SlideShare a Scribd company logo

Lightweight Keycloak

Hiroyuki Wada, profile picture
Hiroyuki Wada

OSSセキュリティ技術の会 Keycloakミニ勉強会 https://secureoss-sig.connpass.com/event/136512/

Software
1 of 30
Downloaded 12 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Lightweight Keycloak OSSセキュリティ技術の会 Keycloakミニ勉強会 @wadahiro 本資料に掲載されている会社名、製品名、サービス名は各社の登録 商標、又は商標です。
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 1 自己紹介  OpenStandiaの中の人  最近のコミュニティ活動  Keycloak FAPI対応のお手伝い  Keycloak の OAuth 2.0 Device Authorization Grant 対応の提案  WebAuthn4j JUnit5 Migration対応  Keycloak ガイドの日本語翻訳 ▪ 最新の6.0.1も翻訳済み!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 2 Keycloak Roadmap 出所: https://docs.google.com/presentation/d/1bijEpuwaaa6jR1D5PAjyW731-j6Xc1TFHJuUh_FwwK8/edit?ts=5ca774e9#slide=id.g5628e016b1_15_54
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 3 Quarkus  Supersonic Subatomic Java  A Kubernetes Native Java stack  低メモリフットプリント  爆速起動 (1秒以下)  静的解析によりAOT(Ahead-Of-Time) コンパイルを実行することで実現  +OracleのGraalVMでネイティブイメージ化で更に低メモリ・起動高速化
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 4 Quarkus  すべてのJava資産が動くわけではない  制約がいくつかある ▪Dynamic classloading使っているとNG ▪既存ライブラリを対応させるには別途Extensionで対応が必要  JBossミドルウェア系は実は対応しつつある ▪JAX-RS、JPA、JTA・・・
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 5 今日話すこと  Quarkus対応してみる?
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 6 今日話すこと  Quarkus対応してみる? (Keycloak X prototypeに期待)  違うアプローチでお手軽に軽量化にチャレンジ
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 7 比較元  KeycloakオフィシャルDockerコンテナイメージ  https://hub.docker.com/r/jboss/keycloak/ 出所: https://docs.google.com/presentation/d/1bijEpuwaaa6jR1D5PAjyW731-j6Xc1TFHJuUh_FwwK8/edit?ts=5ca774e9#slide=id.g5628e016b1_15_101
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 8 軽量化ポイント  コンテナイメージサイズ  起動時間  メモリ使用量  ・・・
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 9 オフィシャルイメージはかなりメタボ  全体: 約1.2G  Keycloakが半分占めているがOS/JDK部分もそこそこ
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 10 Java系コンテナダイエット方法  JDK9から使えるJLinkを使いカスタムJREを利用  Alpine Linuxなどの軽量OSを利用  その他、一般的なコンテナビルドテクニックを利用
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 11 JLink  JDK9でモジュールシステム「Jigsaw」が導入  JLinkにより、配布用のカスタムJREの作成が可能に  アプリが必要とするモジュールだけを含めることが 可能
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 12 JLink  Keycloakの場合はこれでいける  https://gist.github.com/thomasdarimont/94ab3eb748742d2 e793f4f5d32e05932 jlink ¥ --no-header-files ¥ --no-man-pages ¥ --compress=2 ¥ --strip-debug ¥ --vm=server ¥ --exclude-files="**/bin/rmiregistry,**/bin/jrunscript,**/bin/rmid" ¥ --add-modules java.base,java.instrument,java.logging,java.management,java.naming,java.scripting,java.se,java.sec urity.jgss,java.security.sasl,java.sql,java.transaction.xa,java.xml,java.xml.crypto,jdk.security.auth,jdk.x ml.dom,jdk.unsupported ¥ --output /opt/java-runtime
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 13 Alpine Linux  glibc問題のためにalpine-pkg-glibcを利用  https://github.com/sgerrand/alpine-pkg-glibc
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 14 Alpine + 色んなJDKでJLink ※ OpenJDK 13 EA はオフィシャルでAlpine版ありのためそちらを利用 87%削減!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 15 これにKeycloakを足す # Copy from https://github.com/jboss-dockerfiles/keycloak/blob/6.0.1/server/Dockerfile ENV KEYCLOAK_VERSION 6.0.1 ARG KEYCLOAK_DIST=https://downloads.jboss.org/keycloak/$KEYCLOAK_VERSION/keycloak- $KEYCLOAK_VERSION.tar.gz RUN apk add --no-cache --virtual .build-deps curl ¥ && mkdir -p /opt/jboss ¥ && cd /opt/jboss/ ¥ && curl -L $KEYCLOAK_DIST | tar zx ¥ && mv /opt/jboss/keycloak-?.?.?* /opt/jboss/keycloak ¥ && apk del --purge .build-deps
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 16 これにKeycloakを足す 67%削減!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 17 まだまだいける!?  Keycloakがそもそもデカイ (WildFly含んでいる)  これをなんとできないか・・・
出所: https://github.com/thomasdarimont/spring-boot-keycloak-server-example
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 19 結果 86%削減!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 20 起動時間  環境  AWS EC2 t2.small  Amazon Linux 2  RDBは組み込みDB (H2 database) を利用  Keycloakのテーブル作成とmasterレルム初期化は事前に実施済 み  JVMオプション  WildFlyとかの起動高速化テクニックでよく使われる - XX:TieredStopAtLevel=1 オプションを利用  OpenJ9は -Xquickstart を利用  -Xverify:none は使わず (セキュリティ重視)
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 21 結果  -XX:TieredStopAtLevel=1 の効果すごい 40%削減!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 22 CDSを試す  CDS = Class Data Sharing  商用版 Oracle JDK の機能がOpenJDK 10から使えるように  OpenJ9にも同様の機能あり 出所: http://blog.gilliard.lol/presentations/VirtualJUG-March-2018-Java-in-a-World-of-Containers.html
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 23 ただし・・・  WildFlyやSpring Boot (Fat JAR) と相性が悪い  独自のモジュールシステムによりJARがロードされる  通常のCDSの設定だとモジュールシステムのクラスにしか適用され ない! ※一方、OpenJ9のClass SharingはFat JARに対応している ▪https://blog.openj9.org/2018/10/30/shared-classes-cache- now-supports-fat-jar/
出所: https://github.com/simonis/cl4cds
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 25 結果  CDSにより2~4秒高速化!
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 26 結果 (t2.small => t3.xlarge)
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 27 結果 (t2.small => t3.xlarge)
Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 28 まとめ  JLinkはコンテナ環境以外でも使えるテクニック、 是非活用してみてください (Keycloak関係なく)  Attack Surface を小さくするという点で、セキュリ ティ面でも有効  CDSはアプリケーションの起動高速化に寄与  今回 (力尽きて) 見ていないですが、複数コンテナで共 有することでメモリ使用量にも効果があるはず
Lightweight Keycloak

More Related Content

PPTX
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
PDF
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
 
PDF
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
PDF
Keycloak & midPoint の紹介
Hiroyuki Wada
 
PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
PDF
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
Keycloak & midPoint の紹介
Hiroyuki Wada
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
 

What's hot (20)

PPTX
Dockerからcontainerdへの移行
Akihiro Suda
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
PPTX
動的コンテンツをオリジンとしたCloudFrontを構築してみた
Taiki Kawamura
 
PPTX
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
 
PDF
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
PDF
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
 
PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
 
PPTX
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
 
PDF
Serverless時代のJavaについて
Amazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
PDF
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
 
PDF
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
PDF
ログ管理のベストプラクティス
Akihiro Kuwano
 
PDF
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 
PPTX
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
PDF
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
都元ダイスケ Miyamoto
 
PDF
AWS Wavelengthと大阪リージョンのご紹介20210414
Amazon Web Services Japan
 
PDF
AWS Database Migration Service ご紹介
Amazon Web Services Japan
 
Dockerからcontainerdへの移行
Akihiro Suda
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
動的コンテンツをオリジンとしたCloudFrontを構築してみた
Taiki Kawamura
 
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
 
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
 
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
 
Serverless時代のJavaについて
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
ログ管理のベストプラクティス
Akihiro Kuwano
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
都元ダイスケ Miyamoto
 
AWS Wavelengthと大阪リージョンのご紹介20210414
Amazon Web Services Japan
 
AWS Database Migration Service ご紹介
Amazon Web Services Japan
 
Ad

Similar to Lightweight Keycloak (18)

PPTX
Keycloak入門
Hiroyuki Wada
 
PPTX
Keycloakの紹介と最新開発動向
Yuichi Nakamura
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
 
PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
PPTX
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
 
PDF
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
PDF
Keycloakの動向
Yuichi Nakamura
 
PDF
Quarkus による超音速な Spring アプリケーション開発
Chihiro Ito
 
PDF
Keycloak拡張入門
Hiroyuki Wada
 
PDF
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
Hitachi, Ltd. OSS Solution Center.
 
PDF
Quarkus入門
Norito Agetsuma
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
Hitachi, Ltd. OSS Solution Center.
 
PPTX
【改訂版あり】クラウド・ネイティブ時代に最適なJavaベースのマイクロサービス・フレームワーク ~ Helidonの実力を見極めろ!
オラクルエンジニア通信
 
PDF
Kongの概要と導入事例
briscola-tokyo
 
PDF
Keycloak開発入門
Yuichi Nakamura
 
Keycloak入門
Hiroyuki Wada
 
Keycloakの紹介と最新開発動向
Yuichi Nakamura
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの動向
Yuichi Nakamura
 
Quarkus による超音速な Spring アプリケーション開発
Chihiro Ito
 
Keycloak拡張入門
Hiroyuki Wada
 
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
Hitachi, Ltd. OSS Solution Center.
 
Quarkus入門
Norito Agetsuma
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
Hitachi, Ltd. OSS Solution Center.
 
【改訂版あり】クラウド・ネイティブ時代に最適なJavaベースのマイクロサービス・フレームワーク ~ Helidonの実力を見極めろ!
オラクルエンジニア通信
 
Kongの概要と導入事例
briscola-tokyo
 
Keycloak開発入門
Yuichi Nakamura
 
Ad

Lightweight Keycloak

  • 2. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 1 自己紹介  OpenStandiaの中の人  最近のコミュニティ活動  Keycloak FAPI対応のお手伝い  Keycloak の OAuth 2.0 Device Authorization Grant 対応の提案  WebAuthn4j JUnit5 Migration対応  Keycloak ガイドの日本語翻訳 ▪ 最新の6.0.1も翻訳済み!
  • 3. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 2 Keycloak Roadmap 出所: https://docs.google.com/presentation/d/1bijEpuwaaa6jR1D5PAjyW731-j6Xc1TFHJuUh_FwwK8/edit?ts=5ca774e9#slide=id.g5628e016b1_15_54
  • 4. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 3 Quarkus  Supersonic Subatomic Java  A Kubernetes Native Java stack  低メモリフットプリント  爆速起動 (1秒以下)  静的解析によりAOT(Ahead-Of-Time) コンパイルを実行することで実現  +OracleのGraalVMでネイティブイメージ化で更に低メモリ・起動高速化
  • 5. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 4 Quarkus  すべてのJava資産が動くわけではない  制約がいくつかある ▪Dynamic classloading使っているとNG ▪既存ライブラリを対応させるには別途Extensionで対応が必要  JBossミドルウェア系は実は対応しつつある ▪JAX-RS、JPA、JTA・・・
  • 6. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 5 今日話すこと  Quarkus対応してみる?
  • 7. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 6 今日話すこと  Quarkus対応してみる? (Keycloak X prototypeに期待)  違うアプローチでお手軽に軽量化にチャレンジ
  • 8. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 7 比較元  KeycloakオフィシャルDockerコンテナイメージ  https://hub.docker.com/r/jboss/keycloak/ 出所: https://docs.google.com/presentation/d/1bijEpuwaaa6jR1D5PAjyW731-j6Xc1TFHJuUh_FwwK8/edit?ts=5ca774e9#slide=id.g5628e016b1_15_101
  • 9. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 8 軽量化ポイント  コンテナイメージサイズ  起動時間  メモリ使用量  ・・・
  • 10. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 9 オフィシャルイメージはかなりメタボ  全体: 約1.2G  Keycloakが半分占めているがOS/JDK部分もそこそこ
  • 11. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 10 Java系コンテナダイエット方法  JDK9から使えるJLinkを使いカスタムJREを利用  Alpine Linuxなどの軽量OSを利用  その他、一般的なコンテナビルドテクニックを利用
  • 12. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 11 JLink  JDK9でモジュールシステム「Jigsaw」が導入  JLinkにより、配布用のカスタムJREの作成が可能に  アプリが必要とするモジュールだけを含めることが 可能
  • 13. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 12 JLink  Keycloakの場合はこれでいける  https://gist.github.com/thomasdarimont/94ab3eb748742d2 e793f4f5d32e05932 jlink ¥ --no-header-files ¥ --no-man-pages ¥ --compress=2 ¥ --strip-debug ¥ --vm=server ¥ --exclude-files="**/bin/rmiregistry,**/bin/jrunscript,**/bin/rmid" ¥ --add-modules java.base,java.instrument,java.logging,java.management,java.naming,java.scripting,java.se,java.sec urity.jgss,java.security.sasl,java.sql,java.transaction.xa,java.xml,java.xml.crypto,jdk.security.auth,jdk.x ml.dom,jdk.unsupported ¥ --output /opt/java-runtime
  • 14. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 13 Alpine Linux  glibc問題のためにalpine-pkg-glibcを利用  https://github.com/sgerrand/alpine-pkg-glibc
  • 15. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 14 Alpine + 色んなJDKでJLink ※ OpenJDK 13 EA はオフィシャルでAlpine版ありのためそちらを利用 87%削減!
  • 16. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 15 これにKeycloakを足す # Copy from https://github.com/jboss-dockerfiles/keycloak/blob/6.0.1/server/Dockerfile ENV KEYCLOAK_VERSION 6.0.1 ARG KEYCLOAK_DIST=https://downloads.jboss.org/keycloak/$KEYCLOAK_VERSION/keycloak- $KEYCLOAK_VERSION.tar.gz RUN apk add --no-cache --virtual .build-deps curl ¥ && mkdir -p /opt/jboss ¥ && cd /opt/jboss/ ¥ && curl -L $KEYCLOAK_DIST | tar zx ¥ && mv /opt/jboss/keycloak-?.?.?* /opt/jboss/keycloak ¥ && apk del --purge .build-deps
  • 17. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 16 これにKeycloakを足す 67%削減!
  • 18. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 17 まだまだいける!?  Keycloakがそもそもデカイ (WildFly含んでいる)  これをなんとできないか・・・
  • 20. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 19 結果 86%削減!
  • 21. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 20 起動時間  環境  AWS EC2 t2.small  Amazon Linux 2  RDBは組み込みDB (H2 database) を利用  Keycloakのテーブル作成とmasterレルム初期化は事前に実施済 み  JVMオプション  WildFlyとかの起動高速化テクニックでよく使われる - XX:TieredStopAtLevel=1 オプションを利用  OpenJ9は -Xquickstart を利用  -Xverify:none は使わず (セキュリティ重視)
  • 22. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 21 結果  -XX:TieredStopAtLevel=1 の効果すごい 40%削減!
  • 23. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 22 CDSを試す  CDS = Class Data Sharing  商用版 Oracle JDK の機能がOpenJDK 10から使えるように  OpenJ9にも同様の機能あり 出所: http://blog.gilliard.lol/presentations/VirtualJUG-March-2018-Java-in-a-World-of-Containers.html
  • 24. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 23 ただし・・・  WildFlyやSpring Boot (Fat JAR) と相性が悪い  独自のモジュールシステムによりJARがロードされる  通常のCDSの設定だとモジュールシステムのクラスにしか適用され ない! ※一方、OpenJ9のClass SharingはFat JARに対応している ▪https://blog.openj9.org/2018/10/30/shared-classes-cache- now-supports-fat-jar/
  • 26. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 25 結果  CDSにより2~4秒高速化!
  • 27. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 26 結果 (t2.small => t3.xlarge)
  • 28. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 27 結果 (t2.small => t3.xlarge)
  • 29. Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 28 まとめ  JLinkはコンテナ環境以外でも使えるテクニック、 是非活用してみてください (Keycloak関係なく)  Attack Surface を小さくするという点で、セキュリ ティ面でも有効  CDSはアプリケーションの起動高速化に寄与  今回 (力尽きて) 見ていないですが、複数コンテナで共 有することでメモリ使用量にも効果があるはず