第18章 管理インターフェイスの設定
管理インターフェイスを使用すると、プライマリーエンドポイントとは異なる HTTP サーバー経由で管理エンドポイントにアクセスできます。外部から /metrics や /health などのエンドポイントを隠すことができるため、セキュリティーが強化されます。特定の管理ポートを公開していない可能性があるため、Kubernetes 環境で最も大きなメリットが見られる場合があります。
18.1. 管理インターフェイスの設定
管理インターフェイスが公開されると、管理インターフェイスが有効になります。メトリクスとヘルスが有効になっている場合、/metrics や /health などの管理エンドポイントはデフォルトの管理ポート 9000 で公開されます。管理インターフェイスにはオプションのセットがあり、完全に設定可能です。
管理インターフェイスのプロパティーが明示的に設定されていない場合、値はデフォルトの HTTP サーバーから自動的に継承されます。
18.1.1. ポート
管理インターフェイスのポートを変更するには、Red Hat build of Keycloak オプション http-management-port を使用できます。
18.1.2. Relative path
管理エンドポイントの接頭辞パスが異なる可能性があるため、管理インターフェイスの相対パスを変更できます。Red Hat ビルドの Keycloak オプション http-management-relative-path を使用して実現できます。
たとえば、CLI オプション --http-management-relative-path=/management を設定すると、/management/metrics および /management/health パスのメトリックおよび health エンドポイントにアクセスできます。
User は、相対パスが指定されている場合に Keycloak の Red Hat ビルドがホストされるパスに自動的に リダイレクトされ ます。これは、相対パスが /management に設定され、ユーザーが localhost:9000/ にアクセスすると、ページは localhost:9000/management にリダイレクトされます。
値を明示的に設定しないと、http-relative-path プロパティーの値が使用されます。たとえば、CLI オプション --http-relative-path=/auth を設定すると、これらのエンドポイントは /auth/metrics および /auth/health パスからアクセスできます。
18.1.3. TLS サポート
TLS がデフォルトの Red Hat build of Keycloak サーバーに設定されている場合、管理インターフェイスにも HTTPS 経由でアクセスできます。管理インターフェイスは、メインサーバーの両方ではなく、HTTP または HTTPS のいずれかでのみ実行できます。
管理 HTTP サーバーにさまざまな TLS パラメーターを設定するために、接頭辞 https-management-* が付いた特定の Red Hat build of Keycloak 管理インターフェイスオプションが提供されています。これらの機能は、メインの HTTP サーバーの対応する関数に似ています。詳細は TLS の設定 を参照してください。これらのオプションが明示的に設定されていない場合、TLS パラメーターはデフォルトの HTTP サーバーから継承されます。
18.1.4. 管理インターフェイスの無効化
管理インターフェイスが公開されない場合、管理インターフェイスは自動的にオフになります。現在、管理インターフェイスに関係なく、ヘルスチェックとメトリクスのみが管理インターフェイスで公開されます。管理インターフェイスでの公開を無効にする場合は、Red Hat build of Keycloak プロパティー legacy-observability-interface を true に設定します。
セキュリティー上の理由から、デフォルトサーバーでヘルスエンドポイントとメトリクスエンドポイントを公開することは推奨されません。常に管理インターフェイスを使用する必要があります。legacy-observability-interface オプションは非推奨となり、今後のリリースでは削除されることに注意してください。これにより、移行時間を増やすことができます。
