ডকারে Nginx রিভার্স প্রক্সি সহ কীক্লোক v26 কনফিগার করা: বিভিন্ন অঞ্চলে কনসোলের সমস্যাগুলি সমাধান করা

Nginx এবং Docker এর সাথে কীক্লোক কনসোল ত্রুটিগুলি অতিক্রম করা

Nginx রিভার্স প্রক্সি সহ একটি ডকার কন্টেইনার-এ কীক্লোক সেট আপ করা নিরাপদ অ্যাক্সেস পরিচালনার জন্য একটি শক্তিশালী কনফিগারেশন হতে পারে, তবে এটি চ্যালেঞ্জ ছাড়া আসে না। 🐳 যখন কীক্লোক ডাটাবেস স্থানান্তর করা হয় বা একাধিক অঞ্চল পরিচালনা করা হয়, তখন অপ্রত্যাশিত ত্রুটিগুলি প্রায়ই ক্রপ হতে পারে, প্রশাসকদের জন্য বিভ্রান্তি তৈরি করে৷

এই দৃশ্যটি Keycloak v19.0.2 থেকে Keycloak v26-এ স্থানান্তরকে বর্ণনা করে, যে সময় লগইন করার পরে সমস্ত অঞ্চলে একটি "ত্রুটি বার্তা নির্ধারণ করতে অক্ষম" উপস্থিত হয়েছিল৷ Nginx লগ এবং কীক্লোক ত্রুটি লগের মাধ্যমে সমস্যাটি ট্র্যাক করা একটি ব্যর্থ HTTP অনুরোধ দেখায়।

অনুরূপ সেটআপগুলিতে, একটি ভুল কনফিগার করা প্রক্সি বা নেটওয়ার্কিং স্তর "502 খারাপ গেটওয়ে" ত্রুটিগুলি ট্রিগার করতে পারে, সাধারণত Nginx বা ডকার কীভাবে কীক্লোকে অনুরোধ করে তার সমস্যার কারণে৷ কীক্লোক নির্বিঘ্নে কাজ করে তা নিশ্চিত করতে এই সমস্যাটির জন্য প্রক্সি সেটিংস, এনভায়রনমেন্ট ভেরিয়েবল বা SSL কনফিগারেশনের সমন্বয় প্রয়োজন হতে পারে।

এই নির্দেশিকাতে, আমরা কীক্লোক-এ এই সমস্যা সমাধানের সম্ভাব্য সমাধানগুলি নিয়ে চলব। আমরা মূল কনফিগারেশন পর্যালোচনা করব, ত্রুটির লগ বিশ্লেষণ করব এবং নির্দিষ্ট সেটিংস অন্বেষণ করব যা Docker-Nginx সেটআপের মধ্যে কীক্লোককে স্থিতিশীল করতে সাহায্য করতে পারে। শেষ পর্যন্ত, আপনি এই ধরনের সমস্যাগুলি সমাধান করতে এবং অ্যাডমিন কনসোলে মসৃণ, নিরবচ্ছিন্ন অ্যাক্সেস নিশ্চিত করার জন্য অন্তর্দৃষ্টি পাবেন।

Keycloak এবং Nginx কনফিগারেশনের বিস্তারিত ব্রেকডাউন

একটি Nginx রিভার্স প্রক্সির পিছনে কীক্লোক কনফিগার করার জন্য আমরা যে স্ক্রিপ্টগুলি তৈরি করেছি তা কীক্লোক অ্যাডমিন কনসোলে নিরাপদ অ্যাক্সেস রাউটিং এবং পরিচালনার ক্ষেত্রে গুরুত্বপূর্ণ ভূমিকা পালন করে। Nginx কনফিগারেশন ফাইল, উদাহরণস্বরূপ, একটি নির্দিষ্ট করে আপস্ট্রিম ব্লক যা কীক্লোকের ব্যাকএন্ড আইপি ঠিকানা এবং পোর্টকে সংজ্ঞায়িত করে, যা Nginx কে সঠিকভাবে অনুরোধগুলিকে নির্দেশ করতে দেয়। এটি এমন পরিস্থিতিতে প্রয়োজনীয় যেখানে Keycloak পরিষেবা একটি ভিন্ন নেটওয়ার্ক সেগমেন্ট বা ডকার কন্টেইনারে কাজ করে। প্রক্সি নির্দেশাবলী ব্যবহার করে যেমন প্রক্সি_পাস, আমরা Nginx কে মধ্যস্থতাকারী হিসাবে কাজ করতে, বাহ্যিক অনুরোধগুলি পরিচালনা করতে এবং সেগুলিকে Keycloak-এর অভ্যন্তরীণ পরিষেবা শেষ পয়েন্টে ফরোয়ার্ড করতে সক্ষম করি। এই সেটআপটি সাধারণত উৎপাদন পরিবেশে দেখা যায় যেখানে লোড ব্যালেন্সিং এবং নিরাপদ অ্যাক্সেসের জন্য বিপরীত প্রক্সি প্রয়োজনীয়।

Nginx কনফিগারেশনের মধ্যে, একাধিক শিরোনাম সেট করা আছে proxy_set_header Keycloak সমস্ত ক্লায়েন্ট তথ্য সঠিকভাবে গ্রহণ করে তা নিশ্চিত করার জন্য কমান্ড। যেমন, এক্স-রিয়েল-আইপি এবং এক্স-ফরওয়ার্ডেড-প্রোটো ক্লায়েন্টের আইপি এবং মূল অনুরোধ প্রোটোকল পাস করতে ব্যবহৃত হয়। এই তথ্যটি অপরিহার্য কারণ কীক্লোক এটি সঠিক পুনঃনির্দেশিত URL তৈরি করতে এবং নিরাপত্তা নীতিগুলি পরিচালনা করতে ব্যবহার করে৷ এই ধরনের সেটআপগুলির একটি সাধারণ সমস্যা হল হেডার অনুপস্থিত, যা কীক্লোক ব্যবহারকারীদের প্রমাণীকরণ বা রাজ্যগুলিকে যাচাই করার চেষ্টা করার সময় ত্রুটির কারণ হতে পারে। এই শিরোনামগুলিকে স্পষ্টভাবে সংজ্ঞায়িত করে, প্রশাসকরা নিশ্চিত করে যে কীক্লোক অনুরোধগুলি সঠিকভাবে প্রক্রিয়া করার জন্য প্রয়োজনীয় প্রসঙ্গটি গ্রহণ করে। এই পদ্ধতিটি কীভাবে অনুরোধগুলি পরিচালনা করা হয় তাতে নিরাপত্তা এবং ধারাবাহিকতা উভয়ই উন্নত করে।

কীক্লোকের জন্য আমরা যে ডকার কম্পোজ ফাইলটি তৈরি করেছি সেটি একটি ব্যবহার করে স্থাপনাকে সহজ করে env_file সমস্ত পরিবেশ ভেরিয়েবলের জন্য। এটি ডকার কন্টেইনারকে ডেটাবেস শংসাপত্র, কীক্লোক হোস্টনাম এবং আপেক্ষিক পাথগুলির মতো কনফিগারেশনগুলি লোড করার অনুমতি দেয়, এটিকে আরও নিরাপদ এবং অভিযোজিত করে তোলে। একটি এনভায়রনমেন্ট ফাইল ব্যবহার করাও ব্যবহারিক কারণ এটি হার্ড-কোডেড মান এড়িয়ে ডকার কম্পোজ ফাইল থেকে সংবেদনশীল তথ্যকে জোড়া দেয়। ফলস্বরূপ, ডাটাবেস স্যুইচ করা বা অ্যাক্সেসের শংসাপত্রগুলি পরিবর্তন করা নির্বিঘ্ন হয়ে যায়, যা গতিশীল পরিবেশে বিশেষভাবে কার্যকর যেখানে পরিষেবাগুলি ঘন ঘন আপডেট করা হয়। উদাহরণে, এনভায়রনমেন্ট ভেরিয়েবল KC_PROXY_HEADERS "xforwarded" এ সেট করা নিশ্চিত করে যে Keycloak বুঝতে পারে যে এটি একটি প্রক্সির পিছনে রয়েছে, সেই অনুযায়ী ইউআরএল জেনারেশন এবং সেশন ম্যানেজমেন্টে সমন্বয় করে।

কনফিগারেশন ছাড়াও, আমরা একটি প্রদান করেছি বাশ স্ক্রিপ্ট যা কীক্লোকের প্রাপ্যতা যাচাই করার জন্য একটি সাধারণ স্বাস্থ্য পরীক্ষা হিসাবে কাজ করে। স্ক্রিপ্ট ব্যবহার করে কার্ল Keycloak এন্ডপয়েন্টে একটি HTTP অনুরোধ সঞ্চালন করতে এবং স্ট্যাটাস কোড 200 এর সমান কিনা তা পরীক্ষা করে দেখায় যে পরিষেবাটি চালু আছে। ব্যর্থতার ক্ষেত্রে, স্ক্রিপ্টটি Nginx ধারকটি পুনরায় চালু করে, স্বয়ংক্রিয় পুনরুদ্ধারের একটি ফর্ম অফার করে। এই সেটআপটি উৎপাদন পরিবেশের জন্য আদর্শ যেখানে আপটাইম গুরুত্বপূর্ণ, কারণ সংযোগের সমস্যা দেখা দিলে এটি পরিষেবাটিকে স্ব-নিরাময় করতে সক্ষম করে। এন্ডপয়েন্ট অ্যাক্সেসিবিলিটির জন্য পাইথন-ভিত্তিক ইউনিট পরীক্ষার সাথে এই ধরনের স্ক্রিপ্ট পরীক্ষা করা, সিস্টেমের স্থায়িত্বকে শক্তিশালী করে, প্রশাসকদের মানসিক শান্তি দেয় এই জেনে যে সেটআপ সক্রিয়ভাবে সমস্যাগুলিকে অবহিত করবে বা সংশোধন করবে। ব্যবস্থাপনার এই সক্রিয় পদ্ধতির ডাউনটাইম কমিয়ে আনার জন্য এবং কীক্লোকের বিরামহীন অ্যাক্সেস নিশ্চিত করার জন্য গুরুত্বপূর্ণ অ্যাডমিন কনসোল.

upstream sso-mydomain-com {
    server 10.10.0.89:8080;
}
server {
    listen 443 ssl;
    server_name sso.mydomain.com;
    location / {
        proxy_pass http://sso-mydomain-com/;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;
    }
    ssl_certificate /etc/nginx/ssl/sso.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/sso.mydomain.com/privkey.pem;
}
server {
    listen 8443 ssl;
    server_name sso.mydomain.com;
    error_log /usr/local/nginx/logs/sso_err.log debug;
    location / {
        proxy_pass http://sso-mydomain-com/;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;
    }
    ssl_certificate /etc/nginx/ssl/sso.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/sso.mydomain.com/privkey.pem;
}

version: '3.9'
services:
  keycloak:
    container_name: keycloak
    image: quay.io/keycloak/keycloak:26.0
    env_file:
      - .env
    ports:
      - "8080:8080"
    volumes:
      - /opt/keycloak/themes:/opt/keycloak/themes
      - /etc/localtime:/etc/localtime
    privileged: true
    command: start

import requests
def test_whoami_endpoint():
    url = "https://sso.mydomain.com:8443/auth/admin/master/console/whoami?currentRealm=master"
    headers = {"Content-Type": "application/json"}
    try:
        response = requests.get(url, headers=headers, verify=True)
        assert response.status_code == 200, "Expected 200 OK, got {}".format(response.status_code)
        print("Test passed: whoami endpoint accessible")
    except requests.ConnectionError:
        print("Connection error: Check Nginx reverse proxy and Keycloak availability")
    except AssertionError as e:
        print("Assertion error:", e)
# Run the test
test_whoami_endpoint()

#!/bin/bash
# Check if Keycloak is reachable via the /whoami endpoint
URL="http://10.10.0.89:8080/auth/admin/master/console/whoami"
STATUS_CODE=$(curl -s -o /dev/null -w "%{http_code}" $URL)
if [ "$STATUS_CODE" -ne 200 ]; then
    echo "Keycloak endpoint unavailable, restarting Nginx..."
    docker restart nginx
else
    echo "Keycloak endpoint is healthy."
fi

সুরক্ষিত এবং বিরামহীন বিপরীত প্রক্সি অপারেশনের জন্য কীক্লোক অপ্টিমাইজ করা

একটি বিপরীত প্রক্সি মত পিছনে Keycloak কনফিগার করার সময় Nginx, বেশ কিছু অতিরিক্ত বিবেচনা সেটআপটি সুরক্ষিত, পারফরম্যান্স এবং স্থিতিশীল তা নিশ্চিত করতে সাহায্য করতে পারে। একটি গুরুত্বপূর্ণ দিক হল SSL সমাপ্তি - Nginx স্তরে HTTPS পরিচালনা করা। যেহেতু Keycloak সাধারণত ডকারের মধ্যে HTTP-তে শোনে, তাই Nginx SSL এন্ডপয়েন্ট হিসাবে কাজ করতে পারে, এনক্রিপশন অফলোড করে এবং কীক্লোকের উপর রিসোর্স লোড কমাতে পারে। এই সেটআপটি শেষ-ব্যবহারকারীদের জন্য নিরাপদ HTTPS অ্যাক্সেস বজায় রাখার সময় Nginx কে HTTP এর মাধ্যমে কীক্লোকের সাথে যোগাযোগ করতে দেয়। অতিরিক্তভাবে, SSL শংসাপত্রগুলি শুধুমাত্র Nginx-এ সংরক্ষণ করা হয়, সার্টিফিকেট ব্যবস্থাপনাকে সহজ করে। লেটস এনক্রিপ্টের মতো স্বয়ংক্রিয় সরঞ্জামগুলি পুনর্নবীকরণকে স্ট্রীমলাইন করতে পারে, বিশেষত স্ক্রিপ্টগুলির সাথে যা শংসাপত্র আপডেট হিসাবে Nginx পুনরায় লোড করে।

আরেকটি গুরুত্বপূর্ণ বিষয় হল লোড ব্যালেন্সিং এবং স্কেলিং। উদাহরণস্বরূপ, ডকারের নেটওয়ার্ক কনফিগারেশন ব্যবহার করে, প্রশাসকরা Nginx-এ একটি আপস্ট্রিম সার্ভার পুল তৈরি করতে পারে যাতে একাধিক কীক্লোক কন্টেনার রয়েছে, লোড বিতরণ এবং প্রাপ্যতা বৃদ্ধি করে। দ প্রক্সি_পাস নির্দেশিকা এই পুলের দিকে নির্দেশ করে, Nginx কে একাধিক Keycloak দৃষ্টান্ত জুড়ে অনুরোধ রুট করতে সক্ষম করে। এই পদ্ধতিটি উচ্চ-ট্রাফিক পরিবেশে উপকারী, কারণ এটি কোনো একক দৃষ্টান্তকে অভিভূত হতে বাধা দেয়। অতিরিক্তভাবে, সেশনের অধ্যবসায়, যাকে স্টিকি সেশনও বলা হয়, নিশ্চিত করে যে ব্যবহারকারীরা প্রমাণীকরণের সমস্যাগুলি এড়িয়ে একই উদাহরণের সাথে সংযুক্ত থাকবেন। স্বাস্থ্য পরীক্ষাগুলি Nginx বা Docker স্ক্রিপ্ট ব্যবহার করে স্বয়ংক্রিয় হতে পারে, Keycloak এর প্রাপ্যতা নিরীক্ষণ এবং ব্যর্থতা ঘটলে দৃষ্টান্তগুলি পুনরায় চালু করতে পারে। 🛠️

অবশেষে, কীক্লোকের অন্তর্নির্মিত মেট্রিক্স এবং লগগুলি ব্যবহার করা সিস্টেমটি বজায় রাখা এবং সমস্যা সমাধানের জন্য গুরুত্বপূর্ণ। কীক্লোক প্রতিটি অনুরোধের জন্য বিশদ লগ তৈরি করতে পারে, যা Nginx-এর অ্যাক্সেস লগগুলির সাথে যুক্ত হলে, একটি সম্পূর্ণ অডিট ট্রেল তৈরি করে। প্রমিথিউস এবং গ্রাফানার মতো মনিটরিং সরঞ্জামগুলি কীক্লোকের কর্মক্ষমতা মেট্রিক্সকে কল্পনা করতে পারে, ব্যবহারকারীদের প্রভাবিত করার আগে প্রশাসকদের অসামঞ্জস্যতা সম্পর্কে সতর্ক করে। Nginx এ, সেটিং ত্রুটি_লগ থেকে debug সেটআপের সময় স্তর কনফিগারেশন বা নেটওয়ার্ক সমস্যা নির্ণয়ের জন্য বিস্তারিত তথ্য ক্যাপচার করে। একসাথে, এই কৌশলগুলি একটি আরও স্থিতিস্থাপক এবং নিরাপদ কীক্লোক স্থাপনা নিশ্চিত করে, এটি একটি বিপরীত প্রক্সির পিছনে এন্টারপ্রাইজ-গ্রেড প্রমাণীকরণের জন্য একটি আদর্শ সমাধান করে তোলে।