本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
keycloak-operator Docker 镜像下载 - 轩辕镜像
keycloak-operator 镜像详细信息和使用指南
keycloak-operator 镜像标签列表和版本信息
keycloak-operator 镜像拉取命令和加速下载
keycloak-operator 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
keycloak/keycloak-operator
keycloak-operator 镜像详细信息
keycloak-operator 镜像标签列表
keycloak-operator 镜像使用说明
keycloak-operator 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
开源身份与访问管理工具,用于管理用户身份及访问权限。
1 收藏0 次下载activekeycloak镜像
keycloak-operator 镜像详细说明
keycloak-operator 使用指南
keycloak-operator 配置说明
keycloak-operator 官方文档
Keycloak Kubernetes Operator 镜像文档
1. 镜像概述和主要用途
Keycloak Kubernetes Operator 是一个专为简化 Keycloak 在 Kubernetes 集群中部署、配置及全生命周期管理而设计的操作器(Operator)。Keycloak 本身是一款开源的身份与访问管理(IAM)工具,提供用户认证、授权、单点登录(SSO)等核心能力。该 Operator 基于 Kubernetes 自定义资源(CRD)和控制器模式,将 Keycloak 的管理流程自动化,减少手动操作成本,适用于企业级 Kubernetes 环境中的 IAM 服务部署。
2. 核心功能和特性
2.1 自动化部署与配置
- 通过自定义资源(CR)定义 Keycloak 实例参数,自动创建 Deployment、Service、ConfigMap 等依赖 Kubernetes 资源。
- 支持配置注入(如数据库连接、TLS 证书、环境变量),无需手动修改 Pod 模板。
2.2 全生命周期管理
- 版本管理:支持 Keycloak 版本自动升级与回滚,兼容多版本平滑过渡。
- 扩缩容:根据 CR 配置的副本数(
spec.instances)自动调整 Pod 数量,支持手动或 HPA 触发的弹性伸缩。
2.3 高可用与可靠性
- 内置高可用(HA)支持,通过多副本部署、会话共享(基于 Infinispan)确保服务稳定性。
- 自动检测并修复异常实例(如重启故障 Pod、重新调度不可用节点上的实例)。
2.4 集成 Kubernetes 生态
- 无缝集成 Secret/ConfigMap 管理敏感信息(如数据库密码、管理员账号)。
- 支持 Ingress 配置自动生成,简化外部访问路由管理。
- 兼容 Kubernetes 存储类(StorageClass),支持持久化数据卷(PVC)配置。
2.5 数据库与存储灵活性
- 支持多数据库类型:内置 H2(测试环境)、外部 PostgreSQL/MySQL(生产环境)。
- 自动处理数据库初始化与连接配置,无需手动执行 SQL 脚本。
3. 使用场景和适用范围
3.1 典型使用场景
- 企业级身份与访问管理平台的 Kubernetes 化部署。
- 微服务架构中的统一认证服务(如 API 网关、Web 应用的 SSO 接入)。
- 需要自动化运维(部署、升级、备份)的 Keycloak 生产环境。
- 对服务可用性、可扩展性有严格要求的 IAM 系统(如金融、电商场景)。
3.2 适用范围
- Kubernetes 集群版本:1.21+(支持 CRD v1 和 Operator SDK 兼容性)。
- 环境要求:具备持久化存储(PVC)、Ingress 控制器(如需外部访问)、可选外部数据库(生产环境推荐)。
4. 使用方法和配置说明
4.1 环境准备
- 已部署 Kubernetes 集群(1.21+),并配置 kubectl 命令行工具。
- 集群管理员权限(用于安装 CRD 和 Operator 控制器)。
- 可选:Helm 3(用于简化 Operator 安装)。
4.2 安装 Operator
4.2.1 通过 Kustomize 安装(官方推荐)
# 克隆官方仓库 git clone [***] cd keycloak-operator # 安装 CRD(自定义资源定义) kubectl apply -f config/crd/bases/keycloak.org_keycloaks.yaml kubectl apply -f config/crd/bases/keycloak.org_keycloakrealms.yaml # 安装 Operator(默认命名空间:keycloak-operator) kubectl create namespace keycloak-operator kubectl apply -k config/default -n keycloak-operator
4.2.2 通过 Helm 安装(社区维护 Chart)
# 添加 Helm 仓库 helm repo add keycloak-operator [***] helm repo update # 安装 Operator(指定命名空间) helm install keycloak-operator keycloak-operator/keycloak-operator \ --namespace keycloak-operator \ --create-namespace
4.3 部署 Keycloak 实例
4.3.1 创建 Keycloak 自定义资源(CR)
通过定义 Keycloak 类型的 CR 配置实例参数,示例如下(生产环境配置):
# keycloak-instance.yaml apiVersion: keycloak.org/v2alpha1 kind: Keycloak metadata: name: keycloak-prod namespace: keycloak spec: # 实例配置 instances: 3 # 3副本高可用部署 image: quay.io/keycloak/keycloak:23.0.6 # 指定 Keycloak 版本 resources: # 资源限制 requests: cpu: 500m memory: 1Gi limits: cpu: 1000m memory: 2Gi # 数据库配置(生产环境使用外部 PostgreSQL) db: vendor: postgres url: jdbc:postgresql://postgres-service.keycloak.svc.cluster.local:5432/keycloak # 数据库服务地址 usernameSecret: name: keycloak-db-creds # 存储数据库用户名的 Secret 名称 key: username passwordSecret: name: keycloak-db-creds # 存储数据库密码的 Secret 名称 key: password # 网络与访问配置 http: tlsSecret: keycloak-tls # 包含 TLS 证书和密钥的 Secret 名称(需提前创建) ingress: enabled: true hostname: keycloak.example.com # Ingress 访问域名 annotations: # 可选:Ingress 控制器注解(如 NGINX 配置) nginx.ingress.kubernetes.io/ssl-redirect: "true" # 环境变量注入(如管理员账号) env: - name: KEYCLOAK_ADMIN valueFrom: secretKeyRef: name: keycloak-admin-creds key: username - name: KEYCLOAK_ADMIN_PASSWORD valueFrom: secretKeyRef: name: keycloak-admin-creds key: password
4.3.2 部署步骤
-
创建命名空间:
kubectl create namespace keycloak -
创建依赖 Secret(数据库 credentials、管理员账号、TLS 证书):
# 数据库 credentials Secret kubectl create secret generic keycloak-db-creds -n keycloak \ --from-literal=username=keycloak \ --from-literal=password=StrongDBPassword123! # 管理员账号 Secret kubectl create secret generic keycloak-admin-creds -n keycloak \ --from-literal=username=admin \ --from-literal=password=StrongAdminPassword456! # TLS 证书 Secret(示例:使用自签证书,生产环境需替换为 CA 签发证书) openssl req -x509 -newkey rsa:4096 -keyout tls.key -out tls.crt -days 365 -nodes -subj "/CN=keycloak.example.com" kubectl create secret tls keycloak-tls -n keycloak --cert=tls.crt --key=tls.key -
应用 CR 配置:
kubectl apply -f keycloak-instance.yaml -n keycloak
4.4 核心配置参数说明
| 参数路径 | 类型 | 描述 | 默认值 |
|---|---|---|---|
spec.instances | int | Keycloak 实例副本数,用于高可用部署 | 1 |
spec.image | string | Keycloak 镜像地址及版本(格式:仓库地址/镜像名:版本) | quay.io/keycloak/keycloak:latest |
spec.resources | object | Pod 资源限制与请求(如 requests.cpu、limits.memory) | 无(根据集群自动分配) |
spec.db.vendor | string | 数据库类型,可选值:h2(内置,测试用)、postgres、mysql | h2 |
spec.db.url | string | 外部数据库连接 URL(db.vendor 为 postgres/mysql 时必填) | - |
spec.db.usernameSecret | object | 数据库用户名 Secret 引用(name: Secret 名称, key: 密钥名) | - |
spec.db.passwordSecret | object | 数据库密码 Secret 引用(name: Secret 名称, key: 密钥名) | - |
spec.http.tlsSecret | string | 包含 TLS 证书和密钥的 Secret 名称(启用 HTTPS 时必填) | - |
spec.ingress.enabled | bool | 是否启用 Ingress 资源(用于外部访问) | false |
spec.ingress.hostname | string | Ingress 规则的访问域名(ingress.enabled: true 时必填) | - |
spec.env | []Env | 注入 Keycloak 容器的环境变量(如 KEYCLOAK_ADMIN、PROXY_ADDRESS_FORWARDING=true) | 无 |
4.5 管理与维护操作
4.5.1 查看实例状态
# 查看 Keycloak CR 状态 kubectl get keycloak -n keycloak # 查看详细事件与配置 kubectl describe keycloak keycloak-prod -n keycloak
4.5.2 升级 Keycloak 版本
修改 CR 的 spec.image 字段为目标版本,Operator 将自动执行滚动升级:
kubectl patch keycloak keycloak-prod -n keycloak --type=merge \ -p '{"spec":{"image":"quay.io/keycloak/keycloak:24.0.0"}}'
4.5.3 备份与恢复
- 备份:通过外部数据库的备份工具(如
pg_dump用于 PostgreSQL)定期备份数据。 - 恢复:重建 Keycloak 实例时,配置相同的数据库连接参数,数据将自动从数据库恢复。
5. 注意事项
- 生产环境数据库选择:禁止使用内置 H2 数据库(不支持持久化和多实例共享),必须配置外部数据库(如 PostgreSQL)。
- 敏感信息管理:管理员账号、数据库密码等敏感信息必须通过 Kubernetes Secret 注入,禁止硬编码在 CR 配置中。
- TLS 安全:生产环境需使用 CA 签发的 TLS 证书,避免自签证书带来的安全风险。
- 版本兼容性:升级 Keycloak 版本前,需确认 Operator 与目标 Keycloak 版本的兼容性(参考 官方兼容性矩阵)。
- 资源规划:根据用户规模调整
spec.instances和resources,建议生产环境最低配置:2 副本 + 每实例 2 CPU 核心/4GB 内存。
6. 参考链接
- Keycloak 官方文档
- Keycloak Operator 基础部署指南
- Keycloak Operator GitHub 仓库
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429