服务器配置指南

红帽构建的 Keycloak 从四个源加载配置，按应用程序顺序列出。

在多个源中设置选项时，列表中的第一个选项决定了该选项的值。例如，命令行参数设置的选项的值的优先级高于同一选项的环境变量。

配置使用统一的 每源 格式，它简化了从一个配置源到另一个配置源的键/值对转换。请注意，这些格式也适用于 spi 选项。

在每个配置章节的末尾，查找 Relevant 选项 标题，该标题定义适用的配置格式。有关所有配置选项，请查看 所有配置。选择适用于您的用例的配置源和格式。

bin/kc.[sh|bat] start --db-url-host=mykeycloakdb

bin/kc.[sh|bat] start --db-url-host=mykeycloakdb

export KC_DB_URL_HOST=mykeycloakdb

export KC_DB_URL_HOST=mykeycloakdb

db-url-host=mykeycloakdb

db-url-host=mykeycloakdb

bin/kc.[sh|bat] start --help

bin/kc.[sh|bat] start --help

db-url-host=${MY_DB_HOST}

db-url-host=${MY_DB_HOST}

db-url-host=${MY_DB_HOST:mydb}

db-url-host=${MY_DB_HOST:mydb}

bin/kc.[sh|bat] --config-file=/path/to/myconfig.conf start

bin/kc.[sh|bat] --config-file=/path/to/myconfig.conf start

keytool -importpass -alias kc.db-password -keystore keystore.p12 -storepass keystorepass -storetype PKCS12 -v

keytool -importpass -alias kc.db-password -keystore keystore.p12 -storepass keystorepass -storetype PKCS12 -v

bin/kc.[sh|bat] start --config-keystore=/path/to/keystore.p12 --config-keystore-password=keystorepass --config-keystore-type=PKCS12

bin/kc.[sh|bat] start --config-keystore=/path/to/keystore.p12 --config-keystore-password=keystorepass --config-keystore-type=PKCS12

.\kc.bat start --log-level='"INFO,org.hibernate:debug"'

.\kc.bat start --log-level='"INFO,org.hibernate:debug"'

您可以在 开发 模式中启动红帽构建的 Keycloak 或 生产环境模式。每个模式为预期的环境提供不同的默认值。

bin/kc.[sh|bat] start-dev

bin/kc.[sh|bat] start-dev

bin/kc.[sh|bat] start

bin/kc.[sh|bat] start

您可以使用 web 前端创建初始 admin 用户，您可以使用本地连接(localhost)进行访问。您可以使用环境变量创建此用户。为初始 admin 用户名设置 KC_BOOTSTRAP_ADMIN_USERNAME= & lt;username>，为初始 admin 密码设置 KC_BOOTSTRAP_ADMIN_PASSWORD= & lt;password>。

Red Hat build of Keycloak 在第一次启动时解析这些值，以创建具有管理权限的初始用户。当第一个具有管理权限的用户存在后，您可以使用管理控制台或命令行工具 kcadm.[sh|bat] 来创建其他用户。

如果初始管理员已存在并且环境变量启动时仍然存在，则日志中会显示一条错误消息，指出初始管理员创建失败。Red Hat build of Keycloak 忽略了值并正确启动。

我们建议优化红帽构建的 Keycloak，以便在生产环境中部署红帽构建的 Keycloak 前更快地提供启动和更好的内存消耗。本节论述了如何应用红帽构建的 Keycloak 优化，以获得最佳性能和运行时行为。

bin/kc.[sh|bat] build <build-options>

bin/kc.[sh|bat] build <build-options>

bin/kc.[sh|bat] build --help

bin/kc.[sh|bat] build --help

bin/kc.[sh|bat] build --db=postgres

bin/kc.[sh|bat] build --db=postgres

bin/kc.[sh|bat] start --optimized <configuration-options>

bin/kc.[sh|bat] start --optimized <configuration-options>

管理员可通过一些域功能在配置域及其组件时引用系统变量，如环境变量和系统属性。

默认情况下，Red Hat build of Keycloak 不允许使用系统变量，但只有通过 spi-admin-allowed-system-variables 配置选项明确指定的变量。此选项允许您指定一个以逗号分隔的键列表，这些键最终会使用相同的键从系统变量解析为值。

在以后的发行版本中，这个功能将被删除，而是防止在域配置中使用系统变量。

本节概述红帽构建的 Keycloak 使用的底层概念，特别是当它涉及优化启动时。

Red Hat build of Keycloak 使用 Quarkus 框架和覆盖下的 re-augment/mutable-jar 方法。此过程将在运行 build 命令时启动。

以下是 build 命令执行的一些优化：

您可以在特定的 Quarkus 指南中了解更多信息

红帽构建的 Keycloak 持续交换敏感数据，这意味着所有与红帽构建的 Keycloak 的通信都需要安全通信频道。要防止几个攻击向量，您可以通过 TLS 或 HTTPS 为该频道启用 HTTP。

要为红帽构建的 Keycloak 配置安全通信频道，请参阅配置 TLS 和配置 传出 HTTP 请求。

要保护红帽构建的 Keycloak 的缓存通信，请参阅配置分布式缓存。

在生产环境中，红帽构建的 Keycloak 实例通常在专用网络中运行，但红帽构建的 Keycloak 需要公开某些面向公共的端点，以便与应用程序进行通信。

有关端点类别以及如何为其配置公共主机名的说明，请参阅 配置主机名(v2)。

除了 配置主机名(v2)外，生产环境通常包括反向代理/负载均衡器组件。它分离并统一访问您公司或组织所使用的网络。对于红帽构建的 Keycloak 生产环境，建议此组件。

有关在红帽构建的 Keycloak 中配置代理通信模式的详情，请参考配置反向代理。本章还建议在公共访问中隐藏哪些路径，哪些路径应该公开，以便红帽构建的 Keycloak 可以保护您的应用程序。

生产环境应该保护自身免受过载情况，因此它会尽可能地响应尽可能多的有效请求，并在情况返回正常后继续常规操作。执行此操作的一种方法是在达到特定阈值后拒绝其他请求。

负载她应该在所有级别上实施，包括您环境中的负载均衡器。此外，红帽构建的 Keycloak 中有一个功能来限制无法立即处理的请求数量，并且需要排队。默认情况下，没有设置限制。设置选项 http-max-queued-requests，将排队请求数限制为与您的环境匹配的给定阈值。超过这个限制的任何请求都会返回，并显示即时 503 Server not Available 响应。

红帽构建的 Keycloak 数据库对于红帽构建的 Keycloak 的整体性能、可用性、可靠性和完整性至关重要。有关如何配置支持的数据库的详情，请参阅配置数据库。

为确保用户在红帽构建的 Keycloak 实例停机时继续登录，典型的生产环境包含两个或更多红帽构建的 Keycloak 实例。

红帽 Keycloak 的构建在 JGroups 和 Infinispan 上运行，为集群场景提供可靠的高可用性堆栈。在默认设置中，节点之间的通信是使用 TLS 加密。

要了解更多有关使用多个节点的信息，不同的缓存以及适合您的环境的堆栈，请参阅 配置分布式缓存。

系统属性 java.net.preferIPv4Stack 和 java.net.preferIPv6Addresses 用于配置 JVM 以用于 IPv4 或 IPv6 地址。

默认情况下，红帽构建的 Keycloak 可通过 IPv4 和 IPv6 地址同时访问。要只使用 IPv4 地址运行，您需要指定属性 java.net.preferIPv4Stack=true。后者可确保任何主机名进行 IP 地址转换始终返回 IPv4 地址变体。

这些系统属性可通过 JAVA_OPTS_APPEND 环境变量方便地设置。例如，要将 IP 堆栈首选项更改为 IPv4，请按如下所示设置环境变量：

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=true"

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=true"

要仅为 IPv6 设置服务器，请按照如下所示设置环境变量来组成集群：

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

如需了解更多详细信息 ，请参阅配置分布式缓存。

使用下面描述的方法之一创建用户或服务管理员帐户 是临时的。这意味着，帐户应只在执行必要的操作所需的持续时间时才存在，以获得永久和更安全的 admin 访问权限。之后，需要手动删除帐户。各种 UI/UX 元素（如管理控制台警告横幅、标签和日志消息）将表明红帽构建的 Keycloak 管理员是临时的。

Red Hat build of Keycloak start 和 start-dev 命令支持用于引导临时管理员用户和 admin 服务帐户的选项。这些选项是标准配置选项，因此可以在任何配置 源 中指定，如环境变量或 CLI 参数。例如，以下示例演示了如何使用带有 CLI 参数的 start 和 start-dev 命令来分别引导临时 admin 用户和 admin 服务帐户：

bin/kc.[sh|bat] start --bootstrap-admin-username tmpadm --bootstrap-admin-password pass

bin/kc.[sh|bat] start --bootstrap-admin-username tmpadm --bootstrap-admin-password pass

bin/kc.[sh|bat] start-dev --bootstrap-admin-client-id tmpadm --bootstrap-admin-client-secret secret

bin/kc.[sh|bat] start-dev --bootstrap-admin-client-id tmpadm --bootstrap-admin-client-secret secret

可以省略用户名或客户端 ID 值 ; 如需更多信息，请参阅下面的 第 3.5 节 “默认值” 部分。

这些选项的目的仅适用于 bootstrap 临时管理帐户。只有当 master 域不存在时，才会在 Red Hat build of Keycloak 服务器的初始启动时创建这些帐户。帐户始终在 master 域中创建。要恢复丢失的 admin 访问权限，请使用以下部分中描述的专用命令。

即使首次启动红帽构建的 Keycloak 之前，也可以执行 bootstrap-admin 命令。请记住，在使用此命令之前，需要停止所有使用红帽的 Keycloak 节点构建。其执行将触发初始 master 域的创建，因此当服务器首次启动时，将忽略 bootstrap admin 用户和服务帐户的启动选项。

另外，强烈建议使用带有红帽构建的 Keycloak 服务器相同的选项（如 db 选项）的专用命令。

如果您使用 build 命令构建红帽构建的 Keycloak 版本，如 配置红帽 Keycloak 构建 中所述，请使用命令行选项 优化功能，让红帽构建 Keycloak 跳过一个更快的启动时间。执行此操作时，请从命令行删除构建时间选项，仅保留运行时选项。

bin/kc.[sh|bat] bootstrap-admin user

bin/kc.[sh|bat] bootstrap-admin user

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --password:env PASS_VAR

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --password:env PASS_VAR

bin/kc.[sh|bat] bootstrap-admin service

bin/kc.[sh|bat] bootstrap-admin service

bin/kc.[sh|bat] bootstrap-admin service --client-id tmpclient --client-secret:env=SECRET_VAR

bin/kc.[sh|bat] bootstrap-admin service --client-id tmpclient --client-secret:env=SECRET_VAR

对于丢失了 admin 访问权限的域，可以强制使用免密码、OTP 或其他高级身份验证方法。在这种情况下，需要创建 admin 服务帐户来恢复对域的 admin 访问权限。创建服务帐户后，需要针对红帽构建的 Keycloak 实例进行身份验证来执行所有必要的操作：

bin/kcadm.[sh|bat] config credentials --server http://localhost:8080 --realm master --client <service_account_client_name> --secret <service_account_secret>

bin/kcadm.[sh|bat] config credentials --server http://localhost:8080 --realm master --client <service_account_client_name> --secret <service_account_secret>

接下来，检索 credentialId。在本例中，OTP 凭证是相关的凭证。使用以下命令获取 CredentialRepresentation 对象的数组，并查找 类型为 otp 的数组：

bin/kcadm.[sh|bat] get users/{userId}/credentials -r {realm-name}

bin/kcadm.[sh|bat] get users/{userId}/credentials -r {realm-name}

最后，检索的 ID 可用于删除高级验证方法（在我们的 case, OTP 中）：

bin/kcadm.[sh|bat] delete users/{userId}/credentials/{credentialId} -r {realm-name}

bin/kcadm.[sh|bat] delete users/{userId}/credentials/{credentialId} -r {realm-name}

对于启动和专用命令场景，用户名和客户端 ID 分别是可选的，默认为 temp-admin 用于 user 和 service 帐户。

要禁用参数提示，可以使用 --no-prompt 参数。例如：

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --no-prompt

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --no-prompt

如果没有设置对应的环境变量，命令将失败，并显示出错信息，表示缺少所需的 password 参数。

如果应省略用户名或客户端 ID，--no-prompt 参数很有用。例如：

bin/kc.[sh|bat] bootstrap-admin user --password:env PASS_VAR --no-prompt

bin/kc.[sh|bat] bootstrap-admin user --password:env PASS_VAR --no-prompt

这会创建一个带有默认用户名的临时 admin 用户，而不提示确认。如需更多信息，请参阅上面的 第 3.5 节 “默认值” 部分。

对于 bootstrap-admin user 命令，可以选择性地将用户名和密码设置为环境变量：

bin/kc.[sh|bat] bootstrap-admin user --username:env <YourUsernameEnv> --password:env <YourPassEnv>

bin/kc.[sh|bat] bootstrap-admin user --username:env <YourUsernameEnv> --password:env <YourPassEnv>

对于 bootstrap-admin service 命令，客户端 ID 是可选的，默认为 temp-admin，而客户端 secret 需要设置为环境变量：

bin/kc.[sh|bat] bootstrap-admin service --client-id:env <YourClientIdEnv> --client-secret:env <YourSecretEnv>

bin/kc.[sh|bat] bootstrap-admin service --client-id:env <YourClientIdEnv> --client-secret:env <YourSecretEnv>

如果您要从 zip 文件安装，默认情况下，将有一个 rhbk-26.2.8 的安装根目录，您可以在文件系统中选择的任何地方创建该目录。

/opt/keycloak 是服务器在红帽构建的 Keycloak 中显示的所有容器化用法的根安装位置。

在 Red Hat build of Keycloak install root 下有一个文件夹：

默认的红帽 Keycloak 容器镜像构建已准备好配置和优化。

为了获得红帽构建的 Keycloak 容器的最佳启动，请在容器构建过程中运行 构建步骤 构建镜像。此步骤将在容器镜像的后续开始阶段节省时间。

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.2 AS builder

# Enable health and metrics support
ENV KC_HEALTH_ENABLED=true
ENV KC_METRICS_ENABLED=true

# Configure a database vendor
ENV KC_DB=postgres

WORKDIR /opt/keycloak
# for demonstration purposes only, please make sure to use proper certificates in production instead
RUN keytool -genkeypair -storepass password -storetype PKCS12 -keyalg RSA -keysize 2048 -dname "CN=server" -alias server -ext "SAN:c=DNS:localhost,IP:127.0.0.1" -keystore conf/server.keystore
RUN /opt/keycloak/bin/kc.sh build

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.2
COPY --from=builder /opt/keycloak/ /opt/keycloak/

# change these values to point to a running postgres instance
ENV KC_DB=postgres
ENV KC_DB_URL=<DBURL>
ENV KC_DB_USERNAME=<DBUSERNAME>
ENV KC_DB_PASSWORD=<DBPASSWORD>
ENV KC_HOSTNAME=localhost
ENTRYPOINT ["/opt/keycloak/bin/kc.sh"]

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.2 AS builder

# Enable health and metrics support
ENV KC_HEALTH_ENABLED=true
ENV KC_METRICS_ENABLED=true

# Configure a database vendor
ENV KC_DB=postgres

WORKDIR /opt/keycloak
# for demonstration purposes only, please make sure to use proper certificates in production instead
RUN keytool -genkeypair -storepass password -storetype PKCS12 -keyalg RSA -keysize 2048 -dname "CN=server" -alias server -ext "SAN:c=DNS:localhost,IP:127.0.0.1" -keystore conf/server.keystore
RUN /opt/keycloak/bin/kc.sh build

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.2
COPY --from=builder /opt/keycloak/ /opt/keycloak/

# change these values to point to a running postgres instance
ENV KC_DB=postgres
ENV KC_DB_URL=<DBURL>
ENV KC_DB_USERNAME=<DBUSERNAME>
ENV KC_DB_PASSWORD=<DBPASSWORD>
ENV KC_HOSTNAME=localhost
ENTRYPOINT ["/opt/keycloak/bin/kc.sh"]

A example build step that downloads a JAR file from a URL and adds it to the providers directory
Add the provider JAR file to the providers directory
Context: RUN the build command

# A example build step that downloads a JAR file from a URL and adds it to the providers directory
FROM registry.redhat.io/rhbk/keycloak-rhel9:26.2 as builder

...

# Add the provider JAR file to the providers directory
ADD --chown=keycloak:keycloak --chmod=644 <MY_PROVIDER_JAR_URL> /opt/keycloak/providers/myprovider.jar

...

# Context: RUN the build command
RUN /opt/keycloak/bin/kc.sh build

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
COPY mycertificate.crt /etc/pki/ca-trust/source/anchors/mycertificate.crt
RUN update-ca-trust

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /etc/pki /etc/pki

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
COPY mycertificate.crt /etc/pki/ca-trust/source/anchors/mycertificate.crt
RUN update-ca-trust

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /etc/pki /etc/pki

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
RUN mkdir -p /mnt/rootfs
RUN dnf install --installroot /mnt/rootfs <package names go here> --releasever 9 --setopt install_weak_deps=false --nodocs -y && \
    dnf --installroot /mnt/rootfs clean all && \
    rpm --root /mnt/rootfs -e --nodeps setup

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /mnt/rootfs /

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
RUN mkdir -p /mnt/rootfs
RUN dnf install --installroot /mnt/rootfs <package names go here> --releasever 9 --setopt install_weak_deps=false --nodocs -y && \
    dnf --installroot /mnt/rootfs clean all && \
    rpm --root /mnt/rootfs -e --nodeps setup

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /mnt/rootfs /

(add your custom logic here)
Run the 'exec' command as the last step of the script.
As it replaces the current shell process, no additional shell commands will run after the 'exec' command.

#!/bin/bash

# (add your custom logic here)

# Run the 'exec' command as the last step of the script.
# As it replaces the current shell process, no additional shell commands will run after the 'exec' command.
exec /opt/keycloak/bin/kc.sh start "$@"

podman build . -t mykeycloak

podman build . -t mykeycloak

podman run --name mykeycloak -p 8443:8443 -p 9000:9000 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=localhost

podman run --name mykeycloak -p 8443:8443 -p 9000:9000 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=localhost

...
RUN ulimit -n 1024000 && dnf install --installroot ...
...

...
RUN ulimit -n 1024000 && dnf install --installroot ...
...

...
# ADD or copy one or more provider jars
ADD --chown=keycloak:keycloak --chmod=644 some-jar.jar /opt/keycloak/providers/
...
RUN touch -m --date=@1743465600 /opt/keycloak/providers/*
RUN /opt/keycloak/bin/kc.sh build
...

...
# ADD or copy one or more provider jars
ADD --chown=keycloak:keycloak --chmod=644 some-jar.jar /opt/keycloak/providers/
...
RUN touch -m --date=@1743465600 /opt/keycloak/providers/*
RUN /opt/keycloak/bin/kc.sh build
...

默认情况下，服务器分别使用端口 8080 和 8443 侦听 http 和 https 请求。

如果要使用其他端口公开容器，则需要相应地 设置主机名 ：

podman run --name mykeycloak -p 3000:8443 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=https://localhost:3000

podman run --name mykeycloak -p 3000:8443 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=https://localhost:3000

通过将 hostname 选项设置为完整的 url，您现在可以通过 https://localhost:3000 访问服务器。

从容器中尝试红帽构建的 Keycloak 最简单的方法是使用开发或测试目的。您可以使用 start-dev 命令：

podman run --name mykeycloak -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev

podman run --name mykeycloak -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev

调用此命令将在开发模式下启动红帽构建的 Keycloak 服务器。

在生产环境中应该严格避免此模式，因为它具有不安全的默认值。有关在生产环境中运行红帽构建的 Keycloak 的更多信息，请参阅 为生产环境配置红帽构建的 Keycloak。

为了保持不可变基础架构等概念，容器需要定期重新置备。在这些环境中，您需要启动快速的容器，因此您需要创建一个优化镜像，如上一节中所述。但是，如果您的环境有不同的要求，可以通过运行 start 命令运行 Keycloak 镜像的标准红帽构建。例如：

podman run --name mykeycloak -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start \
        --db=postgres --features=token-exchange \
        --db-url=<JDBC-URL> --db-username=<DB-USER> --db-password=<DB-PASSWORD> \
        --https-key-store-file=<file> --https-key-store-password=<password>

podman run --name mykeycloak -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start \
        --db=postgres --features=token-exchange \
        --db-url=<JDBC-URL> --db-username=<DB-USER> --db-password=<DB-PASSWORD> \
        --https-key-store-file=<file> --https-key-store-password=<password>

运行这个命令会启动红帽构建的 Keycloak 服务器，该服务器会首先检测并应用构建选项。在示例中，line-- db=postgres --features=token-exchange 将数据库供应商设置为 PostgreSQL，并启用令牌交换功能。

然后，Red Hat build of Keycloak 启动并应用特定环境的配置。这种方法显著增加启动时间，并创建可可变的镜像，这不是最佳实践。

Red Hat build of Keycloak 只允许从本地网络连接创建初始 admin 用户。在容器中运行时并非如此，因此您必须在运行镜像时提供以下环境变量：

setting the admin username
setting the initial password

# setting the admin username
-e KC_BOOTSTRAP_ADMIN_USERNAME=<admin-user-name>

# setting the initial password
-e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me

红帽构建的 Keycloak 容器有一个目录 /opt/keycloak/data/import。如果您通过卷挂载或其他方法将一个或多个导入文件放到该目录中，并添加启动参数 --import-realm，则红帽构建的 Keycloak 容器将在启动时导入这些数据！这只适用于在 Dev 模式中。

podman run --name keycloak_unoptimized -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -v /path/to/realm/data:/opt/keycloak/data/import \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev --import-realm

podman run --name keycloak_unoptimized -p 8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -v /path/to/realm/data:/opt/keycloak/data/import \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev --import-realm

随意加入开放 GitHub 讨论，讨论管理 bootstrap 过程的改进。

红帽构建的 Keycloak 容器，而不是为初始和最大堆大小指定硬编码值，而是对容器的总内存使用相对值。这个行为可通过 JVM options -XX:MaxRAMPercentage=70、和 -XX:InitialRAMPercentage=50 来实现。

-XX:MaxRAMPercentage 选项表示容器内存总量的最大堆大小为 70%。-XX:InitialRAMPercentage 选项表示容器内存总量的初始堆大小为 50%。根据红帽构建的 Keycloak 内存管理深度分析来选择这些值。

由于堆大小是根据总容器内存动态计算的，您应该始终为容器设置内存限制。在以前的版本中，最大堆大小被设置为 512 MB，为了采用类似值，您应该将内存限制设置为至少 750 MB。对于较小的生产环境就绪部署，推荐的内存限值为 2 GB。

通过设置环境变量 JAVA_OPTS_KC_HEAP，可以覆盖与堆相关的 JVM 选项。您可以在 kc.sh、或 kc.bat 脚本的源代码中找到 JAVA_OPTS_KC_HEAP 的默认值。

例如，您可以指定环境变量和内存限值，如下所示：

podman run --name mykeycloak -p 8080:8080 -m 1g \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -e JAVA_OPTS_KC_HEAP="-XX:MaxHeapFreeRatio=30 -XX:MaxRAMPercentage=65" \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev

podman run --name mykeycloak -p 8080:8080 -m 1g \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -e JAVA_OPTS_KC_HEAP="-XX:MaxHeapFreeRatio=30 -XX:MaxRAMPercentage=65" \
        registry.redhat.io/rhbk/keycloak-rhel9:26.2 \
        start-dev

当您使用 PEM 格式的匹配证书和私钥文件时，您可以通过运行以下命令来将红帽构建的 Keycloak 配置为使用它们：

bin/kc.[sh|bat] start --https-certificate-file=/path/to/certfile.pem --https-certificate-key-file=/path/to/keyfile.pem

bin/kc.[sh|bat] start --https-certificate-file=/path/to/certfile.pem --https-certificate-key-file=/path/to/keyfile.pem

红帽构建的 Keycloak 在内存中创建了这些文件的密钥存储，并在之后使用此密钥存储。

如果没有显式配置密钥存储文件，但 http-enabled 被设置为 false，红帽构建的 Keycloak 会查找 conf/server.keystore 文件。

另外，您可以通过运行以下命令来使用现有的密钥存储：

bin/kc.[sh|bat] start --https-key-store-file=/path/to/existing-keystore-file

bin/kc.[sh|bat] start --https-key-store-file=/path/to/existing-keystore-file

可识别密钥存储的文件扩展：

如果您的密钥存储没有与其文件类型匹配的扩展名，您还需要设置 https-key-store-type 选项。

bin/kc.[sh|bat] start --https-key-store-password=<value>

bin/kc.[sh|bat] start --https-key-store-password=<value>

默认情况下，Red Hat build of Keycloak 不会启用弃用的 TLS 协议。如果您的客户端只支持已弃用的协议，请考虑升级客户端。但是，作为临时工作方法，您可以通过运行以下命令来启用已弃用的协议：

bin/kc.[sh|bat] start --https-protocols=<protocol>[,<protocol>]

bin/kc.[sh|bat] start --https-protocols=<protocol>[,<protocol>]

要允许 TLSv1.2，请使用如下命令：kc .sh start --https-protocols=TLSv1.3,TLSv1.2。

红帽构建的 Keycloak 侦听端口 8443 上的 HTTPS 流量。要更改这个端口，请使用以下命令：

bin/kc.[sh|bat] start --https-port=<port>

bin/kc.[sh|bat] start --https-port=<port>

默认情况下，Red Hat build of Keycloak 将每小时重新载入在 https fluentd 选项中指定的证书、密钥和密钥存储。对于您的服务器密钥可能需要频繁轮转的环境，这允许在不重启服务器的情况下发生。您可以通过 https-certificates-reload-period 选项覆盖默认设置。重新载入密钥存储、信任存储和证书文件的间隔，由 https channel 选项引用。该值可以是 java.time.Duration 值、整数数或整数，后跟一个时间单位之一 [ms,h,m,s s ,d]。必须大于 30 秒。使用 -1 禁用。

默认情况下，Red Hat build of Keycloak 会强制配置 hostname 选项，且不会动态解析 URL。这是一种安全措施。

红帽构建的 Keycloak 可自由披露其自身 URL，例如通过 OIDC Discovery 端点，或作为电子邮件中的密码重置链接的一部分。如果主机名从主机名头中动态解释，则可能会提供一个潜在的攻击者来回操作电子邮件中的 URL，将用户重定向到攻击者的假期域，以及窃取敏感数据，如操作令牌、密码等。

通过显式设置 hostname 选项，我们避免了由欺诈签发者签发令牌的情况。使用以下命令可使用显式主机名启动服务器：

bin/kc.[sh|bat] start --hostname my.keycloak.org

bin/kc.[sh|bat] start --hostname my.keycloak.org

如上例中所示，不明确要求方案和端口。在这种情况下，红帽构建的 Keycloak 会自动处理这些方面。例如，该服务器可以通过给定示例中的 https://my.keycloak.org:8443 访问。但是，反向代理通常会在默认端口（如 443 ）上公开红帽构建的 Keycloak。在这种情况下，需要在 hostname 选项中指定完整的 URL，而不是保持 URL 动态部分。然后，可以使用以下内容启动服务器：

bin/kc.[sh|bat] start --hostname https://my.keycloak.org

bin/kc.[sh|bat] start --hostname https://my.keycloak.org

同样，您的反向代理可能会以不同的上下文路径公开红帽构建的 Keycloak。可以配置红帽构建的 Keycloak，以反映通过主机名和 hostname -admin 选项。请参见以下示例：

bin/kc.[sh|bat] start --hostname https://my.keycloak.org:123/auth

bin/kc.[sh|bat] start --hostname https://my.keycloak.org:123/auth

Red Hat build of Keycloak 能够为后端频道请求提供单独的 URL，启用内部通信，同时维护对前端请求的使用公共 URL。此外，根据传入的标头动态解析回溯通道。考虑以下示例：

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

这样，您的应用程序称为客户端，可以通过本地网络与红帽构建的 Keycloak 连接，同时服务器仍然可在 https://my.keycloak.org 中公开访问。

在观察到时，HTTPS 协议是默认的选择，遵循红帽构建的 Keycloak 对安全最佳实践的承诺。但是，红帽构建的 Keycloak 也为用户提供了按需选择 HTTP 的灵活性。这可以通过指定 HTTP 侦听器来实现，详情请参阅 配置 TLS。使用边缘 TLS-termination 代理，您可以按如下方式启动服务器：

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --http-enabled true

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --http-enabled true

此配置的结果是，您可以继续通过 HTTPS 访问 https://my.keycloak.org 的红帽构建 Keycloak，而代理则使用 HTTP 和端口 8080 与实例交互。

当代理转发 http 或重新加密 TLS 请求时，应设置 proxy-headers 选项。根据主机名设置（部分或全部 URL）可能会动态确定。

bin/kc.[sh|bat] start --hostname-strict false --proxy-headers forwarded

bin/kc.[sh|bat] start --hostname-strict false --proxy-headers forwarded

bin/kc.[sh|bat] start --hostname my.keycloak.org --proxy-headers xforwarded

bin/kc.[sh|bat] start --hostname my.keycloak.org --proxy-headers xforwarded

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --proxy-headers xforwarded

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --proxy-headers xforwarded

如果要在其他主机上公开管理控制台，您可以使用以下命令完成此操作：

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

这可让您在 https://my.keycloak.org 和位于 https://admin.my.keycloak.org:8443 的管理控制台访问红帽构建的 Keycloak，而后端继续使用 https://my.keycloak.org。

红帽构建的 Keycloak 会公开多个端点，每个端点都有不同的目的。它们通常用于应用之间的通信或管理服务器。我们识别 3 个主要端点组：

如果要使用这些端点，则需要设置基本 URL。基本 URL 由几个部分组成：

每个组的基本 URL 对签发和验证令牌有重要影响，关于如何为需要用户重定向到红帽构建的 Keycloak （例如，通过电子邮件链接重置密码时，在获取 OpenID Connect Discovery Document .well -name}/.well-known/openid-configuration 时，如何发现这些端点）。

bin/kc.[sh|bat] start --hostname my.keycloak.org

bin/kc.[sh|bat] start --hostname my.keycloak.org

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

如上一节中所示，可以使用以下几种方法解析 URL：可以动态生成、硬编码或两者的组合：

另外，如果配置了主机名，则忽略 hostname-strict。

要排除主机名配置的问题，您可以使用专用的 debug 工具，该工具可启用：

bin/kc.[sh|bat] start --hostname=mykeycloak --hostname-debug=true

bin/kc.[sh|bat] start --hostname=mykeycloak --hostname-debug=true

在 Red Hat build of Keycloak 正确启动后，打开浏览器并访问： http://mykeycloak:8080/realms/<your-realm>/hostname-debug

默认情况下，Red Hat build of Keycloak 在以下端口上运行：

端口 8443 （或启用了 HTTP）用于 Admin UI、Account Console、SAML 和 OIDC 端点以及 Admin REST API，如 配置主机名(v2) 章节中所述。

端口 9000 用于管理，其中包括健康检查和指标的端点，如 配置 管理界面一章中所述。

您只需要代理端口 8443 （或 8080），即使您为 frontend/backend 和管理使用不同的主机名，如 为生产环境配置红帽构建的 Keycloak 所述。您不应该代理端口 9000，因为健康检查和指标直接使用这些端口，而您不想将此信息公开给外部调用者。

红帽构建的 Keycloak 将根据 proxy-headers 选项解析反向代理标头，该选项接受几个值：

例如：

bin/kc.[sh|bat] start --proxy-headers forwarded

bin/kc.[sh|bat] start --proxy-headers forwarded

采取额外的预防措施，确保客户端地址由您的反向代理通过 Forwarded 或 X-Forwarded-For 标头正确设置。如果正确配置了此标头，则恶意客户端可以设置此标头并欺骗红帽构建的 Keycloak，以认为客户端从与实际地址不同的 IP 地址连接。如果您执行任何拒绝或允许 IP 地址列表，则此预防措施可能更为重要。

Red Hat build of Keycloak 假设它通过与为红帽构建的 Keycloak 配置相同的上下文路径下的反向代理公开。默认情况下，Red Hat build of Keycloak 通过 root (/)公开，这意味着它还需要通过 / 上的反向代理公开。在这些情况下，您可以使用 hostname 选项的完整 URL，例如 using-- hostname=https://my.keycloak.org/auth 如果红帽构建的 Keycloak 通过 /auth 上的反向代理公开。

有关在不同的主机名或 context-path incl. 管理 REST API 和控制台上公开红帽构建的 Keycloak 的详情，请参阅 配置主机名(v2)。

另外，您还可以更改红帽构建的 Keycloak 本身的上下文路径，以使用 http-relative-path 选项与反向代理的上下文路径匹配，该选项将使用 http-relative-path 选项更改红帽构建的 Keycloak 本身的上下文路径，以匹配反向代理使用的上下文路径。

典型的集群部署由负载均衡器（反向代理）和 2 个或更多红帽在专用网络上构建 Keycloak 服务器组成。出于性能的目的，如果负载均衡器将所有与特定浏览器会话相关的请求转发到同一红帽构建的 Keycloak 后端节点，这可能很有用。

原因在于，红帽构建的 Keycloak 在 covers 下使用 Infinispan 分布式缓存，以保存与当前身份验证会话和用户会话相关的数据。Infinispan 分布式缓存配置有有限所有者数。这意味着，与会话相关的数据存储在一些集群节点中，其他节点需要远程查找数据（如果它们想要访问数据）。

例如，如果带有 ID 123 的身份验证会话保存在 node1 上的 Infinispan 缓存中，然后 node2 需要通过网络向 node1 发送请求，以返回特定的会话实体。

如果特定的会话实体始终在本地可用，这非常有用，这可通过粘性会话的帮助来完成。带有公共前端负载均衡器和 Keycloak 节点的两个后端红帽构建的工作流可能类似如下：

从这一刻，如果负载均衡器将所有下一个请求转发到 node2，因为这是 ID 为 123 的身份验证会话的所有者，因此 Infinispan 可以在本地查找此会话。身份验证完成后，身份验证会话将转换为用户会话，该会话也会保存在 node2 上，因为它具有相同的 ID 123。

集群设置中不强制使用粘性会话，但出于上述原因，这对性能很好。您需要配置 loadbalancer 以保留 AUTH_SESSION_ID cookie。进行此更改的适当流程取决于您的负载均衡器。

如果您的代理支持在没有处理来自后端节点的 Cookie 的情况下处理会话关联性，您应该将 spi-sticky-session-encoder-infinispan-should-attach-route 选项设置为 false，以避免将节点附加到 Cookie，并只依赖反向代理功能。

bin/kc.[sh|bat] start --spi-sticky-session-encoder-infinispan-should-attach-route=false

bin/kc.[sh|bat] start --spi-sticky-session-encoder-infinispan-should-attach-route=false

默认情况下，spi-sticky-session-encoder-infinispan-should-attach-route 选项值为 true，以便节点名称附加到 Cookie 以指明后续请求应发送到的节点。

在使用反向代理时，红帽构建的 Keycloak 只需要公开某些路径。下表显示了要公开的推荐路径。

我们假设您在反向代理 / gateway 公共 API 上的根路径 / 上运行红帽构建的 Keycloak。如果没有，请为所需路径加上前缀。

为确保仅从您信任的代理中使用代理标头，请将 proxy-trusted-addresses 选项设置为以逗号分隔的 IP 地址列表(IPv4 或 IPv6)或无类别域间路由(CIDR)表示法。

例如：

bin/kc.[sh|bat] start --proxy-headers forwarded --proxy-trusted-addresses=192.168.0.32,127.0.0.0/8

bin/kc.[sh|bat] start --proxy-headers forwarded --proxy-trusted-addresses=192.168.0.32,127.0.0.0/8

proxy-protocol-enabled 选项控制服务器在提供代理后面的请求时是否应该使用 HA PROXY 协议。当设置为 true 时，返回的远程地址将是实际连接客户端中的地址。使用 proxy-headers 选项时，该值不能为 true。

这在在兼容 https 透传代理后面运行时很有用，因为无法操作请求标头。

例如：

bin/kc.[sh|bat] start --proxy-protocol-enabled true

bin/kc.[sh|bat] start --proxy-protocol-enabled true

当代理配置为 TLS 终止代理时，客户端证书信息可以通过特定的 HTTP 请求标头转发到服务器，然后用来验证客户端。您可以配置服务器如何检索客户端证书信息，具体取决于您使用的代理。

服务器支持一些最常见的 TLS 终止代理，例如：

要配置如何从您需要的请求检索客户端证书：

bin/kc.[sh|bat] build --spi-x509cert-lookup-provider=<provider>

bin/kc.[sh|bat] build --spi-x509cert-lookup-provider=<provider>

bin/kc.[sh|bat] start --spi-x509cert-lookup-<provider>-ssl-client-cert=SSL_CLIENT_CERT --spi-x509cert-lookup-<provider>-ssl-cert-chain-prefix=CERT_CHAIN --spi-x509cert-lookup-<provider>-certificate-chain-length=10

bin/kc.[sh|bat] start --spi-x509cert-lookup-<provider>-ssl-client-cert=SSL_CLIENT_CERT --spi-x509cert-lookup-<provider>-ssl-cert-chain-prefix=CERT_CHAIN --spi-x509cert-lookup-<provider>-certificate-chain-length=10

在配置 HTTP 标头时，您需要确保使用的值与代理转发的标头名称对应。

配置供应商的可用选项包括：

服务器对不同的数据库有内置支持。您可以通过查看 db 配置选项的预期值来查询可用的数据库。下表列出了支持的数据库及其经过测试的版本。

默认情况下，服务器使用 dev-file 数据库。这是服务器用来持久保留数据的默认数据库，仅适用于开发用例。dev-file 数据库不适用于生产环境的用例，必须在部署到生产环境前替换。

数据库驱动程序作为红帽构建的 Keycloak 的一部分提供，但 Oracle 数据库和 Microsoft SQL Server 驱动程序除外。

如果要连接到其中一个数据库，或者要连接到已包含数据库驱动程序的不同数据库，请手动安装缺少的驱动程序。

对于每个支持的数据库，服务器提供了一些建议的默认值来简化数据库配置。您可以通过提供一些关键设置（如数据库主机和凭证）来完成配置。

可以在 构建 命令或 start 命令中设置配置：

默认模式是 keycloak，但您可以使用 db-schema 配置选项更改它。

在 导入和导出域或 Bootstrapping 并在恢复管理员帐户 时，也可以配置数据库：

bin/kc.[sh|bat] import --help
bin/kc.[sh|bat] export --help
bin/kc.[sh|bat] bootstrap-admin --help

bin/kc.[sh|bat] import --help
bin/kc.[sh|bat] export --help
bin/kc.[sh|bat] bootstrap-admin --help

如需更多信息，请参阅配置红帽构建的 Keycloak。

服务器使用 JDBC 作为底层技术与数据库通信。如果默认连接设置不足，您可以使用 db-url 配置选项指定 JDBC URL。

以下是 PostgreSQL 数据库的示例命令。

bin/kc.[sh|bat] start --db postgres --db-url jdbc:postgresql://mypostgres/mydatabase

bin/kc.[sh|bat] start --db postgres --db-url jdbc:postgresql://mypostgres/mydatabase

请注意，在调用包含特殊 shell 字符（如 ）的命令时，您需要转义字符 ； 因此，您可能希望在配置文件中设置它。

服务器根据您选择的数据库相应地使用默认的 JDBC 驱动程序。

要设置不同的驱动程序，您可以使用 JDBC 驱动程序的完全限定域名设置 db-driver ：

bin/kc.[sh|bat] start --db postgres --db-driver=my.Driver

bin/kc.[sh|bat] start --db postgres --db-driver=my.Driver

无论您设置的任何驱动程序，默认驱动程序始终在运行时可用。

只有在您真正需要时才设置此属性。例如，当将 JDBC 驱动程序 Wrapper 的功能用于特定云数据库服务时。

Unicode 对所有字段的支持取决于数据库是否允许 VARCHAR 和 CHAR 字段使用 Unicode 字符集。

数据库模式只为以下特殊字段提供对 Unicode 字符串的支持：

否则，字符仅限于数据库编码中包含的字符，通常为 8 位。但是，对于某些数据库系统，您可以启用 Unicode 字符的 UTF-8 编码，并在所有文本字段中使用完整的 Unicode 字符。对于给定的数据库，这个选择可能会导致最大字符串长度比 8 位编码支持的最大字符串长度要短。

使用 Amazon Aurora PostgreSQL 时，Amazon Web Services JDBC 驱动程序提供额外的功能，如在 Multi-AZ 设置中的写器实例更改时传输数据库连接。这个驱动程序不是发行版的一部分，需要在使用前安装它。

要安装这个驱动程序，请执行以下步骤：

从 MySQL 8.0.30 开始，MySQL 支持为在没有显式主密钥的情况下创建的 InnoDB 表生成不可见的主密钥( 这里提供了更多信息)。如果启用了此功能，数据库架构初始化并且迁移将失败，并显示出错信息 Multiple primary key defined (1068)。然后，您需要在安装或升级 Red Hat build of Keycloak 前，在 MySQL 服务器配置中将 sql_generate_in visible_primary_key 设置为 OFF 来禁用它。

由于集群节点可同时引导，因此对数据库操作需要额外的时间。例如，引导服务器实例可以执行一些数据库迁移、导入或首次初始化。数据库锁定可防止在集群节点同时引导时启动操作相互冲突。

此锁定的最大超时时间为 900 秒。如果节点在此锁定中等待超过超时时间，引导会失败。需要更改默认值不太可能，但您可以输入以下命令来更改它：

bin/kc.[sh|bat] start --spi-dblock-jpa-lock-wait-timeout 900

bin/kc.[sh|bat] start --spi-dblock-jpa-lock-wait-timeout 900

默认情况下，Red Hat build of Keycloak 使用非 XA 事务和适当的数据库驱动程序。

如果要使用驱动程序提供的 XA 事务支持，请输入以下命令：

bin/kc.[sh|bat] build --db=<vendor> --transaction-xa-enabled=true

bin/kc.[sh|bat] build --db=<vendor> --transaction-xa-enabled=true

红帽构建的 Keycloak 会自动为您的供应商选择适当的 JDBC 驱动程序。

XA 恢复默认为启用，并使用文件系统位置 KEYCLOAK_HOME/data/transaction-logs 存储事务日志。

要设置 JPA migrationStrategy (manual/update/validate)，您应该设置 JPA 供应商，如下所示：

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-migration-strategy=manual

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-migration-strategy=manual

如果要获取 DB 初始化的 SQL 文件，还必须添加这个额外的 SPI initializeEmpty (true/false)：

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-initialize-empty=false

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-initialize-empty=false

与 migrationExport 指向特定文件和位置的方法相同：

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-migration-export=<path>/<file.sql>

bin/kc.[sh|bat] start --spi-connections-jpa-quarkus-migration-export=<path>/<file.sql>

如需更多信息，请参阅 迁移数据库 文档。

当您在生产环境模式下启动 Red Hat build of Keycloak 时，使用 start 命令启用缓存，并发现网络中的所有 Red Hat build of Keycloak 节点。

默认情况下，缓存使用 jdbc-ping 堆栈，该堆栈基于 TCP 传输，并使用配置的数据库来跟踪加入集群的节点。红帽构建的 Keycloak 允许您从一组预定义的默认传输堆栈中选择，或者定义您自己的自定义堆栈，如本章后文所述。

要显式启用分布式 infinispan 缓存，请输入以下命令：

bin/kc.[sh|bat] start --cache=ispn

bin/kc.[sh|bat] start --cache=ispn

当您在开发模式下启动红帽构建的 Keycloak 时，通过使用 start-dev 命令，红帽构建的 Keycloak 仅使用本地缓存，通过隐式设置-- cache=local 选项完全禁用分布式缓存。本地 缓存模式仅用于开发和测试目的。

Red Hat build of Keycloak 提供了一个缓存配置文件，该文件位于 conf/cache-ispn.xml。

缓存配置是常规的 {infinispan_configuring_docs}[Infinispan 配置文件]。

下表提供了红帽构建的 Keycloak 使用的特定缓存概述。您可以在 conf/cache-ispn.xml 中配置这些缓存：

bin/kc.[sh|bat] start --cache-config-file=my-cache-file.xml

bin/kc.[sh|bat] start --cache-config-file=my-cache-file.xml

传输堆栈确保红帽以可靠的方式在集群中构建 Keycloak 节点。Red Hat build of Keycloak 支持各种传输堆栈：

要应用特定的缓存堆栈，请输入以下命令：

bin/kc.[sh|bat] start --cache-stack=<stack>

bin/kc.[sh|bat] start --cache-stack=<stack>

启用分布式缓存时，默认堆栈设置为 jdbc-ping，该缓存与 Red Hat build of Keycloak 的 26.x 发行流中的默认值向后兼容。

对于基于 TCP 的传输堆栈，默认启用使用 TLS 的加密，这也是默认配置。只要使用基于 TCP 的传输堆栈，就不需要额外的 CLI 选项或修改缓存 XML。

启用 TLS 后，红帽构建的 Keycloak 会自动生成自签名 RSA 2048 位证书来保护连接，并使用 TLS 1.3 来保护通信。密钥和证书存储在数据库中，以便它们可供所有节点使用。默认情况下，证书在 60 天内有效，并在运行时每 30 天进行轮转。使用选项 cache-embedded-mtls-rotation-interval-days 来更改它。

为确保红帽构建的 Keycloak 集群健康，需要打开一些网络端口。下表显示了需要为 jdbc-ping 堆栈打开的 TCP 端口，以及流量通过它的描述。

为确保红帽健康的 Keycloak 集群构建，必须在集群所有其他节点访问的接口绑定该网络端口。

默认情况下，它选择站点本地（不可路由）IP 地址，例如，从 192.168.0.0/16 或 10.0.0.0/8 地址范围中。

若要覆盖地址，请设置 jgroups.bind.address 属性。

要只为 IPv6 设置并有红帽构建的 Keycloak 自动选择绑定地址，请使用以下设置：

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

如果您在不同的网络中（如防火墙或容器中）运行红帽构建的 Keycloak 实例，则不同的实例将无法通过其本地 IP 地址相互访问。在这种情况下，将端口转发规则（有时称为"虚拟服务器"）设置为其本地 IP 地址。

使用端口转发时，请使用以下属性，以便每个节点可以正确地向其他节点公告其外部地址：

在启用指标时，来自缓存的指标会自动公开。

要为缓存指标启用直方图，请将 cache-metrics-histograms-enabled 设置为 true。虽然这些指标提供了对延迟分布的深入了解，但收集它们可能会产生性能影响，因此您应该最好在已饱和的系统中激活它们。

bin/kc.[sh|bat] start --metrics-enabled=true --cache-metrics-histograms-enabled=true

bin/kc.[sh|bat] start --metrics-enabled=true --cache-metrics-histograms-enabled=true