ajout monitoring et autres

2024-01-12 18:53:03 +01:00 · 2024-01-12 18:53:03 +01:00 · d7b5fef1ed
parent ff9c660e22
commit d7b5fef1ed
1 changed files with 34 additions and 5 deletions
--- a/HowtoKeycloak.md
+++ b/HowtoKeycloak.md
@ -141,18 +141,30 @@ On peut spécifier en plus si besoin `db-url-port` pour le port ou même `db-url

 <https://www.keycloak.org/server/hostname>

-En production, un utilisateur doit se connecter en utilisant le hostname à préciser dans la configuration :
+En production, un client doit se connecter en utilisant le hostname indiqué dans la configuration :

 ```{.ini}
 # Hostname for the Keycloak server.
 hostname=test.example.org
 ```

+De plus il est fortement recommandé d'exposer la console d'administration sur un hostname différent de celui utilisé pour les clients
+
+```{.ini}
+# Hostname for the Keycloak server.
+hostname-admin=adm-test.example.org
+```
+
+> Dans ce cas, il faudra utiliser un [proxy-inverse](#proxy-inverse) pour contrôler les accès des hostnames.
+
+
 ### SSL/TLS

 <https://www.keycloak.org/server/enabletls>

-On ne doit jamais exposer une instance de production en HTTP. Nous allons configurer celle-ci en HTTPS/TLS
+On ne doit jamais exposer une instance de production en HTTP.
+* Pour un contrôle d'accès fin, il faudra utiliser un [proxy-inverse](#proxy-inverse)
+* Sinon nous allons configurer celle-ci en HTTPS/TLS

 Pour cela, nous avons besoin d'un certificat et de sa clef privé pour le hostname choisi... voir [HowtoSSL](/HowtoSSL.md#générer-un-certificat-auto-signé) ou [HowtoLetsEncrypt](/HowtoLetsEncrypt.md#génération-du-certificat) par exemple...

@ -164,6 +176,10 @@ https-certificate-file=/root/keycloak_certificat.crt
 https-certificate-key-file=/root/keycloak_private.key
 ```

+### Proxy inverse
+
+WIP <https://www.keycloak.org/server/reverseproxy>
+
 ### Exemple de configuration

 Exemple de configuration avec
@ -172,15 +188,28 @@ WIP

 ## Configuration avancée

-### Log et monitoring
+### Logging

 * Par défaut les logs ne sont pas persisté dans un fichier, on peut l'activer et indiquer un fichier (par défaut dans data/log/keycloak.log dans le dossier de keycloak)
-```
+```{.ini}
 log=console,file
 log-level=debug
 log-file=/var/log/keycloak.log
 ```

+### Monitoring
+
+<https://www.keycloak.org/server/health>
+
+* On peut activer les endpoints de health check pour surveiller l'état de keycloak
+
+```{.ini}
+health-enabled=true
+```
+
+Cela va activer les endpoints `/health`, `/health/live`, `/health/ready` et `/health/started`.
+> Généralement, surveiller `health` suffit, pour plus de détail : <https://quarkus.io/guides/smallrye-health#running-the-health-check>
+
 ### Haute disponibilité

 WIP
@ -222,7 +251,7 @@ Le royaume **master** est seulement utilisé pour gérer Keycloak et ne doit pas

 **Tester le fonctionnement des royaume** voir [getting-started-zip](https://www.keycloak.org/getting-started/getting-started-zip)

-suivre bettement les étapes juqu'a arriver au message "hello, myuser" sur [https://www.keycloak.org/app/](https://www.keycloak.org/app/)
+suivre les étapes jusqu'a arriver au message "hello, myuser" sur [https://www.keycloak.org/app/](https://www.keycloak.org/app/)

 **Créer un royaume**