轩辕镜像 · 专业版提供 SLA 级可用性指标 · 免费版为公共服务,可能存在不可用情况。请提交工单获取在线技术支持,欢迎加入官方QQ群:13763429 进行技术交流。
面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何内容。
轩辕镜像 · 专业版提供 SLA 级可用性指标 · 免费版为公共服务,可能存在不可用情况。请提交工单获取在线技术支持,欢迎加入官方QQ群: 进行技术交流。
面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何内容。
面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何内容。
keycloak Docker 镜像下载 - 轩辕镜像
keycloak 镜像详细信息和使用指南
keycloak 镜像标签列表和版本信息
keycloak 镜像拉取命令和访问
keycloak 镜像使用说明和配置指南
Docker 镜像服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
camunda/keycloak
keycloak 镜像详细信息
keycloak 镜像标签列表
keycloak 镜像使用说明
keycloak 镜像拉取命令
Docker 镜像服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
Camunda Keycloak Docker镜像基于Keycloak***或Bitnami镜像构建,支持AWS IAM角色(IRSA)数据库认证,提供可选Camunda身份认证登录主题,包含Quay-based(推荐生产使用)、Bitnami-based(遗留)和企业版变体,兼容PostgreSQL数据库。
1 收藏0 次下载activecamunda镜像
keycloak 镜像详细说明
keycloak 使用指南
keycloak 配置说明
keycloak 官方文档
Camunda Keycloak容器镜像
此Docker镜像提供基于bitnami/keycloak或Quay.io***Keycloak镜像的通用Keycloak设置。还包含:
- 可选AWS包装器,支持使用AWS身份与访问管理(IAM)角色用于服务账户(IRSA)进行数据库认证
- 可选Camunda身份认证登录主题
镜像变体
本仓库提供三种主要镜像变体:
⚠️ 关于Bitnami镜像的重要说明 由于Bitnami目录变更,自2025年8月28日起,新的Bitnami容器镜像不再发布到Docker Hub。本仓库现在使用
docker.io/bitnamilegacy仓库的镜像以继续提供支持。
用户应考虑迁移到Quay-based镜像,这些镜像得到积极维护,推荐用于生产环境。
🦆 Quay-based镜像(docker.io/camunda/keycloak:quay-* 和 latest)[推荐]
基于Quay.ioKeycloak镜像,遵循Keycloak配置模式,适合偏好上游容器约定的用户。这些镜像标签使用quay-前缀,latest标签指向最新的Quay-based版本,可在Docker Hub公开获取。
✅ 推荐:这些镜像积极维护,推荐用于生产环境。
🚀 优化镜像(docker.io/camunda/keycloak:quay-optimized-*)
Quay-based镜像的预构建配置变体,具有优化的启动时间和Camunda兼容设置:
- 更快启动:构建时将配置嵌入镜像
- Camunda兼容:预配置
/auth基础路径,实现与Camunda无缝集成 - 生产就绪:包含AWS JDBC包装器、健康/指标端点,禁用XA事务
- 简化配置:减少运行时环境变量需求
🐳 Bitnami-based镜像(docker.io/camunda/keycloak:bitnami-*)
基于Bitnami Legacy Keycloak镜像,使用Bitnami的环境变量约定,适合熟悉Bitnami生态系统的用户。标签使用bitnami-前缀,可在Docker Hub公开获取。为保持向后兼容,这些镜像也提供不带前缀的版本。
注意:这些镜像基于bitnamilegacy仓库,Bitnami不再提供更新。建议生产环境迁移到Quay-based镜像。
🏢 Bitnami企业版镜像(registry.camunda.cloud/keycloak-ee/keycloak:bitnami-ee-*)
基于Bitnami企业版的高级企业级镜像,标签使用bitnami-ee-前缀,仅对授权客户开放,可从Camunda企业 registry获取。为保持向后兼容,这些镜像在专用registry中也提供不带前缀的版本。
所有变体均包含相同的AWS JDBC包装器和Camunda Identity主题功能。
快速开始
-
📘 所有Keycloak相关问题,请参考Keycloak文档:[]
-
🐳🚀 要在容器环境中运行Keycloak,请遵循以下步骤:
前提条件
确保您的机器已安装Docker。
⚙️ 启动容器
Bitnami-based镜像
启动Bitnami-based镜像:
bashdocker run --name mykeycloak -p 8443:8443 \ -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=change_me \ docker.io/camunda/keycloak:bitnami-26
Quay-based镜像
启动Quay-based镜像:
bashdocker run --name mykeycloak -p 8443:8443 \ -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \ docker.io/camunda/keycloak:quay-26 \ start --hostname=localhost
Keycloak将以生产模式启动,使用安全HTTPS通信,可通过https://localhost:8443访问。
🚀 迁移建议
生产环境强烈推荐使用Quay-based镜像(camunda/keycloak:quay-*),因为:
- ✅ 接收定期安全更新
- ✅ 基于Red Hat***Keycloak镜像
- ✅ 遵循上游Keycloak约定
- ✅ 积极维护和支持
Bitnami-based镜像仅建议用于:
- ⚠️ 临时迁移场景
- ⚠️ 开发环境(了解更新有限)
- ⚠️ 与现有Bitnami部署的特定兼容性要求
🏷️ Docker Hub可用标签
浏览Docker Hub上Camunda Keycloak Docker镜像的可用标签:
Quay-based镜像(✅ 推荐)
- camunda/keycloak:quay-* - 基于Quay.io***Keycloak,使用
quay-前缀 - 基础镜像标签:quay.io/keycloak/keycloak
Bitnami-based镜像(⚠️ 遗留 - 有限更新)
- camunda/keycloak - 基于Bitnami Legacy Keycloak
- 基础镜像标签:hub.docker.com/bitnamilegacy/keycloak
标签约定
Bitnami-based镜像:
:<基础镜像版本>-<yyyy-mm-dd>-<迭代>:例如24-2024-03-04-004🏷️:<基础镜像版本>:例如24.0.1-0:<Keycloak主版本>:例如24
Quay-based镜像(带quay-前缀):
:quay-<基础镜像版本>-<yyyy-mm-dd>-<迭代>:例如quay-24-2024-03-04-004🏷️:quay-<基础镜像版本>:例如quay-24.0.1:quay-<Keycloak主版本>:例如quay-24:quay-optimized-<基础镜像版本>-<yyyy-mm-dd>-<迭代>:例如quay-optimized-24-2024-03-04-004🏷️:quay-optimized-<基础镜像版本>:例如quay-optimized-24.0.1:quay-optimized-<Keycloak主版本>:例如quay-optimized-24:quay-optimized-latest:最新优化Quay-based镜像:latest:对应最新稳定标准(非优化)Quay-based镜像
配置
Bitnami-based镜像
Bitnami Keycloak容器镜像配置详见hub.docker.com/bitnami/keycloak。
环境变量迁移(Bitnami 26.3.3+)
从Keycloak 26.3.2开始,以下遗留环境变量已弃用,改用原生KC_*变量:
| 遗留变量(26.3.2前) | 原生变量(26.3.3+) |
|---|---|
KEYCLOAK_ADMIN_USER | KC_BOOTSTRAP_ADMIN_USERNAME |
KEYCLOAK_BOOTSTRAP_ADMIN_PASSWORD | KC_BOOTSTRAP_ADMIN_PASSWORD |
KEYCLOAK_CACHE_TYPE | KC_CACHE |
KEYCLOAK_ENABLE_STATISTICS | KC_METRICS_ENABLED |
KEYCLOAK_ENABLE_HEALTH_ENDPOINTS | KC_HEALTH_ENABLED |
KEYCLOAK_HOSTNAME | KC_HOSTNAME |
KEYCLOAK_HOSTNAME_STRICT | KC_HOSTNAME_STRICT |
KEYCLOAK_LOG_LEVEL | KC_LOG_LEVEL |
KEYCLOAK_PROXY_HEADERS | KC_PROXY_HEADERS |
更多环境变量信息详见Bitnami Keycloak镜像。
Quay-based镜像
***Keycloak容器配置文档:keycloak.org/server/containers。
镜像子类型
Quay-based镜像提供两种子类型:
标准镜像(quay-<version>)
- 通过环境变量运行时配置
- 支持所有Keycloak配置选项,灵活性高
- 适合开发和自定义配置
优化镜像(quay-optimized-<version>)
- 预构建配置,启动更快
- AWS JDBC包装器和常用设置嵌入镜像
- Camunda兼容路径配置,
/auth基础路径 - 强制AWS包装器:所有数据库连接必须使用
jdbc:aws-wrapper:postgresql://...URL - 推荐用于生产部署,尤其是配合Keycloak Operator
- 减少所需运行时环境变量
Camunda路径配置(--http-relative-path=/auth)
/auth路径预配置用于与Camunda Platform 8无缝集成,Camunda期望Keycloak在此基础路径上可用。此配置:
- ✅ 确保与Camunda认证流程兼容
- ✅ 匹配Camunda组件预期的默认路径
- ⚠️ 重要:所有Keycloak端点将带有
/auth前缀(例如/auth/realms/master) - ⚠️ 如不与Camunda一起部署,考虑使用标准镜像获取根路径访问
XA事务禁用(--transaction-xa-enabled=false)
优化镜像中禁用XA事务的原因:
- AWS Aurora PostgreSQL不支持分布式事务
- 提升性能并降低复杂度
- 云原生部署推荐配置
构建参数和配置差异的技术细节详见DEVELOPER.md。
IAM角色用于服务账户(IRSA)支持
从Keycloak 21及更高版本开始,可使用镜像中包含的AWS Advanced JDBC包装器启用IRSA(服务账户IAM角色)。详见Keycloak文档。
Kubernetes配置
Bitnami-based镜像
Kubernetes中使用IRSA,配置以下环境变量:
yaml- name: KEYCLOAK_EXTRA_ARGS value: "--db-driver=software.amazon.jdbc.Driver --transaction-xa-enabled=false --log-level=INFO,software.amazon.jdbc:INFO" - name: KEYCLOAK_JDBC_PARAMS value: "wrapperPlugins=iam" - name: KEYCLOAK_JDBC_DRIVER value: "aws-wrapper:postgresql" - name: KEYCLOAK_DATABASE_USER value: db-user-name - name: KEYCLOAK_DATABASE_NAME value: db-name - name: KEYCLOAK_DATABASE_HOST value: db-host - name: KEYCLOAK_DATABASE_PORT value: 5432 - name: KEYCLOAK_ENABLE_STATISTICS value: "true" - name: KEYCLOAK_ENABLE_HEALTH_ENDPOINTS value: "true"
Quay-based镜像
Kubernetes中使用IRSA,配置以下环境变量:
标准镜像(quay-<version>)
yaml- name: KC_DB value: postgres - name: KC_DB_DRIVER value: software.amazon.jdbc.Driver - name: KC_DB_URL value: "jdbc:aws-wrapper:postgresql://db-host:5432/db-name?wrapperPlugins=iam" - name: KC_DB_USERNAME value: db-user-name - name: KC_TRANSACTION_XA_ENABLED value: "false" - name: KC_HEALTH_ENABLED value: "true" - name: KC_METRICS_ENABLED value: "true"
优化镜像(quay-optimized-<version>)
优化镜像预配置AWS JDBC包装器驱动,必须使用aws-wrapper URL格式,即使非IRSA部署:
yaml# IRSA(IAM认证) - name: KC_DB_URL value: "jdbc:aws-wrapper:postgresql://db-host:5432/db-name?wrapperPlugins=iam" - name: KC_DB_USERNAME value: db-user-name # IRSA无需KC_DB_PASSWORD # 传统用户名/密码认证 - name: KC_DB_URL value: "jdbc:aws-wrapper:postgresql://db-host:5432/db-name" - name: KC_DB_USERNAME value: db-user-name - name: KC_DB_PASSWORD value: db-password # 注意:数据库驱动、健康/指标和XA设置已预配置
不要忘记将部署/statefulset的serviceAccountName设置为带有IRSA注解的服务账户。
Helm Chart使用
要在Helm Chart中使用此镜像,可使用bitnami/keycloak并更新镜像及添加必要环境变量:
Bitnami-based镜像 ⚠️ [遗留 - 考虑迁移]
⚠️ 迁移建议:新部署建议使用Keycloak Operator配合Quay-based镜像,提供更好的长期支持并遵循Keycloak最佳实践。
现有Bitnami部署可使用bitnami/keycloak Helm Chart:
yamlimage: docker.io/camunda/keycloak:bitnami-26 extraEnvVars: - name: KEYCLOAK_EXTRA_ARGS value: "--db-driver=software.amazon.jdbc.Driver --transaction-xa-enabled=false --log-level=INFO,software.amazon.jdbc:INFO" - name: KEYCLOAK_JDBC_PARAMS value: "wrapperPlugins=iam" - name: KEYCLOAK_JDBC_DRIVER value: "aws-wrapper:postgresql" externalDatabase: host: "aurora.rds.your.domain" port: 5432 user: keycloak database: keycloak global: security: # 以下参数因[***] # 不会降低安全性,仅允许Bitnami镜像的分支(如本镜像)被Chart部署 allowInsecureImages: true
Quay-based镜像 [推荐]
生产环境Quay-based镜像推荐使用***Keycloak Operator,提供更好的生命周期管理并遵循Keycloak最佳实践:
📋 Keycloak Operator安装:[***]
Operator允许声明式部署Keycloak实例并提供适当的配置管理。以下是使用Camunda镜像的Keycloak自定义资源示例:
yamlapiVersion: k8s.keycloak.org/v2alpha1 kind: Keycloak metadata: name: keycloak namespace: keycloak spec: image: docker.io/camunda/keycloak:quay-optimized-26 instances: 3 db: vendor: postgres host: aurora.rds.your.domain port: 5432 database: keycloak usernameSecret: name: keycloak-db-secret key: username # IRSA场景,省略passwordSecret以使用IAM认证 # IRSA支持仅适用于优化镜像 unsupported: podTemplate: spec: serviceAccountName: keycloak-service-account containers: - name: keycloak env: - name: KC_DB_URL value: "jdbc:aws-wrapper:postgresql://aurora.rds.your.domain:5432/keycloak?wrapperPlugins=iam"
⚠️ Keycloak Operator重要说明
使用标准镜像(
quay-<version>或latest)配合Key
keycloak/keycloak
by keycloak
开源身份与访问管理工具,可轻松为应用添加认证并保护服务,无需处理用户存储或用户认证。
1455M+ pulls
上次更新:3 天前
bitnami/keycloak
by VMware
认证
Bitnami安全Keycloak镜像,提供可靠的身份认证与访问管理功能,适合生产环境部署。
11710M+ pulls
上次更新:3 个月前
bitnamicharts/keycloak
by VMware
认证
Bitnami提供的Keycloak Helm Chart,用于在Kubernetes环境中简化开源身份与访问管理解决方案Keycloak的部署和管理。
310M+ pulls
上次更新:4 个月前
elestio/keycloak
by Elestio
认证
Elestio验证打包的Keycloak镜像,提供开源身份与访问管理解决方案,支持用户认证、授权等核心功能。
150K+ pulls
上次更新:14 天前
airbyte/keycloak
by Airbyte
认证
暂无描述
500K+ pulls
上次更新:3 天前
uselagoon/keycloak
by Lagoon
暂无描述
100K+ pulls
上次更新:1 个月前
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
常见问题
Q1:轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
Q2:轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
Q3:流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
Q4:410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
Q5:manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
Q6:镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像配置使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名