资源和常见问题

问：这个解决方案是什么？

此方案在亚马逊云科技云端部署了一套高可用的Keycloak集群。Keycloak是一款开源的身份及访问验证软件。

问：这个解决方案的适用于什么场景？

您可以利用此方案在云端基于Keycloak快速构建身份及访问验证相关的系统。Keycloak主要功能包括：单点登录/登出（Single-Sign On/Out），身份代理和社交应用登录（Identity Brokering and Social Login），用户联合登陆（User Federation）等。详情请见Keycloak官方网页。

问：这个解决方案的是如何运作的？

通过使用 CloudFormation 模版或 Cloud Development Kit（CDK）您可以快速部署和配置一套高可用的 Keycloak 集群。这套 Keycloak 服务将运行在 Amazon Fargate 支撑的 Amazon ECS 环境当中，并且自动配置相应的数据库集群与 ALB 负载均衡器。

问：这个解决方案的使用成本如何？

您只需为云上资源按用量付费，成本主要与您选择的副本的数量有关。

问：使用这个解决方案的技术前提是什么？

1. 请确保您在目标区域已有一个Amazon EC2密钥对。

2. 请确保您在目标区域的VPC内至少有两个公有子网，两个私有子网，一个位于公有子网的NAT网关。

3. 确保您拥有一个已经ICP备案的域名。

问：这个方案可以在任何区域部署吗？

您可以部署到亚马逊云服务全球主要区域，这也包括由西云数据运营的宁夏区域和由光环新网运营的北京区域。

问：此解决方案支持哪些数据库类型？

您可选择下面任何一种数据库类型：

1. Amazon RDS Database Cluster包括两个数据库实例提供高可用环境。

2. Amazon Aurora Serverless数据库集群提供高可用环境，此模式不会产生任何数据库实例。

3. Amazon RDS Database Instance，此模式仅提供单个数据库实例，不建议生产环境使用。

问：如何指定初始用户名与密码？

Keycloak服务与数据库服务的初始管理员账户与密码会通过Amazon Secrets Manager自动产生与保存以满足安全性与合规性，在部署完成之后可前往Amazon Secrets Manager控制台获取相应的资讯。

问：为什么部署Aurora Serverless会失败？

部分区域（例如us-west-2）的某些可用区（AZ）暂不支持Amazon Aurora Serverless的服务，这会导致部署失败。请参考CloudFormation失败信息，选择正确的AZ进行部署即可。