リストア – ムービットのブログ https://www.mubit.co.jp/pb-blog Powered BLUE サーバー Tue, 28 Nov 2023 04:59:41 +0000 ja hourly 1 https://wordpress.org/?v=6.5.2 Keycloak 新admin コンソールやQuarkus 対応 / RockyLinuxやRedHatで運用 https://www.mubit.co.jp/pb-blog/?p=19312 Fri, 25 Nov 2022 06:31:10 +0000 https://www.mubit.co.jp/pb-blog/?p=19312 Keycloak ver 18 からは新しいGUIが利用できます。keycloak ver 21からは、新しいGUIのみになります。

Quarkusは Keycloak ver 17  から利用が出来ます。WildFlyはver 21からはサポートされません。

 

New admin UI console

 

クライアント

 

ロール

 

ユーザー

 

Keycloak アプライアンス

RockyLinux 8.x / RedHat 8.xで動作するKeycloak / Quarkusに対応の Keycloak idP アプライアンス Powered BLUE idP for Keycloak

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/02/keycloak-0.png

GUIからKeycloakの

  • セットアップ
  • リバースプロキシ
  • バージョンアップ&バックアップ&リストア

に対応しています

 

Powered BLUE idP for Keycloak 構成

  • OS RedHat 8.x / RockyLinux 8.x 対応
  • Keycloak
  • GUIでのサーバーやアプリの設定
  • アプライアンス

 

GUIからの設定

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成(スタンドアロン・クラスター・バックアップ)などの各種設定に対応しています。

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 )
  • SSLサーバー証明書の登録 ( キーストア やトラストストア)
  • keycloak ログ
  • リバースプロキシ内蔵
  • SSLクライアント認証(多要素認証)
  • OSなどの自動パッチ適用
  • アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)

など対応しており、コマンドラインからのプログラムのインストールや設定は不要です

 

ダイレクトアクセス・モードやリバースプロキシ同居モード構成に対応

 

 

 

 

 

 

①   リバースプロキシ構成(有・無)

ダイレクトアクセス・モード Client ⇒   ( 443 / Keycloak )

  • Keycloakを直接443番ポートで運用します

 

 

 

 

 

 

リバースプロキシ・モード  Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

  • リバースプロキシ経由でKeycloakへアクセスする運用です

 

 

 

 

 

 

②  パス設定 (Quarkusでも任意のパスを指定できます)
https:// idp.keycloak.com / auth /

 

③  http・https ポート設定
443 / 8080 / 80  /etc

 

サーバー構成の設定

  • データベース構成
  • スタンドアローンやクラスター構成

 

 

 

 

 

 

  • クラスター構成

 

 

SSLサーバー証明書機能

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

  • 自己証明のSSL証明書の作成機能
  • パブリックなSSL証明書や中間証明書のインポート機能
  • キーストアへのSSL証明書登録機能
  • トラストストアへのSSL証明書登録機能

 

 

バージョンアップ

 

 

 

  • Keycloakの運用管理
  • Keycloakのバージョン管理

 

 

バックアップ&リストア

 

 

  • Keycloakのアックアップ

 

 

サーバー管理者の負担軽減

  • サーバーの自己監視やサービスの再起動
  • パッチの自動アップデート
  • 管理者への通知機能

 

Keycloakの認証強化

KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用の構成

1) SSLクライアント認証
2) ID / パスワード認証

 

有効なSSLクライアント証明書の場合

1)SP (Webやリバースプロキシ) にアクセス
2)idP / Keycloakの認証
(初回のみ / SSO / SSLクライアント認証)
3)認証の成功後 ターゲットSPのWebを表示

 

有効なSSLクライアント証明書の無い場合

 

 

 

Keycloakではワンタイムパスワード認証も利用が出来ます。

  1. ワンタイムパスワード認証は、毎回「入力する」必要があります
  2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

 

多要素認証の比較

認証 SSLクライアント認証 ワンタイムパスワード認証
認証操作 不要 毎回必要
判定のタイミング ID / passwd 入力前に判定 ID / passwd 入力後に判定
リスト攻撃  ブロック   ブロック ✖

 

 

対応の運用先

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/02/keycloak-0.png

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他

 

 

]]> AWS-EC2で同じMac Addressでのリストア / ENIを利用 https://www.mubit.co.jp/pb-blog/?p=12175 Fri, 27 Nov 2020 06:14:34 +0000 https://www.mubit.co.jp/pb-blog/?p=12175 AWSのEC2のインスタンスから、サーバーのMac Addressを変更することなく同一のままでリストアする方法です。

AWSではENI(Elastic Network Interface)により、VPC内のインスタンスにネットワークインターフェースをアサインしています。

 

ENIで設定できる内容

  • プライベートIPv4アドレス(VPCのアドレス範囲内)の設定
  • 固定IPアドレス(Elastic IPアドレス)の設定
  • IPv6アドレスの設定
  • セキュリティグループの設定
  • MACアドレスの管理
  • ルーティング情報の設定

リスア後のインスタンスに、ENIを再利用することでIP アドレスやMac Addressをそのまま引き継ぐことが出来ます。

 

現在の設定内容(引継ぎ前)

  • IP=10.0.0.103 / gw=10.0.0.1
  • Mac Address  0a:99:41:8f:a2:e3

[root]# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         <span style="background-color: #ffff00;">10.0.0.1</span>        0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
<span style="background-color: #ffff00;">10.0.0.103</span>      0.0.0.0         255.255.255.255 UH        0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
[root]#
[root]# ifconfig -a eth0
eth0: flags=4163&lt;UP,BROADCAST,RUNNING,MULTICAST&gt;  mtu 9001
        inet 10.0.0.103  netmask 255.255.255.0  broadcast 10.0.0.255
        <span style="background-color: #ffff00;">ether 0a:99:41:8f:a2:e3</span>  txqueuelen 1000  (Ethernet)
        ............
[root]#

 

操作手順

利用中のインスタンスのENI (リストア後のサーバーでも使うENI ) を、インスタンスの削除後も残す設定を行う

  • [ネットワークインターフェース] を選択
  • [アクション] を選択
  • [終了後の動作を変更] を選択

 

[終了時に削除] からチェックを外す

例 eni-a537b

  • 既存EC2インスタンスを削除します

 

新インスタンスの作成

バックアップデータから新規インスタンスを作成の際に、プルダウンメニューから保存しておいたENIをアサインします。なお削除したEC2インスタンスと同じサブネットを選択必要があります。

  • 例 eni-a537b

 

Private-IP / Mac Addressが引き継がれたインスタンスが作成されます

引継ぎ後の設定内容

  • IP=10.0.0.103 / gw=10.0.0.1
  • Mac Address  0a:99:41:8f:a2:e3

[root]# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         <span style="background-color: #ffff00;">10.0.0.1</span>        0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
<span style="background-color: #ffff00;">10.0.0.103</span>      0.0.0.0         255.255.255.255 UH        0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
[root]#
[root]# ifconfig -a eth0
eth0: flags=4163&lt;UP,BROADCAST,RUNNING,MULTICAST&gt;  mtu 9001
        inet 10.0.0.103  netmask 255.255.255.0  broadcast 10.0.0.255
        <span style="background-color: #ffff00;">ether 0a:99:41:8f:a2:e3</span>  txqueuelen 1000  (Ethernet)
        ............
[root]#

 

実際の手順

バックアップ・リストア後のイメージから作成の新インスタンスが起動しない可能性も考慮すると、既存のインスタンスをいきなり削除する方法は危険です。

以下の手順での操作が安全です。

 

1 ) バックアップから作成のインスタンスが「正常に起動」することを確認( 異なるENI )

 

2 ) 運用中の既存のインスタンスについて、ENIを保持でインスタンスのみを削除

 

3 ) バックアップから再度インスタンスを作成して、古いインスタンスで使用のENIを新インスタンスにアサイン( 従来のENI )

 

その他

[削除しない選択] を指定のENI は、当該のインスタンスを削除後もENIは残り課金の対象になるので注意が必要です。

 

 

 

]]>