これまで環境の都合でWildFly版のver.15のKeycloakを使ってきましたが、ver.17よりQuarkus版のディストリビューションが採用されていることから、こちらの構築も試してみました。
参考) https://www.keycloak.org/getting-started/getting-started-kube
Quarkusは下記でも扱いましたが、クラウドネイティプでKubernetesに適したJavaアプリのフレームワークです。
環境) Keycloak 21.0.1 on JVM (powered by Quarkus 2.13.7.Final) / Ubuntu 20.04
参考) 「Ubuntu20.04.1 LTSにminikubeをインストールする」
https://qiita.com/yuichi1992_west/items/571016084c110d15320e
メモ) まずVirtualBoxで構築しようとしたところ、仮想環境の部分でうまくいかないことがあり、リアルPCを使用しました。(ブラウザもつかえるGUIあり)
・Ubuntu22.04/VBoxでは、minikubeがdriverのkvm2がうまくいかず
・Ubuntu20.04/VBoxでは、minikube driver=dockerはうまくいくが keycloakが、 Fatal glibc error: CPU does not support x86-64-v2
・コンテナにSSHログインができなかったため、SSHのPort Forwardをつかえず、そのマシン上で管理画面を動かす。そのためFireFoxが動く環境が必要。
minikubeインストール
$ curl -LO “https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl”
$ chmod +x ./kubectl
$ sudo mv ./kubectl /usr/local/bin/kubectl
$ sudo apt install apt-transport-https ca-certificates software-properties-common
$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add –
$ sudo add-apt-repository “deb [arch=amd64] https://download.docker.com/linux/ubuntu focal stable”
$ sudo apt update
$ sudo apt install docker-ce
$ sudo groupadd docker
$ sudo usermod -aG docker n (n:user)
logout & login
$ sudo systemctl restart docker
$ curl -Lo minikube https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
$ chmod +x minikubes
$ sudo mv minikube /usr/local/bin
ingress addon 有効化
$ wget -q -O – https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/latest/kubernetes-examples/keycloak-ingress.yaml | sed “s/KEYCLOAK_HOST/keycloak.$(minikube ip).nip.io/” | kubectl create -f –
$ minikube addons enable ingress
$ minikube addons list
起動
n@n:~/kube$ minikube start –driver=docker
* Ubuntu 20.04 上の minikube v1.29.0
* ユーザーの設定に基づいて docker ドライバーを使用します
* root 権限を持つ Docker ドライバーを使用
* minikube クラスター中のコントロールプレーンの minikube ノードを起動しています
* ベースイメージを取得しています…
* ロード済み Kubernetes v1.26.1 をダウンロードしています…
> preloaded-images-k8s-v18-v1…: 397.05 MiB / 397.05 MiB 100.00% 4.89 Mi
> gcr.io/k8s-minikube/kicbase…: 407.19 MiB / 407.19 MiB 100.00% 2.32 Mi
* docker container (CPUs=2, Memory=2200MB) を作成しています…
* Docker 20.10.23 で Kubernetes v1.26.1 を準備しています…
– 証明書と鍵を作成しています…
– コントロールプレーンを起動しています…
– RBAC のルールを設定中です…
* bridge CNI (コンテナーネットワークインターフェース) を設定中です…
– gcr.io/k8s-minikube/storage-provisioner:v5 イメージを使用しています
* Kubernetes コンポーネントを検証しています…
* 有効なアドオン: storage-provisioner, default-storageclass
* 終了しました!kubectl がデフォルトで「minikube」クラスターと「default」ネームスペースを使用するよう設定されました
または
n@n:~/kube$ minikube start –driver=docker –listen-address=’0.0.0.0′
* Ubuntu 20.04 上の minikube v1.29.0
* 既存のプロファイルを元に、docker ドライバーを使用します
* minikube クラスター中のコントロールプレーンの minikube ノードを起動しています
* ベースイメージを取得しています…
* 「minikube」のために既存の docker container を再起動しています…
* Docker 20.10.23 で Kubernetes v1.26.1 を準備しています…
* bridge CNI (コンテナーネットワークインターフェース) を設定中です…
– registry.k8s.io/ingress-nginx/controller:v1.5.1 イメージを使用しています
– registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20220916-gd32f8c343 イメージを使用しています
– gcr.io/k8s-minikube/storage-provisioner:v5 イメージを使用しています
* Kubernetes コンポーネントを検証しています…
– registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20220916-gd32f8c343 イメージを使用しています
* ingress アドオンを検証しています…
* 有効なアドオン: storage-provisioner, default-storageclass, ingress
* 終了しました!kubectl がデフォルトで「minikube」クラスターと「default」ネームスペースを使用するよう設定されました
Keycloakのインストール
n@n:~/kube$ kubectl create -f https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/latest/kubernetes-examples/keycloak.yaml
service/keycloak created
deployment.apps/keycloak created
コンテナの情報
n@n:~$ kubectl get pods
NAME READY STATUS RESTARTS AGE
keycloak-76d756bbcb-kfcc7 1/1 Running 2 (92m ago) 98m
n@n:~$ kubectl get services
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
keycloak LoadBalancer 10.101.204.2328080:30924/TCP 98m
kubernetes ClusterIP 10.96.0.1443/TCP 102m
n@n:~$ kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
keycloak 1/1 1 1 99m
n@n:~$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
minikube Ready control-plane 102m v1.26.1
ログ表示
n@n:~$ kubectl logs keycloak-76d756bbcb-kfcc7
Updating the configuration and installing your custom providers, if any. Please wait.
2023-03-28 07:17:35,912 INFO [io.quarkus.deployment.QuarkusAugmentor] (main) Quarkus augmentation completed in 102544ms
2023-03-28 07:17:40,327 INFO [org.keycloak.quarkus.runtime.hostname.DefaultHostnameProvider] (main) Hostname settings: Base URL:, Hostname: , Strict HTTPS: false, Path: , Strict BackChannel: false, Admin URL: , Admin: , Port: -1, Proxied: true
2023-03-28 07:17:43,877 WARN [io.quarkus.agroal.runtime.DataSources] (main) Datasourceenables XA but transaction recovery is not enabled. Please enable transaction recovery by setting quarkus.transaction-manager.enable-recovery=true, otherwise data may be lost if the application is terminated abruptly
2023-03-28 07:17:46,739 INFO [org.infinispan.SERVER] (keycloak-cache-init) ISPN005054: Native IOUring transport not available, using NIO instead: io.netty.incubator.channel.uring.IOUring
2023-03-28 07:17:47,399 WARN [org.infinispan.CONFIG] (keycloak-cache-init) ISPN000569: Unable to persist Infinispan internal caches as no global state enabled
2023-03-28 07:17:47,449 WARN [org.infinispan.PERSISTENCE] (keycloak-cache-init) ISPN000554: jboss-marshalling is deprecated and planned for removal
2023-03-28 07:17:47,641 INFO [org.infinispan.CONTAINER] (keycloak-cache-init) ISPN000556: Starting user marshaller ‘org.infinispan.jboss.marshalling.core.JBossUserMarshaller’
2023-03-28 07:17:48,682 WARN [io.quarkus.vertx.http.runtime.VertxHttpRecorder] (main) The X-Forwarded-* and Forwarded headers will be considered when determining the proxy address. This configuration can cause a security issue as clients can forge requests and send a forwarded header that is not overwritten by the proxy. Please consider use one of these headers just to forward the proxy address in requests.
2023-03-28 07:17:54,261 INFO [org.keycloak.quarkus.runtime.storage.legacy.liquibase.QuarkusJpaUpdaterProvider] (main) Initializing database schema. Using changelog META-INF/jpa-changelog-master.xml
2023-03-28 07:18:02,451 INFO [org.keycloak.connections.infinispan.DefaultInfinispanConnectionProviderFactory] (main) Node name: node_242440, Site name: null
2023-03-28 07:18:02,853 INFO [org.keycloak.broker.provider.AbstractIdentityProviderMapper] (main) Registering class org.keycloak.broker.provider.mappersync.ConfigSyncEventListener
2023-03-28 07:18:02,981 INFO [org.keycloak.services] (main) KC-SERVICES0050: Initializing master realm
2023-03-28 07:18:09,351 INFO [io.quarkus] (main) Keycloak 21.0.1 on JVM (powered by Quarkus 2.13.7.Final) started in 32.445s. Listening on: http://0.0.0.0:8080
2023-03-28 07:18:09,352 INFO [io.quarkus] (main) Profile dev activated.
2023-03-28 07:18:09,352 INFO [io.quarkus] (main) Installed features: [agroal, cdi, hibernate-orm, jdbc-h2, jdbc-mariadb, jdbc-mssql, jdbc-mysql, jdbc-oracle, jdbc-postgresql, keycloak, logging-gelf, micrometer, narayana-jta, reactive-routes, resteasy, resteasy-jackson, smallrye-context-propagation, smallrye-health, vertx]
2023-03-28 07:18:10,341 INFO [org.keycloak.services] (main) KC-SERVICES0009: Added user ‘admin’ to realm ‘master’
2023-03-28 07:18:10,346 WARN [org.keycloak.quarkus.runtime.KeycloakMain] (main) Running the server in development mode. DO NOT use this configuration in production.
(課題:外部からport:30924でアクセスできなかった。minikube start –driver=docker –listen-address=’0.0.0.0′ –apiserver-ips=’192.168.1.139’ 試したが・・)
デフォルトのadmin/adminでログインしたら、サイトを参考にレルム、クライアント、ユーザを作成します。
kubernetesの環境面で時間をとられましたが、Keycloak自体はすぐに構築できました。Keycloakはバージョンアップがさかんですので、このような導入の仕方は便利に感じます。(安定バージョンというものがなく、機能追加、バグフィックスが次々とされる)
最後に使ったマニュフェストを引用しておきます。
https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/latest/kubernetes-examples/keycloak.yaml
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
apiVersion: v1 kind: Service metadata: name: keycloak labels: app: keycloak spec: ports: - name: http port: 8080 targetPort: 8080 selector: app: keycloak type: LoadBalancer --- apiVersion: apps/v1 kind: Deployment metadata: name: keycloak labels: app: keycloak spec: replicas: 1 selector: matchLabels: app: keycloak template: metadata: labels: app: keycloak spec: containers: - name: keycloak image: quay.io/keycloak/keycloak:21.0.1 args: ["start-dev"] env: - name: KEYCLOAK_ADMIN value: "admin" - name: KEYCLOAK_ADMIN_PASSWORD value: "admin" - name: KC_PROXY value: "edge" ports: - name: http containerPort: 8080 readinessProbe: httpGet: path: /realms/master port: 8080 |