4.4. 移行プロセス
- Red Hat build of Keycloak Operator を namespace にインストールします。
新しい CR と関連するシークレットを作成します。
テンプレートベースの Red Hat Single Sign-On 7.6 設定を、新しい Red Hat build of Keycloak CR に手動で移行します。テンプレートパラメーターと Keycloak CR フィールド間の推奨マッピングについては、次の例を参照してください。
以下の例では、Red Hat build of Keycloak Operator CR と、Red Hat Single Sign-On 7.6 テンプレートによって以前に作成した DeploymentConfig を比較します。
Red Hat build of Keycloak の Operator CR
apiVersion: k8s.keycloak.org/v2alpha1
kind: Keycloak
metadata:
name: rhbk
spec:
instances: 1
db:
vendor: postgres
host: postgres-db
usernameSecret:
name: keycloak-db-secret
key: username
passwordSecret:
name: keycloak-db-secret
key: password
http:
tlsSecret: sso-x509-https-secret
Red Hat Single Sign-On 7.6 の DeploymentConfig
apiVersion: apps.openshift.io/v1
kind: DeploymentConfig
metadata:
name: rhsso
spec:
replicas: 1
template:
spec:
volumes:
- name: sso-x509-https-volume
secret:
secretName: sso-x509-https-secret
defaultMode: 420
containers:
volumeMounts:
- name: sso-x509-https-volume
readOnly: true
env:
- name: DB_SERVICE_PREFIX_MAPPING
value: postgres-db=DB
- name: DB_USERNAME
value: username
- name: DB_PASSWORD
value: password
次の表に、Keycloak CR のフィールドを JSON パス表記で示します。たとえば、.spec は spec フィールドを示します。spec.unsupported はテクノロジープレビューのフィールドです。その機能は、最終的に他の CR フィールドによって実現可能になる予定です。太字 のパラメーターは、パススルーテンプレートと再暗号化テンプレートの両方でサポートされています。
4.4.1. 一般的なパラメーターの移行
| Red Hat Single Sign-On 7.6 | Red Hat build of Keycloak 24.0 |
|---|---|
| APPLICATION_NAME | .metadata.name |
| IMAGE_STREAM_NAMESPACE | 該当なし - イメージは Operator によって制御されます。または、ユーザーが主に spec.image を使用してカスタムイメージを指定します。 |
| SSO_ADMIN_USERNAME | 直接設定はありません。デフォルトは admin です。 |
| SSO_ADMIN_PASSWORD | 該当なし - 初期調整中に Operator によって作成されます。 |
| MEMORY_LIMIT |
|
| SSO_SERVICE_PASSWORD、SSO_SERVICE_USERNAME | 使用されなくなりました。 |
| SSO_TRUSTSTORE、SSO_TRUSTSTORE_PASSWORD、SSO_TRUSTSTORE_SECRET |
|
| SSO_REALM | 既存のデータベースを再利用する場合は不要です。代わりに RealmImport CR を使用することもできます。 |
4.4.2. データベースデプロイメントパラメーターの移行
POSTGRESQL_IMAGE_STREAM_TAG、POSTGRESQL_MAX_CONNECTIONS、VOLUME_CAPACITY、および POSTGRESQL_SHARED_BUFFERS は、データベースデプロイメントを作成するために選択した代替パラメーターに移行する必要があります。
4.4.3. データベース接続パラメーターの移行
| Red Hat Single Sign-On 7.6 | Red Hat build of Keycloak 24.0 |
|---|---|
| DB_VENDOR |
|
| DB_DATABASE |
|
| DB_MIN_POOL_SIZE |
|
| DB_MAX_POOL_SIZE |
|
| DB_TX_ISOLATION |
ドライバーでサポートされている場合、またはターゲットデータベースの一般設定として、 |
| DB_USERNAME |
|
| DB_PASSWORD |
|
| DB_JNDI | 適用されなくなりました。 |
4.4.4. ネットワークパラメーターの移行
| Red Hat Single Sign-On 7.6 | Red Hat build of Keycloak 24.0 |
|---|---|
| HOSTNAME_HTTP |
|
| HOSTNAME_HTTPS |
|
| SSO_HOSTNAME |
|
| HTTPS_SECRET |
|
| HTTPS_KEYSTORE HTTPS_KEYSTORE_TYPE HTTPS_NAME HTTPS_PASSWORD |
適用されなくなりました。 |
| X509_CA_BUNDLE |
|
Red Hat build of Keycloak Operator は現在、TLS Termination を設定する方法をサポートしていないことに注意してください。デフォルトでは、パススルーストラテジーが使用されます。したがって、パススルーストラテジーと再暗号化ストラテジーのどちらが使用されるかは問題ではないため、プロキシーオプションは、まだファーストクラスシチズンオプションフィールドとして公開されていません。ただし、このオプションが必要な場合は、Red Hat build of Keycloak の証明書を信頼するために、デフォルトの Ingress Operator 証明書を置き換えてルートを手動で設定できます。
Red Hat build of Keycloak Operator のデフォルトの動作は、次のように指定することででオーバーライドできます。
additionalOptions: name: proxy value: reencrypt
4.4.5. JGroups パラメーターの移行
JGROUPS_ENCRYPT_SECRET、JGROUPS_ENCRYPT_KEYSTORE、JGROUPS_ENCRYPT_NAME、JGROUPS_ENCRYPT_PASSWORD、および JGROUPS_CLUSTER_PASSWORD には、Keycloak CR のファーストクラス表現がありません。キャッシュ通信の保護は、キャッシュ設定ファイルを使用して引き続き可能です。
関連情報
