私は 2 つの Prometheus を持っています。どちらも oauth2-proxy 経由の forward-auth で、単一のキークロークに同じクライアント認証情報を持っています。1 つの Prometheus をもう 1 つと連携させたいと思います。これは、prometheus.yml の認証用の構成スニペットです。
oauth2:
client_id: "oauth-proxy"
client_secret: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
token_url: "https://keycloak.mydomain.tld/realms/master/protocol/openid-connect/token"
oauth-proxy クライアント ID を使用するべきか、それとも別の ID を使用するべきかさえわかりませんが、それはあまり重要ではないと思います。
ご覧のとおり、私は新しい quarkus ベースの keycloak を使用しています。これは、古い wildfly ベースの keycloak とは UI が若干異なります。
最初は、Keycloak クライアントがサービス アカウント トークンの使用を許可されていないというエラーが発生しました。クライアントで「サービス アカウント ロール」設定を有効にしてこれを修正しました。どうやら、スクレイピング Prometheus は Keycloak からトークンを取得できるようになったようですが、ターゲットは依然として「401 未承認」と表示されます。ここで何が欠けているのでしょうか?