„Keycloak v26“ konfigūravimas naudojant „Nginx Reverse Proxy“ programoje „Docker“: konsolės problemų sprendimas įvairiose srityse

Temp mail SuperHeros
„Keycloak v26“ konfigūravimas naudojant „Nginx Reverse Proxy“ programoje „Docker“: konsolės problemų sprendimas įvairiose srityse
„Keycloak v26“ konfigūravimas naudojant „Nginx Reverse Proxy“ programoje „Docker“: konsolės problemų sprendimas įvairiose srityse
Gerald Girard
2024 m. lapkričio 7 d., ketvirtadienis 19:21:10

„Keycloak“ konsolės klaidų įveikimas naudojant „Nginx“ ir „Docker“.

Keycloak nustatymas Docker konteineryje su Nginx atvirkštiniu tarpiniu serveriu gali būti galinga konfigūracija, skirta saugiai prieigai valdyti, tačiau tai neapsieina be iššūkių. 🐳 Perkeliant Keycloak duomenų bazes arba tvarkant kelias sritis, dažnai gali atsirasti netikėtų klaidų, kurios sukelia painiavą administratoriams.

Šiame scenarijuje aprašomas perkėlimas iš Keycloak v19.0.2 į Keycloak v26, kurio metu prisijungus visose srityse pasirodė pranešimas „Neįmanoma nustatyti klaidos“. Stebint problemą naudojant Nginx žurnalus ir Keycloak klaidų žurnalus, nustatyta, kad HTTP užklausa nepavyko.

Esant panašioms sąrankoms, netinkamai sukonfigūruotas tarpinis serveris arba tinklo sluoksnis gali sukelti „502 blogo šliuzo“ klaidas, dažniausiai dėl problemų, susijusių su „Nginx“ arba „Docker“ užklausų nukreipimu į „Keycloak“. Dėl šios problemos gali reikėti pakoreguoti tarpinio serverio nustatymus, aplinkos kintamuosius arba SSL konfigūracijas, kad būtų užtikrintas sklandus Keycloak veikimas.

Šiame vadove apžvelgsime galimus šios problemos sprendimo būdus Keycloak. Peržiūrėsime pagrindines konfigūracijas, analizuosime klaidų žurnalus ir išnagrinėsime konkrečius nustatymus, kurie gali padėti stabilizuoti „Keycloak“ naudojant „Docker-Nginx“ sąranką. Pabaigoje turėsite įžvalgų, kaip išspręsti tokias problemas ir užtikrinti sklandžią, nepertraukiamą prieigą prie administratoriaus pulto.

komandą Aprašymas
proxy_pass „Nginx“ proxy_pass persiunčia gaunamas užklausas iš atvirkštinio tarpinio serverio į nurodytą aukštesniojo srauto serverį (šiuo atveju „Keycloak“). Ši komanda yra labai svarbi atvirkštinio tarpinio serverio konfigūracijoms, nes ji nustato maršrutą iš viešojo domeno į vidinę paslaugą.
proxy_set_header Naudojamas „Nginx“ konfigūracijose, norint nustatyti arba nepaisyti užklausų, perduodamų per tarpinį serverį, antraštėms. Tokios komandos kaip „X-Forwarded-Proto“ ir „X-Real-IP“ užtikrina, kad „Keycloak“ gautų kliento IP adresą ir protokolą, kuris yra labai svarbus norint palaikyti saugią ir tikslią ryšio informaciją.
ssl_certificate Sukonfigūruoja Nginx naudoti SSL sertifikatus saugiam HTTPS ryšiui. ssl_certificate direktyva nurodo SSL sertifikato failo vietą, užtikrinančią šifruotą ryšį tarp kliento ir serverio.
ssl_certificate_key Kartu su ssl_certificate ši direktyva nurodo kelią į SSL privataus rakto failą. Jis susietas su sertifikatu, kad patvirtintų serverio tapatybę ir įgalintų saugų kliento ryšį.
env_file „Docker Compose“ programoje „env_file“ leidžia iš failo įkelti išorinės aplinkos kintamuosius, pvz., duomenų bazės kredencialus arba „Keycloak“ parametrus, kad „Docker“ konfigūracija būtų švari ir apsaugota nuo užkoduotų verčių.
command: start Ši „Docker Compose“ komanda aiškiai paleidžia „Keycloak“ konteinerį. Nurodžius komandą paleisti galima nepaisyti numatytosios elgsenos, užtikrinant, kad „Keycloak“ serveris inicijuotų numatytą konfigūraciją ir argumentus.
STATUS_CODE=$(curl -s -o /dev/null -w "%{http_code}" $URL) Ši „Bash“ komanda naudoja „curl“, kad pateiktų tylią HTTP užklausą „Keycloak“ galutiniam taškui, užfiksuodama tik HTTP būsenos kodą. Tai naudojama sveikatos patikrinimams, siekiant nustatyti, ar „Keycloak“ pasiekiama naudojant laukiamą atsakymo kodą.
assert Python bandomajame scenarijuje patvirtinimas patvirtina, kad HTTP būsenos kodas iš Keycloak galinio taško yra 200 (OK). Jei sąlyga klaidinga, scenarijus iškelia tvirtinimo klaidą, būtiną automatiniam testavimui ir Keycloak prieinamumo patvirtinimui.
docker restart nginx Docker CLI komanda, kuri iš naujo paleidžia Nginx konteinerį, jei nepavyksta patikrinti sveikatos. Tai užtikrina, kad „Nginx“ paslauga būtų atnaujinta, o tai gali išspręsti „Nginx“ ir „Keycloak“ ryšio problemas.
error_log Ši Nginx konfigūracijos direktyva nurodo klaidų pranešimų žurnalo failą. Derinimo lygio nustatymas yra ypač naudingas atliekant sudėtingas sąrankas, nes pateikiami išsamūs žurnalai, padedantys šalinti ryšio su Keycloak triktis.

Išsamus „Keycloak“ ir „Nginx“ konfigūracijos suskirstymas

Scenarijai, kuriuos sukūrėme „Keycloak“ konfigūruoti už „Nginx“ atvirkštinio tarpinio serverio, atlieka svarbų vaidmenį nukreipiant ir valdant saugią prieigą prie „Keycloak“ administratoriaus konsolės. Pavyzdžiui, Nginx konfigūracijos failas nurodo prieš srovę blokas, apibrėžiantis „Keycloak“ IP adresą ir prievadą, leidžiantį „Nginx“ tiksliai nukreipti užklausas. Tai būtina scenarijuose, kai „Keycloak“ paslauga veikia kitame tinklo segmente arba „Docker“ konteineryje. Naudodami tarpinio serverio direktyvas, tokias kaip proxy_pass, leidžiame „Nginx“ veikti kaip tarpininkui, tvarkant išorines užklausas ir persiunčiant jas į „Keycloak“ vidinį paslaugos galinį tašką. Ši sąranka dažniausiai matoma gamybinėse aplinkose, kur apkrovos balansavimui ir saugiai prieigai reikalingi atvirkštiniai tarpiniai serveriai.

„Nginx“ konfigūracijoje nustatomos kelios antraštės proxy_set_header komandas, kad „Keycloak“ gautų visą kliento informaciją tiksliai. Pavyzdžiui, X-Real-IP ir X-Forwarded-Proto yra naudojami perduoti kliento IP ir pradinio užklausos protokolą. Ši informacija yra labai svarbi, nes „Keycloak“ ją naudoja tiksliems peradresavimo URL adresams generuoti ir saugos politikai valdyti. Dažna tokių sąrankų problema – trūksta antraščių, dėl kurių gali atsirasti klaidų, kai „Keycloak“ bando autentifikuoti vartotojus arba patvirtinti sritis. Aiškiai apibrėždami šias antraštes, administratoriai užtikrina, kad „Keycloak“ gautų kontekstą, kurio jai reikia tinkamai apdoroti užklausas. Šis metodas padidina užklausų valdymo saugumą ir nuoseklumą.

„Docker Compose“ failas, kurį sukūrėme „Keycloak“, supaprastina diegimą naudojant a env_file visiems aplinkos kintamiesiems. Tai leidžia „Docker“ konteineriui įkelti konfigūracijas, pvz., duomenų bazės kredencialus, „Keycloak“ pagrindinio kompiuterio pavadinimą ir santykinius kelius, todėl jis yra saugesnis ir pritaikomas. Aplinkos failo naudojimas taip pat yra praktiškas, nes jis atskiria jautrią informaciją nuo „Docker Compose“ failo, išvengiant sunkiai užkoduotų verčių. Dėl to duomenų bazių perjungimas arba prieigos kredencialų keitimas tampa sklandus, o tai ypač naudinga dinamiškoje aplinkoje, kur paslaugos dažnai atnaujinamos. Pavyzdyje aplinkos kintamasis KC_PROXY_HEADERS nustatytas į „xforwarded“ užtikrina, kad „Keycloak“ suprastų, kad yra už tarpinio serverio, ir atitinkamai koreguoja URL generavimą ir seansų valdymą.

Be konfigūracijos, mes pateikėme a Bash scenarijų, kuris naudojamas kaip paprastas sveikatos patikrinimas, norint patikrinti, ar „Keycloak“ yra. Scenarijus naudoja garbanoti atlikti HTTP užklausą į Keycloak galutinį tašką ir patikrinti, ar būsenos kodas yra lygus 200, nurodant, kad paslauga veikia. Gedimo atveju scenarijus iš naujo paleidžia „Nginx“ konteinerį ir siūlo automatinio atkūrimo formą. Ši sąranka idealiai tinka gamybinėms aplinkoms, kuriose veikimo laikas yra labai svarbus, nes tai leidžia paslaugai savaime išgydyti, jei kyla ryšio problemų. Tokių scenarijų testavimas kartu su Python pagrindu atliekamu galutinio taško pasiekiamumo vieneto testu sustiprina sistemos stabilumą, todėl administratoriai gali būti ramūs, žinant, kad sąranka praneš apie problemas arba jas ištaisys aktyviai. Šis iniciatyvus požiūris į valdymą yra labai svarbus siekiant sumažinti prastovos laiką ir užtikrinti sklandžią prieigą prie „Keycloak“ administratoriaus konsolė.

„Nginx“ kaip atvirkštinio tarpinio serverio nustatymas „Keycloak“ programoje „Docker“.

Backend sprendimas su Nginx konfigūracija, skirta Keycloak tarpiniam serveriui

upstream sso-mydomain-com {
    server 10.10.0.89:8080;
}
server {
    listen 443 ssl;
    server_name sso.mydomain.com;
    location / {
        proxy_pass http://sso-mydomain-com/;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;
    }
    ssl_certificate /etc/nginx/ssl/sso.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/sso.mydomain.com/privkey.pem;
}
server {
    listen 8443 ssl;
    server_name sso.mydomain.com;
    error_log /usr/local/nginx/logs/sso_err.log debug;
    location / {
        proxy_pass http://sso-mydomain-com/;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;
    }
    ssl_certificate /etc/nginx/ssl/sso.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/sso.mydomain.com/privkey.pem;
}

„Keycloak Docker“ kūrimo konfigūracija naudojant aplinkos kintamuosius

Docker Compose failas, skirtas Keycloak sąrankai su aplinkos kintamaisiais

version: '3.9'
services:
  keycloak:
    container_name: keycloak
    image: quay.io/keycloak/keycloak:26.0
    env_file:
      - .env
    ports:
      - "8080:8080"
    volumes:
      - /opt/keycloak/themes:/opt/keycloak/themes
      - /etc/localtime:/etc/localtime
    privileged: true
    command: start

„Keycloak“ API galutinio taško patvirtinimo rinkinio testas

„Python“ pagrįstas vieneto testas, skirtas „Keycloak /whoami“ galutinio taško atsakui patvirtinti

import requests
def test_whoami_endpoint():
    url = "https://sso.mydomain.com:8443/auth/admin/master/console/whoami?currentRealm=master"
    headers = {"Content-Type": "application/json"}
    try:
        response = requests.get(url, headers=headers, verify=True)
        assert response.status_code == 200, "Expected 200 OK, got {}".format(response.status_code)
        print("Test passed: whoami endpoint accessible")
    except requests.ConnectionError:
        print("Connection error: Check Nginx reverse proxy and Keycloak availability")
    except AssertionError as e:
        print("Assertion error:", e)
# Run the test
test_whoami_endpoint()

Alternatyvus metodas: Keycloak sveikatos patikrinimas naudojant „Nginx Failover“.

„Bash“ scenarijus, kad patikrintų „Keycloak“ būklę ir, jei reikia, paleiskite „Nginx“ iš naujo

#!/bin/bash
# Check if Keycloak is reachable via the /whoami endpoint
URL="http://10.10.0.89:8080/auth/admin/master/console/whoami"
STATUS_CODE=$(curl -s -o /dev/null -w "%{http_code}" $URL)
if [ "$STATUS_CODE" -ne 200 ]; then
    echo "Keycloak endpoint unavailable, restarting Nginx..."
    docker restart nginx
else
    echo "Keycloak endpoint is healthy."
fi

„Keycloak“ optimizavimas saugioms ir sklandžioms atvirkštinio tarpinio serverio operacijoms

Konfigūruojant Keycloak už atvirkštinio tarpinio serverio, pvz Nginx, keletas papildomų aplinkybių gali padėti užtikrinti, kad sąranka būtų saugi, naši ir stabili. Vienas iš esminių aspektų yra SSL nutraukimas – HTTPS tvarkymas Nginx lygmenyje. Kadangi „Keycloak“ paprastai klausosi HTTP sistemoje „Docker“, „Nginx“ gali veikti kaip SSL galutinis taškas, perkeldamas šifravimą ir sumažindamas „Keycloak“ išteklių apkrovą. Ši sąranka leidžia „Nginx“ susisiekti su „Keycloak“ per HTTP, išlaikant saugią HTTPS prieigą galutiniams vartotojams. Be to, SSL sertifikatai saugomi tik „Nginx“, todėl sertifikatų valdymas supaprastinamas. Automatiniai įrankiai, tokie kaip „Let’s Encrypt“, gali supaprastinti atnaujinimą, ypač naudojant scenarijus, kurie iš naujo įkelia „Nginx“ atnaujinant sertifikatus.

Kitas svarbus veiksnys yra apkrovos balansavimas ir mastelio keitimas. Pavyzdžiui, naudodami „Docker“ tinklo konfigūracijas, administratoriai gali sukurti „Nginx“ serverio telkinį, kuriame yra keli „Keycloak“ konteineriai, pagerinantys apkrovos paskirstymą ir pasiekiamumą. The proxy_pass direktyva nurodo šį telkinį, leisdama Nginx nukreipti užklausas per kelis Keycloak egzempliorius. Šis metodas yra naudingas didelio srauto aplinkoje, nes jis apsaugo nuo pervargimo bet kokio atskiro egzemplioriaus. Be to, seanso išlikimas, dar vadinamas prilipusiais seansais, užtikrina, kad vartotojai liktų prisijungę prie to paties egzemplioriaus ir išvengtų autentifikavimo problemų. Sveikatos patikrinimai gali būti automatizuoti naudojant „Nginx“ arba „Docker“ scenarijus, stebint „Keycloak“ pasiekiamumą ir paleidžiant iš naujo, jei atsiranda gedimų. 🛠️

Galiausiai, norint prižiūrėti ir šalinti sistemą, labai svarbu naudoti „Keycloak“ integruotą metriką ir žurnalus. „Keycloak“ gali sugeneruoti išsamius kiekvienos užklausos žurnalus, kurie, suporuoti su „Nginx“ prieigos žurnalais, sukuria visą audito seką. Stebėjimo įrankiai, tokie kaip „Prometheus“ ir „Grafana“, gali vizualizuoti „Keycloak“ našumo metrikas, įspėdami administratorius apie anomalijas, kol jos nepaveiks naudotojų. Nginx, nustatymas error_log į debug lygis sąrankos metu fiksuoja išsamią informaciją, kad būtų galima diagnozuoti konfigūracijos ar tinklo problemas. Kartu šios strategijos užtikrina atsparesnį ir saugesnį „Keycloak“ diegimą, todėl tai yra idealus sprendimas įmonės lygio autentifikavimui naudojant atvirkštinį tarpinį serverį.

Dažnai užduodami klausimai apie Keycloak su Nginx ir Docker

  1. Kaip išspręsti 502 Bad Gateway klaidą naudojant Keycloak su Nginx?
  2. Norėdami pašalinti 502 klaidą, patikrinkite Nginx konfigūraciją ir įsitikinkite, kad proxy_pass URL atitinka „Keycloak“ sudėtinio rodinio adresą ir prievadą. Be to, patikrinkite, ar Keycloak veikia ir pasiekiama per vidinį tinklą.
  3. Ar galiu naudoti SSL nutraukimą su Nginx for Keycloak?
  4. Taip, SSL nutraukimas Nginx yra įprastas. Konfigūruoti ssl_certificate ir ssl_certificate_key „Nginx“, kad tvarkytų HTTPS gaunamoms užklausoms. Tada „Keycloak“ gali bendrauti per HTTP.
  5. Kaip galiu subalansuoti kelių „Keycloak“ egzempliorių apkrovą?
  6. Apibrėžkite an upstream blokuoti Nginx su kiekvienu Keycloak egzemplioriumi. Nustatyti proxy_pass į aukštesnįjį serverį, o „Nginx“ paskirstys užklausas visuose egzemplioriuose.
  7. Kokia yra geriausia „Keycloak“ aplinkos kintamųjų apsaugos „Docker“ praktika?
  8. Naudokite env_file programoje „Docker Compose“, kad saugotumėte neskelbtinus duomenis, išvengiant užkoduotų verčių. Taip pat nustatykite tinkamus aplinkos failų leidimus, kad apribotumėte prieigą.
  9. Kaip automatizuoti SSL sertifikato atnaujinimą „Nginx“?
  10. Tokie įrankiai kaip Let’s Encrypt automatizuoja sertifikato atnaujinimą. Po atnaujinimo naudokite scenarijų, kad iš naujo įkeltumėte „Nginx“, kad nauji sertifikatai įsigaliotų nepaleidžiant konteinerio iš naujo.
  11. Ar „Keycloak“ gali stebėti savo sveikatą per „Nginx“?
  12. Taip, naudojant paprastą scenarijų, curl gali patikrinti Keycloak galinio taško būseną. Gedimo atveju iš naujo paleiskite „Nginx“ arba konteinerį, išlaikydami pasiekiamumą ir reagavimą.
  13. Ar galima pašalinti „Keycloak“ prisijungimo problemas naudojant „Nginx“ žurnalus?
  14. Nustatyti error_log į Nginx į debug lygiu laikinai užfiksuoti išsamius žurnalus, padedančius diagnozuoti autentifikavimo ir prieigos problemas.
  15. Kaip galiu užtikrinti seanso išlikimą keliuose Keycloak egzemplioriuose?
  16. Sukonfigūruokite „Nginx“ lipnius seansus, kad vartotojai būtų prisijungę prie to paties „Keycloak“ egzemplioriaus ir sumažintumėte prisijungimo problemas dėl seanso pakeitimų.
  17. Ar galiu pasiekti „Keycloak“ administratoriaus pultą per tinkintą domeną?
  18. Taip, nustatyti KC_HOSTNAME „Keycloak“ aplinkos kintamuosius į tinkintą domeną. Įsitikinkite, kad domenas tinkamai nukreiptas Nginx.
  19. Kaip galiu patikrinti, ar „Keycloak“ tinkamai sukonfigūruotas naudojant „Nginx“?
  20. Po konfigūracijos naudokite curl norėdami patikrinti, ar galutiniai taškai reaguoja tinkamai, arba pasiekti administratoriaus konsolę ir patikrinti, ar nėra klaidų. Be to, stebėkite žurnalus, ar nėra ryšio problemų.

Apibendrinimas: pagrindiniai dalykai, kaip konfigūruoti „Keycloak“ ir „Nginx“.

„Keycloak“ konfigūravimas už „Nginx“ atvirkštinio tarpinio serverio gali būti labai efektyvus norint apsaugoti ir valdyti prieigą. Tačiau tokios klaidos kaip „502 Bad Gateway“ ir su sritimi susijusios konsolės problemos dažnai kyla dėl netinkamų konfigūracijų. Atidžiai analizuodami žurnalus, tikrindami SSL ir tarpinio serverio nustatymus bei patvirtindami tinklo kelius, galite pašalinti triktis ir optimizuoti sąranką.

Atlikdami šį procesą parodėme, kaip konteinerių talpinimas, tarpinio serverio nustatymai ir aplinkos kintamieji veikia kartu, kad stabilizuotų „Keycloak“ administratoriaus konsolę. Nesvarbu, ar apkrovos balansavimas, SSL iškrovimas ar sklandus autentifikavimas, gerai sukonfigūruota sąranka suteikia atsparų autentifikavimo sprendimą, tinkantį įvairioms gamybos aplinkoms. 🔧

Nuorodos ir ištekliai
  1. Išsamią informaciją apie Keycloak paleidimą Docker aplinkoje ir integravimą su Nginx kaip atvirkštinį tarpinį serverį galite rasti oficialioje Keycloak dokumentacijoje. Keycloak dokumentacija
  2. Įžvalgos apie „Nginx“ konfigūravimą saugiam tarpinio serverio naudojimui, įskaitant SSL nutraukimą ir atvirkštinio tarpinio serverio geriausią praktiką, pateikiamos „Nginx“ sąrankos vadove. „Nginx“ atvirkštinio tarpinio serverio vadovas
  3. Oficialioje „Docker“ dokumentacijoje pateikiama išsami „Docker Compose“ ir aplinkos kintamųjų valdymo apžvalga, padedanti supaprastinti kelių paslaugų konfigūracijas. „Docker Compose“ aplinkos kintamieji
  4. Išplėstiniam 502 klaidų trikčių šalinimui, ypač sudėtingose ​​tarpinio serverio konfigūracijose, Nginx derinimo ir registravimo ištekliai yra neįkainojami. Nginx derinimo vadovas