热门搜索:
keycloak/keycloak-operator
keycloak
开源身份与访问管理工具,用于管理用户身份及访问权限。
1 次收藏下载次数: 0状态:社区镜像维护者:keycloak仓库类型:镜像最近更新:12 天前
Keycloak Kubernetes Operator 镜像文档
1. 镜像概述和主要用途
Keycloak Kubernetes Operator 是一个专为简化 Keycloak 在 Kubernetes 集群中部署、配置及全生命周期管理而设计的操作器(Operator)。Keycloak 本身是一款开源的身份与访问管理(IAM)工具,提供用户认证、授权、单点登录(SSO)等核心能力。该 Operator 基于 Kubernetes 自定义资源(CRD)和控制器模式,将 Keycloak 的管理流程自动化,减少手动操作成本,适用于企业级 Kubernetes 环境中的 IAM 服务部署。
2. 核心功能和特性
2.1 自动化部署与配置
- 通过自定义资源(CR)定义 Keycloak 实例参数,自动创建 Deployment、Service、ConfigMap 等依赖 Kubernetes 资源。
- 支持配置注入(如数据库连接、TLS 证书、环境变量),无需手动修改 Pod 模板。
2.2 全生命周期管理
- 版本管理:支持 Keycloak 版本自动升级与回滚,兼容多版本平滑过渡。
- 扩缩容:根据 CR 配置的副本数(
spec.instances)自动调整 Pod 数量,支持手动或 HPA 触发的弹性伸缩。
2.3 高可用与可靠性
- 内置高可用(HA)支持,通过多副本部署、会话共享(基于 Infinispan)确保服务稳定性。
- 自动检测并修复异常实例(如重启故障 Pod、重新调度不可用节点上的实例)。
2.4 集成 Kubernetes 生态
- 无缝集成 Secret/ConfigMap 管理敏感信息(如数据库密码、管理员账号)。
- 支持 Ingress 配置自动生成,简化外部访问路由管理。
- 兼容 Kubernetes 存储类(StorageClass),支持持久化数据卷(PVC)配置。
2.5 数据库与存储灵活性
- 支持多数据库类型:内置 H2(测试环境)、外部 PostgreSQL/MySQL(生产环境)。
- 自动处理数据库初始化与连接配置,无需手动执行 SQL 脚本。
3. 使用场景和适用范围
3.1 典型使用场景
- 企业级身份与访问管理平台的 Kubernetes 化部署。
- 微服务架构中的统一认证服务(如 API 网关、Web 应用的 SSO 接入)。
- 需要自动化运维(部署、升级、备份)的 Keycloak 生产环境。
- 对服务可用性、可扩展性有严格要求的 IAM 系统(如***、电商场景)。
3.2 适用范围
- Kubernetes 集群版本:1.21+(支持 CRD v1 和 Operator SDK 兼容性)。
- 环境要求:具备持久化存储(PVC)、Ingress 控制器(如需外部访问)、可选外部数据库(生产环境推荐)。
4. 使用方法和配置说明
4.1 环境准备
- 已部署 Kubernetes 集群(1.21+),并配置 kubectl 命令行工具。
- 集群管理员权限(用于安装 CRD 和 Operator 控制器)。
- 可选:Helm 3(用于简化 Operator 安装)。
4.2 安装 Operator
4.2.1 通过 Kustomize 安装(官方推荐)
bash# 克隆官方仓库 git clone https://github.com/keycloak/keycloak-operator.git cd keycloak-operator # 安装 CRD(自定义资源定义) kubectl apply -f config/crd/bases/keycloak.org_keycloaks.yaml kubectl apply -f config/crd/bases/keycloak.org_keycloakrealms.yaml # 安装 Operator(默认命名空间:keycloak-operator) kubectl create namespace keycloak-operator kubectl apply -k config/default -n keycloak-operator
4.2.2 通过 Helm 安装(社区维护 Chart)
bash# 添加 Helm 仓库 helm repo add keycloak-operator https://keycloak.github.io/keycloak-operator helm repo update # 安装 Operator(指定命名空间) helm install keycloak-operator keycloak-operator/keycloak-operator \ --namespace keycloak-operator \ --create-namespace
4.3 部署 Keycloak 实例
4.3.1 创建 Keycloak 自定义资源(CR)
通过定义 Keycloak 类型的 CR 配置实例参数,示例如下(生产环境配置):
yaml# keycloak-instance.yaml apiVersion: keycloak.org/v2alpha1 kind: Keycloak metadata: name: keycloak-prod namespace: keycloak spec: # 实例配置 instances: 3 # 3副本高可用部署 image: quay.io/keycloak/keycloak:23.0.6 # 指定 Keycloak 版本 resources: # 资源限制 requests: cpu: 500m memory: 1Gi limits: cpu: 1000m memory: 2Gi # 数据库配置(生产环境使用外部 PostgreSQL) db: vendor: postgres url: jdbc:postgresql://postgres-service.keycloak.svc.cluster.local:5432/keycloak # 数据库服务地址 usernameSecret: name: keycloak-db-creds # 存储数据库用户名的 Secret 名称 key: username passwordSecret: name: keycloak-db-creds # 存储数据库密码的 Secret 名称 key: password # 网络与访问配置 http: tlsSecret: keycloak-tls # 包含 TLS 证书和密钥的 Secret 名称(需提前创建) ingress: enabled: true hostname: keycloak.example.com # Ingress 访问域名 annotations: # 可选:Ingress 控制器注解(如 NGINX 配置) nginx.ingress.kubernetes.io/ssl-redirect: "true" # 环境变量注入(如管理员账号) env: - name: KEYCLOAK_ADMIN valueFrom: secretKeyRef: name: keycloak-admin-creds key: username - name: KEYCLOAK_ADMIN_PASSWORD valueFrom: secretKeyRef: name: keycloak-admin-creds key: password
4.3.2 部署步骤
-
创建命名空间:
bashkubectl create namespace keycloak -
创建依赖 Secret(数据库 credentials、管理员账号、TLS 证书):
bash# 数据库 credentials Secret kubectl create secret generic keycloak-db-creds -n keycloak \ --from-literal=username=keycloak \ --from-literal=password=StrongDBPassword123! # 管理员账号 Secret kubectl create secret generic keycloak-admin-creds -n keycloak \ --from-literal=username=admin \ --from-literal=password=StrongAdminPassword456! # TLS 证书 Secret(示例:使用自签证书,生产环境需替换为 CA 签发证书) openssl req -x509 -newkey rsa:4096 -keyout tls.key -out tls.crt -days 365 -nodes -subj "/CN=keycloak.example.com" kubectl create secret tls keycloak-tls -n keycloak --cert=tls.crt --key=tls.key -
应用 CR 配置:
bashkubectl apply -f keycloak-instance.yaml -n keycloak
4.4 核心配置参数说明
| 参数路径 | 类型 | 描述 | 默认值 |
|---|---|---|---|
spec.instances | int | Keycloak 实例副本数,用于高可用部署 | 1 |
spec.image | string | Keycloak 镜像地址及版本(格式:仓库地址/镜像名:版本) | quay.io/keycloak/keycloak:latest |
spec.resources | object | Pod 资源限制与请求(如 requests.cpu、limits.memory) | 无(根据集群自动分配) |
spec.db.vendor | string | 数据库类型,可选值:h2(内置,测试用)、postgres、mysql | h2 |
spec.db.url | string | 外部数据库连接 URL(db.vendor 为 postgres/mysql 时必填) | - |
spec.db.usernameSecret | object | 数据库用户名 Secret 引用(name: Secret 名称, key: 密钥名) | - |
spec.db.passwordSecret | object | 数据库密码 Secret 引用(name: Secret 名称, key: 密钥名) | - |
spec.http.tlsSecret | string | 包含 TLS 证书和密钥的 Secret 名称(启用 HTTPS 时必填) | - |
spec.ingress.enabled | bool | 是否启用 Ingress 资源(用于外部访问) | false |
spec.ingress.hostname | string | Ingress 规则的访问域名(ingress.enabled: true 时必填) | - |
spec.env | []Env | 注入 Keycloak 容器的环境变量(如 KEYCLOAK_ADMIN、PROXY_ADDRESS_FORWARDING=true) | 无 |
4.5 管理与维护操作
4.5.1 查看实例状态
bash# 查看 Keycloak CR 状态 kubectl get keycloak -n keycloak # 查看详细事件与配置 kubectl describe keycloak keycloak-prod -n keycloak
4.5.2 升级 Keycloak 版本
修改 CR 的 spec.image 字段为目标版本,Operator 将自动执行滚动升级:
bashkubectl patch keycloak keycloak-prod -n keycloak --type=merge \ -p '{"spec":{"image":"quay.io/keycloak/keycloak:24.0.0"}}'
4.5.3 备份与恢复
- 备份:通过外部数据库的备份工具(如
pg_dump用于 PostgreSQL)定期备份数据。 - 恢复:重建 Keycloak 实例时,配置相同的数据库连接参数,数据将自动从数据库恢复。
5. 注意事项
- 生产环境数据库选择:禁止使用内置 H2 数据库(不支持持久化和多实例共享),必须配置外部数据库(如 PostgreSQL)。
- 敏感信息管理:管理员账号、数据库密码等敏感信息必须通过 Kubernetes Secret 注入,禁止硬编码在 CR 配置中。
- TLS 安全:生产环境需使用 CA 签发的 TLS 证书,避免自签证书带来的安全风险。
- 版本兼容性:升级 Keycloak 版本前,需确认 Operator 与目标 Keycloak 版本的兼容性(参考 官方兼容性矩阵)。
- 资源规划:根据用户规模调整
spec.instances和resources,建议生产环境最低配置:2 副本 + 每实例 2 CPU 核心/4GB 内存。
6. 参考链接
- Keycloak 官方文档
- Keycloak Operator 基础部署指南
- https://github.com/keycloak/keycloak-operator
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 keycloak-operator 镜像标签
docker pull docker.xuanyuan.run/keycloak/keycloak-operator:<标签>
DockerHub 原生拉取命令
docker pull keycloak/keycloak-operator:<标签>
更多 keycloak-operator 镜像推荐
keycloak/keycloak
keycloak
开源身份与访问管理工具,可轻松为应用添加认证并保护服务,无需处理用户存储或用户认证。
154 次收藏1000万+ 次下载
5 天前更新
bitnami/keycloak
Bitnami Secure Images(VMware Tanzu)
Bitnami安全Keycloak镜像,提供可靠的身份认证与访问管理功能,适合生产环境部署。
119 次收藏1000万+ 次下载
7 个月前更新
bitnamicharts/keycloak
bitnamicharts
Bitnami提供的Keycloak Helm Chart,用于在Kubernetes环境中简化开源身份与访问管理解决方案Keycloak的部署和管理。
3 次收藏1000万+ 次下载
8 个月前更新
camunda/keycloak
camunda
Camunda Keycloak Docker镜像基于Keycloak官方或Bitnami镜像构建,支持AWS IAM角色(IRSA)数据库认证,提供可选Camunda身份认证登录主题,包含Quay-based(推荐生产使用)、Bitnami-based(遗留)和企业版变体,兼容PostgreSQL数据库。
1 次收藏10万+ 次下载
9 天前更新
elestio/keycloak
elestio
Elestio验证打包的Keycloak镜像,提供开源身份与访问管理解决方案,支持用户认证、授权等核心功能。
1 次收藏5万+ 次下载
6 天前更新
airbyte/keycloak
airbyte
暂无描述
50万+ 次下载
4 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"