search

Keycloak 설치 시 고려 사항

Keycloak을 설치할 때는 단순히 실행 파일을 준비하는 것만으로 충분하지 않다. 실제 서비스 환경에서 안정적으로 동작하고 보안을 보장하기 위해서는 사전에 다양한 요소를 면밀히 검토해야 한다. 다음은 Keycloak 설치 시 고려해야 할 주요 사항이다.

hashtag
실행 환경 및 인프라 요구 사항

  • 하드웨어 스펙: Keycloak 서버는 인증 요청을 처리하고 세션 상태를 관리해야 하므로 CPU, 메모리, 디스크 I/O 자원에 대한 충분한 사전 계획이 필요하다. 특히 사용자 인증 요청이 많은 환경에서는 메모리와 CPU 코어 수를 넉넉히 할당해야 한다.

  • 운영체제: 리눅스 계열(예: CentOS, Ubuntu) 환경에서 안정적으로 동작하며, 윈도우 환경에서도 설치 및 구동이 가능하다. 다만 운영체제별로 시스템 패키지나 의존성 라이브러리가 다를 수 있으므로 호환성 테스트가 필수다.

  • 자바 런타임: Keycloak은 자바 기반 애플리케이션이므로, 호환되는 버전의 JDK가 설치되어 있어야 한다. 일반적으로 OpenJDK 11 이상 버전을 권장하며, JVM 최적화를 통해 성능을 높일 수 있다.

hashtag
데이터베이스 고려

  • 내장 H2 데이터베이스: 초기 테스트나 개발 환경에서 빠르게 Keycloak을 실행하기 위해 주로 사용되지만, 실무 운영 환경에서는 권장되지 않는다. 데이터 영속성, 확장성, 백업 등을 고려할 때 외부 데이터베이스가 필수적이다.

  • 외부 데이터베이스: PostgreSQL, MySQL, Oracle, MSSQL 등 호환 가능한 RDBMS를 사용할 수 있다. 데이터베이스 선택 시 조직에서 이미 사용 중인 DB 엔진과의 일관성을 고려하고, 장애 조치(HA) 구성과 백업 정책을 사전에 수립해야 한다.

hashtag
네트워크 및 보안 구성

  • TLS/SSL 설정: 사용자 인증 요청 시 민감한 데이터(아이디, 비밀번호 등)가 오가므로, TLS/SSL 암호화를 필수적으로 적용해야 한다. 자체 서명 인증서 대신 정식 인증 기관(CA)에서 발급받은 인증서를 사용하는 것이 보안상 유리하다.

  • 방화벽 및 포트 관리: Keycloak은 기본적으로 8080(HTTP), 8443(HTTPS) 포트를 사용한다. 보안 환경에 따라 필요한 포트만 열어두고, 나머지는 차단하는 방화벽 정책이 필요하다.

  • 클러스터 환경에서의 로드 밸런서: 여러 노드로 Keycloak을 구성할 경우 로드 밸런서를 통해 트래픽을 분산하며, SSL 종료 지점을 로드 밸런서로 두는 방안을 고려할 수 있다.

hashtag
고가용성(High Availability) 환경 구성

  • 클러스터링: 사용자 인증 환경은 중단 없이 서비스를 제공해야 한다. 따라서 Keycloak 노드를 여러 대 두어 고가용성을 갖추는 것이 중요하다. 클러스터 구성 시 세션 레플리케이션, 스케일링 정책 등을 사전에 검증해야 한다.

  • 세션 스토어: 클러스터 모드에서는 Infinispan 캐시나 분산 캐시를 활용하여 세션 데이터를 공유한다. 캐시 서버 장애가 발생해도 세션 정보가 지속적으로 유지될 수 있도록 백업 경로나 타 데이터베이스 연동 계획이 필요하다.

hashtag
운영 및 모니터링

  • 로그 관리: Keycloak은 인증, 권한 부여, 시스템 이벤트 등을 로깅한다. 검색과 분석이 용이하도록 로그 수집 도구(예: ELK 스택)나 클라우드 모니터링 솔루션과 연동하는 방안을 고려해야 한다.

  • 지표 수집 및 모니터링: CPU, 메모리 사용량, 세션 수 등 주요 메트릭을 주기적으로 모니터링하여 부하 상황을 예측하고, 필요 시 노드를 증설하거나 리소스를 늘릴 수 있도록 체계를 마련한다.

  • 백업 및 복구: 데이터베이스 백업 정책뿐 아니라 Keycloak 설정(Realm, Client, User 등)도 별도로 보존하는 절차가 필요하다. 장애 복구 시점에 빠른 재설치와 설정 복원이 가능해야 한다.

hashtag
확장성 및 통합

  • 외부 인증 연동: SAML, LDAP, Active Directory, 소셜 로그인 등 Keycloak이 지원하는 인증 방식을 이용할 경우에는 각 통합 지점에서 발생할 수 있는 인증 흐름 문제를 미리 파악해야 한다.

  • REST API 및 플러그인: 다른 서비스와의 연동을 위해 Keycloak REST API를 호출하거나, 확장 기능(스파이브, 어댑터 등)을 고려할 때는 버전 호환성과 보안 패치를 유지해야 한다.

  • 클라우드 환경 배포: 컨테이너 오케스트레이션(Kubernetes) 환경에서 Keycloak을 운영하는 경우, Helm 차트나 Operator 등 표준화된 배포 방식을 활용할 수 있으나, Pod 간 상태 공유와 네트워크 보안을 위한 추가 설정이 필요하다.

Keycloak 설치 시에는 위와 같은 요소들을 종합적으로 고려하여 보안과 안정성을 확보해야 한다. 특히 사용자 인증 시스템 특성상 인증 장애는 서비스 전반에 직접적인 영향을 끼치므로, 사전에 철저한 준비와 검증이 필수적이다.

Previous데이터베이스 설정(내장 DB vs 외장 DB)Next설치 후 초기 구성

Last updated