红帽全球峰会11.2. 使用自定义资源进行 Red Hat Single Sign-On 安装
您可以通过创建 Keycloak 自定义资源来使用 Operator 自动安装 Red Hat Single Sign-On。当您使用自定义资源安装 Red Hat Single Sign-On 时,您可以创建此处描述的组件和服务,并在下图中所示。
-
keycloak-db-secret- 存储数据库用户名、密码和外部地址等属性(如果您连接到外部数据库) -
credentials-<CR-Name> - 用于登录到 Red Hat Single Sign-On 管理控制台的 Admin 用户名和密码(<CR-Name> 基于Keycloak自定义资源名称) -
Keycloak - Keycloak 部署规格,该规格作为具有高可用性支持的 StatefulSet 实现
-
keycloak-postgresql- 启动 PostgreSQL 数据库安装 -
keycloak-discoveryService - 执行JDBC_PING发现 -
KeycloakService - 通过 HTTPS 连接到 Red Hat Single Sign-On (不支持 HTTP) -
keycloak-postgresqlService - 如果使用的数据库实例,请连接内部和外部 -
KeycloakRoute - 从 OpenShift 访问 Red Hat Single Sign-On 管理控制台的 URL
Operator 组件和服务如何交互
11.2.1. Keycloak 自定义资源
Keycloak 自定义资源是一个 YAML 文件,用于定义安装的参数。此文件包含三个属性:
-
实例- 控制在高可用性模式下运行的实例数量。 -
externalAccess-如果启用为True,Operator 会为 Red Hat Single Sign-On 集群创建一个路由。 -
ExternalDatabase- 仅在您要连接外部托管数据库时才应用。该主题包括在本指南的 外部数据库 部分。
Keycloak 自定义资源的 YAML 文件示例
apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
name: example-sso
labels:
app: sso
spec:
instances: 1
externalAccess:
enabled: True您可以更新 YAML 文件,且 Red Hat Single Sign-On admin 控制台中显示的更改,但对管理控制台的更改不会更新自定义资源。
11.2.2. 在 OpenShift 中创建 Keycloak 自定义资源
在 OpenShift 上,您可以使用自定义资源来创建路由,这是管理控制台的 URL,并查找包含管理控制台的用户名和密码的机密。
先决条件
- 您有一个用于此自定义资源的 YAML 文件。
- 有 cluster-admin 权限或管理员授予的等效权限级别。
流程
使用 YAML 文件创建一个路由:
oc create -f <filename>.yaml -n <namespace>。例如:$ oc create -f sso.yaml -n sso keycloak.keycloak.org/example-sso created在 OpenShift 中创建路由。
- 登录 OpenShift Web 控制台。
选择
Networking,Routesand search for Keycloak。OpenShift Web 控制台中的路由屏幕
在带有 Keycloak 路由的屏幕上,点
Location下的 URL。此时会出现 Red Hat Single Sign-On admin 控制台登录屏幕。
管理控制台登录屏幕
在 OpenShift Web 控制台中找到管理控制台的用户名和密码;在
Workloads下,单击Secrets并搜索 Keycloak。OpenShift Web 控制台中的 secret 屏幕
在管理控制台登录屏幕中输入用户名和密码。
管理控制台登录屏幕
现在,您已登录到由 Keycloak 自定义资源安装的 Red Hat Single Sign-On 实例。您已准备好为域、客户端和用户创建自定义资源。
Red Hat Single Sign-On master realm
检查自定义资源的状态:
$ oc describe keycloak <CR-name>
结果
Operator 处理自定义资源后,使用以下命令查看状态:
$ oc describe keycloak <CR-name>Keycloak 自定义资源状态
Name: example-keycloak
Namespace: keycloak
Labels: app=sso
Annotations: <none>
API Version: keycloak.org/v1alpha1
Kind: Keycloak
Spec:
External Access:
Enabled: true
Instances: 1
Status:
Credential Secret: credential-example-keycloak
Internal URL: https://<External URL to the deployed instance>
Message:
Phase: reconciling
Ready: true
Secondary Resources:
Deployment:
keycloak-postgresql
Persistent Volume Claim:
keycloak-postgresql-claim
Prometheus Rule:
keycloak
Route:
keycloak
Secret:
credential-example-keycloak
keycloak-db-secret
Service:
keycloak-postgresql
keycloak
keycloak-discovery
Service Monitor:
keycloak
Stateful Set:
keycloak
Version:
Events:其他资源
- 安装 Red Hat Single Sign-On 后,就可以 创建一个 realm 自定义资源。
- 如果您有外部数据库,您可以修改 Keycloak 自定义资源来支持它。请参阅连接到外部数据库。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}