Kubernetes 中的 Keyclock：503 服务暂时不可用

Question

按照下面 Keycloak 文档站点上的说明，我正在尝试将 Keycloak 设置为在 Kubernetes 集群中运行。 我有一个 Ingress Controller 设置，它成功地适用于一个简单的测试页面。 Cloudflare 将域指向入口控制器 IP。

Keycloak 部署成功（ Admin console listening on http://127.0.0.1:9990 ），但是在访问域时，我收到来自 NGINX: 503 Service Temporarily Unavailable的消息。

https://www.keycloak.org/getting-started/getting-started-kube

这是 Kubernetes 配置：

apiVersion: v1
kind: Service
metadata:
  name: keycloak-cip
spec:
  type: ClusterIP
  ports:
    - port: 80
      targetPort: 8080
  selector:
    name: keycloak
---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
    service.beta.kubernetes.io/linode-loadbalancer-default-protocol: https
    service.beta.kubernetes.io/linode-loadbalancer-port-443: '{ "tls-secret-name": "my-secret", "protocol": "https" }'
spec:
  rules:
    - host: my.domain.com
      http:
        paths:
          - backend:
              serviceName: keycloak-cip
              servicePort: 8080
  tls:
    - hosts:
        - my.domain.com
      secretName: my-secret
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: keycloak
  namespace: default
  labels:
    app: keycloak
spec:
  replicas: 1
  selector:
    matchLabels:
      app: keycloak
  template:
    metadata:
      labels:
        app: keycloak
    spec:
      containers:
        - name: keycloak
          image: quay.io/keycloak/keycloak:12.0.3
          env:
            - name: KEYCLOAK_USER
              value: "admin"
            - name: KEYCLOAK_PASSWORD
              value: "admin"
            - name: PROXY_ADDRESS_FORWARDING
              value: "true"
          ports:
            - name: http
              containerPort: 8080
            - name: https
              containerPort: 8443
          readinessProbe:
            httpGet:
              path: /auth/realms/master
              port: 8080
            initialDelaySeconds: 90
            periodSeconds: 5
            failureThreshold: 30
            successThreshold: 1
  revisionHistoryLimit: 1

---

编辑：

TLS 应由入口 controller 处理。

--

编辑2：

If I go into the controller using kubectl exec, I can do curl -L http://127.0.0.1:8080/auth which successfully retrieves the page: <title>Welcome to Keycloak</title> . 所以我确定keycloak正在运行。 只是流量没有到达 pod，或者 keycloak 没有响应。

如果我改用 ClusterIP 但保持通话不变，我会得到一个Connection timed out 。 我尝试了端口 80 和 8080，结果相同。

Answer 1

在入口 controller后面运行keycloak需要以下配置：

- name: PROXY_ADDRESS_FORWARDING
  value: "true"
- name: KEYCLOAK_HOSTNAME
  value: "my.domain.com"

所以我认为添加正确的KEYCLOAK_HOSTNAME值应该可以解决您的问题。

我有一个与 Traefik Ingress Controller 类似的问题： 无法使用 Traefik Ingress Controller 和 AWS HTTPS 负载均衡器在 AWS 上公开 Keycloak 服务器

你可以在这里找到我的配置的完整代码： https://github.com/skyglass-examples/user-management-keycloak

Answer 2

您好您是否尝试添加此行：

nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"

看起来您的配置文件中缺少它导致 503 错误，请检查此以获取有关 K8s 配置的更多输入。