问题的产生
对于我们的容器化部署项目keycloak来说,当它从云端负载均衡LB直接通过 NodePort转发到keycloak时,没有任务问题,一切正常;缺点就是,运维人员要维护一大批端口,哪个端口对应哪个服务,非常容易出乱子。
问题的解决
只要你不放弃,任何问题都可以解决,前提是不要走死胡同,因为你的方式可能是错误的,需要多尝试。
- 所以,我们找到了不需要配置很多不同端口的方法,就是使用k8s-ingress来解决这个问题,我们用的是ingress/nginx,事实上,ingress也可以选择Treafik、Nginx、HAProxy、Istio,Kong等等集成的。
- 最开始,在接入ingress时,非keycloak的服务,如springboot,springcloud这些应用,通过ingress进行转发是没有任何问题的、如keycloak在接入ingress时,出现了https加载http资源问题,包含登录表单的地址,也都是http的,没有被重写成https,中途找了很多方法,包含修改源代码,但后来觉得修改源码风险太大,而且一个一个坑下来使我改变了主意,还是在goole和keycloak issue上找到了更好的答案,架构如图:
k8s编排中添加环境变量
env:
- name: PROXY_ADDRESS_FORWARDING #接收反向代码的Forwarded-For
value: "true"
- name: KEYCLOAK_FRONTEND_URL #解决ingress处理http地址问题
value: "https://final.test.com/auth"