keycloak集群配置

最新推荐文章于 2024-05-10 15:25:21 发布
最新推荐文章于 2024-05-10 15:25:21 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyouwe/article/details/118303987
版权

下载

从https://www.keycloak.org/downloads 获取最新版本

解压到任意工作目录,进入到bin目录下,执行standalone.sh脚本即可启动keycloak。

配置mysql数据源

Keycloak默认使用h2作为数据源,想要数据持久化存储必须先配置mysql作为数据存储方式。

1,创建目录

创建keycloak-13.0.0\modules\system\layers\keycloak\com\mysql\main放入驱动,同时在该目录创建module.xml,内容如下:

<?xml version="1.0" ?><module xmlns="urn:jboss:module:1.3" name="com.mysql">

    <resources>

        <resource-root path="mysql-connector-java-8.0.13.jar"/>

    </resources>

    <dependencies>

        <module name="javax.api"/>

        <module name="javax.transaction.api"/>

        <module name="javax.servlet.api" optional="true"/>

    </dependencies></module>

2,修改 standalone-ha.xml

#添加驱动,h2后面添加mysql驱动<drivers>

  <driver name="h2" module="com.h2database.h2">

    <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>

  </driver>  

  <driver name="mysql" module="com.mysql">

    <xa-datasource-class>com.mysql.cj.jdbc.MysqlXADataSource</xa-datasource-class>

  </driver> </drivers>

#创建数据库keycloak,修改数据源配置,用户名密码要正确<datasource jndi-name="java:jboss/datasources/KeycloakDS" pool-name="KeycloakDS" enabled="true" use-java-context="true" statistics-enabled="${wildfly.datasources.statistics-enabled:${wildfly.statistics-enabled:false}}">

  <connection-url>jdbc:mysql://localhost:3306/keycloak?useSSL=false&serverTimezone=GMT%2B8&characterEncoding=UTF-8</connection-url>  

  <driver>mysql</driver>  

  <security>

    <user-name>root</user-name>  

    <password>root</password>

  </security> </datasource>

#注释掉h2数据源配置

<!--

<datasource jndi-name="java:jboss/datasources/KeycloakDS" pool-name="KeycloakDS" enabled="true" use-java-context="true">

<connection-url>jdbc:h2:${jboss.server.data.dir}/keycloak;AUTO_SERVER=TRUE</connection-url>

<driver>h2</driver>

<security>

<user-name>sa</user-name>

<password>sa</password>

</security>

</datasource>

-->

配置集群方式

Keycloak支持多种方式发现节点,其中jdbc_ping的方式使用最广,我们则产业此种方式进行集群。

1,修改standalone-ha.xml

 <subsystem xmlns="urn:jboss:domain:jgroups:8.0">

            <channels default="ee">

                <channel name="ee" stack="tcp" cluster="ejb"/>

            </channels>

            <stacks>

                                <stack name="tcp">

                    <transport type="TCP" socket-binding="jgroups-tcp"/>

                    <protocol type="JDBC_PING">

    <property name="datasource_jndi_name">java:jboss/datasources/KeycloakDS</property>

    <property name="initialize_sql">CREATE TABLE IF NOT EXISTS JGROUPSPING (own_addr varchar(200) NOT NULL, cluster_name varchar(200) NOT NULL, updated TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, ping_data varbinary(5000) DEFAULT NULL, PRIMARY KEY (own_addr, cluster_name)) ENGINE=InnoDB DEFAULT CHARSET=utf8")</property></protocol>

                    <protocol type="MERGE3"/>

                    <socket-protocol type="FD_SOCK" socket-binding="jgroups-tcp-fd"/>

                    <protocol type="FD"/>

                    <protocol type="VERIFY_SUSPECT"/>

                    <protocol type="pbcast.NAKACK2"/>

                    <protocol type="UNICAST3"/>

                    <protocol type="pbcast.STABLE"/>

    <protocol type="pbcast.GMS">

    <property name="max_join_attempts">5</property></protocol>

                    <protocol type="MFC"/>

                    <protocol type="FRAG3"/>

                </stack>

               </stacks>

        </subsystem>

如果启动报找不到table类错误,则可以手动执行xml中的initialize_sql。

  1. 修改集群内节点数据信息

其中sessions authenticationSessions offlineSessions 等为集群节点实例数。

 <cache-container name="keycloak" modules="org.keycloak.keycloak-model-infinispan">

                <transport lock-timeout="60000"/>

                <local-cache name="realms">

                    <heap-memory size="10000"/>

                </local-cache>

                <local-cache name="users">

                    <heap-memory size="10000"/>

                </local-cache>

                <distributed-cache name="sessions" owners="2"/>

                <distributed-cache name="authenticationSessions" owners="2"/>

                <distributed-cache name="offlineSessions" owners="2"/>

                <distributed-cache name="clientSessions" owners="2"/>

                <distributed-cache name="offlineClientSessions" owners="2"/>

                <distributed-cache name="loginFailures" owners="2"/>

                <local-cache name="authorization">

                    <heap-memory size="10000"/>

                </local-cache>

                <replicated-cache name="work"/>

                <local-cache name="keys">

                    <heap-memory size="1000"/>

                    <expiration max-idle="3600000"/>

                </local-cache>

                <distributed-cache name="actionTokens" owners="2">

                    <heap-memory size="-1"/>

                    <expiration max-idle="-1" interval="300000"/>

                </distributed-cache>

            </cache-container>

  1. 修改keycloak服务转发配置

修改standalone\configuration\standalone.xml配置文件中urn:jboss:domain:undertow:中的X-Forwarded-For HTTP Config。将属性proxy-address-forwarding添加到http-listener元素。将值设置为true。

<subsystem xmlns="urn:jboss:domain:undertow:12.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other" statistics-enabled="${wildfly.undertow.statistics-enabled:${wildfly.statistics-enabled:false}}">

            <buffer-cache name="default"/>

            <server name="default-server">

                <ajp-listener name="ajp" socket-binding="ajp"/>

                <http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true" proxy-address-forwarding="true"/>

                <https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true" proxy-address-forwarding="true"/>

                <host name="default-host" alias="localhost">

                    <location name="/" handler="welcome-content"/>

                    <http-invoker security-realm="ApplicationRealm"/>

                </host>

            </server>

            <servlet-container name="default">

                <jsp-config/>

                <websockets/>

            </servlet-container>

            <handlers>

                <file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>

            </handlers>

        </subsystem>

  1. 修改nginx代理配置

worker_processes  1;

events {

    worker_connections  1024;}

http {

    upstream keycloak_servers {

        server server1:8080 ;

        server server2:8080;

    }

    server {

        listen 80;

        location / {

            proxy_pass          http://keycloak_servers/;

            proxy_set_header    Host               $host;

            proxy_set_header    X-Real-IP          $remote_addr;

            proxy_set_header    X-Forwarded-For    $proxy_add_x_forwarded_for;

            proxy_set_header    X-Forwarded-Host   $host;

            proxy_set_header    X-Forwarded-Server $host;

            proxy_set_header    X-Forwarded-Port   $server_port;

            proxy_set_header    X-Forwarded-Proto  $scheme;

        }

}}

修改IP地址

将jboss绑定地址修改成自己当前物理机活虚拟机的实际ip地址

<interfaces>

        <interface name="management">

            <inet-address value="${jboss.bind.address.management:10.4.7.55}"/>

        </interface>

        <interface name="private">

            <inet-address value="${jboss.bind.address.private:10.4.7.55}"/>

        </interface>

        <interface name="public">

            <inet-address value="${jboss.bind.address:10.4.7.55}"/>

        </interface>

    </interfaces>

启动

bin/standalone.sh --server-config=standalone-ha.xml -Djboss.bind.address=0.0.0.0 -DJGROUPS_DISCOVERY_EXTERNAL_IP=10.4.7.58 -DJGROUPS_DISCOVERY_PROTOCOL=JDBC_PING -Djboss.node.name=node2

添加初始化用户

#如果是有多台keycloak,则只需要在一台初始化admin用户,重启配置的这台,密码可以复杂点。

./add-user-keycloak.sh -r master -u admin -p admin

fengyouwe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
keycloak集群部署配置
11-05
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。单点部署相对简单,本文档包含集群部署配置,包含nginx。
keycloack主从集群以及负载均衡搭建
a1308422754的博客
02-14 2116
keycloak 主从安装配置 部署情况 主机 ip 角色 备注 主 192.168.88.161 master 主 loadblance 从 slave 部署版本 keycloak-15.0.2.tar.gz 主从模式之间会互相同步数据,即使设置从节点对数据库为只读权限 基于服务器之间的UDP也会将数据同步 拓扑架构 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kHUJiJkG-1644817050508)(image-20220
Keycloak on K8S HA 部署
最新发布
ysjysjly1995的博客
05-10 1089
本文从 0 到 1 手把手介绍了如何不依赖 Operator 手动部署 Keycloak HA 至 kubernetes 集群。不依赖 helm、operator,纯手撸。
Keycloak集群中高可用部署
austindev的博客
07-30 1243
Keycloak集群中高可用部署 Keycloak集群部署 keycloak docker image中对于集群的相关描述 Keycloak-container readme DNS_PING 发现模式 采用 DNS_PING发现的配置如下: - name: JGROUPS_DISCOVERY_PROTOCOL value: dns.DNS_PING - name: JGROUPS_DISCOVERY_PROPERTIES value: 'dns_query=keycloak-ha-sv
win10 玩转keycloak集群部署-协议JDBC_PING
qq_38564282的博客
07-18 393
Keycloak 集群部署。节点通信,单点登录
keycloak集群化的思考
程序那些事
01-13 8603
单体服务如果想要突破到高并发服务就需要升级为集群服务。同时集群化也为高可用打下了坚实的基础。纵观现在比较流行的服务或者中间件,不管是RabbitMQ还是redis都提供了集群的功能。 作为硬核工业代表的wildfly也不例外,最近研究了一下keycloak集群,发现它的底层服务器用的也是wildfly,本文将会和大家探讨一下keycloak集群的架构思路。
keycloak压缩包
06-22
5. 部署Keycloak:在生产环境中,你可能需要考虑集群部署、负载均衡和持久化存储的配置。 总的来说,Keycloak是现代应用程序中安全基础设施的关键组成部分,它简化了身份管理和访问控制的复杂性,同时提供了强大的...
keycloak安装服务文件
04-04
Keycloak支持数据复制和集群模式,确保服务的高可用性。 通过以上步骤,您应该能够成功安装并配置Keycloak服务,使其成为您的系统中的可靠身份管理和访问控制中心。持续关注Keycloak的更新和最佳实践,以充分利用其...
keycloak-operator
05-28
操作员协调密钥斗篷领域,并确保将密钥斗篷实例中的领域配置为与自定义资源中的定义匹配。 有关更多信息,请。在本地测试注意:您将需要一个正在运行的OpenShift集群才能使用操作员将此$GOPATH/src/github.com/in
Keycloak-Operator-tile
03-22
使用此操作器,你可以定义自定义资源定义(Custom Resource Definition, CRD),通过 YAML 文件来声明式地配置 Keycloak 集群。这使得 IT 管理员能够更高效地管理和维护 Kubernetes 上的 Keycloak 实例,而无需深入...
keycloak 9 配置分布式缓存(高可用集群)
weixin_43394129的博客
12-09 439
一. 介绍   keycloak专为高可用和多节点集群设置而设计。当前的分布式缓存实现是建立在Infinispan之上的,Infinispan是一种高性能,可分布式的内存数据存储。   Infinispan是开源的Key--value数据存储,可以容纳所有类型的数据,从java对象到纯文本。可以做缓存或持久数据存储。   1.1 思考:在第8章已经部署了一个生产环境的Keycloak服务,如果再...
linux部署keycloak
dyn的博客
02-14 1594
1.解压keycloak-14.0.0.tar.gz 2.修改启动脚本 将启动脚本run.sh(单节点)或run-ha.sh (集群)上传到keycloak-14.0.0的根目录下,授权为可执行 在kc的根目录下创建log文件夹 3.配置MySQL 将mysql文件夹放到modules/system/layers/keycloak 下 修改standalone/configuration/standalone.xml(standalone-ha.xml)文件 <subsys
Keycloak 高可用部署实战
CodingDemo
01-16 2546
Keycloak是一个开源的Identity 和 Access Management工具,本文主要讲解keycloak高可用部署实战。
keycloak 配置 mysql_keycloak集群
weixin_39769767的博客
01-20 1034
安装步骤下文采用的主备模式下载下载keycloak:https://downloads.jboss.org/keycloak/6.0.1/keycloak-6.0.1.tar.gz下载keycloak-gatekeeper:#用于代理kibana,prometheushttps://downloads.jboss.org/keycloak/6.0.1/gatekeeper/keycloak-gat...
keycloak创建跨库数据源
weixin_30483495的博客
06-26 349
keycloak在书写User Storage Provider的时候,若登录数据分散到不同的应用数据库中,采用User Storage Provider实现的时候,需要对不同的Deployment使用不同的数据,考虑到多个数据库操作的事物问题,则必须使用Xa-Datasource。下问对keycloak的standalone.xml配置文件做以下记录,有需要者可参考。 1 <su...
Spring配置JNDI及通过JNDI获取DataSource
执着,也是一种态度
04-13 5146
1、SpringJNDI数据源配置信息: java:comp/env/jcptDataSourceJNDI 红色部分是tomcat或者其他应用服务器配置的JNDI. 2、关于JNDI的配置(tomcat): 修改tomcat目录conf/context.xml文件: maxActive="100" maxIdle="30" maxWait="10000" userna
配置数据库连接池使用之JNDI的方式
热门推荐
cw_hello1的专栏
06-14 1万+
一、JNDI: JNDI就是(java Naming and Directory Inteface)java名称目录接口。 JNDI的作用:就是将资源引入到服务器中。可以将JNDI当成一个仓库。将Java对象放入到JNDI中去。 二、数据源的由来: 在java开发中,使用JDBC操作数据库的几个步骤: 1.使用Class.forName(类的全路径名称):用于加载数据库驱动程序。 2.
jndi配置说明
qq_41024533的博客
06-18 2713
一.tomcat方式 1.修改app-context-hibernate.xml文件中的数据源的配置 原来使用是jdbc的,改成 方式三 JNDI,修改完后,其他的数据源方式需要注释了 <!-- 数据源配置方式三:JNDI数据源 --> <bean id="dataSource" class="org.springframework.jndi.JndiObjectFactoryBean"> ...
JBoss 系列三十一:JBoss Data Grid(Infinispan)缓存模式
Kylin Soong Blog -> ksoong.org
10-27 7411
概述 Infinispan提供了两种模式: 本地模式 - Infinispan提供的非集群的模式,在本地模式下,Infinispan可看作是一个单节点的,在内存中的数据缓存。与集群模式相比,因为我们不会考虑集群的可扩展性,容错能力,等,这使得Infinispan性能更高,使用更高效。• 集群模式 - 集群模式是多个Infinispan服务器(Infinispan实例)组成一个集群集群
k8s集群部署keycloak
09-21
在k8s集群中部署Keycloak,可以按照以下步骤进行操作: 1. 部署Keycloak YAML文件: ``` kubectl apply -f keycloak.yaml ``` 2. 生成TLS证书并创建TLS Secret: ``` kubectl create secret tls keycloak-tls --key server.key --cert server.crt ``` 3. 为Ingress准备TLS证书: 首先,根据Keycloak高可用部署实战的生成证书部分,生成证书。然后,将生成的证书用于Ingress。 以上是在k8s集群中部署Keycloak的一般步骤。请根据具体情况进行相应的调整和配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值