http-management-port
管理インターフェースのポート。
何かが管理インターフェースで公開されている場合にのみ関連します - 詳細についてはガイドを参照してください。
CLI: --http-management-port
Env: KC_HTTP_MANAGEMENT_PORT
管理インターフェースを使用すると、プライマリサーバーとは異なるHTTPサーバー経由で管理エンドポイントにアクセスできます。これにより、/metrics や /health などのエンドポイントを外部から隠蔽し、セキュリティを強化できます。Kubernetes環境では、特定の管理ポートが公開されない可能性があるため、最も大きな利点が見られるかもしれません。
管理インターフェースは、何かが公開されるとオンになります。メトリクスとヘルスが有効になっている場合、/metrics や /health などの管理エンドポイントは、デフォルトの管理ポート 9000 で公開されます。管理インターフェースは、一連のオプションを提供し、完全に構成可能です。
| 管理インターフェースのプロパティが明示的に設定されていない場合、それらの値はデフォルトのHTTPサーバーから自動的に継承されます。 |
管理エンドポイントのプレフィックスパスは異なる可能性があるため、管理インターフェースの相対パスを変更できます。これは、Keycloakオプション http-management-relative-path を使用して実現できます。
たとえば、CLIオプション --http-management-relative-path=/management を設定した場合、メトリクスとヘルスエンドポイントは /management/metrics および /management/health パスでアクセスできるようになります。
相対パスが指定されている場合、ユーザーはKeycloakがホストされているパスに自動的にリダイレクトされます。つまり、相対パスが /management に設定されている場合、ユーザーが localhost:9000/ にアクセスすると、ページは localhost:9000/management にリダイレクトされます。
明示的に値を設定しない場合、http-relative-path プロパティの値が使用されます。たとえば、CLIオプション --http-relative-path=/auth を設定した場合、これらのエンドポイントは /auth/metrics および /auth/health パスでアクセスできます。 |
デフォルトのKeycloakサーバーにTLSが設定されている場合、管理インターフェースはHTTPS経由でもアクセスできるようになります。管理インターフェースは、メインサーバーのようにHTTPまたはHTTPSのいずれかでのみ実行でき、両方では実行できません。
https-management-* というプレフィックスが付いた特定のKeycloak管理インターフェースオプションは、管理HTTPサーバーに異なるTLSパラメータを設定するために提供されています。これらの機能は、メインHTTPサーバーの対応するものと同様です。詳細については、TLSの設定 を参照してください。これらのオプションが明示的に設定されていない場合、TLSパラメータはデフォルトのHTTPサーバーから継承されます。
管理インターフェースは、何も公開されていない場合、自動的にオフになります。現在、ヘルスチェックとメトリクスのみが管理インターフェースで公開されています。管理インターフェースでの公開を無効にする場合は、Keycloakプロパティ legacy-observability-interface を true に設定してください。
|
セキュリティ上の理由から、デフォルトサーバーでヘルスおよびメトリクスエンドポイントを公開することはお勧めしません。常に管理インターフェースを使用する必要があります。注意してください、 |