プライベート ネットワークに Kubernetes クラスターをセットアップし、クラスターにアクセスするためにゲートウェイ マシンを使用しています。Kubernetes クラスターに elasticsearch オペレーターをインストールし、それを介して elastic クラスターと kibana インスタンスを作成しました。ゲートウェイ マシンでは、nginx リバース プロキシが kibana と elastic の両方へのアクセスを提供しています。
elasticサイトの公式ドキュメント(およびオンラインで見つけた大量のチュートリアル)では、keycloakを使用してkibanaでSSOを提供する方法が説明されていますが、問題は、elasticsearchのxpack.security拡張機能を使用していることです。この設定は、operatorを使用して作成されたクラスターでは利用できません(https://www.elastic.co/guide/en/cloud-on-k8s/current/k8s-reserved-settings.htmlさらに、手順では、エラスティック ノード間で SSL を有効にする必要がありますが、クラスターは完全にプライベートで安全であり、SSL はゲートウェイ リバース プロキシで構成されていることから、これまでは必要ありませんでした。
そこで私の質問は、できればクラスターで SSL を有効にせずに、Kibana と Elastic (Kubernetes の Elastic オペレーターを使用してインストール) を Keycloak と統合する方法があるかどうかです。
ありがとう!
答え1
はい、Kubernetes の ElasticSearch Operator を使用してインストールされた Kibana の IdP として Keycloak を使用できます。ただし、SAML または OpenID Connect プロトコルを使用して、認証プロバイダーとして Keycloak を使用するように Kibana を構成する必要があります。これはクラスターで SSL を有効にしなくても実行できますが、Kibana と Keycloak 間の安全な通信を確保するために、NGINX リバース プロキシ構成にいくつかの調整を加える必要がある場合があります。