10.2. キャッシュを設定する

次のデータは、ローカルキャッシュを使用して、クラスター内の各ノードのローカルに保持されます。

レルム、ユーザー、認可のローカルキャッシュは、デフォルトで最大 10,000 エントリーを保持するように設定されています。デフォルトで、ローカルキーキャッシュは最大 1,000 エントリーを保持でき、1 時間ごとに期限切れになります。したがって、外部クライアントまたはアイデンティティープロバイダーからキーを定期的にダウンロードする必要があります。

最適な実行時間を実現し、データベースへの追加のラウンドトリップを回避するには、各キャッシュの設定で、エントリーの最大数がデータベースのサイズと一致していることを確認する必要があります。キャッシュできるエントリーが増えると、サーバーがデータベースからデータを取得しなければならない回数が少なくなります。メモリーの使用率とパフォーマンスの間で何が犠牲になるかを評価する必要があります。

1 つの Red Hat build of Keycloak ノードが共有データベース内のデータを更新すると、他のすべてのノードはそれを認識する必要があるため、キャッシュからそのデータを無効にします。

work キャッシュはレプリケートされたキャッシュであり、これらの無効化メッセージの送信に使用されます。このキャッシュのエントリー/メッセージは有効期限が非常に短いため、このキャッシュのサイズが時間の経過とともに増加することを想定する必要はありません。

authenticationSessions 分散キャッシュは、認証プロセス中に、認証セッションとそれに関連する他のデータを保存するために使用されます。

分散可能キャッシュに依存すると、クラスター内のどのノードでも認証セッションを利用できるため、ユーザーは認証状態を失うことなく任意のノードにリダイレクトできます。ただし、実稼働環境に対応したデプロイメントでは、常にセッションアフィニティーを考慮し、セッションが最初に作成されたノードにユーザーをリダイレクトすることを優先する必要があります。これにより、ノード間の不要な状態遷移が回避され、CPU、メモリー、ネットワークの使用率が向上します。

ユーザーセッションとクライアントセッションは、ユーザーがログアウトを実行するとき、クライアントがトークンの取り消しを実行するとき、または有効期限に達したときに自動的に破棄されます。

セッションデータはデフォルトでデータベースに保存され、オンデマンドで次のキャッシュにロードされます。

分散可能キャッシュに依存することで、キャッシュされたユーザーおよびクライアントセッションはクラスター内の任意のノードで利用できるようになり、データベースからセッションデータをロードすることなく、ユーザーを任意のノードにリダイレクトできるようになります。ただし、実稼働環境に対応したデプロイメントでは、常にセッションアフィニティーを考慮し、セッションが最初に作成されたノードにユーザーをリダイレクトすることを優先する必要があります。これにより、ノード間の不要な状態遷移が回避され、CPU、メモリー、ネットワークの使用率が向上します。

ユーザーセッションとクライアントセッションのこれらのメモリー内キャッシュは、デフォルトではノードあたり 10000 エントリーに制限されているため、大規模なインストールでは Red Hat build of Keycloak の全体的なメモリー使用量が削減されます。内部キャッシュは、キャッシュエントリーごとに 1 人の所有者のみで実行されます。

次のキャッシュは、オフラインセッションを保存するために使用されます。

ユーザーセッションキャッシュおよびクライアントセッションキャッシュと同様に、オフラインのユーザーセッションキャッシュおよびクライアントセッションキャッシュは、デフォルトでノードあたり 10000 エントリーに制限されます。メモリーから削除されたアイテムは、必要に応じてデータベースからオンデマンドでロードされます。

デフォルトでは、通常のユーザーセッションはデータベースに保存され、オンデマンドでキャッシュに読み込まれます。Red Hat build of Keycloak を設定して、通常のユーザーセッションをキャッシュにのみ保存し、データベースへの呼び出しを最小限に抑えることができます。

このセットアップのすべてのセッションはメモリー内に保存されるため、これに関連する 2 つの影響があります。

揮発性のユーザーセッションを使用する場合、キャッシュはユーザーセッションとクライアントセッションの信頼できるソースになります。Red Hat build of Keycloak は、メモリーに保存できるエントリーの数を自動的に調整し、コピーの数を増やしてデータの損失を防ぎます。

このセットアップを有効にするには、次の手順に従います。

メモリー使用量を削減するために、特定のキャッシュに保存されるエントリーの数に上限を設定することが可能です。キャッシュの上限を指定するには、次のコマンドライン引数 --cache-embedded-${CACHE_NAME}-max-count= を指定する必要があります。${CACHE_NAME} は、上限を適用するキャッシュの名前に置き換えます。たとえば、offlineSessions キャッシュに上限 1000 を適用するには、--cache-embedded-offline-sessions-max-count=1000 のように設定します。次のキャッシュでは上限を定義できません: actionToken、authenticationSessions、loginFailures、work。

揮発性セッションが有効になっている場合、sessions、clientSessions、offlineSessions、および offlineClientSessions の最大キャッシュサイズの設定はサポートされません。

独自のキャッシュ設定ファイルを指定するには、次のコマンドを入力します。

bin/kc.[sh|bat] start --cache-config-file=my-cache-file.xml

bin/kc.[sh|bat] start --cache-config-file=my-cache-file.xml

設定ファイルは conf/ ディレクトリーに相対的です。

Red Hat build of Keycloak は、予想される設定で必要なすべてのキャッシュを自動的に作成します。conf/cache-ispn.xml のデフォルトのキャッシュ設定を追加したり、または via--cache- config- file を介して提供される独自のファイルに上書きしたりできます。

変更されたデフォルトキャッシュ設定が検出されたときに警告がログに記録されるのを防ぐには、以下のオプションを追加します。

bin/kc.[sh|bat] start --cache-config-mutate=true

bin/kc.[sh|bat] start --cache-config-mutate=true

高可用性用およびマルチノードのクラスター化セットアップ用に Red Hat build of Keycloak サーバーを設定するために、CLI オプション cache-remote-host、cache-remote-port、cache-remote-username、cache-remote-password が導入され、XML ファイル内の設定が簡素化されました。宣言された CLI パラメーターのいずれかが存在する場合、XML ファイルにはリモートストアに関連する設定は存在しないはずです。