kubernetes Keycloak无法连接到Postgres:“需要SSL连接”

qzwqbdag  于 2023-01-25  发布在  Kubernetes
关注(0)|答案(5)|浏览(289)

我正在我的Azure-Kubernetes集群上设置KeyCloak。KeyCloak应该连接到我的Azure-Postgres数据库。它失败了:“致命错误:需要SSL连接。请指定SSL选项并重试。”
没有Postgres(删除所有数据库属性)Keycloak工作正常(使用默认h2),包括入口。找不到任何其他关于如何正确配置它的信息。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: keycloak-deployment
  labels:
    app: keycloak
spec:
  replicas: 1
  selector:
    matchLabels:
      app: keycloak
  template:
    metadata:
      labels:
        app: keycloak
    spec:
      restartPolicy: Always
      containers:
      - name: keycloak
        image: jboss/keycloak
        imagePullPolicy: IfNotPresent          
        env:
          - name:  PROXY_ADDRESS_FORWARDING
            value: "true"
          - name: KEYCLOAK_USER
            value: "admin"
          - name: KEYCLOAK_PASSWORD
            value: "password"
          - name: JDBC_PARAMS
            value: "true"
          - name: DB_VENDOR
            value: "postgres"
          - name: DB_DATABASE
            value: "keycloak"
          - name: DB_ADDR
            value: "adress"
          - name: DB_PORT
            value: "5432"
          - name: DB_USER
            value: "keycloak@db"
          - name: DB_PASSWORD
            value: "password"
          - name: JDBC_PARAMS
            value: "ssl=true"
---

apiVersion: v1
kind: Service
metadata:
  name: keycloak
spec:
  ports:
    - name: https
      protocol: TCP
      port: 443
      targetPort: 8080
  selector:
    app: keycloak        
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: keycloak
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/rewrite-target: /$1
spec:
  tls:
  - hosts:
    - host.de
    secretName: secret-name
  rules:
  - host: host.de
    http:
      paths:
      - path: /
        backend:
          serviceName: keycloak
          servicePort: 8080

我希望keycloak连接到Postgres-DB。

xpcnnkqh

xpcnnkqh1#

正如我们在Configure SSL connectivity in Azure Database for PostgreSQL上看到的那样。
Azure Database for PostgreSQL首选使用 ssl 层(SSL)将客户端应用程序连接到PostgreSQL服务。在数据库服务器和客户端应用程序之间强制SSL连接有助于通过加密服务器和应用程序之间的数据流来防止“中间人”攻击。
默认情况下,PostgreSQL数据库服务配置为要求SSL连接。如果客户端应用程序不支持SSL连接,您也可以禁用要求SSL连接到数据库服务。
如果您不想使用SSL,可以使用CLI将其禁用:

az postgres server  update --resource-group myresourcegroup --name mydemoserver --ssl-enforcement Disabled

也许这个指南Kubernetes, Keycloak, PostgreSQL & Dirigible会对你有所帮助。

s3fp2yjn

s3fp2yjn2#

只需补充:

- name: JDBC_PARAMS
            value: "sslfactory=org.postgresql.ssl.NonValidatingFactory"
2ic8powd

2ic8powd3#

当我遇到同样的问题时,我偶然发现了这个问题。我使用的是keycloak,但是通过ssl连接到了一个数字海洋postgres数据库。
您可以指定JDBC要使用的环境变量。我不得不请求ssl并指定我的证书。这是通过以下环境变量完成的:

JDBC_PARAMS=sslmode=require&sslcert=ca-certificate.crt

我将ca-certificate.crt文件安装在(默认文件夹)中

/root/.postgresql/ca-certificate.crt

在此阅读有关其他可能配置的更多信息:https://jdbc.postgresql.org/documentation/head/connect.html#ssl

zz2j4svz

zz2j4svz4#

除了@DNRN的回答之外,您还需要允许keycloak访问postgres证书。Docker容器上的卷挂载将由root所有,因此如果您使用jboss/keycloak映像,则需要将挂载文件夹的所有权更改为jboss.root

chown -R jboss.root /root/.pg_certs/

注意:您需要以root身份运行上面的命令。

70gysomp

70gysomp5#

试试看

name: "JDBC_PARAMS"                
 value: "sslmode=require"

相关问题