Configuring the Management Interface
Antarmuka manajemen memungkinkan akses ke endpoint manajemen melalui server HTTP yang berbeda dari yang utama.
Hal ini menyediakan kemungkinan untuk menyembunyikan endpoint seperti /metrics atau /health dari dunia luar, dan oleh karena itu, meningkatkan keamanan.
Keuntungan terbesar mungkin dapat dilihat di lingkungan Kubernetes karena port manajemen tertentu mungkin tidak terekspos.
Konfigurasi Antarmuka Manajemen
Antarmuka manajemen diaktifkan saat ada sesuatu yang terekspos di atasnya.
Endpoint manajemen seperti /metrics dan /health terekspos pada port manajemen default 9000 saat metrik dan kesehatan diaktifkan.
Antarmuka manajemen menyediakan sejumlah opsi dan dapat dikonfigurasi sepenuhnya.
Jika properti antarmuka manajemen tidak diatur secara eksplisit, nilai-nilai mereka secara otomatis diwariskan dari server HTTP default.
Port
Untuk mengubah port untuk antarmuka manajemen, Anda dapat menggunakan opsi NQRust-Identity http-management-port.
Path Relatif
Anda dapat mengubah path relatif dari antarmuka manajemen, karena prefix path untuk endpoint manajemen dapat berbeda.
Anda dapat mencapainya melalui opsi NQRust-Identity http-management-relative-path.
Sebagai contoh, jika Anda mengatur opsi CLI --http-management-relative-path=/management, endpoint metrik dan kesehatan akan diakses melalui path /management/metrics dan /management/health.
Pengguna secara otomatis dialihkan ke path di mana NQRust-Identity dihosting saat path relatif ditentukan.
Artinya, saat path relatif diatur ke /management, dan pengguna mengakses localhost:9000/, halaman dialihkan ke localhost:9000/management.
Jika Anda tidak menetapkan nilai untuk itu secara eksplisit, nilai dari properti http-relative-path yang digunakan. Sebagai contoh, jika Anda mengatur opsi CLI --http-relative-path=/auth, endpoint ini dapat diakses melalui path /auth/metrics dan /auth/health.
Dukungan TLS
Ketika TLS diatur untuk server NQRust-Identity default, secara default antarmuka manajemen akan dapat diakses melalui HTTPS juga. Antarmuka manajemen hanya dapat berjalan pada HTTP atau HTTPS, tidak keduanya seperti server utama.
Jika Anda tidak ingin antarmuka manajemen menggunakan HTTPS, Anda dapat mengatur opsi http-management-scheme ke http.
Opsi spesifik antarmuka manajemen NQRust-Identity dengan awalan https-management-* telah disediakan untuk mengatur parameter TLS yang berbeda untuk server HTTP manajemen. Fungsinya mirip dengan yang mereka miliki untuk server HTTP utama, untuk detailnya lihat Mengonfigurasi TLS.
Ketika opsi-opsi ini tidak diatur secara eksplisit, parameter TLS diwariskan dari server HTTP default.
Menonaktifkan Antarmuka Manajemen
Antarmuka manajemen secara otomatis dimatikan saat tidak ada yang terekspos di atasnya.
Saat ini, hanya pemeriksaan kesehatan dan metrik yang terekspos di antarmuka manajemen terlepas dari apakah itu diatur atau tidak.
Jika Anda ingin menonaktifkan penampilan mereka di antarmuka manajemen, atur properti NQRust-Identity legacy-observability-interface ke true.
Tidak disarankan untuk mengekspos endpoint kesehatan dan metrik pada server default karena alasan keamanan, dan Anda harus selalu menggunakan antarmuka manajemen.
Hatihati, opsi legacy-observability-interface usang dan akan dihapus dalam rilis mendatang.
Itu hanya memungkinkan Anda untuk memberi lebih banyak waktu untuk migrasi.
Opsi yang Relevan
| Opsi | Tipe atau Nilai | Default |
|---|---|---|
http-management-health-enabledApakah endpoint kesehatan harus diekspos di antarmuka manajemen. Jika false, endpoint kesehatan akan diekspos di antarmuka utama. CLI: --http-management-health-enabledEnv: KC_HTTP_MANAGEMENT_HEALTH_ENABLED | true, false | true |
http-management-portPort dari antarmuka manajemen. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --http-management-portEnv: KC_HTTP_MANAGEMENT_PORT | Integer | 9000 |
http-management-relative-pathSetel path relatif terhadap / untuk melayani sumber daya dari antarmuka manajemen. Path harus diawali dengan /. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail.CLI: --http-management-relative-pathEnv: KC_HTTP_MANAGEMENT_RELATIVE_PATH | String | / |
http-management-schemeKonfigurasikan skema antarmuka manajemen. Jika inherited, antarmuka manajemen akan mewarisi pengaturan HTTPS dari antarmuka utama. Jika http, antarmuka manajemen akan dapat diakses melalui HTTP - itu tidak akan mewarisi pengaturan HTTPS dan tidak dapat dikonfigurasi untuk HTTPS.CLI: --http-management-schemeEnv: KC_HTTP_MANAGEMENT_SCHEME | http, inherited | inherited |
https-management-certificate-fileJalur file ke sertifikat server atau rantai sertifikat dalam format PEM untuk server manajemen. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-certificate-fileEnv: KC_HTTPS_MANAGEMENT_CERTIFICATE_FILE | File | |
https-management-certificate-key-fileJalur file ke kunci pribadi dalam format PEM untuk server manajemen. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-certificate-key-fileEnv: KC_HTTPS_MANAGEMENT_CERTIFICATE_KEY_FILE | File | |
https-management-certificates-reload-periodInterval untuk memuat ulang key store, trust store, dan file sertifikat yang dirujuk oleh opsi https-management-* untuk server manajemen. Mungkin merupakan nilai durasi ISO 8601, bilangan bulat jumlah detik, atau bilangan bulat diikuti salah satu [ms, h, m, s, d]. Harus lebih besar dari 30 detik. Gunakan -1 untuk menonaktifkan. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-certificates-reload-periodEnv: KC_HTTPS_MANAGEMENT_CERTIFICATES_RELOAD_PERIOD | String | 1h |
https-management-client-authKonfigurasikan antarmuka manajemen untuk memerlukan/mengharuskan autentikasi klien. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-client-authEnv: KC_HTTPS_MANAGEMENT_CLIENT_AUTH | none, request, required | none |
https-management-key-store-fileKey store yang menyimpan informasi sertifikat sebagai gantinya untuk menentukan file terpisah untuk server manajemen. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-key-store-fileEnv: KC_HTTPS_MANAGEMENT_KEY_STORE_FILE | File | |
https-management-key-store-passwordKata sandi file key store untuk server manajemen. Jika tidak diberikan, nilai akan diwarisi dari opsi HTTP. Hanya relevan ketika ada yang diekspos di antarmuka manajemen - lihat panduan untuk detail. CLI: --https-management-key-store-passwordEnv: KC_HTTPS_MANAGEMENT_KEY_STORE_PASSWORD | String | password |
legacy-observability-interfaceApakah endpoint metriks/kesehatan harus diekspos di server HTTP utama (tidak disarankan). Jika diatur ke true, antarmuka manajemen dinonaktifkan. CLI: --legacy-observability-interfaceEnv: KC_LEGACY_OBSERVABILITY_INTERFACE | true, false | false |