10.4. 保护缓存通信
当前的 Infinispan 缓存实施应该通过各种安全措施(如 RBAC、ACL 和传输堆栈加密)进行保护。
JGroups 处理红帽构建的 Keycloak 服务器之间的所有通信,并支持用于 TCP 通信的 Java SSL 套接字。红帽 Keycloak 的构建使用 CLI 选项来配置 TLS 通信,而无需创建自定义 JGroups 堆栈或修改缓存 XML 文件。
若要启用 TLS,cache-embedded-mtls-enabled
必须设置为 true
。它要求一个密钥存储来使用证书: cache-embedded-mtls-key-store-file
设置密钥存储的路径,而 cache-embedded-mtls-key-store-password
会设置密码来解密它。truststore 包含用来接受连接的有效证书,它可以使用 cache-embedded-mtls-trust-store-file
(信任存储的路径)和 cache-embedded-mtls-trust-store-password
(解密它的密码)。要限制未授权的访问,请为每个红帽构建的 Keycloak 部署使用自签名证书。
有关使用 UDP
或 TCP_NIO2
的 JGroups 堆栈,请参阅 JGroups Encryption 文档,了解如何设置协议堆栈。
有关保护缓存通信的更多信息,请参阅 Infinispan 安全指南。