8.4. 保护缓存通信

当前的 Infinispan 缓存实施应该通过各种安全措施（如 RBAC、ACL 和传输堆栈加密）进行保护。

JGroups 处理红帽构建的 Keycloak 服务器之间的所有通信，并支持用于 TCP 通信的 Java SSL 套接字。红帽构建的 Keycloak 使用 CLI 选项配置 TLS 通信，而无需创建自定义 JGroups 堆栈或修改缓存 XML 文件。

要启用 TLS，cache-embedded-mtls-enabled 必须设为 true。它需要一个带有证书的密钥存储才能使用： cache-embedded-mtls-key-store-file 设置密钥存储的路径，cache-embedded-mtls-key-store-password 设置密码来解密它。truststore 包含接受连接的有效证书，它可以使用 cache-embedded-mtls-trust-store-file （到信任存储的路径）和 cache-embedded-mtls-trust-store-password （解密它）进行配置。要限制未授权访问，请为每个红帽构建的 Keycloak 部署使用一个自签名证书。

有关使用 UDP 或 TCP_NIO2 的 JGroups 堆栈，请参阅 JGroups 加密文档，了解如何设置协议堆栈。

有关保护缓存通信的更多信息，请参阅 Infinispan 安全指南。