红帽全球峰会11.8. 连接到外部数据库
您可以通过创建一个 keycloak-db-secret YAML 文件并将 Keycloak CR externalDatabase 属性设置为 enabled,来使用 Operator 连接到外部 PostgreSQL 数据库。请注意,值为 Base64 编码。
keycloak-db-secret的 YAML 文件示例
以下属性设置数据库的主机名或 IP 地址和端口。
-
POSTGRES_EXTERNAL_ADDRESS- 一个 IP 地址或外部数据库的主机名。 -
POSTGRES_EXTERNAL_PORT- (可选)数据库端口。
其他属性的工作方式与托管或外部数据库相同。将它们设置为如下:
-
POSTGRES_DATABASE- 要使用的数据库名称。 -
POSTGRES_USERNAME- 数据库用户名 -
POSTGRES_PASSWORD- 数据库密码 -
POSTGRES_SUPERUSER- 表示备份是否以超级用户身份运行。通常为。 -
SSL_MODE- 表示是否连接到外部 PostgreSQL 数据库上的 TLS。检查 可能的值
启用 SSL_MODE 后,Operator 会搜索名为 keycloak-db-ssl-cert-secret 的 secret,其中包含 PostgreSQL 数据库使用的 root.crt。创建 secret 是可选的,只有在您希望验证数据库的证书时(例如 SSLMODE: verify-ca)才会使用该 secret。下面是一个示例:
operator 要使用的 TLS Secret 的 YAML 文件示例。
Operator 将创建一个名为 keycloak-postgresql 的服务。此服务由 Operator 配置,以根据 POSTGRES_EXTERNAL_ADDRESS 的内容公开外部数据库。Red Hat Single Sign-On 使用这个服务连接到数据库,这意味着它不会直接连接到数据库,而是通过这个服务。
Operator 将创建一个名为 keycloak-postgresql 的服务。此服务由 Operator 配置,以根据 POSTGRES_EXTERNAL_ADDRESS 的内容公开外部数据库。Red Hat Single Sign-On 使用这个服务连接到数据库,这意味着它不会直接连接到数据库,而是通过这个服务。
Keycloak 自定义资源需要更新来启用外部数据库支持。
支持外部数据库的 Keycloak 自定义资源的 YAML 文件示例
前提条件
-
您有一个用于
keycloak-db-secret的 YAML 文件。 -
您已修改了 Keycloak 自定义资源,将
externalDatabase设置为true。 - 您有 cluster-admin 权限,或具有管理员授予的同等权限级别。
流程
查找 PostgreSQL 数据库的 secret:
oc get secret <secret_for_db> -o yaml。例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow POSTGRES_EXTERNAL_ADDRESS是 Base64 格式。解码 secret 的值:
echo "<encoded_secret>" | base64 -decode。例如:echo "MTcyLjE3LjAuMw==" | base64 -decode
$ echo "MTcyLjE3LjAuMw==" | base64 -decode 192.0.2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 确认已解码的值与您的数据库的 IP 地址匹配:
oc get pods -o wide
$ oc get pods -o wide NAME READY STATUS RESTARTS AGE IP keycloak-0 1/1 Running 0 13m 192.0.2.0 keycloak-postgresql-c8vv27m 1/1 Running 0 24m 192.0.2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
keycloak-postgresql出现在运行的服务列表中:oc get svc
$ oc get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE keycloak ClusterIP 203.0.113.0 <none> 8443/TCP 27m keycloak-discovery ClusterIP None <none> 8080/TCP 27m keycloak-postgresql ClusterIP 203.0.113.1 <none> 5432/TCP 27mCopy to Clipboard Copied! Toggle word wrap Toggle overflow keycloak-postgresql服务将请求发送到后端的一组 IP 地址。这些 IP 地址称为端点。查看
keycloak-postgresql服务使用的端点,以确认它们是否将 IP 地址用于您的数据库:oc get endpoints keycloak-postgresql
$ oc get endpoints keycloak-postgresql NAME ENDPOINTS AGE keycloak-postgresql 192.0.2.3.5432 27mCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认 Red Hat Single Sign-On 正在使用外部数据库运行。本例显示一切正在运行:
oc get pods
$ oc get pods NAME READY STATUS RESTARTS AGE IP keycloak-0 1/1 Running 0 26m 192.0.2.0 keycloak-postgresql-c8vv27m 1/1 Running 0 36m 192.0.2.3Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}