र प्रयोगकर्ता ब्राउजरमा सक्रिय हुँदा सक्रिय हुने प्रयोगकर्ता सत्रहरूको बारेमा डाटा भण्डारण गर्न सेवा गर्दछ। यी क्यासहरूले अन्तिम प्रयोगकर्ताहरूबाट HTTP अनुरोधहरू प्रशोधन गर्ने एप्लिकेसनसँग काम गर्दछ, त्यसैले तिनीहरू टाँसिने सत्रहरूसँग सम्बन्धित छन् र डाटा केन्द्रहरू बीचको प्रतिकृति हुनुपर्छ।

क्रूट बल संरक्षण। क्यास loginFailures लगइन त्रुटि डेटा ट्र्याक गर्न प्रयोग गरिन्छ, जस्तै प्रयोगकर्ताले गलत पासवर्ड कति पटक प्रविष्ट गर्नुभयो। यस क्यासको प्रतिकृति प्रशासकको जिम्मेवारी हो। तर सही गणनाको लागि, डाटा केन्द्रहरू बीच प्रतिकृति सक्रिय गर्न लायक छ। तर अर्कोतर्फ, यदि तपाईंले यो डाटालाई नक्कल गर्नुभएन भने, तपाईंले कार्यसम्पादन सुधार गर्नुहुनेछ, र यदि यो समस्या उत्पन्न हुन्छ भने, प्रतिकृति सक्रिय नहुन सक्छ।

Infinispan क्लस्टर रोल आउट गर्दा, तपाईंले सेटिङ फाइलमा क्यास परिभाषाहरू थप्न आवश्यक छ:

<replicated-cache-configuration name="keycloak-sessions" mode="ASYNC" start="EAGER" batching="false">
</replicated-cache-configuration>

<replicated-cache name="work" configuration="keycloak-sessions" />
<replicated-cache name="sessions" configuration="keycloak-sessions" />
<replicated-cache name="offlineSessions" configuration="keycloak-sessions" />
<replicated-cache name="actionTokens" configuration="keycloak-sessions" />
<replicated-cache name="loginFailures" configuration="keycloak-sessions" />
<replicated-cache name="clientSessions" configuration="keycloak-sessions" />
<replicated-cache name="offlineClientSessions" configuration="keycloak-sessions" />

तपाईंले किक्लोक क्लस्टर सुरु गर्नु अघि Infinispan क्लस्टर कन्फिगर र सुरु गर्नुपर्छ

त्यसपछि तपाइँ कन्फिगर गर्न आवश्यक छ remoteStore कीक्लोक क्यासहरूको लागि। यो गर्नको लागि, एक स्क्रिप्ट पर्याप्त छ, जुन अघिल्लो एक जस्तै गरिन्छ, जुन चर सेट गर्न प्रयोग गरिन्छ। CACHE_OWNERS, तपाईंले यसलाई फाइलमा बचत गर्न र डाइरेक्टरीमा राख्न आवश्यक छ /opt/jboss/startup-scripts:

लिपि सामग्री

embed-server --server-config=standalone-ha.xml --std-out=echo
batch

echo *** Update infinispan subsystem ***
/subsystem=infinispan/cache-container=keycloak:write-attribute(name=module, value=org.keycloak.keycloak-model-infinispan)

echo ** Add remote socket binding to infinispan server **
/socket-binding-group=standard-sockets/remote-destination-outbound-socket-binding=remote-cache:add(host=${remote.cache.host:localhost}, port=${remote.cache.port:11222})

echo ** Update replicated-cache work element **
/subsystem=infinispan/cache-container=keycloak/replicated-cache=work/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=work, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)

/subsystem=infinispan/cache-container=keycloak/replicated-cache=work:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache sessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=sessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=sessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache offlineSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=offlineSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache clientSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=clientSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=clientSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache offlineClientSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=offlineClientSessions, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=offlineClientSessions:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache loginFailures element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    remote-servers=["remote-cache"], 
    cache=loginFailures, 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=loginFailures:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache actionTokens element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens/store=remote:add( 
    passivation=false, 
    fetch-state=false, 
    purge=false, 
    preload=false, 
    shared=true, 
    cache=actionTokens, 
    remote-servers=["remote-cache"], 
    properties={ 
        rawValues=true, 
        marshaller=org.keycloak.cluster.infinispan.KeycloakHotRodMarshallerFactory, 
        protocolVersion=${keycloak.connectionsInfinispan.hotrodProtocolVersion} 
    } 
)
/subsystem=infinispan/cache-container=keycloak/distributed-cache=actionTokens:write-attribute(name=statistics-enabled,value=true)

echo ** Update distributed-cache authenticationSessions element **
/subsystem=infinispan/cache-container=keycloak/distributed-cache=authenticationSessions:write-attribute(name=statistics-enabled,value=true)

echo *** Update undertow subsystem ***
/subsystem=undertow/server=default-server/http-listener=default:write-attribute(name=proxy-address-forwarding,value=true)

run-batch
stop-embedded-server

स्थापना गर्न नबिर्सनुहोस् JAVA_OPTS HotRod चलाउन कीक्लोक नोडहरूको लागि: remote.cache.host, remote.cache.port र सेवा नाम jboss.site.name.

लिङ्क र अतिरिक्त कागजात

• https://www.keycloak.org/docs/latest/server_installation/index.html
• https://docs.wildfly.org/17/High_Availability_Guide.html#cluster-configuration
• https://infinispan.org/docs/9.4.x/user_guide/user_guide.html
• https://hub.docker.com/r/jboss/keycloak
• https://hub.docker.com/r/jboss/infinispan

लेख अनुवाद र कर्मचारीहरु द्वारा Habr को लागि तयार गरिएको थियो स्लर्म प्रशिक्षण केन्द्र - गहन पाठ्यक्रमहरू, भिडियो पाठ्यक्रमहरू र अभ्यास विशेषज्ञहरूबाट कर्पोरेट प्रशिक्षण (कुबर्नेट्स, डेभओप्स, डकर, उत्तरदायी, सेफ, एसआरई)

स्रोत: www.habr.com