管理および設定ガイド
Red Hat JBoss Enterprise Application Platform 6 向け
Red Hat Customer Content Services
概要
第1章 はじめに
1.1. Red Hat JBoss Enterprise Application Platform 6
1.2. JBoss EAP 6 の機能
表1.1 JBoss EAP 6.3.0 の機能
機能 | 説明 |
---|---|
Java 証明書 | 認定された Java Enterprise Edition 6 の Full Profile と Web Profile。 |
管理対象ドメイン |
|
管理コンソールおよび管理 CLI | 新しいドメインまたはスタンドアロンサーバー管理インターフェース。XML 設定ファイルの編集は必要なくなりました。管理 CLI には、管理タスクをスクリプト化および自動化できるバッチモードも含まれます。 |
簡素化されたディレクトリーのレイアウト | modules ディレクトリーにはすべてのアプリケーションサーバーモジュールが含まれるようになりました。共通でサーバー固有の lib ディレクトリーは廃止されました。domain ディレクトリーと standalone ディレクトリーには、それぞれドメインデプロイメント用のアーティファクトおよび設定ファイルと、スタンドアロンデプロイメント用のアーティファクトおよび設定ファイルが含まれます。 |
モジュラークラスローディングメカニズム | モジュールはオンデマンドでロードおよびアンロードされます。これにより、パフォーマンスが向上し、セキュリティーの利点が提供され、起動および再起動の時間が短縮されます。 |
簡略化されたデータソース管理 | データベースドライバーは他のサービスと同様にデプロイされます。また、データソースは、管理コンソールまたは管理 CLI で直接作成および管理されます。 |
リソースの使用の削減と効率化 | JBoss EAP 6 はより少ないシステムリソースを使用し、以前のバージョンよりも効率的に使用します。その他の利点として、JBoss EAP 6 では JBoss EAP 5 よりも起動および停止時間が短縮されます。 |
1.3. JBoss EAP 6 の操作モード
1.4. スタンドアロンサーバー
1.5. 管理対象ドメイン
domain.sh
または domain.bat
スクリプトが実行される物理または仮想ホストです。ホストコントローラーは、ドメイン管理タスクをドメインコントローラーへ委譲するために設定されます。
図1.1 管理対象ドメインを表す図
1.6. ドメインコントローラー
- ドメインの集中管理ポリシーを維持する。
- すべてのホストコントローラーが現在のコンテンツを認識するようにする。
- 実行中のすべての JBoss EAP 6 インスタンスがこのポリシーに従って設定されるよう、ホストコントローラーをサポートする。
domain/configuration/domain.xml
ファイルに格納されます。このファイルは、ドメインコントローラーのホストのファイルシステム上にある未展開の JBoss EAP 6 インストールファイル内にあります。
domain.xml
ファイルは、ドメインコントローラーとして実行するよう設定されたホストコントローラーの domain/configuration/
ディレクトリーに存在する必要があります。このファイルは、ドメインコントローラーとして実行しないホストコントローラー上のインストールには必要ありませんが、このようなサーバー上に domain.xml
ファイルがあっても問題はありません。
domain.xml
ファイルには、あるドメインのサーバーインスタンス上で実行できるプロファイル設定が含まれています。プロファイル設定には、プロファイルを構成するさまざまなサブシステムの詳細設定が含まれます。また、ドメイン設定にはソケットのグループの定義やサーバーグループの定義も含まれます。
1.7. ドメインコントローラーの検索およびフェールオーバー
<domain-controller> <remote security-realm="ManagementRealm"> <discovery-options> <static-discovery name="primary" host="172.16.81.100" port="9999"/> <static-discovery name="backup" host="172.16.81.101" port="9999"/> </discovery-options> </remote> </domain-controller>
- name
- このドメインコントローラー検索オプションの名前。
- host
- リモートドメインコントローラーのホスト名。
- port
- リモートドメインコントローラーのポート。
--backup
オプションで開始されたホストコントローラーをドメインコントローラーとして動作するよう昇格できます。
注記
--backup
オプションでホストコントローラーを開始すると、コントローラーによってドメイン設定のローカルコピーが維持されます。この設定は、ホストコントローラーがドメインコントローラーとして動作するよう再設定された場合に使用されます。
手順1.1 ホストコントローラーを昇格してドメインコントローラーにする
- 元のドメインコントローラーが停止した状態であることを確認します。
- 管理 CLI を使用して、新しいドメインコントローラーとなるホストコントローラーへ接続します。
- 以下のコマンドを実行してホストコントローラーを設定し、新しいドメインコントローラーとして動作するようにします。
/host=HOST_NAME:write-local-domain-controller
- 以下のコマンドを実行し、ホストコントローラーをリロードします。
reload --host=HOST_NAME
1.8. ホストコントローラー
domain.sh
または domain.bat
スクリプトがホスト上で実行されると起動します。
domain/configuration/host.xml
ファイルから設定を読み取ります。このファイルは、ホストのファイルシステム上にある未展開の JBoss EAP 6 インストールファイルに存在します。host.xml
ファイルには、特定のホストに固有する以下の設定情報が含まれています。
- このインストールから実行される JBoss EAP 6 インスタンスの名前。
- 次の設定のいずれか。
- ホストコントローラーがドメインコントローラーへ通知して、ホストコントローラー自体を登録し、ドメイン設定へアクセスする方法。
- リモートドメインコントローラーの検索および通知方法。
- ホストコントローラーはドメインコントローラーとして動作する。
- ローカルの物理インストールに固有する設定。たとえば、
domain.xml
に宣言された名前付きインターフェースの定義はhost.xml
にある実際のマシン固有の IP アドレスへマップできます。さらに、domain.xml の抽象パス名をhost.xml
のファイルシステムパスへマップできます。
1.9. サーバーグループ
<server-group name="main-server-group" profile="default"> <socket-binding-group ref="standard-sockets"/> <deployments> <deployment name="foo.war_v1" runtime-name="foo.war"/> <deployment name="bar.ear" runtime-name="bar.ear"/> </deployments> </server-group>
- name: サーバーグループの名前。
- profile: サーバーグループのプロファイル名。
- socket-binding-group: グループのサーバーに対して使用されるデフォルトのソケットバインディンググループ。この名前は
host.xml
でサーバーごとに上書きできます。しかし、すべてのサーバーグループの必須要素であるため、この要素がないとドメインが起動できません。
- deployments: グループのサーバー上にデプロイするデプロイメントコンテンツ。
- system-properties: グループのサーバーに設定するシステムプロパティー。
- jvm: グループの全サーバーに対するデフォルトの JVM 設定。ホストコントローラーはこれらの設定を
host.xml
の他の設定とマージし、サーバーの JVM を開始するために使用される設定を作成します。
1.10. JBoss EAP 6 プロファイル
第2章 アプリケーションサーバー管理
2.1. JBoss EAP 6 の起動および停止
2.1.1. JBoss EAP 6 の起動
2.1.2. JBoss EAP 6 をスタンドアロンサーバーとして起動
ここでは、JBoss EAP 6 をスタンドアロンサーバーとして起動する手順を説明します。
手順2.1 プラットフォームサービスをスタンドアロンサーバーとして起動
Red Hat Enterprise Linux の場合
次のコマンドを実行します:EAP_HOME/bin/standalone.sh
Microsoft Windows Server の場合
次のコマンドを実行します:EAP_HOME\bin\standalone.bat
他のパラメーターを指定する (任意)
起動スクリプトに渡すことができる他のパラメーターの一覧を出力するには、-h
パラメーターを使います。
JBoss EAP 6 スタンドアロンサーバーインスタンスが起動します。
2.1.3. JBoss EAP 6 を管理対象ドメインとして起動
ドメイン内のサーバーグループのスレーブサーバーを起動する前にドメインコントローラーを起動する必要があります。最初に、この手順をドメインコントローラーで使用した後に、関連するホストコントローラーおよびドメインに関連する他のホストに対して使用してください。
手順2.2 プラットフォームサービスを管理対象ドメインとして起動
Red Hat Enterprise Linux の場合
コマンドEAP_HOME/bin/domain.sh
を実行します。Microsoft Windows Server の場合
コマンドEAP_HOME\bin\domain.bat
を実行します。他のパラメーターを起動スクリプトに渡す (任意)
起動スクリプトに渡すことができる各種パラメーターを確認するには、-h
パラメーターを使います。
JBoss EAP 6 管理対象ドメインインスタンスが起動します。
2.1.4. 管理対象ドメインのホストの名前設定
管理対象ドメインで実行されている各ホストには一意な名前を付ける必要があります。管理を容易にし、複数のホストで同じホスト設定ファイルを使用できるようにするために、以下の優先順位を用いてホスト名が決定されます。
host.xml
設定ファイルにあるhost
要素のname
属性 (設定されている場合)。jboss.host.name
システムプロパティーの値。jboss.qualified.host.name
システムプロパティーの最後のピリオド (.) の後に続く値、または最後のピリオドがない場合は全体の値。- POSIX ベースのオペレーティングシステムでは、
HOSTNAME
環境変数のピリオド (.) の後に続く値。Microsoft Windows ではCOMPUTERNAME
環境変数のピリオドの後に続く値。最後のピリオドがない場合は、全体の値。
手順2.3 システムプロパティーを用いたホスト名の設定
- 編集するホスト設定ファイル (例:
host.xml
) を開きます。 - ファイルにある
host
要素を見つけます。以下に例を示します。<host name="master" xmlns="urn:jboss:domain:1.6">
- この要素が存在する場合は、
属性宣言を削除します。削除後、name
="HOST_NAME"host
要素は以下のようになるはずです。<host xmlns="urn:jboss:domain:1.6">
- 以下の例のように、
-Djboss.host.name
引数を渡してサーバーを起動します。-Djboss.host.name=HOST_NAME
手順2.4 特定の名前を用いたホスト名の設定
- 以下の構文を使用して、JBoss EAP スレーブホストを起動します。
例を以下に示します。bin/domain.sh --host-config=HOST_FILE_NAME
bin/domain.sh --host-config=host-slave01.xml
- 管理 CLI を起動します。
- 以下の構文を使用してホスト名を置き換えます。
例を以下に示します。/host=EXISTING_HOST_NAME:write-attribute(name="name",value=UNIQUE_HOST_NAME)
次の結果が表示されるはずです。/host=master:write-attribute(name="name",value="host-slave01")
"outcome" => "success"
これは、host-slave01.xml
ファイルのホストname
属性を以下のように変更します。<host name="host-slave01" xmlns="urn:jboss:domain:1.6">
- この処理を完了するには、変更前のホスト名を使用してサーバー設定をリロードする必要があります。
例を以下に示します。reload --host=EXISTING_HOST_NAME
reload --host=master
2.1.5. 2 台のマシンでの管理対象ドメインの作成
注記
- IP1 = ドメインコントローラーの IP アドレス (マシン 1)
- IP2 = ホストの IP アドレス (マシン 2)
手順2.5 2 台のマシンで管理対象ドメインを作成
マシン 1 での作業
- ホストがドメインコントローラーを認証できるようにするために、add-user.sh スクリプトを使用して管理ユーザー (例:
slave01
) を追加します。add-user
出力のSECRET_VALUE
に注意してください。 - 専用のドメインコントローラー向けに事前設定された
host-master.xml
設定ファイルでドメインを起動します。 -bmanagement=$IP1
を使用して、他のマシンがドメインコントローラーを見えるようにします。[$JBOSS_HOME/bin]$ ./domain.sh --host-config=host-master.xml -bmanagement=$IP1
マシン 2 での作業
- ユーザークレデンシャルを用いて
$JBOSS_HOME/domain/configuration/host-slave.xml
ファイルを更新します。<?xml version='1.0' encoding='UTF-8'?> <host xmlns="urn:jboss:domain:1.6" name="slave01"> <!-- add user name here --> <management> <security-realms> <security-realm name="ManagementRealm"> <server-identities> <secret value="$SECRET_VALUE" /> <!-- use secret value from add-user.sh output--> </server-identities> ...
- ホストを起動します。
[$JBOSS_HOME/bin]$ ./domain.sh --host-config=host-slave.xml -Djboss.domain.master.address=$IP1 -b=$IP2
ドメインを管理します。
CLI を使用する場合:[$JBOSS_HOME/bin]$ ./jboss-cli.sh -c --controller=$IP1
Web コンソールを使用する場合:http://$IP1:9990
サーバーのインデックスページへアクセスします。http://$IP2:8080/ http://$IP2:8230/
2.1.6. 代替設定を用いた JBoss EAP 6 の起動
前提条件
- 代替の設定ファイルを使用する前に、デフォルト設定をテンプレートとして使用して、代替の設定ファイルを作成します。管理対象ドメインの場合は、設定ファイルを
EAP_HOME/domain/configuration/
ディレクトリーに置く必要があります。スタンドアロンサーバーの場合は、設定ファイルをEAP_HOME/standalone/configuration/
ディレクトリーに置く必要があります。
注記
EAP_HOME/docs/examples/configs/
ディレクトリーに複数の設定例が含まれています。これらの例を使用し、クラスタリングや Transaction XTS API などの追加機能を有効にします。
standalone-picketlink.xml
、standalone-genericjms.xml
、および standalone-hornetq-colocated.xml
の設定ファイルを変更せずに使用するとエラーが発生します。
手順2.6 代替設定を用いたインスタンスの起動
スタンドアロンサーバー
スタンドアロンサーバーでは、--server-config
パラメーターに設定ファイルのファイル名をオプションとして指定します。設定ファイルはEAP_HOME/standalone/configuration/
ディレクトリーに置く必要があり、このディレクトリーからの相対パスで設定ファイルを指定する必要があります。例2.1 Red Hat Enterprise Linux のスタンドアロンサーバーに別の設定ファイルを使用
[user@host bin]$
./standalone.sh --server-config=
standalone-alternate.xml
この例は、EAP_HOME/standalone/configuration/standalone-alternate.xml
設定ファイルを使用します。例2.2 Microsoft Windows Server のスタンドアロンサーバーに別の設定ファイルを使用
C:\EAP_HOME\bin>
standalone.bat --server-config=
standalone-alternate.xml
この例は、EAP_HOME\standalone\configuration\standalone-alternative.xml
設定ファイルを使用します。管理対象ドメイン
管理対象ドメインでは、設定ファイルのファイル名を--domain-config
パラメーターのオプションとして指定します。設定ファイルはEAP_HOME/domain/configuration/
ディレクトリーに置く必要があり、このディレクトリーからの相対パスを指定する必要があります。例2.3 Red Hat Enterprise Linux の管理対象ドメインに別の設定ファイルを使用
[user@host bin]$
./domain.sh --domain-config=
domain-alternate.xml
この例は、EAP_HOME/domain/configuration/domain-alternate.xml
設定ファイルを使用します。例2.4 Microsoft Windows Server の管理対象ドメインに別の設定ファイルを使用
C:\EAP_HOME\bin>
domain.bat --domain-config=
domain-alternate.xml
この例は、EAP_HOME\domain\configuration\domain-alternate.xml
設定ファイルを使用します。
代替の設定ファイルを使用して JBoss EAP が起動されます。
2.1.7. JBoss EAP 6 の停止
注記
手順2.7 JBoss EAP 6 のインスタンスの停止
コマンドラインプロンプトから対話的に起動したインスタンスの停止
JBoss EAP 6 が実行されているターミナルで Ctrl-C を押します。
手順2.8 オペレーティングシステムサービスとして起動されたインスタンスの停止
オペレーティングシステムに応じて、以下のいずれかの手順を実行します。Red Hat Enterprise Linux
Red Hat Enterprise Linux でサービススクリプトを記述したときは、stop
機能を使用します。これは、スクリプトに記述する必要があります。次に、service scriptname stop
を使用できます。ここで scriptname はスクリプトの名前に置き換えます。Microsoft Windows Server
Microsoft Windows の場合は、net service
コマンドを使用するか、コントロールパネルの サービス アプレットからサービスを停止します。
手順2.9 バックグラウンドで実行されているインスタンスの停止 (Red Hat Enterprise Linux)
- プロセスのプロセス ID (PID) を取得します。
単一のインスタンスのみが実行されている場合 (スタンドアロンモード)
以下のコマンドはいずれも JBoss EAP 6 の単一インスタンスの PID を返します。pidof java
jps
(jps
コマンドは、jboss-modules.jar
と jps 自体の 2 つのプロセスに対する ID を返します。jboss-modules.jar
の ID を使用して EAP インスタンスを停止します)。
複数の EAP インスタンスが実行されている場合 (ドメインモード)
複数の EAP インスタンスが実行されている場合、正しいプロセスを識別するには、さらに包括的なコマンドを使用する必要があります。- 詳細モードで
jps
コマンドを使用すると、見つかった java プロセスに関する詳細情報が提供されます。以下は、実行している EAP プロセスを PID およびロールで識別する、詳細なjps
コマンドからの出力の一部になります。$ jps -v 12155 jboss-modules.jar -D[Server:server-one] -XX:PermSize=256m -XX:MaxPermSize=256m -Xms1303m ... 12196 jboss-modules.jar -D[Server:server-two] -XX:PermSize=256m -XX:MaxPermSize=256m -Xms1303m ... 12096 jboss-modules.jar -D[Host Controller] -Xms64m -Xmx512m -XX:MaxPermSize=256m ... 11872 Main -Xms128m -Xmx750m -XX:MaxPermSize=350m -XX:ReservedCodeCacheSize=96m -XX:+UseCodeCacheFlushing ... 11248 jboss-modules.jar -D[Standalone] -XX:+UseCompressedOops -verbose:gc ... 12892 Jps ... 12080 jboss-modules.jar -D[Process Controller] -Xms64m -Xmx512m -XX:MaxPermSize=256m ...
ps aux
コマンドを使用して複数の EAP インスタンスの情報を返すこともできます。以下は、実行している EAP プロセスを PID およびロールで識別する、詳細なps
コマンドからの出力の一部になります。$ ps aux | grep java username 12080 0.1 0.9 3606588 36772 pts/0 Sl+ 10:09 0:01 /path/to/java -D[Process Controller] -server -Xms128m -Xmx128m -XX:MaxPermSize=256m ... username 12096 1.0 4.1 3741304 158452 pts/0 Sl+ 10:09 0:13 /path/to/java -D[Host Controller] -Xms128m -Xmx128m -XX:MaxPermSize=256m ... username 12155 1.7 8.9 4741800 344224 pts/0 Sl+ 10:09 0:22 /path/to/java -D[Server:server-one] -XX:PermSize=256m -XX:MaxPermSize=256m -Xms1000m -Xmx1000m -server - ... username 12196 1.8 9.4 4739612 364436 pts/0 Sl+ 10:09 0:22 /path/to/java -D[Server:server-two] -XX:PermSize=256m -XX:MaxPermSize=256m -Xms1000m -Xmx1000m -server ...
上記の例では、ドメイン全体を停止するには Process Controller プロセスを停止します。これらのコマンドにgrep
ユーティリティーを使用すると Process Controller を識別できます。jps -v | grep "Process Controller"
ps aux | grep "Process Controller"
kill PID
を実行して、TERM
シグナルをプロセスに送信します。PID は前述のコマンドの 1 つを使用して識別されたプロセス IDに置き換えます。
JBoss EAP 6 がクリーンにシャットダウンされ、データは失われません。
2.1.8. サーバー実行時に渡すスイッチと引数のリファレンス
standalone.xml
、domain.xml
、および host.xml
の設定ファイルで定義されたものとは別の設定でサーバーを起動できます。これには、ソケットバインディングの代替セットや二次設定でのサーバーの起動が含まれることがあります。起動時にヘルプスイッチを渡すと、利用可能なこれらのパラメーターのリストを表示できます。
例2.5
-h
または --help
スイッチが追加で使用されています。help スイッチの結果は以下の表を参照してください。
[localhost bin]$ standalone.sh -h
[localhost bin]$ domain.sh -h
表2.1 実行時スイッチおよび引数
引数またはスイッチ | モード | 説明 |
---|---|---|
--admin-only | Standalone | サーバーの実行タイプを ADMIN_ONLY に設定します。これにより管理インターフェースが開かれ、管理要求が許可されますが、他のランタイムサービスは起動されず、エンドユーザーの要求は許可されません。 |
--admin-only | Domain | ホストコントローラーの実行タイプを ADMIN_ONLY に設定します。これにより管理インターフェースが開かれ、管理要求が許可されますが、サーバーは起動しません。ホストコントローラーがドメインのマスターである場合はスレーブホストコントローラーからの受信接続が許可されます。 |
-b <value> 、-b=<value> | Standalone、Domain | システムプロパティー jboss.bind.address を該当する値に設定します。 |
-b<interface>=<value> | Standalone、Domain | システムプロパティー jboss.bind.address.<interface> を指定の値に設定します。 |
--backup | Domain | このホストがドメインコントローラーではない場合でも永続ドメイン設定のコピーを保持します。 |
-c <config> 、-c=<config> | Standalone | 使用するサーバー設定ファイルの名前。デフォルト値は standalone.xml です。 |
-c <config> 、-c=<config> | Domain | 使用するサーバー設定ファイルの名前。デフォルト値は domain.xml です。 |
--cached-dc | Domain | ホストがドメインコントローラーではなく、起動時にドメインコントローラーに接続できない場合、ローカルでキャッシュされたドメイン設定のコピーを使用してブートします。 |
--debug [<port>] | Standalone | オプションの引数を用いてデバッグモードを有効にし、ポートを指定します。起動スクリプトがサポートする場合のみ動作します。 |
-D<name>[=<value>] | Standalone、Domain | システムプロパティーを設定します。 |
--domain-config=<config> | Domain | 使用するサーバー設定ファイルの名前。デフォルト値は domain.xml です。 |
-h 、--help | Standalone、Domain | ヘルプメッセージを表示し、終了します。 |
--host-config=<config> | Domain | 使用するホスト設定ファイルの名前。デフォルト値は host.xml です。 |
--interprocess-hc-address=<address> | Domain | ホストコントローラーがプロセスコントローラーからの通信をリッスンしなければならないアドレス。 |
--interprocess-hc-port=<port> | Domain | ホストコントローラーがプロセスコントローラーからの通信をリッスンしなければならないポート。 |
--master-address=<address> | Domain | システムプロパティー jboss.domain.master.address を指定の値に設定します。デフォルトのスレーブホストコントローラーの設定では、マスターホストコントローラーのアドレスを設定するために使用されます。 |
--master-port=<port> | Domain | システムプロパティー jboss.domain.master.port を指定の値に設定します。デフォルトのスレーブホストコントローラーの設定では、マスターホストコントローラーによるネイティブ管理の通信で使用されるポートを設定するために使用されます。 |
--read-only-server-config=<config> | Standalone | 使用するサーバー設定ファイルの名前。元のファイルは上書きされないため、--server-config および -c とは異なります。 |
--read-only-domain-config=<config> | Domain | 使用するドメイン設定ファイルの名前。最初のファイルは上書きされないため、--domain-config および -c とは異なります。 |
--read-only-host-config=<config> | Domain | 使用するホスト設定ファイルの名前。最初のファイルは上書きされないため、--host-config とは異なります。 |
-P <url> 、-P=<url> 、--properties=<url> | Standalone、Domain | 該当する URL からシステムプロパティーをロードします。 |
--pc-address=<address> | Domain | プロセスコントローラーが制御するプロセスからの通信をリッスンするアドレス。 |
--pc-port=<port> | Domain | プロセスコントローラーが制御するプロセスからの通信をリッスンするポート。 |
-S<name>[=<value>] | Standalone | セキュリティープロパティーを設定します。 |
--server-config=<config> | Standalone | 使用するサーバー設定ファイルの名前。デフォルト値は standalone.xml です。 |
-u <value> 、-u=<value> | Standalone、Domain | システムプロパティー jboss.default.multicast.address を指定の値に設定します。 |
-v 、-V 、--version | Standalone、Domain | アプリケーションサーバーのバージョンを表示し、終了します。 |
2.2. サーバーの起動と停止
2.2.1. 管理 CLI を使用したサーバーの起動および停止
前提条件
スタンドアロンサーバーインスタンスは、コマンドラインスクリプトで起動でき、管理 CLI より shutdown
コマンドを使用してシャットダウンできます。インスタンスが再度必要な場合は、「JBoss EAP 6 をスタンドアロンサーバーとして起動」 の説明どおりに起動プロセスを再実行します。
例2.6 管理 CLI よりスタンドアロンサーバーインスタンスを停止する
[standalone@localhost:9999 /] shutdown
管理対象ドメインを実行している場合は、管理コンソールを使用するとドメインの特定サーバーを選択的に起動または停止できます。これには、ドメイン全体のサーバーグループや、ホスト上の特定サーバーインスタンスが含まれます。
例2.7 管理 CLI より管理対象ドメインのサーバーホストを停止する
shutdown
コマンドを使用します。この例では、シャットダウン操作を呼び出す前にインスタンス名を宣言し、「master」という名前のサーバーホストを停止します。tab キーを使用して文字列を補完し、利用可能なホスト値などの可視変数を表示します。
[domain@localhost:9999 /] /host=master:shutdown
例2.8 管理 CLI より管理対象ドメインのサーバーホストを起動および停止する
start
および stop
操作を呼び出す前に、サーバーグループを宣言することで、main-server-group
という名前のデフォルトのサーバーグループを起動します。tab キーを使用して文字列を補完し、利用可能なサーバーグループ名の値などの可視変数を表示します。
[domain@localhost:9999 /] /server-group=main-server-group:start-servers
[domain@localhost:9999 /] /server-group=main-server-group:stop-servers
例2.9 管理 CLI より管理対象ドメインのサーバーインスタンスを起動および停止する
start
および stop
操作を呼び出す前に、ホストおよびサーバーの設定を宣言することで、master
ホスト上の server-one
という名前のサーバーインスタンスを起動および停止します。tab キーを使用して文字列を補完し、利用可能なホストおよびサーバー設定の値などの可視変数を表示します。
[domain@localhost:9999 /] /host=master/server-config=server-one:start
[domain@localhost:9999 /] /host=master/server-config=server-one:stop
2.2.2. 管理コンソールを使用したサーバーの起動
手順2.10 管理対象ドメイン向けのサーバーの起動
- コンソールの右上にある Runtime タブを選択します。Server メニューを展開し、Overview を選択します。
- Server Instances のリストから、起動するサーバーを選択します。実行されているサーバーはチェックマークで示されます。このリストにあるインスタンスにカーソルを合わせ、サーバーの詳細の下に青色でオプションを表示します。
- インスタンスを起動するには、表示された Start Server テキストをクリックします。クリックすると、ダイアログボックスが開きます。Confirm ボタンをクリックしてサーバーを起動します。
選択したサーバーが起動し、稼働状態になります。
2.2.3. 管理コンソールを使用したサーバーの停止
手順2.11 管理コンソールを使用した管理対象ドメインのサーバーの停止
- コンソールの右上にある Runtime タブを選択します。Domain メニューを展開し、Overview を選択します。
- Hosts, groups and server instances の表に使用可能な Server Instances のリストが表示されます。稼働中のサーバーにはチェックマークが付きます。
- 選択したサーバーにカーソルを合わせ、表示される Stop Server テキストをクリックします。確認ダイアログウインドウが表示されます。
- Confirm をクリックし、サーバーを停止します。
選択されたサーバーが停止します。
2.3. ファイルシステムパス
2.3.1. ファイルシステムパス
domain.xml
、host.xml
、および standalone.xml
の設定には、パスを宣言できるセクションが含まれます。設定の他のセクションは、各インスタンスの絶対パスを宣言せず論理名を使用することにより、これらのパスを参照できます。これにより、特定のホスト設定をユニバーサルな論理名に解決できるため、設定や管理がしやすくなります。
log
ディレクトリーを示す jboss.server.log.dir
パスへの参照が含まれます。
例2.10 ロギングディレクトリーの相対パス例
<file relative-to="jboss.server.log.dir" path="server.log"/>
表2.2 標準的なパス
Value | 説明 |
---|---|
jboss.home.dir | JBoss EAP 6 ディストリビューションのルートディレクトリー。 |
user.home | ユーザーのホームディレクトリー。 |
user.dir | ユーザーのカレントワーキングディレクトリー。 |
java.home | Java インストールディレクトリー。 |
jboss.server.base.dir | 各サーバーインスタンスのルートディレクトリー。 |
jboss.server.data.dir | サーバーが永続データファイルストレージに使用するディレクトリー。 |
jboss.server.config.dir | サーバー設定が含まれるディレクトリー。 |
jboss.server.log.dir | サーバーがファイルストレージに使用するディレクトリー。 |
jboss.server.temp.dir | サーバーが一時ファイルストレージに使用するディレクトリー。 |
jboss.controller.temp.dir | ホストコントローラーが一時的なファイルストレージとして使用するディレクトリー。 |
スタンドアロンサーバーを実行している場合は、以下の 2 つの方法の 1 つを用いて jboss.server.base.dir
、jboss.server.log.dir
、または jboss.server.config.dir
パスをオーバーライドできます。
- サーバーの起動時に、コマンドラインで引数を渡すことができます。例は次のとおりです。
bin/standalone.sh -Djboss.server.log.dir=/var/log
- サーバー設定ファイルの
JAVA_OPTS
変数を編集できます。EAP_HOME/bin/standalone.conf
ファイルを開き、ファイルの最後に以下の行を追加します。JAVA_OPTS="$JAVA_OPTS Djboss.server.log.dir=/var/log"
カスタムパスを作成することも可能です。たとえば、以下のようにロギングに使用する相対パスを定義できます。
my.relative.path=/var/log
my.relative.path
を使用するよう、ログハンドラーを変更します。
2.4. 設定ファイル
2.4.1. JBoss EAP 6 の設定ファイル
表2.3 設定ファイルの場所
サーバーモード | 場所 | 目的 |
---|---|---|
domain.xml | EAP_HOME/domain/configuration/domain.xml | 管理対象ドメインの主要の設定ファイルです。ドメインマスターのみがこのファイルを読み取ります。他のドメインメンバーでは削除が可能です。 |
host.xml | EAP_HOME/domain/configuration/host.xml | このファイルには、管理対象ドメインの物理ホスト固有の設定情報が含まれています (ネットワークインターフェース、ソケットバインディング、ホスト名、その他のホスト固有の詳細など)。host.xml ファイルには、host-master.xml および host-slave.xml (詳細については、下記参照) の両方の機能がすべて含まれています。このファイルはスタンドアロンサーバーの場合は存在しません。 |
host-master.xml | EAP_HOME/domain/configuration/host-master.xml | このファイルには、サーバーを管理対象ドメインのマスターサーバーとして実行するために必要な設定情報のみが含まれています。このファイルはスタンドアロンサーバーでは存在しません。 |
host-slave.xml | EAP_HOME/domain/configuration/host-slave.xml | このファイルには、サーバーを管理対象ドメインのスレーブサーバーとして実行するために必要な設定情報のみが含まれています。このファイルはスタンドアロンサーバーでは存在しません。 |
standalone.xml | EAP_HOME/standalone/configuration/standalone.xml | スタンドアロンサーバーのデフォルトの設定ファイルです。このファイルにはサブシステム、ネットワーキング、デプロイメント、ソケットバインディング、その他の設定情報などを含むスタンドアロンサーバーに関するすべての情報が含まれています。スタンドアロンサーバーの起動時にこの設定が自動的に使用されます。 |
standalone-full.xml | EAP_HOME/standalone/configuration/standalone-full.xml | スタンドアロンサーバーの設定例です。高可用性を要するサブシステムを除く、可能な全サブシステムのサポートが含まれます。使用するには、サーバーを停止し、次のコマンドを使用して再起動します: EAP_HOME/bin/standalone.sh -c standalone-full.xml |
standalone-ha.xml | EAP_HOME/standalone/configuration/standalone-ha.xml | このサンプル設定ファイルは、デフォルトのサブシステムをすべて有効にし、高可用性または負荷分散クラスターに参加できるよう mod_cluster および JGroups サブシステムをスタンドアロンサーバーに対して追加します。このファイルは管理対象ドメインには適用されません。この設定を使用するには、サーバーを停止し、次のコマンドを使用して再起動します: EAP_HOME/bin/standalone.sh -c standalone-ha.xml |
standalone-full-ha.xml | EAP_HOME/standalone/configuration/standalone-full-ha.xml | これはスタンドアロンサーバーの設定例です。高可用性に必要となるサブシステムを含む、可能なすべてのサブシステムのサポートが含まれます。使用するにはサーバーを停止し、次のコマンドを使用して再起動します: EAP_HOME/bin/standalone.sh -c standalone-full-ha.xml |
2.4.2. 記述子ベースのプロパティー置換
standalone.xml
または domain.xml
からグローバルに有効化されます。
<subsystem xmlns="urn:jboss:domain:ee:1.1"> <spec-descriptor-property-replacement> true </spec-descriptor-property-replacement> <jboss-descriptor-property-replacement> true </jboss-descriptor-property-replacement> </subsystem>
ejb-jar.xml
および persistence.xml
の Java EE 記述子は置き換えできますが、デフォルトでは無効になっています。
jboss-ejb3.xml
jboss-app.xml
jboss-web.xml
*-jms.xml
*-ds.xml
@ActivationConfigProperty(propertyName = "connectionParameters", propertyValue = "host=192.168.1.1;port=5445")
connectionParameters
を指定できます。
./standalone.sh -DconnectionParameters='host=10.10.64.1;port=5445'
<activation-config> <activation-config-property> <activation-config-property-name> connectionParameters </activation-config-property-name> <activation-config-property-value> ${jms.connection.parameters:'host=10.10.64.1;port=5445'} </activation-config-property-value> </activation-config-property> </activation-config>
${jms.connection.parameters:'host=10.10.64.1;port=5445'}
では、デフォルト値を提供しながら、コマンドラインが指定するパラメーターによって接続パラメーターが上書きされます。
2.4.3. 記述子ベースのプロパティー置換の有効化/無効化
記述子プロパティー置換の限定的な制御が、jboss-as-ee_1_1.xsd
に導入されました。このタスクには、記述子ベースのプロパティー置換を設定するのに必要な手順が含まれます。
true
に設定された場合は、プロパティー置換が有効になります。false
に設定された場合は、プロパティー置換が無効になります。
手順2.12 jboss-descriptor-property-replacement
jboss-descriptor-property-replacement
は、次の記述子でプロパティー置換を有効または無効にするために使用されます。
jboss-ejb3.xml
jboss-app.xml
jboss-web.xml
*-jms.xml
*-ds.xml
jboss-descriptor-property-replacement
のデフォルト値は true
です。
- 管理 CLI では、次のコマンドを実行して
jboss-descriptor-property-replacement
の値を決定します。/subsystem=ee:read-attribute(name="jboss-descriptor-property-replacement")
- 次のコマンドを実行して動作を設定します。
/subsystem=ee:write-attribute(name="jboss-descriptor-property-replacement",value=VALUE)
手順2.13 spec-descriptor-property-replacement
spec-descriptor-property-replacement
は、次の記述子でプロパティー置換を有効または無効にするために使用されます。
ejb-jar.xml
persistence.xml
spec-descriptor-property-replacement
のデフォルト値は false
です。
- 管理 CLI では、次のコマンドを実行して
spec-descriptor-property-replacement
の値を確認します。/subsystem=ee:read-attribute(name="spec-descriptor-property-replacement")
- 次のコマンドを実行して動作を設定します。
/subsystem=ee:write-attribute(name="spec-descriptor-property-replacement",value=VALUE)
記述子ベースのプロパティー置換が正常に設定されます。
2.4.4. ファイルの履歴設定
standalone.xml
、domain.xml
、および host.xml
ファイルが含まれます。これらのファイルは直接編集して変更できますが、管理 CLI や管理コンソールといった利用可能な管理操作でアプリケーションサーバーモデルを設定する方法が推奨されます。
2.4.5. 以前の設定でのサーバーの起動
standalone.xml
を使用してスタンドアロンサーバーの以前の設定でアプリケーションサーバーを起動する方法を示しています。同じコンセプトは、domain.xml
と host.xml
のそれぞれを使用した管理対象ドメインに適用されます。
- 起動するバックアップバージョンを特定します。この例では、正常な起動後に最初加えられた変更前のサーバーモデルのインスタンスが再度呼び出されます。
EAP_HOME/standalone/configuration/standalone_xml_history/current/standalone.v1.xml
jboss.server.config.dir
下で相対ファイル名を渡し、バックアップモデルのこの設定を用いてサーバーを起動します。EAP_HOME/bin/standalone.sh --server-config=standalone_xml_history/current/standalone.v1.xml
アプリケーションサーバーが、選択された設定で起動されます。
注記
EAP_HOME/domain/configuration/domain_xml_history/current/domain.v1.xml
にあります。
jboss.domain.config.dir
下で相対ファイル名を渡し、バックアップモデルのこの設定を用いてサーバーを起動します。
EAP_HOME/bin/domain.sh --domain-config=domain_xml_history/current/domain.v1.xml
2.4.6. 管理 CLI を使用した設定スナップショットの保存
設定スナップショットは、現在のサーバー設定のポイントインタイムコピーです。これらのコピーは、管理者が保存およびロードできます。
standalone.xml
設定ファイルを使用しますが、同じプロセスが domain.xml
および host.xml
設定ファイルにも適用されます。
前提条件
手順2.14 設定スナップショットの撮影および保存
スナップショットの保存
take-snapshot
操作を実行して、現在のサーバー設定のコピーを取得します。[standalone@localhost:9999 /] :take-snapshot { "outcome" => "success", "result" => "/home/User/EAP_HOME/standalone/configuration/standalone_xml_history/snapshot/20110630-172258657standalone.xml"
現在のサーバー設定のスナップショットが保存されます。
2.4.7. 管理 CLI を使用した設定スナップショットのロード
standalone.xml
ファイルを使用しますが、同じプロセスが domain.xml
および host.xml
ファイルにも適用されます。
手順2.15 設定スナップショットのロード
- ロードするスナップショットを識別します。この例では、スナップショットディレクトリーから以下のファイルが呼び出されます。スナップショットファイルのデフォルトのパスは以下のとおりです。
EAP_HOME/standalone/configuration/standalone_xml_history/snapshot/20110812-191301472standalone.xml
スナップショットは相対パスにより表されます。たとえば、上記の例は次のように記述できます。jboss.server.config.dir/standalone_xml_history/snapshot/20110812-191301472standalone.xml
- ファイル名を渡し、選択したスナップショットを用いてサーバーを起動します。
EAP_HOME/bin/standalone.sh --server-config=standalone_xml_history/snapshot/20110913-164449522standalone.xml
ロードしたスナップショットに選択された設定を用いてサーバーが再起動します。
2.4.8. 管理 CLI を使用した設定スナップショットの削除
前提条件
standalone.xml
ファイルを使用しますが、同じプロセスが domain.xml
および host.xml
ファイルにも適用されます。
手順2.16 特定のスナップショットの削除
- ロードするスナップショットを指定します。この例では、スナップショットディレクトリーから以下のファイルが削除されます。
EAP_HOME/standalone/configuration/standalone_xml_history/snapshot/20110630-165714239standalone.xml
:delete-snapshot
コマンドを実行して、特定のスナップショットを削除します。以下の例のようにスナップショットの名前を指定します。[standalone@localhost:9999 /]
:delete-snapshot(name="20110630-165714239standalone.xml")
{"outcome" => "success"}
スナップショットが削除されます。
手順2.17 スナップショットすべてを削除
:delete-snapshot(name="all")
コマンドを以下の例のとおりに実行し、スナップショットをすべて削除します。[standalone@localhost:9999 /]
:delete-snapshot(name="all")
{"outcome" => "success"}
スナップショットがすべて削除されます。
2.4.9. 管理 CLI を使用したすべての設定スナップショットのリスト
前提条件
standalone.xml
ファイルを使用しますが、同じプロセスが domain.xml
および host.xml
ファイルにも適用されます。
手順2.18 すべての設定スナップショットのリスト
すべてのスナップショットのリスト
:list-snapshots
コマンドを実行して、保存されたすべてのスナップショットをリストします。[standalone@localhost:9999 /]
:list-snapshots
{ "outcome" => "success", "result" => { "directory" => "/home/hostname/EAP_HOME/standalone/configuration/standalone_xml_history/snapshot", "names" => [ "20110818-133719699standalone.xml", "20110809-141225039standalone.xml", "20110802-152010683standalone.xml", "20110808-161118457standalone.xml", "20110912-151949212standalone.xml", "20110804-162951670standalone.xml" ] } }
スナップショットがリストされます。
第3章 管理インターフェース
3.1. アプリケーションサーバーの管理
3.2. 管理アプリケーションプログラミングインターフェース (API)
JBoss EAP 6 は、サーバーを設定および管理する 3 つの方法 (Web インターフェース、コマンドラインクライアント、および XML 設定ファイルのセット) を提供します。推奨される設定ファイルの編集方法には管理コンソールと管理 CLI が含まれますが、これらの 3 つの方法で設定に加えられた編集は、異なるビューにわたって常に同期され、最終的に XML ファイルに永続化されます。サーバーインスタンスの実行中に XML 設定ファイルで行われた編集は、サーバーモデルによって上書きされることに注意してください。
管理コンソールは、Google Web Toolkit (GWT) で構築された Web インターフェースの例です。管理コンソールは、HTTP 管理インターフェースを使用してサーバーと通信します。HTTP API エンドポイントは、管理レイヤーと統合するために HTTP プロトコルに依存する管理クライアントのエントリーポイントで、JSON でエンコードされたプロトコルとデタイプな (detyped) RPC スタイルの API を使用して管理対象ドメインまたはスタンドアロンサーバーに対して管理操作を記述および実行します。HTTP API は Web コンソールによって使用されますが、他のクライアントに対しても統合機能を提供します。
例3.1 HTTP API 設定ファイルの例
<management-interfaces> [...] <http-interface security-realm="ManagementRealm"> <socket-binding http="management-http"/> </http-interface> </management-interfaces>
表3.1 管理コンソールへの URL
URL | 説明 |
---|---|
http://localhost:9990/console | ローカルホストでアクセスされる管理コンソール (管理対象ドメイン設定を制御します)。 |
http://hostname:9990/console | リモートでアクセスされる管理コンソール (ホストを指定し、管理対象ドメイン設定を制御します)。 |
http://hostname:9990/management | HTTP 管理 API は管理コンソールと同じポートで実行され、API に公開された raw 属性と値を表示します。 |
ネイティブ API ツールの例には管理 CLI があります。この管理ツールは管理対象ドメインまたはスタンドアロンサーバーインスタンスに使用できるため、ユーザーはドメインコントローラーまたはスタンドアロンサーバーインスタンスに接続し、デタイプ (detyped) の管理モデルを介して利用可能な管理操作を実行できます。
例3.2 ネイティブ API 設定ファイルの例
<management-interfaces> <native-interface security-realm="ManagementRealm"> <socket-binding native="management-native"/> </native-interface> [...] </management-interfaces>
3.3. 管理コンソールと管理 CLI
3.4. 管理コンソール
3.4.1. 管理コンソール
3.4.2. 管理コンソールへのログイン
前提条件
- 「管理インターフェースのユーザーの追加」 の説明にしたがって管理ユーザーを作成する必要があります。JBoss EAP 6 が稼働している必要があります。
管理コンソールのスタートページへのアクセス
Web ブラウザーを起動し、Web ブラウザーで管理コンソール (http://localhost:9990/console/App.html) に移動します。注記
ポート 9990 は、管理コンソールソケットバインディングとして事前定義されています。- 以前作成したアカウントのユーザー名とパスワードを入力し、管理コンソールのログイン画面にログインします。
図3.1 管理コンソールのログイン画面
ログインすると、以下のアドレスにリダイレクトされ、管理コンソールのランディングページが表示されます (http://localhost:9990/console/App.html#home)。
3.4.3. 管理コンソールの言語の変更
サポート言語
- ドイツ語 (de)
- 簡体中国語 (zh-Hans)
- ブラジルポルトガル語 (pt-BR)
- フランス語 (fr)
- スペイン語 (es)
- 日本語 (ja)
手順3.1 Web ベース管理コンソールの言語の変更
管理コンソールへのログイン
Web ベースの管理コンソールにログインします。Settings ダイアログを開きます。
画面の右下付近に Settings ラベルがあります。これをクリックして管理コンソールの設定を開きます。必要な言語を選択します。
Locale 選択ボックスから希望の言語を選択します。次に、Save を選択します。確認ボックスに、アプリケーションをリロードする必要があると表示されます。Confirm をクリックします。新しいロケールを使用するために Web ブラウザを更新します。
3.4.4. EAP コンソールの分析
Google Analytics は、Web サイトの包括的な使用統計を提供する無料の Web 分析サービスです。訪問数、ページビュー、訪問別ページ数、平均滞在時間など、Web サイトの訪問者に関する重要なデータを提供します。Google Analytics を使用すると、Web サイトの存在やそのユーザーの認知度が向上します。
JBoss EAP 6.3 では、ユーザーは管理コンソールの Google Analytics を有効または無効にできます。Google Analytics の機能は、コンソールがどのように使用され、コンソールのどの部分が重要であるかを Red Hat EAP チームが理解することを目的としています。この情報は、ユーザーの必要性に見合ったコンソールのデザイン、機能、およびコンテンツを導入するために使用されます。
3.4.5. EAP コンソールの Google Analytics の有効化/無効化
- 管理コンソールにログインします。
- コンソールの右下にある Settings をクリックします。
図3.2 管理コンソールのログイン画面
Settings
ウインドウの Enable Usage Data Collection チェックボックスを選択し、Save ボタンをクリックします。アプリケーションをリロードし、新しい設定を有効にします。図3.3 Settings ウインドウ (使用率データの収集を有効化)
Settings
ウインドウの Enable Usage Data Collection をクリックして選択を解除します。Save ボタンをクリックします。
図3.4 Settings ウインドウ (使用率データの収集を無効化)
注記
3.4.6. 管理コンソールを使用したサーバーの設定
手順3.2 サーバーの設定
- コンソールの上部より Domain タブを選択します。利用可能なサーバーインスタンスの表が表示されます。
- Available Server Configurations テーブルよりサーバーインスタンスを選択します。
- 選択したサーバーの詳細の上にある Edit ボタンをクリックします。
- 設定属性を変更します。
- Save をクリックして終了します。
サーバー設定が変更され、サーバーが次回再起動したときに変更が反映されます。
3.4.7. 管理コンソールでのデプロイメントの追加
前提条件
- コンソールの上部より Runtime タブを選択します。
- スタンドアロンサーバーの場合は、Server メニューを展開し、Manage Deployments を選択します。管理対象ドメインの場合は、Domain メニューを展開し、Manage Deployments を選択します。Manage Deployments パネルが表示されます。
- Content Repository タブの Add を選択します。Create Deployment ダイアログボックスが表示されます。
- ダイアログボックスの Browse をクリックします。デプロイするファイルを選択し、アップロードします。Next をクリックして作業を続行します。
- Create Deployments ダイアログボックスに表示されるデプロイメント名とランタイム名を確認します。名前を確認したら、Save をクリックし、ファイルをアップロードします。
選択したコンテンツがサーバーにアップロードされ、デプロイメント可能になります。
3.4.8. 管理コンソールでのサーバーの新規作成
手順3.3 サーバー設定の新規作成
管理コンソールの Server Configurations ページへの移動
コンソールの上部にある Domain タブを選択します。設定の新規作成
- Available Server Configuration の表の上にある Add ボタンを選択します。
- Create Server Configuration ダイアログで基本的なサーバー設定を入力します。
- Save ボタンを選択して、新しいサーバー設定を保存します。
新しいサーバーが作成され、Server Configurations リストに表示されます。
3.4.9. 管理コンソールを使用したデフォルトログレベルの変更
手順3.4 ロギングレベルの編集
管理コンソールの Logging パネルに移動します。
- 管理対象ドメインを使用している場合は、コンソールの上部にある Configuration タブを選択した後、コンソールの左側にあるドロップダウンリストから該当するプロファイルを選択します。
- 管理対象ドメインまたはスタンドアロンサーバーのどちらの場合でも、コンソールの左側にあるリストの Core メニューを展開し、Logging エントリーをクリックします。
- コンソール上部の Log Categories タグをクリックします。
ロガー詳細の編集
Log Categories テーブル内のエントリーの詳細を編集します。- Log Categories の表のエントリーを選択し、下にある Details セクションの Edit をクリックします。
- Log Level ドロップダウンボックスでカテゴリーのログレベルを設定します。設定したら、Save ボタンをクリックします。
該当するカテゴリーのログレベルが更新されます。
3.4.10. 管理コンソールでのサーバーグループの新規作成
前提条件
手順3.5 サーバーグループの新規作成および追加
Server Groups ビューへの移動
コンソールの上部にある Domain タブを選択します。- 左側の列にあるメニューの Server ラベルを展開します。Server Groups を選択します。
サーバーグループの追加
Add ボタンをクリックし新規サーバーグループを追加します。サーバーグループの設定
- サーバーグループ名を入力します。
- サーバーグループのプロファイルを選択します。
- サーバーグループのソケットバインディングを選択します。
- Save ボタンをクリックし、新たに作成したグループを保存します。
新規サーバーグループが管理コンソールに表示されるようになります。
3.5. 管理 CLI
3.5.1. 管理コマンドラインインターフェース (CLI)
3.5.2. 管理 CLI の起動
手順3.6 Linux または Microsoft Windows Server での CLI の起動
Linux での CLI の起動
コマンドラインで以下のコマンドを入力して、EAP_HOME/bin/jboss-cli.sh
ファイルを実行します。$ EAP_HOME/bin/jboss-cli.sh
Microsoft Windows Server での CLI の起動
ダブルクリックするか、コマンドラインで以下のコマンドを入力して、EAP_HOME\bin\jboss-cli.bat
ファイルを実行します。C:\>EAP_HOME\bin\jboss-cli.bat
3.5.4. 管理 CLI を使用した管理対象サーバーインスタンスへの接続
前提条件
手順3.7 管理対象サーバーインスタンスへの接続
connect
コマンドの実行管理 CLI で、connect
コマンドを入力します。[disconnected /]
connect
Connected to domain controller at localhost:9999- Linux システムで管理 CLI を起動するときに管理対象サーバーへ接続するには、
--connect
パラメーターを使用します。$
EAP_HOME/bin/jboss-cli.sh --connect
--connect
パラメーターは、ホストとサーバーのポートを指定するために使用できます。ポートの値が9999
であるアドレス192.168.0.1
に接続するには、次のコマンドを使用します。$
EAP_HOME/bin/jboss-cli.sh --connect --controller=192.168.0.1:9999
3.5.5. 管理 CLI でのヘルプの取得
CLI コマンドを学ぶ必要がある場合や何を行ったらいいかわからない場合に、ガイダンスが必要になることがあります。管理 CLI には、一般的なオプションと状況依存オプションから構成されるヘルプダイアログが組み込まれてます (処理状況に依存するヘルプコマンドでは、スタンドアロンまたはドメインコントローラーへの接続を確立する必要があります。接続が確立されない限り、これらのコマンドはリストに表示されません)。
前提条件
一般的なヘルプの場合
管理 CLI で、help
コマンドを入力します。[standalone@localhost:9999 /]
help
状況依存ヘルプの取得
管理 CLI で、help -commands
拡張コマンドを入力します。[standalone@localhost:9999 /]
help --commands
- 特定のコマンドの詳細な説明については、そのコマンドとその後に
--help
を入力してください。[standalone@localhost:9999 /]
deploy --help
CLI ヘルプ情報が表示されます。
3.5.6. バッチモードでの管理 CLI の使用
バッチ処理により、複数の操作をシーケンスでグループ化し、ユニットとして一緒に実行できます。シーケンス内のいずれかの操作要求が失敗したら、操作のグループ全体がロールバックされます。
手順3.8 バッチモードのコマンドおよび操作
バッチモードの開始
batch
コマンドを使用してバッチモードを開始します。[standalone@localhost:9999 /] batch [standalone@localhost:9999 / #]
バッチモードになると、プロンプトにハッシュ (#
) が表示されます。バッチへの操作要求の追加
バッチモードでは、通常通りに操作リクエストを入力します。操作リクエストは、入力順にバッチに追加されます。操作要求のフォーマットに関する詳細は 「管理 CLI での操作およびコマンドの使用」 を参照してください。バッチの実行
操作要求のシーケンス全体が入力されたら、run-batch
コマンドを使用してバッチを実行します。[standalone@localhost:9999 / #] run-batch The batch executed successfully.
バッチの作業に使用できるコマンドの完全リストについては、「CLI のバッチモードコマンド」 を参照してください。外部ファイルに保存されたバッチコマンド
頻繁に実行するバッチコマンドは、外部のテキストファイルに保存できます。これらのバッチコマンドをロードするには、ファイルへのフルパスを引数としてbatch
コマンドに渡すか、run-batch
コマンドの引数として直接実行します。テキストエディターを使用してバッチコマンドファイルを作成できます。1 行に 1 つのコマンドのみがあるようにし、CLI がコマンドにアクセスできる必要があります。次のコマンドは、バッチモードでmyscript.txt
ファイルをロードします。このファイルのすべてのコマンドは編集または削除できます。新しいコマンドを挿入できます。このバッチセッションで変更された内容はmyscript.txt
ファイルへ保持されません。[standalone@localhost:9999 /] batch --file=myscript.txt
次のコマンドは、myscript.txt
ファイルに保存されたバッチコマンドを即時実行します。[standalone@localhost:9999 /] run-batch --file=myscript.txt
入力された操作リクエストのシーケンスがバッチとして完了します。
3.5.7. CLI のバッチモードコマンド
表3.2 CLI のバッチモードコマンド
コマンド名 | 説明 |
---|---|
list-batch | 現在のバッチのコマンドおよび操作のリスト |
edit-batch-line line-number edited-command | 編集する行番号と edited コマンドを提供し、現在のバッチの行を編集します。例: edit-batch-line 2 data-source disable --name=ExampleDS |
move-batch-line fromline toline | 移動したい行の番号を最初の引数として指定し、移動先を 2 番目の引数として指定してバッチの行の順序を変更します。例: move-batch-line 3 1 |
remove-batch-line linenumber | 特定の行でバッチコマンドを削除します。例: remove-batch-line 3 |
holdback-batch [batchname] |
このコマンドを使用すると現在のバッチを延期または保存できます。バッチの外部にて急に CLI で実行するものがある場合にこのコマンドを使用します。保留したバッチへ戻るには、再度 CLI コマンドラインに
batch を入力します。
holdback-batch コマンドの使用中にバッチ名を指定すると、バッチがその名前で保存されます。名前が付けられたバッチに戻るには、batch batchname コマンドを使用します。バッチ名を指定せずに batch コマンドを呼び出すと、新しい (名前のない) バッチが開始されます。名前のない保留バッチは 1 つのみ存在できます。
保留されたバッチをすべて一覧表示するには、
batch -l コマンドを使用します。
|
discard-batch | 現在アクティブなバッチを破棄します。 |
3.5.8. 管理 CLI での操作およびコマンドの使用
手順3.9 要求の作成、設定、および実行
操作要求の構築
操作要求では、管理モデルとの低レベルの対話が可能です。この場合、サーバー設定を制御された方法で編集できます。操作要求は、以下の 3 つの部分から構成されます。- スラッシュ (
/
) で始まるアドレス。 - コロン (
:
) で始まる操作名。 - 丸かっこ「
()
」で囲まれたパラメーターのオプションセット。
アドレスの特定
設定はアドレス指定可能なリソースの階層ツリーとして表されます。各リソースノードは、異なる操作セットを提供します。アドレスは、操作を実行するリソースノードを指定します。アドレスでは以下の構文を使用します。/node-type=node-name
- node-type は、リソースノードタイプです。これは、設定 XML の要素名に対してマッピングされます。
- node-name はリソースノード名です。これは、設定 XML の要素の
name
属性に対してマッピングされます。 - スラッシュ (
/
) を使用してリソースツリーの各レベルを区切ります。
設定 XML ファイルを参照して必要なアドレスを決定します。EAP_HOME/standalone/configuration/standalone.xml
ファイルはスタンドアロンサーバーの設定を保持し、EAP_HOME/domain/configuration/domain.xml
ファイルとEAP_HOME/domain/configuration/host.xml
ファイルは管理対象ドメインの設定を保持します。例3.3 操作アドレスの例
ロギングサブシステムで操作を実行するには、操作要求に以下のアドレスを使用します。/subsystem=logging
Java データソースに対して操作を実行するには、操作要求に以下のアドレスを使用します。/subsystem=datasources/data-source=java
操作の特定
リソースノードのタイプによって操作は異なります。操作では以下の構文を使用します。:operation-name
- operation-name は、要求する操作の名前です。
利用可能な操作をリストするために、スタンドアロンサーバーの任意のリソースアドレスでread-operation-names
操作を使用します。例3.4 利用可能な操作
ロギングサブシステムのすべての利用可能な操作をリストするために、スタンドアロンサーバーの以下の要求を入力します。[standalone@localhost:9999 /] /subsystem=logging:read-operation-names { "outcome" => "success", "result" => [ "add", "read-attribute", "read-children-names", "read-children-resources", "read-children-types", "read-operation-description", "read-operation-names", "read-resource", "read-resource-description", "remove", "undefine-attribute", "whoami", "write-attribute" ] }
パラメーターの決定
各操作では異なるパラメーターが必要な場合があります。パラメーターは以下の構文を使用します。(parameter-name=parameter-value)
- parameter-name は、パラメーターの名前です。
- parameter-value は、パラメーターの値です。
- 複数のパラメーターは、カンマ (
,
) で区切られます。
必要なパラメーターを決定するには、リソースノードで操作名をパラメーターとして渡し、read-operation-description
コマンドを実行します。詳細については、例3.5「操作パラメーターの決定」 を参照してください。例3.5 操作パラメーターの決定
ロギングサブシステムでread-children-types
操作に必須のパラメーターを決定するには、以下のようにread-operation-description
コマンドを入力します。[standalone@localhost:9999 /] /subsystem=logging:read-operation-description(name=read-children-types) { "outcome" => "success", "result" => { "operation-name" => "read-children-types", "description" => "Gets the type names of all the children under the selected resource", "reply-properties" => { "type" => LIST, "description" => "The children types", "value-type" => STRING }, "read-only" => true } }
完全操作要求の入力
アドレス、操作、およびパラメーターが決定されたら、完全操作要求を入力します。例3.6 操作要求の例
[standalone@localhost:9999 /]
/subsystem=web/connector=http:read-resource(recursive=true)
管理インターフェースは、サーバー設定の操作要求を実行します。
3.5.9. 管理 CLI 設定オプション
jboss-cli.xml
は、CLI が起動するたびにロードされます。このファイルは、$EAP_HOME/bin
ディレクトリーまたは jboss.cli.config
システムプロパティーで指定されたディレクトリーに置く必要があります。
default-controller
connect
コマンドがパラメーターなしで実行された場合に接続するコントローラーの設定。default-controller パラメーター
host
- コントローラーのホスト名。デフォルト値は
localhost
です。 port
- コントローラーへ接続するポート番号。
validate-operation-requests
- 実行のため要求がコントローラーへ送信される前に操作要求のパラメーターリストが検証されるかどうかを示します。タイプはブール値で、デフォルト値は
true
です。 history
- この要素には、コマンドおよび操作の履歴ログの設定が含まれます。
history
パラメーターenabled
history
が有効であるかを示します。タイプはブール値で、デフォルト値はtrue
です。- file-name
- 履歴が保存されるファイルの名前。デフォルト値は
.jboss-cli-history
です。 - file-dir
- 履歴が保存されるディレクトリーの名前。デフォルト値は
$USER_HOME
です。 - max-size
- 履歴ファイルの最大サイズ。デフォルト値は 500 です。
- resolve-parameter-values
- 操作要求を送信する前にコマンド引数 (または操作パラメーター) として指定されたシステムプロパティーを解決するか、またはサーバー側で解決が発生するようにするか。タイプはブール値で、デフォルト値は
false
です。 - connection-timeout
- コントローラーと接続を確立するまでの許容時間。タイプは整数で、デフォルト値は 5000 秒です。
- ssl
- この要素には、SSL に使用されるキーストアとトラストストアの設定が含まれます。
警告
Red Hat は、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSL を明示的に無効化することを推奨しています。ssl
パラメーター- vault
- タイプ:
vaultType
- key-store
- タイプ: 文字列
- key-store-password
- タイプ: 文字列
- alias
- タイプ: 文字列
- key-password
- タイプ: 文字列
- trust-store
- タイプ: 文字列
- trust-store-password
- タイプ: 文字列
- modify-trust-store
true
に設定された場合、認識できない証明書を受信したときに CLI がユーザーに伝え、トラストストアへの保存を許可します。タイプはブール値で、デフォルト値はtrue
です。
vaultType
code
とmodule
の両方が指定されていない場合は、デフォルトの実装が使用されます。code
が指定され、module
が指定されていない場合は、Picketbox モジュールの指定されたクラスを探します。module
とcode
が両方指定されている場合は、module によって指定されたモジュールでcode
によって指定されたクラスを探します。- code
- タイプ: 文字列
- module
- タイプ: 文字列
silent
- 情報およびエラーメッセージをターミナルに出力するかを指定します。
false
に指定されても、設定が許可したり、> を使用して出力ターゲットがコマンドラインの一部であると指定された場合は、ロガーを使用してメッセージがログに記録されます。デフォルト値はFalse
です。
3.5.10. 管理 CLI コマンドのリファレンス
前提条件
トピック「「管理 CLI でのヘルプの取得」」では、一般オプションおよび状況依存オプションとのヘルプダイアログを含む管理 CLI ヘルプ機能にアクセスする方法について説明しています。ヘルプコマンドは、操作コンテキストに依存し、スタンドアロンまたはドメインコントローラへの確立された接続を必要とします。接続が確立されない限り、これらのコマンドはリストに表示されません。
表3.3
コマンド | 説明 |
---|---|
batch | 新しいバッチを作成してバッチモードを開始するか、既存の保留中のバッチに応じて、バッチを再びアクティベートします。保留中のバッチがない場合は、引数なしで呼び出されたこのコマンドによって新しいバッチが開始されます。名前がない保留中のバッチがある場合は、このコマンドによってそのバッチが再びアクティベートされます。名前がある保留中のバッチがある場合は、保留中のバッチの名前を引数にしてこのコマンドを実行することにより、これらのバッチをアクティベートできます。 |
cd | 現在のノードパスを引数に変更します。現在のノードパスはアドレス部分を含まない操作要求のアドレスとして使用されます。操作要求にアドレスが含まれる場合、そのアドレスは現在のノードパスに対して相対的であると見なされます。現在のノードパスは node-type で終わることがあります。その場合は、logging:read-resource などの node-name を指定すれば操作を実行できます。 |
clear | 画面を消去します。 |
command | 新しいタイプコマンドを追加し、既存の汎用タイプコマンドを削除およびリストできます。汎用タイプコマンドは、特定のノードタイプに割り当てられたコマンドであり、そのタイプのインスタンス向けの操作を実行可能にします。また、既存インスタンスのタイプにより公開された任意のプロパティーを変更することもできます。 |
connect | 指定されたホストおよびポートのコントローラに接続します。 |
connection-factory | 接続ファクトリーを定義します。 |
data-source | データソースサブシステムで JDBC データソース設定を管理します。 |
deploy | ファイルパスで指定されたアプリケーションをデプロイするか、リポジトリーで無効になっている既存のアプリケーションを有効にします。引数なしで実行された場合、既存のデプロイメントすべてがリストされます。 |
help | ヘルプメッセージを表示します。該当するコマンドの状況依存の結果を提供するには、--commands 引数とともに使用します。 |
history | メモリー内の CLI コマンド履歴を表示し、履歴拡張が有効または無効であるかを表示します。必要に応じて履歴拡張をクリア、無効、および有効にするには、引数とともに使用します。 |
jms-queue | メッセージングサブシステムで JMS キューを定義します。 |
jms-topic | メッセージングサブシステムで JMS トピックを定義します。 |
ls | ノードパスの内容をリストします。デフォルトでは、ターミナルの幅全体を使用して結果が列に出力されます。-l スイッチを使用すると、1 行ごとに 1 つの名前で結果が出力されます。 |
pwd | 現在の作業ノードの完全ノードパスを出力します。 |
quit | コマンドラインインターフェースを終了します。 |
read-attribute | 値を表示し、引数によっては管理されたリソースの属性の詳細も表示します。 |
read-operation | 指定された操作の詳細を表示します。指定がない場合は使用できる操作をすべて表示します。 |
undeploy | 目的のアプリケーションの名前で実行された場合にアプリケーションをアンデプロイします。リポジトリーからアプリケーションを削除するには引数とともに使用します。アプリケーションを指定せずに実行すると、既存のデプロイメントすべてをリストします。 |
version | アプリケーションサーバーバージョンと環境情報を出力します。 |
xa-data-source | データソースサブシステムで JDBC XA データソース設定を管理します。 |
3.5.11. 管理 CLI 操作のリファレンス
管理 CLI の操作は、「管理 CLI を使用した操作名の表示」 で解説している read-operation-names
を使用すると公開できます。また、操作の説明は、「管理 CLI を使用した操作説明の表示」 で解説している read-operation-descriptions
操作を使用すると表示できます。
表3.4 管理 CLI の操作
操作名 | 説明 |
---|---|
add-namespace | namespaces 属性のマップに名前空間接頭辞のマッピングを追加します。 |
add-schema-location | schema-locations 属性のマップにスキーマロケーションマッピングを追加します。 |
delete-snapshot | snapshots ディレクトリーからサーバー設定のスナップショットを削除します。 |
full-replace-deployment | 以前にアップロードされたデプロイメントコンテンツを使用可能なコンテンツの一覧に追加して、ランタイムの同名の既存コンテンツを置き換え、その置き換えられたコンテンツを使用可能なコンテンツの一覧から削除します。詳細については、リンク先を参照してください。 |
list-snapshots | snapshots ディレクトリーに保存されているサーバー設定のスナップショットを一覧表示します。 |
read-attribute | 選択したリソースの属性の値を表示します。 |
read-children-names | 指定の型を持つ選択したリソースの配下にある子の名前をすべて表示します。 |
read-children-resources | 指定のタイプであるすべての子リソースに関する情報を表示します。 |
read-children-types | 選択したリソースの配下にある子すべての型名を表示します。 |
read-config-as-xml | 現在の設定を読み込み、XML 形式で表示します。 |
read-operation-description | 特定のリソースに対する操作の詳細を表示します。 |
read-operation-names | 特定のリソースに対する全操作の名前を表示します。 |
read-resource | モデルリソースの属性値および任意の子リソースの基本情報もしくは詳細情報を表示します。 |
read-resource-description | リソースの属性、子リソースのタイプ、および操作についての詳細を表示します。 |
reload | すべてのサービスを終了し、再起動することでサーバーをリロードします。 |
remove-namespace | namespaces 属性マップから名前空間接頭辞のマッピングを削除します。 |
remove-schema-location | schema-locations 属性マップからスキーマロケーションマッピングを削除します。 |
replace-deployment | ランタイムの既存のコンテンツを新しいコンテンツに置き換えます。新しいコンテンツを事前にデプロイメントコンテンツリポジトリーにアップロードする必要があります。 |
resolve-expression | 式を、式へ解析可能な入力または文字列として許可し、ローカルのシステムプロパティーおよび環境変数に対して解決する操作です。 |
resolve-internet-address | インターフェース解決基準を取り、その基準と一致するローカルマシンの IP アドレスを見つけます。一致する IP アドレスが見つからない場合は失敗します。 |
server-set-restart-required | 再起動が必要なモードにサーバーを設定します。 |
shutdown | System.exit(0) の呼び出しにより、サーバーをシャットダウンします。 |
start-servers | 現在実行されていないすべての設定済みサーバーを管理対象ドメインで起動します。 |
stop-servers | 管理対象ドメインで現在実行しているすべてのサーバーを停止します。 |
take-snapshot | サーバー設定のスナップショットを作成し、snapshots ディレクトリーに保存します。 |
upload-deployment-bytes | 含まれたバイトアレイのデプロイメントコンテンツをデプロイメントコンテンツリポジトリーに追加すべきであることを示します。この操作は、コンテンツがランタイムにデプロイされるべきであることを示すものではありません。 |
upload-deployment-stream | 対象入力ストリームインデックスで利用可能なデプロイメントコンテンツをデプロイメントコンテンツレポジトリーに追加すべきか指定します。この操作は、コンテンツをランタイムにデプロイすべきかは指定していません。 |
upload-deployment-url | 対象の URL で利用可能なデプロイメントコンテンツをデプロイメントコンテンツリポジトリーに追加すべきかを指定します。この操作は、コンテンツをランタイムにデプロイすべきかは指定しません。 |
validate-address | 操作のアドレスを検証します。 |
write-attribute | 選択したリソースの属性値を設定します。 |
3.6. 管理 CLI 操作
3.6.1. 管理 CLI によるリソースの属性の表示
前提条件
read-attribute
操作は、選択した属性の現在のランタイム値を読み取るために使用されるグローバル操作です。この操作を使用すると、デフォルトの値や非定義の値を無視し、ユーザーが設定した値のみを表示できます。要求プロパティーには次のパラメーターが含まれます。
要求プロパティー
name
- 選択したリソース下で値を取得する属性の名前。
include-defaults
false
を設定すると、デフォルト値を無視し、ユーザーが設定した属性のみを表示するよう操作結果を制限できるブール値パラメーター。
手順3.10 選択した属性の現在のランタイム値を表示
read-attribute
操作の実行管理 CLI よりread-attribute
を使用してリソース属性の値を表示します。操作要求の詳細については、「管理 CLI での操作およびコマンドの使用」 を参照してください。[standalone@localhost:9999 /]
:read-attribute(name=name-of-attribute)
read-attribute
操作の利点は、特定属性の現在のランタイム値を表示できることです。read-resource
操作でも同様の結果を得ることができますが、include-runtime
要求プロパティーを追加した場合のみ可能で、そのノードに対して使用できる全リソース一覧の一部のみを表示できます。次の例が示すように、read-attribute
操作は粒度の細かい属性クエリを対象としています。
例3.7 read-attribute
操作を実行したパブリックインターフェース IP の表示
read-attribute
を使用して現在のランタイムの厳密値を返します。
[standalone@localhost:9999 /] /interface=public:read-attribute(name=resolved-address) { "outcome" => "success", "result" => "127.0.0.1" }
resolved-address
属性はランタイム値であるため、標準的な read-resource
操作の結果には表示されません。
[standalone@localhost:9999 /] /interface=public:read-resource { "outcome" => "success", "result" => { "any" => undefined, "any-address" => undefined, "any-ipv4-address" => undefined, "any-ipv6-address" => undefined, "inet-address" => expression "${jboss.bind.address:127.0.0.1}", "link-local-address" => undefined, "loopback" => undefined, "loopback-address" => undefined, "multicast" => undefined, "name" => "public", "nic" => undefined, "nic-match" => undefined, "not" => undefined, "point-to-point" => undefined, "public-address" => undefined, "site-local-address" => undefined, "subnet-match" => undefined, "up" => undefined, "virtual" => undefined } }
resolved-address
や他のランタイム値を表示するには、include-runtime
要求プロパティーを使用する必要があります。
[standalone@localhost:9999 /] /interface=public:read-resource(include-runtime=true) { "outcome" => "success", "result" => { "any" => undefined, "any-address" => undefined, "any-ipv4-address" => undefined, "any-ipv6-address" => undefined, "inet-address" => expression "${jboss.bind.address:127.0.0.1}", "link-local-address" => undefined, "loopback" => undefined, "loopback-address" => undefined, "multicast" => undefined, "name" => "public", "nic" => undefined, "nic-match" => undefined, "not" => undefined, "point-to-point" => undefined, "public-address" => undefined, "resolved-address" => "127.0.0.1", "site-local-address" => undefined, "subnet-match" => undefined, "up" => undefined, "virtual" => undefined } }
現在のランタイム属性値が表示されます。
3.6.2. 管理 CLI でのアクティブユーザーの表示
前提条件
whoami
の操作は、現在アクティブなユーザーの属性を識別するために使用されるグローバルな操作です。この操作はユーザー名の ID と割り当てられたレルムを表示します。whoami
の操作は、管理者が複数のレルムで複数のユーザーを管理する場合や、複数のターミナルセッションやユーザーアカウントを持つドメインインスタンス全体でアクティブユーザーを追跡する場合に便利です。
手順3.11 whoami
を使用した管理 CLI でのアクティブユーザーの表示
whoami
の実行管理 CLI よりwhoami
を使用し、アクティブなユーザーのアカウントを表示します。[standalone@localhost:9999 /]
:whoami
次の例はスタンドアロンサーバーでwhoami
を使用し、アクティブなユーザーは username でManagementRealm
レルムが割り当てられていることを表しています。例3.8 スタンドアロンインスタンスでの
whoami
の使用[standalone@localhost:9999 /]:whoami { "outcome" => "success", "result" => {"identity" => { "username" => "username", "realm" => "ManagementRealm" }} }
現在アクティブなユーザーのアカウントが表示されます。
3.6.3. 管理 CLI でのシステムおよびサーバー情報の表示
前提条件
手順3.12 管理 CLI でのシステムおよびサーバー情報の表示
version
コマンドの実行管理 CLI で、version
コマンドを入力します。[domain@localhost:9999 /]
version
アプリケーションサーバーのバージョンと環境情報が表示されます。
3.6.4. 管理 CLI を使用した操作説明の表示
前提条件
手順3.13 管理 CLI でのコマンドの実行
read-operation-description
操作の実行管理 CLI で、read-operation-description
を使用して、操作に関する情報を表示します。操作ではキーと値のペアの形式でパラメーターを追加して、表示する操作を示す必要があります。操作結果の詳細については、「管理 CLI での操作およびコマンドの使用」 を参照してください。[standalone@localhost:9999 /]
:read-operation-description(name=name-of-operation)
例3.9 list-snapshots 操作の説明表示
list-snapshots
操作を説明する方法を示しています。
[standalone@localhost:9999 /] :read-operation-description(name=list-snapshots) { "outcome" => "success", "result" => { "operation-name" => "list-snapshots", "description" => "Lists the snapshots", "request-properties" => {}, "reply-properties" => { "type" => OBJECT, "value-type" => { "directory" => { "type" => STRING, "description" => "The directory where the snapshots are stored", "expressions-allowed" => false, "required" => true, "nillable" => false, "min-length" => 1L, "max-length" => 2147483647L }, "names" => { "type" => LIST, "description" => "The names of the snapshots within the snapshots directory", "expressions-allowed" => false, "required" => true, "nillable" => false, "value-type" => STRING } } }, "access-constraints" => {"sensitive" => {"snapshots" => {"type" => "core"}}}, "read-only" => false } }
選択した操作に関する説明が表示されます。
3.6.5. 管理 CLI を使用した操作名の表示
前提条件
手順3.14 管理 CLI でのコマンドの実行
read-operation-names
の実行管理 CLI よりread-operation-names
操作を使用して利用可能な操作の名前を表示します。操作要求の詳細については、「「管理 CLI での操作およびコマンドの使用」」を参照してください。[standalone@localhost:9999 /]
:read-operation-names
例3.10 管理 CLI を使用した操作名の表示
read-operation-names
操作を説明する方法を示しています。
[standalone@localhost:9999 /]:read-operation-names
{
"outcome" => "success",
"result" => [
"add-namespace",
"add-schema-location",
"delete-snapshot",
"full-replace-deployment",
"list-snapshots",
"read-attribute",
"read-children-names",
"read-children-resources",
"read-children-types",
"read-config-as-xml",
"read-operation-description",
"read-operation-names",
"read-resource",
"read-resource-description",
"reload",
"remove-namespace",
"remove-schema-location",
"replace-deployment",
"resolve-expression",
"resolve-internet-address",
"server-set-restart-required",
"shutdown",
"take-snapshot",
"undefine-attribute",
"upload-deployment-bytes",
"upload-deployment-stream",
"upload-deployment-url",
"validate-address",
"validate-operation",
"whoami",
"write-attribute"
]
}
利用可能な操作名が表示されます。
3.6.6. 管理 CLI を使用した利用可能なリソースの表示
前提条件
read-resource
操作は、リソース値を読み取るために使用されるグローバル操作です。この操作を使用すると、現在のノードまたは子ノードのリソースに関する基本または詳細情報や、操作結果の範囲を拡大または制限するさまざまな要求プロパティーを表示できます。要求プロパティーには、以下のパラメーターが含まれます。
要求プロパティー
recursive
- 子リソースに関する詳細情報を再帰的に含めるかどうか。
recursive-depth
- 含まれる子リソースの情報の深さ。
proxies
- 再帰的なクエリにリモートリソースを含めるかどうか。たとえば、ドメインコントローラーのクエリにスレーブのホストコントローラーからのホストレベルのリソースを含めること。
include-runtime
- 応答に、永続的な設定ではない属性値などのランタイム属性を含めるかどうか。この要求プロパティーは、デフォルトで false に設定されます。
include-defaults
- デフォルト属性の読み取りを有効または無効にするブール値の要求プロパティー。false に設定された場合は、ユーザーが設定した属性のみが返され、未定義のままの属性は無視されます。
手順3.15 管理 CLI でのコマンドの実行
read-resource
操作の実行管理 CLI で、read-resource
操作を使用して利用可能なリソースを表示します。[standalone@localhost:9999 /]
:read-resource
以下の例は、スタンドアロンサーバーインスタンスでread-resource
操作を使用して一般的なリソース情報を表示する方法を示しています。結果はstandalone.xml
設定ファイルに類似し、サーバーインスタンス向けにインストールまたは設定されたシステムリソース、拡張機能、インターフェース、およびサブシステムを表示します。これらの情報は、さらに直接クエリーできます。例3.11 ルートレベルでの
read-resource
操作の使用[standalone@localhost:9999 /]:read-resource { "outcome" => "success", "result" => { "deployment" => undefined, "deployment-overlay" => undefined, "management-major-version" => 1, "management-micro-version" => 0, "management-minor-version" => 4, "name" => "longgrass", "namespaces" => [], "product-name" => "EAP", "product-version" => "6.3.0.GA", "release-codename" => "Janus", "release-version" => "7.2.0.Final-redhat-3", "schema-locations" => [], "system-property" => undefined, "core-service" => { "management" => undefined, "service-container" => undefined, "server-environment" => undefined, "platform-mbean" => undefined }, "extension" => { "org.jboss.as.clustering.infinispan" => undefined, "org.jboss.as.connector" => undefined, "org.jboss.as.deployment-scanner" => undefined, "org.jboss.as.ee" => undefined, "org.jboss.as.ejb3" => undefined, "org.jboss.as.jaxrs" => undefined, "org.jboss.as.jdr" => undefined, "org.jboss.as.jmx" => undefined, "org.jboss.as.jpa" => undefined, "org.jboss.as.jsf" => undefined, "org.jboss.as.logging" => undefined, "org.jboss.as.mail" => undefined, "org.jboss.as.naming" => undefined, "org.jboss.as.pojo" => undefined, "org.jboss.as.remoting" => undefined, "org.jboss.as.sar" => undefined, "org.jboss.as.security" => undefined, "org.jboss.as.threads" => undefined, "org.jboss.as.transactions" => undefined, "org.jboss.as.web" => undefined, "org.jboss.as.webservices" => undefined, "org.jboss.as.weld" => undefined }, "interface" => { "management" => undefined, "public" => undefined, "unsecure" => undefined }, "path" => { "jboss.server.temp.dir" => undefined, "user.home" => undefined, "jboss.server.base.dir" => undefined, "java.home" => undefined, "user.dir" => undefined, "jboss.server.data.dir" => undefined, "jboss.home.dir" => undefined, "jboss.server.log.dir" => undefined, "jboss.server.config.dir" => undefined, "jboss.controller.temp.dir" => undefined }, "socket-binding-group" => {"standard-sockets" => undefined}, "subsystem" => { "logging" => undefined, "datasources" => undefined, "deployment-scanner" => undefined, "ee" => undefined, "ejb3" => undefined, "infinispan" => undefined, "jaxrs" => undefined, "jca" => undefined, "jdr" => undefined, "jmx" => undefined, "jpa" => undefined, "jsf" => undefined, "mail" => undefined, "naming" => undefined, "pojo" => undefined, "remoting" => undefined, "resource-adapters" => undefined, "sar" => undefined, "security" => undefined, "threads" => undefined, "transactions" => undefined, "web" => undefined, "webservices" => undefined, "weld" => undefined } } }
子ノードに対する
read-resource
操作の実行read-resource
操作は、ルートから子ノードを問い合わせるために実行できます。操作の構造は最初に公開するノードを定義し、ノードに対して実行する操作を追加します。[standalone@localhost:9999 /]
/subsystem=web/connector=http:read-resource
下例では、特定の Web サブシステムノードに対してread-resource
操作を行うと、Web サブシステムコンポーネントに関する特定のリソース情報を公開できます。例3.12 ルートノードからの子ノードリソースの公開
[standalone@localhost:9999 /] /subsystem=web/connector=http:read-resource { "outcome" => "success", "result" => { "configuration" => undefined, "enable-lookups" => false, "enabled" => true, "executor" => undefined, "max-connections" => undefined, "max-post-size" => 2097152, "max-save-post-size" => 4096, "name" => "http", "protocol" => "HTTP/1.1", "proxy-name" => undefined, "proxy-port" => undefined, "redirect-port" => 443, "scheme" => "http", "secure" => false, "socket-binding" => "http", "ssl" => undefined, "virtual-server" => undefined } }
cd
コマンドを使用して子ノードに移動し、read-resource
操作を直接実行しても、同じ結果を得ることができます。例3.13 ディレクトリーの変更による子ノードリソースの公開
[standalone@localhost:9999 /] cd subsystem=web
[standalone@localhost:9999 subsystem=web] cd connector=http
[standalone@localhost:9999 connector=http] :read-resource { "outcome" => "success", "result" => { "configuration" => undefined, "enable-lookups" => false, "enabled" => true, "executor" => undefined, "max-connections" => undefined, "max-post-size" => 2097152, "max-save-post-size" => 4096, "name" => "http", "protocol" => "HTTP/1.1", "proxy-name" => undefined, "proxy-port" => undefined, "redirect-port" => 443, "scheme" => "http", "secure" => false, "socket-binding" => "http", "ssl" => undefined, "virtual-server" => undefined } }
再帰的なパラメーターを使用して結果にアクティブな値を含める
再帰的なパラメーターを使用すると、すべての属性の値 (永続的でない値、起動時に渡された値、ランタイムモデルでアクティブな他の属性など) を公開できます。[standalone@localhost:9999 /]
/interface=public:read-resource(include-runtime=true)
以前の例と比較すると、include-runtime
要求プロパティーを含めることにより、HTTP コネクターによって送受信されたバイトなどの追加のアクティブな属性が公開されます。例3.14
include-runtime
パラメーターを使用して追加でアクティブな値を公開[standalone@localhost:9999 /] /subsystem=web/connector=http:read-resource(include-runtime=true) { "outcome" => "success", "result" => { "any" => undefined, "any-address" => undefined, "any-ipv4-address" => undefined, "any-ipv6-address" => undefined, "inet-address" => expression "${jboss.bind.address:127.0.0.1}", "link-local-address" => undefined, "loopback" => undefined, "loopback-address" => undefined, "multicast" => undefined, "name" => "public", "nic" => undefined, "nic-match" => undefined, "not" => undefined, "point-to-point" => undefined, "public-address" => undefined, "resolved-address" => "127.0.0.1", "site-local-address" => undefined, "subnet-match" => undefined, "up" => undefined, "virtual" => undefined } }
3.6.7. 管理 CLI を使用した利用可能なリソース説明の表示
前提条件
手順3.16 管理 CLI でのコマンドの実行
read-resource-description
の実行管理 CLI よりread-resource-description
操作を使用して利用可能なリソースを読み取りおよび表示します。操作要求の詳細については、「管理 CLI での操作およびコマンドの使用」 を参照してください。[standalone@localhost:9999 /]
:read-resource-description
オプションパラメーターの使用
read-resource-description
操作では、追加パラメーターを使用できます。- リソースの操作の説明を表示するには、
operations
パラメーターを使用します。[standalone@localhost:9999 /]
:read-resource-description(operations=true)
- リソースの継承された操作の説明を表示または非表示にするには、
inherited
パラメーターを使用します。デフォルトの状態は true です。[standalone@localhost:9999 /]
:read-resource-description(inherited=false)
- 子リソースの操作の再帰的な説明を表示するには、
recursive
パラメーターを使用します。[standalone@localhost:9999 /]
:read-resource-description(recursive=true)
- リソースの説明を表示するには、
locale
パラメーターを使用します。null の場合は、デフォルトのロケールが使用されます。[standalone@localhost:9999 /]
:read-resource-description(locale=true)
利用可能なリソースの説明が表示されます。
3.6.8. 管理 CLI を使用したアプリケーションサーバーのリロード
前提条件
reload
操作を使用して、すべてのサービスをシャットダウンし、ランタイムを再起動します。reload
の完了後、管理 CLI は自動的に再接続します。
例3.15 アプリケーションのリロード
[standalone@localhost:9999 /]:reload
{"outcome" => "success"}
3.6.9. 管理 CLI を使用したアプリケーションサーバーのシャットダウン
前提条件
手順3.17 アプリケーションサーバーのシャットダウン
shutdown
操作の実行- 管理 CLI で、
shutdown
操作を使用しSystem.exit(0)
システムコールを介してサーバーをシャットダウンします。操作要求の詳細については、「管理 CLI での操作およびコマンドの使用」 を参照してください。- スタンドアロンモードでは、次のコマンドを使用します。
[standalone@localhost:9999 /]
:shutdown
- ドメインモードでは、適切なホスト名を指定して次のコマンドを使用します。
[domain@localhost:9999 /]
/host=master:shutdown
- デタッチした CLI インスタンスへ接続し、サーバーをシャットダウンするには、次のコマンドを実行します。
jboss-cli.sh --connect command=:shutdown
- リモート CLI インスタンスへ接続し、サーバーをシャットダウンするには、次のコマンドを実行します。
[disconnected /] connect IP_ADDRESS Connected to IP_ADDRESS:PORT_NUMBER [192.168.1.10:9999 /] :shutdown
IP_ADDRESS をインスタンスの IP アドレスに置き換えます。
アプリケーションサーバーがシャットダウンされます。ランタイムが利用できない場合に、管理 CLI が切断されます。
3.6.10. 管理 CLI での属性の設定
前提条件
write-attribute
操作は、選択されたリソース属性を記述または変更するために使用するグローバル操作です。この操作を使用して永続的な変更を行い、管理対象サーバーインスタンスの設定を変更できます。要求プロパティーには以下のパラメーターが含まれます。
要求プロパティー
name
- 選択されたリソース下で値を設定する属性の名前。
value
- 選択されたリソース下の属性の必要な値。基礎となるモデルが null 値をサポートする場合は、null になることがあります。
手順3.18 管理 CLI でのリソース属性の設定
write-attribute
操作の実行管理 CLI で、write-attribute
操作を使用してリソース属性の値を変更します。操作は、完全リソースパスが指定されたリソースの子ノードまたは管理 CLI のルートノードで実行できます。
例3.16 write-attribute
操作によるデプロイメントスキャナーの無効化
write-attribute
操作を使用してデプロイメントスキャナーを無効にします。操作は、ルートノードから実行されます (タブ補完を使用して正しいリソースパスを入力します)。
[standalone@localhost:9999 /] /subsystem=deployment-scanner/scanner=default:write-attribute(name=scan-enabled,value=false) {"outcome" => "success"}
read-attribute
操作を直接使用して確認できます。
[standalone@localhost:9999 /] /subsystem=deployment-scanner/scanner=default:read-attribute(name=scan-enabled) { "outcome" => "success", "result" => false }
read-resource
操作を使用し、すべてのノードの利用可能なリソース属性をリストして結果を確認することもできます。以下の例では、scan-enabled
属性が false
に設定されていることが分かります。
[standalone@localhost:9999 /] /subsystem=deployment-scanner/scanner=default:read-resource { "outcome" => "success", "result" => { "auto-deploy-exploded" => false, "auto-deploy-xml" => true, "auto-deploy-zipped" => true, "deployment-timeout" => 600, "path" => "deployments", "relative-to" => "jboss.server.base.dir", "scan-enabled" => false, "scan-interval" => 5000 } }
リソース属性が更新されます。
3.6.11. 管理 CLI を使用したシステムプロパティーの設定
手順3.19 管理 CLI を使用したシステムプロパティーの設定
- JBoss EAP サーバーを起動します。
- ご使用のオペレーティングシステム向けのコマンドを使用して、管理 CLI を起動します。Linux の場合:
Windows の場合:EAP_HOME/bin/jboss-cli.sh --connect
EAP_HOME\bin\jboss-cli.bat --connect
- システムプロパティーを追加します。使用するコマンドは、スタンドアロンサーバーと管理対象ドメインのどちらを実行しているかによって異なります。管理対象ドメインを実行している場合、ドメインで稼働しているすべてのサーバーへシステムプロパティーを追加できます。
- 以下の構文を使用して、スタンドアロンサーバーでシステムプロパティーを追加します。
/system-property=PROPERTY_NAME:add(value=PROPERTY_VALUE)
例3.17 システムプロパティーをスタンドアロンサーバーへ追加
[standalone@localhost:9999 /] /system-property=property.mybean.queue:add(value=java:/queue/MyBeanQueue) {"outcome" => "success"}
- 以下の構文を使用して、管理対象ドメインのすべてのホストおよびサーバーへシステムプロパティーを追加します。
/system-property=PROPERTY_NAME:add(value=PROPERTY_VALUE)
例3.18 管理対象ドメインのすべてのサーバーへシステムプロパティーを追加
[domain@localhost:9999 /] /system-property=property.mybean.queue:add(value=java:/queue/MyBeanQueue) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} }
- 以下の構文を使用して、管理対象ドメインのホストおよびそのサーバーインスタンスへシステムプロパティーを追加します。
/host=master/system-property=PROPERTY_NAME:add(value=PROPERTY_VALUE)
例3.19 システムプロパティーをドメインのホストおよびそのサーバーへ追加
[domain@localhost:9999 /] /host=master/system-property=property.mybean.queue:add(value=java:/queue/MyBeanQueue) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} }
- 以下の構文を使用して、管理対象ドメインのサーバーインスタンスにシステムプロパティーを追加します。
/host=master/server-config=server-one/system-property=PROPERTY_NAME:add(value=PROPERTY_VALUE)
例3.20 システムプロパティーを管理対象ドメインのサーバーインスタンスへ追加
[domain@localhost:9999 /] /host=master/server-config=server-one/system-property=property.mybean.queue:add(value=java:/queue/MyBeanQueue) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => {"server-one" => {"response" => {"outcome" => "success"}}}}}} }
- システムプロパティーを読み取ります。使用するコマンドは、スタンドアロンサーバーと管理対象ドメインのどちらを実行しているかによって異なります。
- 以下の構文を使用して、スタンドアロンサーバーからシステムプロパティーを読み取ります。
/system-property=PROPERTY_NAME:read-resource
例3.21 スタンドアロンサーバーからシステムプロパティーの読み取り
[standalone@localhost:9999 /] /system-property=property.mybean.queue:read-resource { "outcome" => "success", "result" => {"value" => "java:/queue/MyBeanQueue"} }
- 以下の構文を使用して、管理対象ドメインのすべてのホストおよびサーバーからシステムプロパティーを読み取ります。
/system-property=PROPERTY_NAME:read-resource
例3.22 管理対象ドメインのすべてのサーバーからシステムプロパティーを読み取り
[domain@localhost:9999 /] /system-property=property.mybean.queue:read-resource { "outcome" => "success", "result" => { "boot-time" => true, "value" => "java:/queue/MyBeanQueue" } }
- 以下の構文を使用して、管理対象ドメインのホストおよびそのサーバーインスタンスからシステムプロパティーを読み取ります。
/host=master/system-property=PROPERTY_NAME:read-resource
例3.23 ドメインのホストおよびそのサーバーからシステムプロパティーを読み取り
[domain@localhost:9999 /] /host=master/system-property=property.mybean.queue:read-resource { "outcome" => "success", "result" => { "boot-time" => true, "value" => "java:/queue/MyBeanQueue" } }
- 以下の構文を使用して、管理対象ドメインのサーバーインスタンスからシステムプロパティーを読み取ります。
/host=master/server-config=server-one/system-property=PROPERTY_NAME:read-resource
例3.24 管理対象ドメインのサーバーインスタンスからシステムプロパティーを読み取り
[domain@localhost:9999 /] /host=master/server-config=server-one/system-property=property.mybean.queue:read-resource { "outcome" => "success", "result" => { "boot-time" => true, "value" => "java:/queue/MyBeanQueue" } }
- システムプロパティーを削除します。使用するコマンドは、スタンドアロンサーバーと管理対象ドメインのどちらを実行しているかによって異なります。
- 以下の構文を使用して、スタンドアロンサーバーからシステムプロパティーを削除します。
/system-property=PROPERTY_NAME:remove
例3.25 スタンドアロンサーバーからシステムプロパティーを削除
[standalone@localhost:9999 /] /system-property=property.mybean.queue:remove {"outcome" => "success"}
- 以下の構文を使用して、管理対象ドメインのすべてのホストおよびサーバーからシステムプロパティーを削除します。
/system-property=PROPERTY_NAME:remove
例3.26 ドメインのホストおよびそのサーバーからシステムプロパティーを削除
[domain@localhost:9999 /] /system-property=property.mybean.queue:remove { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} }
- 以下の構文を使用して、管理対象ドメインのホストおよびそのサーバーインスタンスからシステムプロパティーを削除します。
/host=master/system-property=PROPERTY_NAME:remove
例3.27 ドメインのホストおよびそのインスタンスからシステムプロパティーを削除
[domain@localhost:9999 /] /host=master/system-property=property.mybean.queue:remove { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} }
- 以下の構文を使用して、管理対象ドメインのサーバーインスタンスからシステムプロパティーを削除します。
/host=master/server-config=server-one/system-property=PROPERTY_NAME:remove
例3.28 管理対象ドメインのサーバーからシステムプロパティーを削除
[domain@localhost:9999 /] /host=master/server-config=server-one/system-property=property.mybean.queue:remove { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => {"server-one" => {"response" => {"outcome" => "success"}}}}}} }
3.7. 管理 CLI コマンド履歴
3.7.1. 管理 CLI コマンド履歴の利用
.jboss-cli-history
として自動的に保存されるログファイルに追加されます。この履歴ファイルはデフォルトで、CLI コマンドを最大 500 件記録できるように設定されます。
history
コマンド自体は、現在のセッションの履歴を返しますが、引数を追加すると、セッションメモリーの履歴を無効化、有効化、または消去できます。管理 CLI では、キーボードの矢印キーを使用してコマンドや操作の履歴を前後に移動できます。
3.7.2. 管理 CLI コマンド履歴の表示
前提条件
手順3.20 管理 CLI コマンド履歴の表示
history
コマンドの実行管理 CLI で、history
コマンドを入力します。[standalone@localhost:9999 /]
history
CLI の起動後または履歴削除コマンドの実行後にメモリーに格納された CLI コマンドの履歴が表示されます。
3.7.3. 管理 CLI コマンド履歴の消去
前提条件
手順3.21 管理 CLI コマンド履歴の消去
history --clear
コマンドの実行管理 CLI で、history --clear
コマンドを入力します。[standalone@localhost:9999 /]
history --clear
CLI の起動後に記録されたコマンドの履歴がセッションメモリーから削除されます。コマンド履歴は、ユーザーのホームディレクトリーに保存された .jboss-cli-history
ファイルに保持されます。
3.7.4. 管理 CLI コマンド履歴の無効化
前提条件
手順3.22 管理 CLI コマンド履歴の無効化
history --disable
コマンドの実行管理 CLI で、history --disable
コマンドを入力します。[standalone@localhost:9999 /]
history --disable
CLI で実行されたコマンドは、メモリー内およびユーザーのホームディレクトリーに保存された .jboss-cli-history
ファイルには記録されません。
3.7.5. 管理 CLI コマンド履歴の有効化
前提条件
手順3.23 管理 CLI コマンド履歴の有効化
history --enable
コマンドの実行管理 CLI で、history --enable
コマンドを入力します。[standalone@localhost:9999 /]
history --enable
CLI で実行されたコマンドは、メモリー内およびユーザーのホームディレクトリーに保存された .jboss-cli-history
ファイルに記録されます。
3.8. 管理インターフェース監査ロギング
3.8.1. 管理インターフェース監査ロギング
注記
3.8.2. 管理 CLI からの管理インターフェース監査ロギングの有効化
file
という名前のファイルハンドラーを使用して EAP_HOME/standalone/data/audit-log.log
ファイルにログレコードを出力するよう事前設定されています。
/core-service=management/access=audit/logger=audit-log:write-attribute(name=enabled,value=true)
/core-service=management/access=audit:read-resource(recursive=true)
logger
設定属性を使用することもできます。
- log-boot
true
に設定された場合、サーバーを起動するときの管理操作が監査ログに含まれます。false
の場合は含まれません。デフォルト値はfalse
です。- log-read-only
true
に設定された場合、すべての操作が監査ログに記録されます。false
の場合は、モデルを変更する操作のみが記録されます。デフォルト値はfalse
です。
3.8.3. 管理インターフェースの監査ロギングフォーマッター
表3.5 JSON フォーマッター属性
属性 | 説明 |
---|---|
include-date | フォーマットされたログレコードにタイムスタンプが含まれるかどうかを定義するブール値。 |
date-separator | 日付と日付以外のフォーマットされたログメッセージを区別する文字が含まれる文字列。include-date =false の場合は無視されます。 |
date-format | java.text.SimpleDateFormat が理解するように、タイムスタンプに使用するデータ形式。include-date =false の場合は無視されます。 |
compact | true の場合、JSON を 1 行でフォーマットします。新しい行が含まれる値が存在する可能性があるため、レコード全体を 1 行にするのが重要な場合は、escape-new-line または escape-control-characters を true に設定します。 |
escape-control-characters | true の場合、すべての制御文字 (10 進値が 32 未満の ASCII エントリー) を 8 進の ASCII コードでエスケープします。たとえば、新しい行は「#012」になります。true の場合、escape-new-line =false を上書きします。 |
escape-new-line | true の場合、新しい行を 8 進の ASCII コードでエスケープします (例: #012 )。 |
表3.6 JSON フォーマッターフィールド
フィールド名 | 説明 |
---|---|
type | 管理操作であることを示す core 、または JMX サブシステムからであることを示す jmx を値として指定できます (JMX サブシステムの監査ロギングの設定については JMX サブシステムを参照してください)。 |
r/o | 操作によって管理モデルが変更されない場合は、値が true になります。変更される場合は false になります。 |
booting | 起動プロセス中に操作が実行された場合は、値が true になります。サーバーの起動後に操作が実行された場合は false になります。 |
version | JBoss EAP インスタンスのバージョン番号。 |
user | 認証されたユーザーのユーザー名。稼働しているサーバーと同じマシンの管理 CLI から操作が実行された場合は、特別な $local ユーザーが使用されます。 |
domainUUID | ドメインコントローラーからサーバー、スレーブホストコントローラー、およびスレーブホストコントローラーサーバーへ伝播されるすべての操作をリンクする ID。 |
access | 以下のいずれかの値を使用できます。
|
remote-address | この操作を実行するクライアントのアドレス。 |
success | 操作に成功した場合の値は true になります。ロールバックされた場合は false になります。 |
ops | 実行される操作。JSON へシリアライズ化された操作のリストになります。起動時は、XML の解析で生じたすべての操作がリストされます。起動後は、通常 1 つのエントリーがリストされます。 |
3.8.4. 管理インターフェースの監査ロギングファイルハンドラー
表3.7 ファイルハンドラー監査ログ属性
属性 | 説明 | 読み取り専用 |
---|---|---|
formatter | ログレコードをフォーマットするために使用する JSON フォーマッターの名前。 | False |
path | 監査ログファイルのパス。 | False |
relative-to | 以前指定された別のパスの名前、またはシステムによって提供される標準的なパスの 1 つ。relative-to が指定された場合、パス属性の値は、この属性によって指定されたパスへの相対値としてみなされます。 | False |
failure-count | ハンドラーが初期化された後に発生したロギング失敗数。 | True |
max-failure-count | このハンドラーを無効化する前の最大ロギング失敗数。 | False |
disabled-due-to-failure | ロギングの失敗によりこのハンドラーが無効になった場合の値は true になります。 | True |
3.8.5. 管理インターフェイスの監査ロギング syslog ハンドラー
表3.8 syslog ハンドラーの属性
属性 | 説明 | デフォルト値 |
---|---|---|
app-name | RFC-5424 のセクション 6.2.5 で定義された syslog レコードに追加するアプリケーション名。指定されない場合、デフォルト値は製品の名前になります。 | undefined |
disabled-due-to-failure | ロギングの失敗によりこのハンドラーが無効になった場合の値は true になります。 | false |
facility | RFC-5424 のセクション 6.2.1 と RFC-3164 のセクション 4.1.1 で定義された syslog ロギングに使用する機能。 | USER_LEVEL |
failure-count | ハンドラーが初期化された後に発生したロギング失敗数。 | 0 (ゼロ) |
formatter | ログレコードのフォーマットに使用するフォーマッターの名前。 | null |
host | syslog サーバーのホスト名。 | localhost |
max-failure-count | このハンドラーを無効化する前の最大ロギング失敗数。 | 10 |
max-length | ヘッダーを含む、ログメッセージの最大長 (バイト単位)。未定義の場合、デフォルト値は 1024 バイト (syslog-format が RFC3164 の場合) または 2048 バイト (syslog-format が RFC5424 の場合) になります。 | undefined |
port | syslog サーバーがリッスンしているポート。 | 514 |
protocol | syslog ハンドラーに使用するプロトコル。udp 、tcp 、または tls のいずれか 1 つである必要があります。 | null |
syslog-format | syslog 形式: RFC-5424 または RFC-3164. | RFC5424 |
truncate | ヘッダーを含むメッセージの長さ (バイト長) が最大長を越える場合に、そのメッセージが省略されるかどうか。false に設定すると、メッセージが分割され、同じヘッダー値で送信されます。 | false |
3.8.6. syslog サーバーへの管理インターフェース監査ロギングの有効化
注記
/host=HOST_NAME
接頭辞を /core-service
コマンドへ追加します。
手順3.24 syslog サーバーへのロギングの有効化
msyslog
という名前の syslog ハンドラーを作成します。[standalone@localhost:9999 /]batch [standalone@localhost:9999 /]/core-service=management/access=audit/syslog-handler=mysyslog:add(formatter=json-formatter) [standalone@localhost:9999 /]/core-service=management/access=audit/syslog-handler=mysyslog/protocol=udp:add(host=localhost,port=514) [standalone@localhost:9999 /]run-batch
syslog ハンドラーへの参照を追加します。
[standalone@localhost:9999 /]/core-service=management/access=audit/logger=audit-log/handler=mysyslog:add
管理インターフェースの監査ログエントリーが syslog サーバーに記録されます。
第4章 ユーザー管理
4.1. ユーザー作成
4.1.1. 管理インターフェースのユーザーの追加
最初に利用できるユーザーアカウントがないため、Boss EAP 6 の管理インスタンスは、デフォルトでセキュアになります (グラフィカルインストーラーを使用してプラットフォームがインストールされてない場合)。これは、単純な設定エラーが原因でセキュリティーが侵されることを防ぐための対策です。
手順4.1 リモート管理インターフェース用の最初の管理ユーザーを作成
add-user.sh
またはadd-user.bat
スクリプトを実行します。EAP_HOME/bin/
ディレクトリーへ移動します。ご使用のオペレーティングシステムに対応するスクリプトを呼び出します。- Red Hat Enterprise Linux
[user@host bin]$
./add-user.sh- Microsoft Windows Server
C:\bin>
add-user.bat
管理ユーザーの追加を選択します。
ENTER を押して、デフォルトのオプションa
を選択して管理ユーザーを追加します。このユーザーはManagementRealm
に追加され、Web ベース管理コンソールまたはコマンドラインベース管理 CLI を使用して監理操作を実行することを許可されます。他のオプションb
を選択すると、ユーザーがApplicationRealm
に追加され、特定のパーミッションは提供されません。このレルムはアプリケーションで使用するために提供されます。ユーザー名とパスワードを入力します。
ユーザー名とパスワードの入力を要求されたら入力します。入力後、パスワードを確認するよう指示されます。グループ情報を入力します。
ユーザーが属するグループを追加します。ユーザーが複数のグループに属する場合は、カンマ区切りリストを入力します。ユーザーがどのグループにも属さない場合は空白のままにします。情報を確認します。
情報を確認するよう指示されます。情報が正しければyes
を入力します。ユーザーがリモート JBoss EAP 6 サーバーインスタンスを表すかどうかを選択します。
管理者以外にも、場合によっては JBoss EAP 6 の別のインスタンスを表すユーザーをManagementRealm
で JBoss EAP 6 に追加する必要があることがあります。このユーザーは、メンバーとしてクラスターに参加することを認証できる必要があります。次のプロンプトでは、この目的のために追加されたユーザーを指定できます。yes
を選択した場合は、ユーザーのパスワードを表すハッシュされたsecret
値が提供されます。これは他の設定ファイルに追加する必要があります。このタスクでは、no
を選択してください。追加ユーザーを入力します。
必要な場合は、この手順を繰り返すと追加のユーザーを入力できます。また、稼働中のシステムにいつでもユーザーを追加することが可能です。デフォルトのセキュリティーレルムを選択する代わりに他のレルムにユーザーを追加すると、承認を細かく調整できます。非対話的にユーザーを作成します。
コマンドラインで各パラメーターを渡すと非対話的にユーザーを作成できます。ログや履歴ファイルにパスワードが表示されるため、この方法は共有システムでは推奨されません。管理レルムを使用した、コマンドの構文は次のとおりです。[user@host bin]$
./add-user.sh username passwordアプリケーションレルムを使用するには、-a
パラメーターを使用します。[user@host bin]$
./add-user.sh -a username password--silent
パラメーターを渡すと add-user スクリプトの通常の出力を無効にできます。これは、username
およびpassword
パラメーターが指定されている場合のみ適用されます。エラーメッセージは表示されます。
追加したすべてのユーザーは、指定したセキュリティーレルム内でアクティベートされます。ManagementRealm
レルム内でアクティブなユーザーは、リモートシステムから JBoss EAP 6 を管理できます。
関連トピック:
4.1.2. ユーザー管理の add-user スクリプトへ引数を渡す
add-user.sh
または add-user.bat
コマンドを対話的に実行できますが、コマンドラインで引数を渡すこともできます。ここでは、コマンドライン引数を add-user スクリプトへ渡すときに使用可能なオプションについて説明します。
4.1.3. add-user コマンド引数
add-user.sh
または add-user.bat
コマンドで使用できる引数を表しています。
表4.1 add-user コマンド引数
コマンドライン引数 | 引数の値 | 説明 |
---|---|---|
-a
|
該当なし
|
この引数は、アプリケーションレルムでユーザーを作成するよう指定します。省略した場合、デフォルトでは管理レルムでユーザーが作成されます。
|
-dc
|
DOMAIN_CONFIGURATION_DIRECTORY
|
この引数は、プロパティーファイルが含まれるドメイン設定ディレクトリーを指定します。省略した場合、デフォルトのディレクトリーは
EAP_HOME/domain/configuration/ になります。
|
-sc
|
SERVER_CONFIGURATION_DIRECTORY
|
この引数は、プロパティーファイルが含まれる代替のスタンドアロンサーバー設定ディレクトリーを指定します。省略した場合、デフォルトのディレクトリーは
EAP_HOME/standalone/configuration/ になります。
|
-up
--user-properties
|
USER_PROPERTIES_FILE
|
この引数は、代替のユーザープロパティーファイルの名前を指定します。絶対パスを使用でき、代替の設定ディレクトリーを指定する
-sc または -dc 引数と共に使用されるファイル名を使用することもできます。
|
-g
--group
|
GROUP_LIST
|
このユーザーに割り当てるグループのコンマ区切りリスト。
|
-gp
--group-properties
|
GROUP_PROPERTIES_FILE
|
この引数は、代替のグループプロパティーファイルの名前を指定します。絶対パスを使用でき、代替の設定ディレクトリーを指定する
-sc または -dc 引数と共に使用されるファイル名を使用することもできます。
|
-p
--password
|
PASSWORD
|
ユーザーのパスワード。パスワードは次の要件を満たしている必要があります。
|
-u
--user
|
USER_NAME
|
ユーザーの名前。英数字と ,./=@\ の記号のみが有効です。
|
-r
--realm
|
REALM_NAME
|
管理インターフェースをセキュアにするために使用されるレルムの名前。省略した場合、デフォルト値は
ManagementRealm です。
|
-s
--silent
|
該当なし
|
コンソールへ出力せずに add-user スクリプトを実行します。
|
-h
--help
|
該当なし
|
add-user スクリプトの使用情報を表示します。
|
4.1.4. ユーザー管理情報の代替プロパティーファイルの指定
デフォルトでは、add-user.sh
または add-user.bat
スクリプトを使用して作成されたユーザーおよびロール情報は、サーバー設定ディレクトリーにあるプロパティーファイルに保存されます。サーバー設定情報は EAP_HOME/standalone/configuration/
ディレクトリーに保存され、ドメイン設定情報は EAP_HOME/domain/configuration/
ディレクトリーに保存されます。ここでは、デフォルトのファイル名および場所を上書きする方法について説明します。
手順4.2 代替プロパティーファイルの指定
- サーバー設定の代替のディレクトリーを指定するには、
-sc
引数を使用します。この引数は、サーバー設定プロパティーファイルが含まれる代替のディレクトリーを指定します。 - ドメイン設定の代替のディレクトリーを指定するには、
-dc
引数を使用します。この引数は、ドメイン設定プロパティーファイルが含まれる代替のディレクトリーを指定します。 - 代替のユーザー設定プロパティーファイルを指定するには、
-up
または--user-properties
引数を使用します。絶対パスを使用でき、代替の設定ディレクトリーを指定する-sc
または-dc
引数と共に使用されるファイル名を使用することもできます。 - 代替のグループ設定プロパティーファイルを指定するには、
-gp
または--group-properties
引数を使用します。絶対パスを使用でき、代替の設定ディレクトリーを指定する-sc
または-dc
引数と共に使用されるファイル名を使用することもできます。
注記
add-user
コマンドは、既存のプロパティーファイルでの操作を目的とするコマンドです。コマンドライン引数に指定された代替のプロパティーファイルが存在しない場合は、次のエラーが表示されます。
JBAS015234: No appusers.properties files found
4.1.5. add-user スクリプトのコマンドラインの例
add-user.sh
または add-user.bat
コマンドで引数を渡す方法を表しています。記載があるもの以外は、これらのコマンドはスタンドアローンサーバーの設定を前提としています。
例4.1 デフォルトのプロパティーファイルを使用した単一のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest'
- ユーザー
appuser1
が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-users.properties
EAP_HOME/domain/configuration/application-users.properties
guest
グループのユーザーappuser1
が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-roles.properties
EAP_HOME/domain/configuration/application-roles.properties
例4.2 デフォルトのプロパティーファイルを使用した複数のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u 'appuser1' -p 'password1!' -g 'guest,app1group,app2group'
- ユーザー
appuser1
が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-users.properties
EAP_HOME/domain/configuration/application-users.properties
guest
、app1group
、およびapp2group
グループに属するユーザーappuser1
が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/application-roles.properties
EAP_HOME/domain/configuration/application-roles.properties
例4.3 デフォルトのプロパティーファイルを使用したデフォルトレルムの管理特権を持つユーザーの作成
EAP_HOME/bin/add-user.sh -u 'adminuser1' -p 'password1!' -g 'admin'
- ユーザー
adminuser1
が、ユーザー情報が保存される以下のデフォルトプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/mgmt-users.properties
EAP_HOME/domain/configuration/mgmt-users.properties
admin
グループのユーザーadminuser1
が、グループ情報が保存されるデフォルトのプロパティーファイルに追加されます。EAP_HOME/standalone/configuration/mgmt-groups.properties
EAP_HOME/domain/configuration/mgmt-groups.properties
例4.4 情報を保存する代替プロパティーファイルを使用した単一のグループに属するユーザーの作成
EAP_HOME/bin/add-user.sh -a -u appuser1 -p password1! -g app1group -sc /home/someusername/userconfigs/ -up appusers.properties -gp appgroups.properties
- ユーザー
appuser1
が、以下のプロパティーファイルに追加され、このファイルがユーザー情報を保存するデフォルトファイルになります。/home/someusername/userconfigs/appusers.properties
app1group
グループのユーザーappuser1
が、以下のプロパティーファイルに追加され、このファイルがグループ情報を保存するデフォルトファイルになります。/home/someusername/userconfigs/appgroups.properties
第5章 ネットワークおよびポート設定
5.1. インターフェース
5.1.1. インターフェース
domain.xml
、host.xml
、および standalone.xml
設定ファイルには、インターフェース宣言が含まれます。宣言基準はワイルドカードアドレスを参照したり、有効な一致となるためにインターフェースまたはアドレスで必要となる 1 つ以上の特徴を指定したりできます。次の例は、通常は standalone.xml
設定ファイルまたは host.xml
設定ファイルで定義される、インターフェース宣言の複数の設定を示しています。これにより、リモートホストグループが独自の固有インターフェース属性を維持できるようになる一方で、ドメインコントローラーの domain.xml
設定ファイルのインターフェースグループを引き続き参照できます。
management
相対名グループと public
相対名グループに対して指定された固有の inet-address
値を示します。
例5.1 inet-address 値で作成されたインターフェースグループ
<interfaces> <interface name="management"> <inet-address value="127.0.0.1"/> </interface> <interface name="public"> <inet-address value="127.0.0.1"/> </interface> </interfaces>
any-address
要素を使用してワイルドカードアドレスを宣言します。
例5.2 ワイルドカード宣言で作成されたグローバルグループ
<interface name="global"> <!-- Use the wild-card address --> <any-address/> </interface>
external
で宣言します。
例5.3 NIC 値で作成された外部グループ
<interface name="external"> <nic name="eth0"/> </interface>
例5.4 特定の条件値で作成されたデフォルトグループ
<interface name="default"> <!-- Match any interface/address on the right subnet if it's up, supports multicast, and isn't point-to-point --> <subnet-match value="192.168.0.0/16"/> <up/> <multicast/> <not> <point-to-point/> </not> </interface>
5.1.2. インターフェースの設定
standalone.xml
設定ファイルと host.xml
設定ファイルのデフォルトインターフェース設定は、それぞれの相対インターフェーストークンを持つ 3 つの名前付きインターフェースを提供します。管理コンソールまたは管理 CLI を使用して、下表にある追加の属性と値を設定します。また、必要に応じて、相対インターフェースバインディングを特定の値に置き換えることもできますが、-b
スイッチは相対値のみを上書きできるため、サーバーの実行時にインターフェース値を渡すことはできません。
例5.5 デフォルトインターフェース設定
<interfaces> <interface name="management"> <inet-address value="${jboss.bind.address.management:127.0.0.1}"/> </interface> <interface name="public"> <inet-address value="${jboss.bind.address:127.0.0.1}"/> </interface> <interface name="unsecure"> <inet-address value="${jboss.bind.address.unsecure:127.0.0.1}"/> </interface> </interfaces>
表5.1 インターフェース属性と値
インターフェース要素 | 説明 |
---|---|
any | 選択基準を制約するために使用されるアドレス除外タイプの空の要素。 |
any-address | このインターフェースを使用するソケットをワイルドカードアドレスにバインドする必要があることを示す空の要素。java.net.preferIpV4Stack システムプロパティーが true に設定されていない限り、IPv6 ワイルドカードアドレス (::) が使用されます。true に設定された場合は、IPv4 ワイルドカードアドレス (0.0.0.0) が使用されます。ソケットがデュアルスタックマシンの IPv6 anylocal アドレスにバインドされた場合は、IPv6 および IPv4 トラフィックを受け取ることができます。IPv4 (IPv4 マッピング) anylocal アドレスにバインドされた場合は、IPv4 トラフィックのみを受け取ることができます。 |
any-ipv4-address | このインターフェースを使用するソケットを IPv4 ワイルドカードアドレス (0.0.0.0) にバインドする必要があることを示す空の要素。 |
any-ipv6-address | このインターフェースを使用するソケットを IPv6 ワイルドカードアドレス (::) にバインドする必要があることを示す空の要素。 |
inet-address | IPv6 または IPv4 のドット区切り表記の IP アドレス、または IP アドレスに解決できるホスト名。 |
link-local-address | インターフェースの選択基準の一部として、関連付けられたアドレスがリンクローカルであるかどうかを示す空の要素。 |
loopback | インターフェースの選択基準の一部として、ループバックインターフェースであるかどうかを示す空の要素。 |
loopback-address | マシンのループバックインターフェースで実際には設定できないループバックアドレス。IP アドレスが関連付けられた NIC が見つからない場合であっても該当する値が使用されるため、inet-addressType とは異なります。 |
multicast | インターフェースの選択基準の一部として、マルチキャストをサポートするかどうかを示す空の要素。 |
nic | ネットワークインターフェースの名前 (eth0、eth1、lo など)。 |
nic-match | 使用できるインターフェースを見つけるために、マシンで利用可能なネットワークインターフェースの名前を検索する正規表現。 |
not | 選択基準を制約するために使用されるアドレス除外タイプの空の要素。 |
point-to-point | インターフェースの選択基準の一部として、ポイントツーポイントインターフェースであるかどうかを示す空の要素。 |
public-address | インターフェースの選択基準の一部として、公開されたルーティング可能なアドレスを持つかどうかを示す空の要素。 |
site-local-address | インターフェースの選択基準の一部として、関連付けられたアドレスがサイトローカルであるかどうかを示す空の要素。 |
subnet-match | 「スラッシュ表記法」で記述されたネットワーク IP アドレスとアドレスのネットワーク接頭辞のビット数 (たとえば、192.168.0.0/16)。 |
up | インターフェースの選択基準の一部として、現在稼動しているかどうかを示す空の要素。 |
virtual | インターフェースの選択基準の一部として、仮想インターフェースであるかどうかを示す空の要素。 |
インターフェース属性の設定
タブ補完を使用して、入力しながらコマンド文字列を補完したり、利用可能な属性を表示したりできます。管理 CLI でのインターフェース属性の設定
管理 CLI を使用して、新しいインターフェースを追加し、インターフェース属性に新しい値を書き込みます。新しいインターフェースの追加
add
操作は必要に応じて新しいインターフェースを作成します。add
コマンドは、管理 CLI セッションのルートから実行されます。次の例では、inet-address
が 12.0.0.2 と宣言された、新しいインターフェース interfacename が作成されます。/interface=interfacename/:add(inet-address=12.0.0.2)
インターフェース属性の編集
write-attribute
操作は、新しい値を属性に書き込みます。以下の例では、inet-address
の値を 12.0.0.8 に更新します。/interface=interfacename/:write-attribute(name=inet-address, value=12.0.0.8)
インターフェース属性の検証
属性の値が変更されたことを確認するため、include-runtime=true
パラメーターを使用してread-resource
操作を実行し、サーバーモデルで有効な現在の値をすべて表示します。例は次のとおりです。[standalone@localhost:9999 interface=public]
:read-resource(include-runtime=true)
管理コンソールでのインターフェース属性の設定
管理コンソールへのログイン
管理対象ドメインまたはスタンドアロンサーバーインスタンスの管理コンソールにログインします。インターフェース画面への移動
Configuration タブへ移動します。
画面の上部から Configuration タブを選択します。ドメインモードのみ
画面の左上にある Profile ドロップダウンメニューからプロファイルを選択します。
ナビゲーションメニューからの Interfaces の選択
General Configuration メニューを展開します。ナビゲーションメニューから Interfaces メニューを選択します。新しいインターフェースの追加
- 追加 をクリックします。
- Name、Inet Address、および Address Wildcard に必要な値を入力します。
- Save をクリックします。
インターフェース属性の編集
- Available Interfaces リストから編集する必要があるインターフェースを選択し、Edit ボタンをクリックします。
- Name、Inet Address、および Address Wildcard に必要な値を入力します。
- Save をクリックします。
5.2. ソケットバインディンググループ
5.2.1. ソケットバインディンググループ
domain.xml
設定ファイルと standalone.xml
設定ファイルの両方にあります。設定の他のセクションは、論理名でこれらのソケットを参照できます。ソケット設定の完全な詳細を含める必要はありません。これにより、マシンによって異なる場合がある相対ソケットを参照できます。
例5.6 スタンドアロン設定のデフォルトソケットバインディング
standalone.xml
設定ファイルのデフォルトソケットバインディンググループは、standard-sockets
下でグループ化されます。このグループは、同じ論理参照方法を使用して public
インターフェースでも参照されます。
<socket-binding-group name="standard-sockets" default-interface="public"> <socket-binding name="http" port="8080"/> <socket-binding name="https" port="8443"/> <socket-binding name="jacorb" port="3528"/> <socket-binding name="jacorb-ssl" port="3529"/> <socket-binding name="jmx-connector-registry" port="1090" interface="management"/> <socket-binding name="jmx-connector-server" port="1091" interface="management"/> <socket-binding name="jndi" port="1099"/> <socket-binding name="messaging" port="5445"/> <socket-binding name="messaging-throughput" port="5455"/> <socket-binding name="osgi-http" port="8090" interface="management"/> <socket-binding name="remoting" port="4447"/> <socket-binding name="txn-recovery-environment" port="4712"/> <socket-binding name="txn-status-manager" port="4713"/> </socket-binding-group>
例5.7 ドメイン設定のデフォルトソケットバインディング
domain.xml
設定ファイルのデフォルトソケットバインディンググループには standard-sockets
、ha-sockets
、full-sockets
、および full-ha-sockets
の 4 つのグループが含まれます。これらのグループは public
と呼ばれるインターフェースでも参照されます。
<socket-binding-groups> <socket-binding-group name="standard-sockets" default-interface="public"> <!-- Needed for server groups using the 'default' profile --> <socket-binding name="ajp" port="8009"/> <socket-binding name="http" port="8080"/> <socket-binding name="https" port="8443"/> <socket-binding name="osgi-http" interface="management" port="8090"/> <socket-binding name="remoting" port="4447"/> <socket-binding name="txn-recovery-environment" port="4712"/> <socket-binding name="txn-status-manager" port="4713"/> <outbound-socket-binding name="mail-smtp"> <remote-destination host="localhost" port="25"/> </outbound-socket-binding> </socket-binding-group> <socket-binding-group name="ha-sockets" default-interface="public"> <!-- Needed for server groups using the 'ha' profile --> <socket-binding name="ajp" port="8009"/> <socket-binding name="http" port="8080"/> <socket-binding name="https" port="8443"/> <socket-binding name="jgroups-mping" port="0" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45700"/> <socket-binding name="jgroups-tcp" port="7600"/> <socket-binding name="jgroups-tcp-fd" port="57600"/> <socket-binding name="jgroups-udp" port="55200" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45688"/> <socket-binding name="jgroups-udp-fd" port="54200"/> <socket-binding name="modcluster" port="0" multicast-address="224.0.1.105" multicast-port="23364"/> <socket-binding name="osgi-http" interface="management" port="8090"/> <socket-binding name="remoting" port="4447"/> <socket-binding name="txn-recovery-environment" port="4712"/> <socket-binding name="txn-status-manager" port="4713"/> <outbound-socket-binding name="mail-smtp"> <remote-destination host="localhost" port="25"/> </outbound-socket-binding> </socket-binding-group> <socket-binding-group name="full-sockets" default-interface="public"> <!-- Needed for server groups using the 'full' profile --> <socket-binding name="ajp" port="8009"/> <socket-binding name="http" port="8080"/> <socket-binding name="https" port="8443"/> <socket-binding name="jacorb" interface="unsecure" port="3528"/> <socket-binding name="jacorb-ssl" interface="unsecure" port="3529"/> <socket-binding name="messaging" port="5445"/> <socket-binding name="messaging-group" port="0" multicast-address="${jboss.messaging.group.address:231.7.7.7}" multicast-port="${jboss.messaging.group.port:9876}"/> <socket-binding name="messaging-throughput" port="5455"/> <socket-binding name="osgi-http" interface="management" port="8090"/> <socket-binding name="remoting" port="4447"/> <socket-binding name="txn-recovery-environment" port="4712"/> <socket-binding name="txn-status-manager" port="4713"/> <outbound-socket-binding name="mail-smtp"> <remote-destination host="localhost" port="25"/> </outbound-socket-binding> </socket-binding-group> <socket-binding-group name="full-ha-sockets" default-interface="public"> <!-- Needed for server groups using the 'full-ha' profile --> <socket-binding name="ajp" port="8009"/> <socket-binding name="http" port="8080"/> <socket-binding name="https" port="8443"/> <socket-binding name="jacorb" interface="unsecure" port="3528"/> <socket-binding name="jacorb-ssl" interface="unsecure" port="3529"/> <socket-binding name="jgroups-mping" port="0" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45700"/> <socket-binding name="jgroups-tcp" port="7600"/> <socket-binding name="jgroups-tcp-fd" port="57600"/> <socket-binding name="jgroups-udp" port="55200" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45688"/> <socket-binding name="jgroups-udp-fd" port="54200"/> <socket-binding name="messaging" port="5445"/> <socket-binding name="messaging-group" port="0" multicast-address="${jboss.messaging.group.address:231.7.7.7}" multicast-port="${jboss.messaging.group.port:9876}"/> <socket-binding name="messaging-throughput" port="5455"/> <socket-binding name="modcluster" port="0" multicast-address="224.0.1.105" multicast-port="23364"/> <socket-binding name="osgi-http" interface="management" port="8090"/> <socket-binding name="remoting" port="4447"/> <socket-binding name="txn-recovery-environment" port="4712"/> <socket-binding name="txn-status-manager" port="4713"/> <outbound-socket-binding name="mail-smtp"> <remote-destination host="localhost" port="25"/> </outbound-socket-binding> </socket-binding-group> </socket-binding-groups>
standalone.xml
ソースファイルと domain.xml
ソースファイルで作成および編集できます。バインディングの管理には、管理コンソールまたは管理 CLI を使用することが推奨されます。管理コンソールを使用すると、General Configuration セクション下に専用の Socket Binding Group 画面があるグラフィカルユーザーインターフェースが使用できるなどの利点があります。管理 CLI は、アプリケーションサーバー設定の上位および下位レベル全体でバッチ処理やスクリプトの使用を可能にする、コマンドラインを基にした API およびワークフローを提供します。両方のインターフェースにより、変更を永続化したり、サーバー設定に保存したりできます。
5.2.2. ソケットバインディングの設定
standard-sockets
が含まれ、その他のグループを作成できません。その他のグループを作成するには、別のスタンドアロンサーバー設定ファイルを作成します。管理対象ドメインでは複数のソケットバインディンググループを作成することが可能で、必要に応じて含まれるソケットバインディングを設定できます。下表は各ソケットバインディングに使用できる属性を表しています。
表5.2 ソケットバインディング属性
属性 | 説明 | ロール |
---|---|---|
name | 設定の他の場所で使用する必要があるソケット設定の論理名。 | 必須 |
port | この設定に基づいたソケットをバインドする必要がある基本ポート。すべてのポートの値をインクリメントまたはデクリメントすることにより、サーバーがこの基本値を上書きするよう設定できることに注意してください。 | 必須 |
interface | この設定に基づいたソケットをバインドする必要があるインターフェースの論理名。定義されない場合は、囲んでいるソケットバインディンググループから default-interface 属性の値が使用されます。 | 任意 |
multicast-address | マルチキャストにソケットが使用される場合は、使用するマルチキャストアドレス。 | 任意 |
multicast-port | マルチキャストにソケットが使用される場合は、使用するマルチキャストポート。 | 任意 |
fixed-port | true の場合、port の値が常に使用されなければならず、インクリメントまたはデクリメントを適用して上書きされてはならないことを宣言します。 | 任意 |
ソケットバインディンググループのソケットバインディングの設定
管理 CLI または管理コンソールを選択して、必要に応じてソケットバインディングを設定します。管理 CLI を使用したソケットバインディングの設定
管理 CLI を使用してソケットバインディングを設定します。新しいソケットバインディングの追加
add
操作を使用して、必要な場合に新しいアドレス設定を作成します。このコマンドは、管理 CLI セッションのルートから実行できます。この場合、以下の例では、newsocket という新しいソケットバインディングが作成され、port
属性が 1234 として宣言されます。以下の例は、standard-sockets
ソケットバインディンググループ上で編集を行うスタンドアロンサーバーおよび管理対象ドメインの両方に適用されます。[domain@localhost:9999 /] /socket-binding-group=standard-sockets/socket-binding=newsocket/:add(port=1234)
パターン属性の編集
write-attribute
操作を使用して新しい値を属性に書き込みます。タブ補完を使用して、入力するコマンド文字列を補完したり、利用可能な属性を表示したりできます。以下の例では、port
値を 2020 に更新します。[domain@localhost:9999 /] /socket-binding-group=standard-sockets/socket-binding=newsocket/:write-attribute(name=port,value=2020)
パターン属性の確認
include-runtime=true
パラメーターを用いてread-resource
操作を実行し、値の変更を確認します。サーバーモデルでアクティブな現在の値をすべて表示します。[domain@localhost:9999 /] /socket-binding-group=standard-sockets/socket-binding=newsocket/:read-resource
管理コンソールを使用したソケットバインディングの設定
管理コンソールを使用してソケットバインディングを設定します。管理コンソールへのログイン
管理対象ドメインまたはスタンドアロンサーバーの管理コンソールにログインします。Configuration タブへ移動
画面の上部にある Configuration タブを選択します。ナビゲーションメニューより Socket Binding を選択
General Configuration メニューを展開し、Socket Binding を選択します。管理対象ドメインを使用している場合は、Socket Binding Groups リストで希望のグループを選択します。新しいソケットバインディングの追加
- Add ボタンをクリックします。
- Name、Port、および Binding Group に必要な値を入力します。
- Save をクリックして終了します。
ソケットバインディングの編集
- リストからソケットバインディングを選択し、Edit をクリックします。
- 必要な値を入力します (Name、Interface、Port など)。
- Save をクリックして終了します。
5.2.3. JBoss EAP 6 により使用されるネットワークポート
- サーバーグループがデフォルトのソケットバインディンググループのいずれかを使用するか、またはカスタムグループを使用するかどうか。
- 個別デプロイメントの要件。
注記
8080
で、サーバーは 100
のポートオフセットを使用する場合、その HTTP ポートは 8180
になります。
デフォルトのソケットバインディンググループ
full-ha-sockets
full-sockets
ha-sockets
standard-sockets
表5.3 デフォルトのソケットバインディングの参照
名前 | ポート | マルチキャストポート | 説明 | full-ha-sockets | full-sockets | ha-socket | standard-socket |
---|---|---|---|---|---|---|---|
ajp | 8009 | Apache JServ プロトコル。HTTP クラスタリングおよび負荷分散に使用します。 | ○ | ○ | ○ | ○ | |
http | 8080 | デプロイされた Web アプリケーションのデフォルトポート。 | ○ | ○ | ○ | ○ | |
https | 8443 | デプロイされた Web アプリケーションとクライアント間の SSL 暗号化接続。 | ○ | ○ | ○ | ○ | |
jacorb | 3528 | JTS トランザクションおよび他の ORB 依存サービス用の CORBA サービス。 | ○ | ○ | × | × | |
jacorb-ssl | 3529 | SSL 暗号化 CORBA サービス。 | ○ | ○ | × | × | |
jgroups-diagnostics | 7500 | マルチキャスト。HA クラスターでのピアの検出に使用されます。管理インターフェースを使用しても設定できません。 | ○ | × | ○ | × | |
jgroups-mping | 45700 | マルチキャスト。HA クラスターでの初期メンバーシップの検出に使用されます。 | ○ | × | ○ | × | |
jgroups-tcp | 7600 | TCP を使用した、HA クラスター内でのユニキャストピア検出。 | ○ | × | ○ | × | |
jgroups-tcp-fd | 57600 | TCP を介した HA 障害検出に使用されます。 | ○ | × | ○ | × | |
jgroups-udp | 55200 | 45688 | UDP を使用した、HA クラスター内でのマルチキャストピア検出。 | ○ | × | ○ | × |
jgroups-udp-fd | 54200 | UDP を介した HA 障害検出に使用されます。 | ○ | × | ○ | × | |
messaging | 5445 | JMS サービス。 | ○ | ○ | × | × | |
messaging-group | HornetQ JMS ブロードキャストと検出グループにより参照されます。 | ○ | ○ | × | × | ||
messaging-throughput | 5455 | JMS Remoting により使用されます。 | ○ | ○ | × | × | |
mod_cluster | 23364 | JBoss EAP 6 と HTTP ロードバランサー間の通信に対するマルチキャストポート。 | ○ | × | ○ | × | |
osgi-http | 8090 | OSGi サブシステムを使用する内部コンポーネントにより使用されます。管理インターフェースを使用して設定できません。 | ○ | ○ | ○ | ○ | |
remoting | 4447 | リモート EJB の呼び出しに使用されます。 | ○ | ○ | ○ | ○ | |
txn-recovery-environment | 4712 | JTA トランザクションリカバリーマネージャー。 | ○ | ○ | ○ | ○ | |
txn-status-manager | 4713 | JTA / JTS トランザクションマネージャー。 | ○ | ○ | ○ | ○ |
ソケットバインディンググループの他に、各ホストコントローラーによって 2 つのポートが管理目的で開かれます。
9990
- Web 管理コンソールポート9999
- 管理コンソールと管理 API によって使用されるポート
5.2.4. ソケットバインディンググループのポートオフセット
5.2.5. ポートオフセットの設定
ポートオフセットの設定
管理 CLI または管理コンソールを選択してポートオフセットを設定します。管理 CLI を使用したポートオフセットの設定
管理 CLI を使用してポートオフセットを設定します。ポートオフセットの編集
write-attribute
操作を使用して新しい値をポートオフセット属性に書き込みます。次の例は、server-two のsocket-binding-port-offset
値を 250 に更新します。このサーバーはデフォルトローカルホストグループのメンバーです。変更を有効にするには再起動が必要となります。[domain@localhost:9999 /] /host=master/server-config=server-two/:write-attribute(name=socket-binding-port-offset,value=250)
ポートオフセット属性の確認
include-runtime=true
パラメーターを用いてread-resource
操作を実行し、値の変更を確認します。サーバーモデルでアクティブな現在の値をすべて表示します。[domain@localhost:9999 /] /host=master/server-config=server-two/:read-resource(include-runtime=true)
管理コンソールを使用したポートオフセットの設定
管理コンソールを使用してポートオフセットを設定します。管理コンソールへのログイン
管理対象ドメインの管理コンソールにログインします。Domain タブの選択
画面の上部にある Domain タブを選択します。ポートオフセット属性の編集
Available Server Configurations
リストのサーバーを選択し、属性リストの上にある Edit をクリックします。- Port Offset フィールドで必要な値を入力します。
- Save をクリックして終了します。
5.2.6. リモーティングのメッセージサイズの設定
MAX_INBOUND_MESSAGE_SIZE
) および最大送信メッセージサイズ (MAX_OUTBOUND_MESSAGE_SIZE
) を設定すると、メッセージが適切な制限内のサイズで送受信されます。
MAX_OUTBOUND_MESSAGE_SIZE
) を超えるメッセージを送信した場合、サーバーによって例外が発生し、データの送信がキャンセルされます。しかし、接続は開いたままになり、送信側は必要であればメッセージを閉じることができます。
MAX_INBOUND_MESSAGE_SIZE
) を越えた場合、接続が開いたまま、メッセージは非同期に閉じられます。
5.3. IPv6
5.3.1. IPv6 ネットワーキング向け JVM スタック設定の指定
- 概要
- このトピックでは、JBoss EAP 6 インストールでの IPv6 ネットワーキングの有効化について説明します。
手順5.1 IPv4 Stack Java プロパティーの無効化
- インストールに関連するファイルを開きます。
スタンドアロンサーバーの場合:
EAP_HOME/bin/standalone.conf
を開きます。管理対象ドメインの場合:
EAP_HOME/bin/domain.conf
を開きます。
- IPv4 Stack Java プロパティーを false に変更します。
-Djava.net.preferIPv4Stack=false
例を以下に示します。# Specify options to pass to the Java VM. # if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-Xms64m -Xmx512m -XX:MaxPermSize=256m -Djava.net.preferIPv4Stack=false -Dorg.jboss.resolver.warning=true -Dsun.rmi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Djava.net.preferIPv6Addresses=true" fi
5.3.2. IPv6 ネットワークに対するインターフェース宣言の設定
次の手順に従って、インターフェース inet アドレスを IPv6 のデフォルトに設定します。
手順5.2 IPv6 ネットワーキングのインターフェースの設定
- 画面の上部にある Configuration タブを選択します。
- General Configuration メニューを展開し、Interfaces を選択します。
- Available Interfaces リストからインターフェースを選択します。
- 詳細リストの Edit をクリックします。
- 下記の inet アドレスを設定します。
${jboss.bind.address.management:[ADDRESS]}
- Save をクリックして終了します。
- サーバーを再起動し、変更を実装します。
5.3.3. IPv6 アドレス用 JVM スタック設定の指定
- 概要
- このトピックでは、JBoss EAP 6 インストールで IPv6 アドレスを優先するよう設定ファイルで設定する方法について説明します。
手順5.3 IPv6 アドレスを優先するよう JBoss EAP 6 インストールを設定する
- インストールに関連するファイルを開きます。
スタンドアロンサーバーの場合:
EAP_HOME/bin/standalone.conf
を開きます。管理対象ドメインの場合:
EAP_HOME/bin/domain.conf
を開きます。
- 以下の Java プロパティーを Java VM オプションに追加します。
-Djava.net.preferIPv6Addresses=true
例を以下に示します。# Specify options to pass to the Java VM. # if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-Xms64m -Xmx512m -XX:MaxPermSize=256m -Djava.net.preferIPv4Stack=false -Dorg.jboss.resolver.warning=true -Dsun.rmi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Djava.net.preferIPv6Addresses=true" fi
第6章 データソース管理
6.1. はじめに
6.1.1. JDBC
6.1.2. JBoss EAP 6 でサポートされるデータベース
6.1.3. データソースの型
datasources
と XA datasources
の 2 つがあります。
6.1.4. データソースの例
警告
6.1.5. -ds.xml ファイルのデプロイメント
*-ds.xml
データソース設定ファイルが必要でした。*-ds.xml
ファイルを JBoss EAP 6 にデプロイするには、http://www.ironjacamar.org/documentation.html の「Schemas」下にある Data sources の 1.1 にしたがいます。
警告
重要
*-ds.xml
ファイルをデプロイする場合、すでにデプロイまたは定義されている <driver> エントリーへの参照を使用しなければなりません。
6.2. JDBC ドライバー
6.2.1. 管理コンソールを用いた JDBC ドライバーのインストール
アプリケーションが JDBC データソースに接続する前に、データソースベンダーの JDBC ドライバーを JBoss EAP 6 が使用できる場所にインストールする必要があります。JBoss EAP 6 では、これらのドライバーを他のデプロイメントと同じようにデプロイできます。そのため、管理対象ドメインを使用する場合は、サーバーグループ内の複数のサーバー全体でドライバーをデプロイできます。
このタスクを実行する前に、以下の前提条件を満たしている必要があります。
- データベースのベンダーから JDBC ドライバーをダウンロードする必要があります。
注記
手順6.1 JDBC ドライバー JAR の編集
- 空の一時ディレクトリーに移動するか、空の一時ディレクトリーを作成します。
- META-INF サブディレクトリーを作成します。
- META-INF/services サブディレクトリーを作成します。
- JDBC ドライバーの完全修飾クラス名を示す 1 行が含まれる、META-INF/services/java.sql.Driver ファイルを作成します。
- JAR コマンドラインツールを使用して、次のように JAR を更新します。
jar \-uf jdbc-driver.jar META-INF/services/java.sql.Driver
- 管理対象ドメインを使用する場合は、JAR ファイルをサーバーグループにデプロイします。使用しない場合はサーバーにデプロイします。「管理コンソールを使用してデプロイされたアプリケーションを有効化」 を参照してください。
JDBC ドライバーがデプロイされ、アプリケーションが使用できるようになります。
6.2.2. コアモジュールとしての JDBC ドライバーのインストール
このタスクを実行する前に、以下の前提条件を満たしている必要があります。
- データベースのベンダーから JDBC ドライバーをダウンロードする必要があります。JDBC ドライバーをダウンロードする場所の一覧は 「JDBC ドライバーをダウンロードできる場所」 を参照してください。
- アーカイブを展開します。
手順6.2 コアモジュールとしての JDBC ドライバーのインストール
EAP_HOME/modules/
ディレクトリー下にファイルパス構造を作成します。たとえば、MySQL JDBC ドライバーの場合には、EAP_HOME/modules/com/mysql/main/
のようなディレクトリー構造を作成します。- JDBC ドライバー JAR を
main/
サブディレクトリーにコピーします。 main/
サブディレクトリーで、「モジュール」 の例に似たmodule.xml
ファイルを作成します。module
XSD はEAP_HOME/docs/schema/module-1_2.xsd
ファイルに定義されます。- サーバーを起動します。
- 管理 CLI を起動します。
- CLI コマンドを実行して JDBC ドライバーモジュールをサーバー設定に追加します。選択するコマンドは、JDBC ドライバー JAR にある
/META-INF/services/java.sql.Driver
ファイルにリストされたクラスの数によって異なります。たとえば、MySQL 5.1.20 JDBC JAR 内の/META-INF/services/java.sql.Driver
ファイルは以下の 2 つのクラスをリストします。複数のエントリーがある場合は、ドライバークラスの名前も指定する必要があります。これを行わないと、以下のようなエラーが発生します。com.mysql.jdbc.Driver
com.mysql.fabric.jdbc.FabricMySQLDriver
JBAS014749: Operation handler failed: Service jboss.jdbc-driver.mysql is already registered
- 1 つのクラスエントリーを含む JDBC JAR に対して CLI コマンドを実行します。
/subsystem=datasources/jdbc-driver=DRIVER_NAME:add(driver-name=DRIVER_NAME,driver-module-name=MODULE_NAME,driver-xa-datasource-class-name=XA_DATASOURCE_CLASS_NAME)
例6.1 1 つのドライバークラスを持つ JDBC JAR に対するスタンドアロンモードの CLI コマンドの例
/subsystem=datasources/jdbc-driver=mysql:add(driver-name=mysql,driver-module-name=com.mysql,driver-xa-datasource-class-name=com.mysql.jdbc.jdbc2.optional.MysqlXADataSource)
例6.2 1 つのドライバークラスを持つ JDBC JAR に対するドメインモードの CLI コマンドの例
/profile=ha/subsystem=datasources/jdbc-driver=mysql:add(driver-name=mysql,driver-module-name=com.mysql,driver-xa-datasource-class-name=com.mysql.jdbc.jdbc2.optional.MysqlXADataSource)
- 複数のクラスエントリーを含む JDBC JAR に対して CLI コマンドを実行します。
/subsystem=datasources/jdbc-driver=DRIVER_NAME:add(driver-name=DRIVER_NAME,driver-module-name=MODULE_NAME,driver-xa-datasource-class-name=XA_DATASOURCE_CLASS_NAME, driver-class-name=DRIVER_CLASS_NAME)
例6.3 複数のドライバークラスエントリーを持つ JDBC JAR に対するスタンドアロンモードの CLI コマンドの例
/subsystem=datasources/jdbc-driver=mysql:add(driver-name=mysql,driver-module-name=com.mysql,driver-xa-datasource-class-name=com.mysql.jdbc.jdbc2.optional.MysqlXADataSource, driver-class-name=com.mysql.jdbc.Driver)
例6.4 複数のドライバークラスエントリーを持つ JDBC JAR に対するドメインモードの CLI コマンドの例
/profile=ha/subsystem=datasources/jdbc-driver=mysql:add(driver-name=mysql,driver-module-name=com.mysql,driver-xa-datasource-class-name=com.mysql.jdbc.jdbc2.optional.MysqlXADataSource, driver-class-name=com.mysql.jdbc.Driver)
JDBC ドライバーがインストールされ、コアモジュールとして設定されます。アプリケーションのデータソースが JDBC ドライバーを参照できる状態になります。
6.2.3. JDBC ドライバーをダウンロードできる場所
表6.1 JDBC ドライバーをダウンロードできる場所
ベンダー | ダウンロード場所 |
---|---|
MySQL | |
PostgreSQL | |
Oracle | |
IBM | |
Sybase | |
Microsoft |
6.2.4. ベンダー固有クラスへのアクセス
このトピックでは、JDBC 固有クラスを使用するのに必要な手順について説明します。これは、アプリケーションが JDBC API の一部でないベンダー固有の機能を使用する必要がある場合に必要です。
警告
重要
重要
手順6.3 アプリケーションへの依存関係の追加
MANIFEST.MF
ファイルの設定- テキストエディターでアプリケーションの
META-INF/MANIFEST.MF
ファイルを開きます。 - JDBC モジュールの依存関係を追加し、ファイルを保存します。
依存関係: MODULE_NAME
例6.5 依存関係の例
Dependencies: com.mysql
jboss-deployment-structure.xml
ファイルの作成アプリケーションのMETA-INF/
またはWEB-INF
フォルダーでjboss-deployment-structure.xml
という名前のファイルを作成します。例6.6 サンプル
jboss-deployment-structure.xml
ファイル<jboss-deployment-structure> <deployment> <dependencies> <module name="com.mysql" /> </dependencies> </deployment> </jboss-deployment-structure>
例6.7 ベンダー固有 API へのアクセス
import java.sql.Connection; import org.jboss.jca.adapters.jdbc.WrappedConnection; Connection c = ds.getConnection(); WrappedConnection wc = (WrappedConnection)c; com.mysql.jdbc.Connection mc = wc.getUnderlyingConnection();
6.3. 非 XA データソース
6.3.1. 管理インターフェースによる非 XA データソースの作成
ここでは、管理コンソールまたは管理 CLI のいずれかを使用して非 XA データソースを作成する手順について取り上げます。
前提条件
- JBoss EAP 6 サーバーが稼働している必要があります。
注記
手順6.4 管理 CLI または管理コンソールのいずれかを使用したデータソースの作成
管理 CLI
- CLI ツールを起動し、サーバーに接続します。
- 以下のコマンドを実行して非 XA データソースを作成し、適切に変数を設定します。
data-source add --name=DATASOURCE_NAME --jndi-name=JNDI_NAME --driver-name=DRIVER_NAME --connection-url=CONNECTION_URL
- データソースを有効にします。
data-source enable --name=DATASOURCE_NAME
管理コンソール
- 管理コンソールへログインします。
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- コンソールの左側にあるメニューより Datasources を選択します。
新しいデータソースを作成します。
- Datasources パネルの上部にある Add を選択します。
- Create Datasource ウィザードで新しいデータソースの属性を入力し、Next ボタンを押します。
- Create Datasource ウィザードで JDBC ドライバーの詳細を入力し、Next をクリックします。
- Create Datasource ウィザードで接続設定を入力します。
- Test Connection ボタンをクリックしてデータソースへの接続をテストし、設定が正しいことを確認します。
- Done をクリックして終了します。
非 XA データソースがサーバーに追加されます。standalone.xml
または domain.xml
ファイル、および管理インターフェースで追加を確認できます。
6.3.2. 管理インターフェースによる非 XA データソースの編集
ここでは、管理コンソールまたは管理 CLI のいずれかを使用して非 XA データソースを編集する手順について取り上げます。
前提条件
注記
jta
パラメーターを true
に設定してください。
手順6.5 非 XA データソースの編集
管理 CLI
write-attribute
コマンドを使用してデータソース属性を設定します。/subsystem=datasources/data-source=DATASOURCE_NAME:write-attribute(name=ATTRIBUTE_NAME,value=ATTRIBUTE_VALUE)
- サーバーを再ロードして変更を確認します。
:reload
管理コンソール
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- 展開されたメニューから Datasources を選択します。
データソースを編集します。
- Available Datasources リストからデータソースを選択します。データソース属性は下に表示されます。
- Edit をクリックし、データソース属性を編集します。
- Save をクリックして終了します。
非 XA データソースが設定されます。変更は standalone.xml
または domain.xml
ファイルのどちらかと、管理インターフェースで確認できます。
- 新しいデータソースを作成する場合は 「管理インターフェースによる非 XA データソースの作成」 を参照してください。
- データソースを削除する場合は 「管理インターフェースによる非 XA データソースの削除」 を参照してください。
6.3.3. 管理インターフェースによる非 XA データソースの削除
ここでは、管理コンソールまたは管理 CLI を使用して、JBoss EAP 6 より非 XA データソースを削除するために必要な手順について説明します。
前提条件
手順6.6 非 XA データソースの削除
管理 CLI
- 次のコマンドを実行して非 XA データソースを削除します。
data-source remove --name=DATASOURCE_NAME
管理コンソール
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- Datasources を選択します。
- 削除するデータソースを選択し、Remove をクリックします。
非 XA データソースがサーバーより削除されます。
- 新しいデータソースを追加する場合は 「管理インターフェースによる非 XA データソースの作成」 を参照してください。
6.4. XA データソース
6.4.1. 管理インターフェースによる XA データソースの作成
必読トピック:
ここでは、管理コンソールまたは管理 CLI のいずれかを使用して XA データソースを作成する手順について取り上げます。
注記
手順6.7 管理 CLI または管理コンソールのいずれかを使用した XA データソースの作成
管理 CLI
- 以下のコマンドを実行して XA データソースを作成し、適切に変数を設定します。
xa-data-source add --name=XA_DATASOURCE_NAME --jndi-name=JNDI_NAME --driver-name=DRIVER_NAME --xa-datasource-class=XA_DATASOURCE_CLASS
XA データソースプロパティーの設定
サーバー名の設定
次のコマンドを実行し、ホストのサーバー名を設定します。/subsystem=datasources/xa-data-source=XA_DATASOURCE_NAME/xa-datasource-properties=ServerName:add(value=HOSTNAME)
データベース名の設定
次のコマンドを実行し、データベース名を設定します。/subsystem=datasources/xa-data-source=XA_DATASOURCE_NAME/xa-datasource-properties=DatabaseName:add(value=DATABASE_NAME)
- データソースを有効にします。
xa-data-source enable --name=XA_DATASOURCE_NAME
管理コンソール
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- Datasources を選択します。
- XA Datasource タブを選択します。
新しい XA データソースを作成します。
- 追加 をクリックします。
- Create XA Datasource ウィザードに新しい XA データソースの属性を入力し、Next をクリックします。
- Create XA Datasource ウィザードに JDBC ドライバーの詳細を入力し、Next をクリックします。
- XA プロパティーを入力し、Next をクリックします。
- Create XA Datasource ウィザードで接続設定を入力します。
- Test Connection ボタンをクリックして XA データソースへの接続をテストし、設定が正しいことを確認します。
- Done をクリックして終了します。
XA データソースがサーバーに追加されます。追加内容は standalone.xml
または domain.xml
ファイルのどちらかと、管理インターフェースで確認することができます。
6.4.2. 管理インターフェースによる XA データソースの編集
ここでは、管理コンソールまたは管理 CLI のいずれかを使用して XA データソースを編集する手順について取り上げます。
前提条件
手順6.8 管理 CLI または管理コンソールのいずれかを使用した XA データソースの編集
管理 CLI
XA データソース属性の設定
write-attribute
コマンドを使用してデータソース属性を設定します。/subsystem=datasources/xa-data-source=XA_DATASOURCE_NAME:write-attribute(name=ATTRIBUTE_NAME,value=ATTRIBUTE_VALUE)
XA データソースプロパティーの設定
次のコマンドを実行して XA データソースサブリソースを設定します。/subsystem=datasources/xa-data-source=DATASOURCE_NAME/xa-datasource-properties=PROPERTY_NAME:add(value=PROPERTY_VALUE)
- サーバーを再ロードして変更を確認します。
:reload
管理コンソール
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- Datasources を選択します。
- XA Datasource タブを選択します。
データソースを編集します。
- Available XA Datasources リストより関連する XA データソースを選択します。下にある Attributes パネルに XA データソースの属性が表示されます。
- Edit ボタンを選択してデータソース属性を編集します。
- XA データソースの属性を編集し、作業が終了したら Save ボタンを選択します。
XA データソースが設定されます。変更は standalone.xml
または domain.xml
ファイルのどちらかと、管理インターフェースで確認できます。
- 新しいデータソースを作成する場合は 「管理インターフェースによる XA データソースの作成」 を参照してください。
- データソースを削除する場合は 「管理インターフェースによる XA データソースの削除」 を参照してください。
6.4.3. 管理インターフェースによる XA データソースの削除
ここでは、管理コンソールまたは管理 CLI を使用して、JBoss EAP 6 から XA データソースを削除するために必要な手順について説明します。
前提条件
手順6.9 管理 CLI または管理コンソールのいずれかを使用した XA データソースの削除
管理 CLI
- 次のコマンドを実行して XA データソースを削除します。
xa-data-source remove --name=XA_DATASOURCE_NAME
管理コンソール
管理コンソールの Datasources パネルに移動します。
- コンソールの上部から Configuration タブを選択します。
- ドメインモードの場合は、左上のドロップダウンボックスからプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開し、Connector メニューを展開します。
- Datasources を選択します。
- XA Datasource タブを選択します。
- 削除する登録済みの XA データソースを選択し、Remove をクリックして XA データソースを永久的に削除します。
XA データソースがサーバーより削除されます。
- 新しい XA データソースを追加する場合は 「管理インターフェースによる XA データソースの作成」 を参照してください。
6.4.4. XA リカバリー
6.4.4.1. XA リカバリーモジュール
com.arjuna.ats.jta.recovery.XAResourceRecovery
を拡張する必要があります。
6.4.4.2. XA リカバリーモジュールの設定
表6.2 一般的な設定属性
属性 | 説明 |
---|---|
recovery-username |
リソースに接続してリカバリー行うためにリカバリーモジュールが使用する必要があるユーザー名。
|
recovery-password |
リソースに接続してリカバリーを行うためにリカバリーモジュールが使用する必要があるパスワード。
|
recovery-security-domain |
リカバリーを行う目的でリカバリーモジュールがリソースに接続するために使用するセキュリティードメイン。
|
recovery-plugin-class-name |
カスタムのリカバリーモジュールを使用する必要がある場合は、この属性をモジュールの完全修飾クラス名に設定します。モジュールはクラス
com.arjuna.ats.jta.recovery.XAResourceRecovery を拡張する必要があります。
|
recovery-plugin-properties |
プロパティーを設定する必要があるカスタムのリカバリーモジュールを使用する場合は、この属性をプロパティーに対するコンマ区切りの key=value ペアのリストに設定します。
|
ベンダー固有の設定情報
- Oracle
- Oracle データソースが不適切に設定された場合は、ログ出力に次のようなエラーが示されることがあります。
WARN [com.arjuna.ats.jta.logging.loggerI18N] [com.arjuna.ats.internal.jta.recovery.xarecovery1] Local XARecoveryModule.xaRecovery got XA exception javax.transaction.xa.XAException, XAException.XAER_RMERR
このエラーを解決するには、recovery-username
で設定された Oracle ユーザーがリカバリーに必要なテーブルにアクセスできる必要があります。以下の SQL ステートメントは、Oracle バグ 5945463 用のパッチが適用された Oracle 11g または Oracle 10g R2 インスタンスに対する適切なステートメントです。GRANT SELECT ON sys.dba_pending_transactions TO recovery-username; GRANT SELECT ON sys.pending_trans$ TO recovery-username; GRANT SELECT ON sys.dba_2pc_pending TO recovery-username; GRANT EXECUTE ON sys.dbms_xa TO recovery-username;
11g よりも前の Oracle 11 バージョンを使用する場合は、最後のEXECUTE
ステートメントを以下のように変更します。GRANT EXECUTE ON sys.dbms_system TO recovery-username;
- PostgreSQL
- 準備済みトランザクション (XA など) を有効にする手順については、PostgreSQL ドキュメンテーションを参照してください。PostgreSQL の JDBC ドライバーのバージョン 8.4-701 では、
org.postgresql.xa.PGXAConnection
にバグがあり、特定の状況でリカバリーが中断されます。このバグは新しいバージョンでは修正されています。 - MySQL
- http://bugs.mysql.com/bug.php?id=12161 に基づき、XA トランザクションリカバリーは一部の MySQL 5 バージョンでは動作しませんでした。この問題は MySQL 6.1 で修正されました。詳細については、バグの URL または MySQL ドキュメンテーションを参照してください。
- IBM DB2
- IBM DB2 では、クラッシュまたは障害の発生後にアプリケーションサーバーが再起動されたときの指定の再同期ステージの間でのみ
XAResource.recover
メソッドが呼び出されることを想定します。これは、DB2 実装の設計に関する決まりであり、本書の範囲外となります。 - Sybase
- Sybase は、XA トランザクションがデータベース上で有効になることを想定します。XA トランザクションはデータベース設定が正しくないと動作しません。
enable xact coordination
は、Adaptive Server トランザクションコーディネーションサービスを有効または無効にします。このパラメーターを有効にすると、リモート Adaptive Server データのアップデートが、確実に元のトラザクションでコミットまたはロールバックされるようになります。トラザクションコーディネーションを有効にするには、以下を使用します。sp_configure 'enable xact coordination', 1
.
6.5. データソースセキュリティー
6.5.1. データソースセキュリティー
- セキュリティードメイン: 「セキュリティードメイン」
- パスワード vault: 「パスワード vault システム」
例6.8 セキュリティードメインの例
<security-domain name="DsRealm" cache-type="default"> <authentication> <login-module code="ConfiguredIdentity" flag="required"> <module-option name="userName" value="sa"/> <module-option name="principal" value="sa"/> <module-option name="password" value="sa"/> </login-module> </authentication> </security-domain>
<datasources> <datasource jndi-name="java:jboss/datasources/securityDs" pool-name="securityDs"> <connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1</connection-url> <driver>h2</driver> <new-connection-sql>select current_user()</new-connection-sql> <security> <security-domain>DsRealm</security-domain> </security> </datasource> </datasources>
例6.9 パスワード vault の例
<security> <user-name>admin</user-name> <password>${VAULT::ds_ExampleDS::password::N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0}</password> </security>
6.6. データベース接続の検証
6.6.1. データベース接続検証設定の指定
データベースメンテナンス、ネットワーク問題、または他の停止イベントにより、JBoss EAP 6 がデータベースへの接続を失うことがあります。データベース接続の検証は、サーバー設定ファイルの <datasource>
セクション内の <validation>
要素を使用して有効にします。以下の手順に従い、JBoss EAP 6 でデータベース接続検証を有効にするデータソース設定を指定してください。
手順6.10 データベース接続検証設定の指定
検証方法の選択
以下のいずれかの検証方法を選択します。<validate-on-match>true</validate-on-match>
<validate-on-match>
オプションがtrue
に設定されている場合は、データ接続が、次の手順で指定された検証メカニズムを使用して接続プールからチェックアウトされるたびに検証されます。接続が有効でない場合は、警告がログに書き込まれ、プール内の次の接続が取得されます。このプロセスは、有効な接続が見つかるまで続行します。プール内の各接続を繰り返し処理しない場合は、<use-fast-fail>
オプションを使用できます。有効な接続がプールにない場合は、新しい接続が作成されます。接続の作成に失敗すると、例外が要求元アプリケーションに返されます。この設定により、最も早いリカバリーが実現されますが、データベースへの負荷が最も大きくなります。ただし、これは、パフォーマンスを気にする必要がない場合は最も安全な方法です。<background-validation>true</background-validation>
<background-validation>
オプションがtrue
に設定されている場合は、<background-validation-millis>
値とともに使用され、バックグラウンド検証実行の頻度を決定します。<background-validation-millis>
パラメーターのデフォルト値は 0 ミリ秒であり、デフォルトで無効になります。この値は<idle-timeout-minutes>
設定と同じ値に設定しないでください。特定のシステムの<background-validation-millis>
値を決定するには注意が必要です。値が小さいと、プールの検証頻度が多くなり、無効な接続がプールからすぐに削除されます。 ただし、値が小さいと、より多くのデータベースリソースが使用されます。値が大きい場合は、接続検証チェックの頻度が少なくなり、より少ないデータベースリソースが使用されますが、デッド接続は長時間検出されません。
注記
<validate-on-match>
オプションがtrue
に設定されている場合は、<background-validation>
オプションをfalse
に設定する必要があります。それとは逆に、<background-validation>
オプションがtrue
に設定されている場合は、<validate-on-match>
オプションをfalse
に設定する必要があります。検証メカニズムの選択
以下のいずれかの検証メカニズムを選択します。<valid-connection-checker> クラス名の指定
これは、使用中の特定の RDBMS に対して最適化されるため、推奨されるメカニズムです。JBoss EAP 6 は、以下の接続チェッカーを提供します。- org.jboss.jca.adapters.jdbc.extensions.db2.DB2ValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLReplicationValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.novendor.JDBC4ValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.novendor.NullValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.oracle.OracleValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseValidConnectionChecker
<check-valid-connection-sql> 用 SQL の指定
接続を検証するために使用する SQL ステートメントを提供します。以下は、Oracle 用接続を検証するために SQL ステートメントをどのように指定するかの例です。<check-valid-connection-sql>select 1 from dual</check-valid-connection-sql>
MySQL または PostgreSQL の場合は、以下の SQL ステートメントを指定する必要があります。<check-valid-connection-sql>select 1</check-valid-connection-sql>
<exception-sorter> クラス名の設定
例外が致命的とマークされた場合、接続はトランザクションに参加していてもすぐに閉じられます。致命的な接続例外を適切に検出およびクリーンアップするには、例外ソータークラスオプションを使用します。JBoss EAP 6 は、以下の例外ソーターを提供します。- org.jboss.jca.adapters.jdbc.extensions.db2.DB2ExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.informix.InformixExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.novendor.NullExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.oracle.OracleExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseExceptionSorter
6.7. データソース設定
6.7.1. データソースのパラメーター
表6.3 非 XA および XA データソースに共通のデータソースパラメーター
パラメーター | 説明 |
---|---|
jndi-name | データソースの一意の JNDI 名。 |
pool-name | データソースの管理プール名。 |
enabled | データソースが有効かどうかを指定します。 |
use-java-context |
データソースをグローバルの JNDI にバインドするかどうかを指定します。
|
spy |
JDBC レイヤーで
spy 機能を有効にします。この機能は、データソースへの JDBC トラフィックをすべてログに記録します。ロギングカテゴリーの jboss.jdbc.spy もロギングサブシステムのログレベルである DEBUG に設定する必要があることに注意してください。
|
use-ccm | キャッシュ接続マネージャーを有効にします。 |
new-connection-sql | 接続プールに接続が追加された時に実行する SQL ステートメント。 |
transaction-isolation |
次のいずれかになります。
|
url-selector-strategy-class-name | インターフェース org.jboss.jca.adapters.jdbc.URLSelectorStrategy を実装するクラス。 |
security |
セキュリティー設定である子要素が含まれます。表6.8「セキュリティーパラメーター」を参照してください。
|
validation |
検証設定である子要素が含まれます。表6.9「検証パラメーター」を参照してください。
|
timeout |
タイムアウト設定である子要素が含まれます。表6.10「タイムアウトパラメーター」を参照してください。
|
statement |
ステートメント設定である子要素が含まれます。表6.11「ステートメントのパラメーター」を参照してください。
|
表6.4 非 XA データソースのパラメーター
パラメーター | 説明 |
---|---|
jta | 非 XA データソースの JTA 統合を有効にします。XA データソースには適用されません。 |
connection-url | JDBC ドライバーの接続 URL。 |
driver-class | JDBC ドライバークラスの完全修飾名。 |
connection-property | Driver.connect(url,props) メソッドに渡される任意の接続プロパティー。各 connection-property は、文字列名と値のペアを指定します。プロパティー名は名前、値は要素の内容に基づいています。
|
pool |
プーリング設定である子要素が含まれます。表6.6「非 XA および XA データソースに共通のプールパラメーター」を参照してください。
|
url-delimiter |
高可用性 (HA) クラスター化されたデータベースの connection-url にある URL の区切り文字。
|
表6.5 XA データソースのパラメーター
パラメーター | 説明 |
---|---|
xa-datasource-property |
実装クラス
XADataSource に割り当てるプロパティー。name=value で指定されます。 setName という形式で setter メソッドが存在する場合、プロパティーは setName(value) という形式の setter メソッドを呼び出すことで設定されます。
|
xa-datasource-class |
実装クラス
javax.sql.XADataSource の完全修飾名。
|
driver |
JDBC ドライバーが含まれるクラスローダーモジュールへの一意参照。driverName#majorVersion.minorVersion の形式にのみ対応しています。
|
xa-pool |
プーリング設定である子要素が含まれます。表6.6「非 XA および XA データソースに共通のプールパラメーター」および表6.7「XA プールパラメーター」を参照してください。
|
recovery |
リカバリー設定である子要素が含まれます。表6.12「リカバリーパラメーター」を参照してください。
|
表6.6 非 XA および XA データソースに共通のプールパラメーター
パラメーター | 説明 |
---|---|
min-pool-size | プールが保持する最小接続数 |
max-pool-size | プールが保持可能な最大接続数 |
prefill | 接続プールのプレフィルを試行するかどうかを指定します。要素が空の場合は true を示します。デフォルト値は、false です。 |
use-strict-min | pool-size が厳密かどうかを指定します。デフォルト値は false に設定されています。 |
flush-strategy |
エラーの場合にプールをフラッシュするかどうかを指定します。有効な値は次の通りです。
デフォルト値は
FailingConnectionOnly です。
|
allow-multiple-users | 複数のユーザーが getConnection(user, password) メソッドを使いデータソースへアクセスするかどうか、および内部プールタイプがこの動作に対応するかを指定します。 |
表6.7 XA プールパラメーター
パラメーター | 説明 |
---|---|
is-same-rm-override | javax.transaction.xa.XAResource.isSameRM(XAResource) クラスが true あるいは false のどちらを返すかを指定します。 |
interleaving | XA 接続ファクトリーのインターリービングを有効にするかどうかを指定します。 |
no-tx-separate-pools |
コンテキスト毎に sub-pool を作成するかどうかを指定します。これには Oracle のデータソースが必要ですが、このデータソースは JTA トランザクションの内部、外部に関わらず、XA 接続の利用ができなくなります。
このオプションを使用すると 2 つの実際のプールが作成されるため、プールサイズの合計が
max-pool-size の 2 倍になります。
|
pad-xid | Xid のパディングを行うかどうかを指定します。 |
wrap-xa-resource |
XAResource を
org.jboss.tm.XAResourceWrapper インスタンスでラップするかどうかを指定します。
|
表6.8 セキュリティーパラメーター
パラメーター | 説明 |
---|---|
user-name | 新規接続の作成に使うユーザー名 |
password | 新規接続の作成に使うパスワード |
security-domain | 認証処理を行う JAAS security-manager 名が含まれます。この名前は、JAAS ログイン設定の application-policy/name 属性に相関します。 |
reauth-plugin | 物理接続の再認証に使う再認証プラグインを定義します。 |
表6.9 検証パラメーター
パラメーター | 説明 |
---|---|
valid-connection-checker | SQLException.isValidConnection(Connection e) メソッドを提供し接続を検証するインターフェース org.jboss.jca.adaptors.jdbc.ValidConnectionChecker の実装。例外が発生すると接続が破棄されます。存在する場合、check-valid-connection-sql パラメーターが上書きされます。
|
check-valid-connection-sql | プール接続の妥当性を確認する SQL ステートメント。これは、管理接続をプールから取得し利用する場合に呼び出される場合があります。 |
validate-on-match |
接続ファクトリーが指定のセットに対して管理された接続に一致させようとした時に接続レベルの検証を実行するかどうかを示します。
通常、
validate-on-match に true を指定したときに background-validation を true に指定することはありません。クライアントが使用する前に接続を検証する必要がある場合に Validate-on-match が必要になります。このパラメーターはデフォルトでは false になっています。
|
background-validation |
接続がバックグラウンドスレッドで検証されることを指定します。
validate-on-match を使用しない場合、バックグラウンドの検証はパフォーマンスを最適化します。validate-on-match が true のときに background-validation を使用すると、チェックが冗長になることがあります。バックグラウンド検証では、不良の接続がクライアントに提供される可能性があります (検証スキャンと接続がクライアントに提供されるまでの間に接続が悪くなります)。そのため、クライアントアプリケーションはこの接続不良の可能性に対応する必要があります。
|
background-validation-millis | バックグラウンド検証を実行する期間 (ミリ秒単位)。 |
use-fast-fail |
true の場合、接続が無効であれば最初に接続を割り当てしようとした時点で失敗します。デフォルト値は
false です。
|
stale-connection-checker |
ブール値の
isStaleConnection(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.StaleConnectionChecker のインスタンス。このメソッドが true を返すと、SQLException のサブクラスである org.jboss.jca.adapters.jdbc.StaleConnectionException に例外がラップされます。
|
exception-sorter |
ブール値である
isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter のインスタンス。このメソッドは、例外が connectionErrorOccurred メッセージとして javax.resource.spi.ConnectionEventListener のすべてのインスタンスへブロードキャストされるかどうかを検証します。
|
表6.10 タイムアウトパラメーター
パラメーター | 説明 |
---|---|
use-try-lock | lock() の代わりに tryLock() を使用します。これは、ロックが使用できない場合に即座に失敗するのではなく、設定された秒数間ロックの取得を試みます。デフォルト値は 60 秒です。たとえば、タイムアウトを 5 分に設定するには、<use-try-lock> 300</use-try-lock> を設定します。 |
blocking-timeout-millis | 接続待機中にブロックする最大時間 (ミリ秒)。この時間を超過すると、例外が発生します。これは、接続許可の待機中のみブロックし、新規接続の作成に長時間要している場合は例外が発生しません。デフォルト値は 30000 (30 秒) です。 |
idle-timeout-minutes |
アイドル接続が切断されるまでの最大時間 (分単位)。実際の最大時間は idleRemover のスキャン時間によって異なります。idleRemover のスキャン時間はプールの最小
idle-timeout-minutes の半分になります。
|
set-tx-query-timeout |
トランザクションがタイムアウトするまでの残り時間を基にクエリーのタイムアウトを設定するかどうかを指定します。トランザクションが存在しない場合は設定済みのクエリーのタイムアウトが使用されます。デフォルト値は
false です。
|
query-timeout | クエリーのタイムアウト (秒)。デフォルト値はタイムアウトなしです。 |
allocation-retry | 例外を発生させる前に接続の割り当てを再試行する回数。デフォルト値は 0 で、初回の割り当て失敗で例外が発生します。 |
allocation-retry-wait-millis |
接続の割り当てを再試行するまで待機する期間 (ミリ秒単位)。デフォルト値は 5000 (5 秒) です。
|
xa-resource-timeout |
ゼロでない場合、この値は
XAResource.setTransactionTimeout メソッドへ渡されます。
|
表6.11 ステートメントのパラメーター
パラメーター | 説明 |
---|---|
track-statements |
接続がプールへ返され、ステートメントが準備済みステートメントキャッシュへ返された時に、閉じられていないステートメントをチェックするかどうかを指定します。false の場合、ステートメントは追跡されません。
有効な値
|
prepared-statement-cache-size | LRU (Least Recently Used) キャッシュにある接続毎の準備済みステートメントの数。 |
share-prepared-statements |
閉じずに同じステートメントを 2 回要求した場合に、同じ基盤の準備済みステートメントを使用するかどうかを指定します。デフォルト値は
false です。
|
表6.12 リカバリーパラメーター
パラメーター | 説明 |
---|---|
recover-credential | リカバリーに使用するユーザー名とパスワードのペア、あるいはセキュリティードメイン。 |
recover-plugin |
リカバリーに使用される
org.jboss.jca.core.spi.recoveryRecoveryPlugin クラスの実装。
|
6.7.2. データソース接続 URL
表6.13 データソース接続 URL
データソース | 接続 URL |
---|---|
PostgreSQL | jdbc:postgresql://SERVER_NAME:PORT/DATABASE_NAME |
MySQL | jdbc:mysql://SERVER_NAME:PORT/DATABASE_NAME |
Oracle | jdbc:oracle:thin:@ORACLE_HOST:PORT:ORACLE_SID |
IBM DB2 | jdbc:db2://SERVER_NAME:PORT/DATABASE_NAME |
Microsoft SQLServer | jdbc:microsoft:sqlserver://SERVER_NAME:PORT;DatabaseName=DATABASE_NAME |
6.7.3. データソースの拡張
表6.14 データソースの拡張
データソースの拡張 | 設定パラメーター | 説明 |
---|---|---|
org.jboss.jca.adapters.jdbc.spi.ExceptionSorter | <exception-sorter> | SQLException が発生した接続にとってこの例外は致命的かどうかを確認します。 |
org.jboss.jca.adapters.jdbc.spi.StaleConnection | <stale-connection-checker> | org.jboss.jca.adapters.jdbc.StaleConnectionException の古い SQLExceptions をラップします。 |
org.jboss.jca.adapters.jdbc.spi.ValidConnection | <valid-connection-checker> | アプリケーションによる接続の使用が有効であるかどうかを確認します。 |
拡張の実装
- 汎用
- org.jboss.jca.adapters.jdbc.extensions.novendor.NullExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.novendor.NullStaleConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.novendor.NullValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.novendor.JDBC4ValidConnectionChecker
- PostgreSQL
- org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker
- MySQL
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLReplicationValidConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker
- IBM DB2
- org.jboss.jca.adapters.jdbc.extensions.db2.DB2ExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.db2.DB2StaleConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.db2.DB2ValidConnectionChecker
- Sybase
- org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseValidConnectionChecker
- Microsoft SQLServer
- org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker
- Oracle
- org.jboss.jca.adapters.jdbc.extensions.oracle.OracleExceptionSorter
- org.jboss.jca.adapters.jdbc.extensions.oracle.OracleStaleConnectionChecker
- org.jboss.jca.adapters.jdbc.extensions.oracle.OracleValidConnectionChecker
6.7.4. データソース統計の表示
jdbc
および pool
の定義済みデータソースより統計を表示できます。
手順6.11
/subsystem=datasources/data-source=ExampleDS/statistics=jdbc:read-resource(include-runtime=true)
/subsystem=datasources/data-source=ExampleDS/statistics=pool:read-resource(include-runtime=true)
注記
false
であるため、必ず include-runtime=true
引数を指定するようにしてください。
6.7.5. データソースの統計
サポートされるデータソースの主要統計は下表のとおりです。
表6.15 主要統計
名前 | 説明 |
---|---|
ActiveCount |
アクティブな接続の数。各接続はアプリケーションによって使用されているか、プールで使用可能な状態であるかのいずれかになります。
|
AvailableCount |
プールの使用可能な接続の数。
|
AverageBlockingTime |
プールの排他ロックの取得をブロックするために費やされた平均時間。値はミリ秒単位です。
|
AverageCreationTime |
接続の作成に費やされた平均時間。値はミリ秒単位です。
|
CreatedCount |
作成された接続の数。
|
DestroyedCount |
破棄された接続の数。
|
InUseCount |
現在使用中の接続の数。
|
MaxCreationTime |
接続の作成にかかった最大時間。値はミリ秒単位です。
|
MaxUsedCount |
使用される接続の最大数。
|
MaxWaitCount |
同時に接続を待機する要求の最大数。
|
MaxWaitTime |
プールの排他ロックの待機に費やされた最大時間。
|
TimedOut |
タイムアウトした接続の数。
|
TotalBlockingTime |
プールの排他ロックの待機に費やされた合計時間。値はミリ秒単位です。
|
TotalCreationTime |
接続の作成に費やされた合計時間。値はミリ秒単位です。
|
WaitCount |
接続を待機する必要がある要求の数。
|
サポートされるデータソースの JDBC 統計は下表のとおりです。
表6.16 JDBC の統計
名前 | 説明 |
---|---|
PreparedStatementCacheAccessCount |
ステートメントキャッシュがアクセスされた回数。
|
PreparedStatementCacheAddCount |
ステートメントキャッシュに追加されたステートメントの数。
|
PreparedStatementCacheCurrentSize |
ステートメントキャッシュに現在キャッシュされた準備済みおよび呼び出し可能ステートメントの数。
|
PreparedStatementCacheDeleteCount |
キャッシュから破棄されたステートメントの数。
|
PreparedStatementCacheHitCount |
キャッシュからのステートメントが使用された回数。
|
PreparedStatementCacheMissCount |
ステートメント要求がキャッシュのステートメントと一致しなかった回数。
|
Core
と JDBC
の統計を有効にできます。
/subsystem=datasources/data-source=ExampleDS/statistics=pool:write-attribute(name=statistics-enabled,value=true)
/subsystem=datasources/data-source=ExampleDS/statistics=jdbc:write-attribute(name=statistics-enabled,value=true)
6.8. データソース例
6.8.1. PostgreSQL データソースの例
例6.10
<datasources> <datasource jndi-name="java:jboss/PostgresDS" pool-name="PostgresDS"> <connection-url>jdbc:postgresql://localhost:5432/postgresdb</connection-url> <driver>postgresql</driver> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"></valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"></exception-sorter> </validation> </datasource> <drivers> <driver name="postgresql" module="org.postgresql"> <xa-datasource-class>org.postgresql.xa.PGXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="org.postgresql"> <resources> <resource-root path="postgresql-9.1-902.jdbc4.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.2. PostgreSQL XA データソースの例
例6.11
<datasources> <xa-datasource jndi-name="java:jboss/PostgresXADS" pool-name="PostgresXADS"> <driver>postgresql</driver> <xa-datasource-property name="ServerName">localhost</xa-datasource-property> <xa-datasource-property name="PortNumber">5432</xa-datasource-property> <xa-datasource-property name="DatabaseName">postgresdb</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker"> </valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter"> </exception-sorter> </validation> </xa-datasource> <drivers> <driver name="postgresql" module="org.postgresql"> <xa-datasource-class>org.postgresql.xa.PGXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="org.postgresql"> <resources> <resource-root path="postgresql-9.1-902.jdbc4.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.3. MySQL データソースの例
例6.12
<datasources> <datasource jndi-name="java:jboss/MySqlDS" pool-name="MySqlDS"> <connection-url>jdbc:mysql://mysql-localhost:3306/jbossdb</connection-url> <driver>mysql</driver> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker"></valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter"></exception-sorter> </validation> </datasource> <drivers> <driver name="mysql" module="com.mysql"> <xa-datasource-class>com.mysql.jdbc.jdbc2.optional.MysqlXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.mysql"> <resources> <resource-root path="mysql-connector-java-5.0.8-bin.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.4. MySQL XA データソースの例
例6.13
<datasources> <xa-datasource jndi-name="java:jboss/MysqlXADS" pool-name="MysqlXADS"> <driver>mysql</driver> <xa-datasource-property name="ServerName">localhost</xa-datasource-property> <xa-datasource-property name="DatabaseName">mysqldb</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker"></valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter"></exception-sorter> </validation> </xa-datasource> <drivers> <driver name="mysql" module="com.mysql"> <xa-datasource-class>com.mysql.jdbc.jdbc2.optional.MysqlXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.mysql"> <resources> <resource-root path="mysql-connector-java-5.0.8-bin.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.5. Oracle データソースの例
注記
例6.14
<datasources> <datasource jndi-name="java:/OracleDS" pool-name="OracleDS"> <connection-url>jdbc:oracle:thin:@localhost:1521:XE</connection-url> <driver>oracle</driver> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleValidConnectionChecker"></valid-connection-checker> <stale-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleStaleConnectionChecker"></stale-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleExceptionSorter"></exception-sorter> </validation> </datasource> <drivers> <driver name="oracle" module="com.oracle"> <xa-datasource-class>oracle.jdbc.xa.client.OracleXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.oracle"> <resources> <resource-root path="ojdbc6.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.6. Oracle XA データソースの例
注記
重要
user
は、JBoss から Oracle に接続するために定義されたユーザーです。
- GRANT SELECT ON sys.dba_pending_transactions TO user;
- GRANT SELECT ON sys.pending_trans$ TO user;
- GRANT SELECT ON sys.dba_2pc_pending TO user;
- GRANT EXECUTE ON sys.dbms_xa TO user; (パッチ済みの Oracle 10g R2、または Oracle 11g を使用する場合)または、GRANT EXECUTE ON sys.dbms_system TO user; (パッチされていない 11g 以前のバージョンの Oracle を使用する場合)
例6.15
<datasources> <xa-datasource jndi-name="java:/XAOracleDS" pool-name="XAOracleDS"> <driver>oracle</driver> <xa-datasource-property name="URL">jdbc:oracle:oci8:@tc</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <xa-pool> <is-same-rm-override>false</is-same-rm-override> <no-tx-separate-pools /> </xa-pool> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleValidConnectionChecker"></valid-connection-checker> <stale-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleStaleConnectionChecker"></stale-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.oracle.OracleExceptionSorter"></exception-sorter> </validation> </xa-datasource> <drivers> <driver name="oracle" module="com.oracle"> <xa-datasource-class>oracle.jdbc.xa.client.OracleXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.oracle"> <resources> <resource-root path="ojdbc6.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.7. Microsoft SQLServer のデータソースの例
例6.16
<datasources> <datasource jndi-name="java:/MSSQLDS" pool-name="MSSQLDS"> <connection-url>jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=MyDatabase</connection-url> <driver>sqlserver</driver> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker> </validation> </datasource> <drivers> <driver name="sqlserver" module="com.microsoft"> <xa-datasource-class>com.microsoft.sqlserver.jdbc.SQLServerXADataSource</xa-datasource-class> </driver> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.microsoft"> <resources> <resource-root path="sqljdbc4.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.8. Microsoft SQLServer XA のデータソースの例
例6.17
<datasources> <xa-datasource jndi-name="java:/MSSQLXADS" pool-name="MSSQLXADS"> <driver>sqlserver</driver> <xa-datasource-property name="ServerName">localhost</xa-datasource-property> <xa-datasource-property name="DatabaseName">mssqldb</xa-datasource-property> <xa-datasource-property name="SelectMethod">cursor</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <xa-pool> <is-same-rm-override>false</is-same-rm-override> </xa-pool> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.mssql.MSSQLValidConnectionChecker"></valid-connection-checker> </validation> </xa-datasource> <drivers> <driver name="sqlserver" module="com.microsoft"> <xa-datasource-class>com.microsoft.sqlserver.jdbc.SQLServerXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.microsoft"> <resources> <resource-root path="sqljdbc4.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.9. IBM DB2 データソースの例
例6.18
<datasources> <datasource jndi-name="java:/DB2DS" pool-name="DB2DS"> <connection-url>jdbc:db2:ibmdb2db</connection-url> <driver>ibmdb2</driver> <pool> <min-pool-size>0</min-pool-size> <max-pool-size>50</max-pool-size> </pool> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2ValidConnectionChecker"></valid-connection-checker> <stale-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2StaleConnectionChecker"></stale-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2ExceptionSorter"></exception-sorter> </validation> </datasource> <drivers> <driver name="ibmdb2" module="com.ibm"> <xa-datasource-class>com.ibm.db2.jdbc.DB2XADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.ibm"> <resources> <resource-root path="db2jcc4.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.10. IBM DB2 XA のデータソースの例
例6.19
<datasources> <xa-datasource jndi-name="java:/DB2XADS" pool-name="DB2XADS"> <driver>ibmdb2</driver> <xa-datasource-property name="DatabaseName">ibmdb2db</xa-datasource-property> <xa-datasource-property name="ServerName">hostname</xa-datasource-property> <xa-datasource-property name="PortNumber">port</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <xa-pool> <is-same-rm-override>false</is-same-rm-override> </xa-pool> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2ValidConnectionChecker"></valid-connection-checker> <stale-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2StaleConnectionChecker"></stale-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.db2.DB2ExceptionSorter"></exception-sorter> </validation> <recovery> <recover-plugin class-name="org.jboss.jca.core.recovery.ConfigurableRecoveryPlugin"> <config-property name="EnableIsValid">false</config-property> <config-property name="IsValidOverride">false</config-property> <config-property name="EnableClose">false</config-property> </recover-plugin> </recovery> </xa-datasource> <drivers> <driver name="ibmdb2" module="com.ibm"> <xa-datasource-class>com.ibm.db2.jcc.DB2XADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.ibm"> <resources> <resource-root path="db2jcc4.jar"/> <resource-root path="db2jcc_license_cisuz.jar"/> <resource-root path="db2jcc_license_cu.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.11. Sybase データソースの例
例6.20
<datasources> <datasource jndi-name="java:jboss/SybaseDB" pool-name="SybaseDB" enabled="true"> <connection-url>jdbc:sybase:Tds:localhost:5000/DATABASE?JCONNECT_VERSION=6</connection-url> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseValidConnectionChecker"></valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseExceptionSorter"></exception-sorter> </validation> </datasource> <drivers> <driver name="sybase" module="com.sybase"> <datasource-class>com.sybase.jdbc4.jdbc.SybDataSource</datasource-class> <xa-datasource-class>com.sybase.jdbc4.jdbc.SybXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.sybase"> <resources> <resource-root path="jconn2.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
6.8.12. Sybase XA データソースの例
例6.21
<datasources> <xa-datasource jndi-name="java:jboss/SybaseXADS" pool-name="SybaseXADS" enabled="true"> <xa-datasource-property name="NetworkProtocol">Tds</xa-datasource-property> <xa-datasource-property name="ServerName">myserver</xa-datasource-property> <xa-datasource-property name="PortNumber">4100</xa-datasource-property> <xa-datasource-property name="DatabaseName">mydatabase</xa-datasource-property> <security> <user-name>admin</user-name> <password>admin</password> </security> <validation> <background-validation>true</background-validation> <valid-connection-checker class-name="org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseValidConnectionChecker"></valid-connection-checker> <exception-sorter class-name="org.jboss.jca.adapters.jdbc.extensions.sybase.SybaseExceptionSorter"></exception-sorter> </validation> </xa-datasource> <drivers> <driver name="sybase" module="com.sybase"> <datasource-class>com.sybase.jdbc4.jdbc.SybDataSource</datasource-class> <xa-datasource-class>com.sybase.jdbc4.jdbc.SybXADataSource</xa-datasource-class> </driver> </drivers> </datasources>
module.xml
ファイルの例は次のとおりです。
<module xmlns="urn:jboss:module:1.1" name="com.sybase"> <resources> <resource-root path="jconn2.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
第7章 モジュールの設定
7.1. はじめに
7.1.1. モジュール
- 静的モジュール
- 静的モジュールは、アプリケーションサーバーの
EAP_HOME/modules/
ディレクトリーに事前定義されます。各サブディレクトリーは 1 つのモジュールを表し、設定ファイル (module.xml
) および必要な JAR ファイルが含まれるmain/
サブディレクトリーを定義します。モジュールの名前は、module.xml
ファイルで定義されます。アプリケーションサーバーによって提供されるすべての API (Java EE API や、JBoss Logging などのその他の API を含む) は、静的モジュールとして提供されます。例7.1 module.xml ファイルの例
<?xml version="1.0" encoding="UTF-8"?> <module xmlns="urn:jboss:module:1.0" name="com.mysql"> <resources> <resource-root path="mysql-connector-java-5.1.15.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.transaction.api"/> </dependencies> </module>
main/
サブディレクトリー名以外のモジュール名com.mysql
はそのモジュールのディレクトリー構造と一致する必要があります。JBoss EAP ディストリビューションで提供されるモジュールは、JBOSS_HOME/modules
ディレクトリー内のsystem
ディレクトリーにあります。そのため、サードパーティーによって提供されるモジュールから分離されます。JBoss EAP 6.1 またはそれ以降のバージョンの上部レイヤーにある Red Hat 提供のレイヤー製品も、モジュールをsystem
ディレクトリー内にインストールします。カスタム静的モジュールの作成は、同じサードパーティーライブラリーを使用する同じサーバー上に多くのアプリケーションがデプロイされる場合に役立ちます。これらのライブラリーを各アプリケーションとバンドルする代わりに、JBoss 管理者はこれらのライブラリーが含まれるモジュールを作成およびインストールできます。アプリケーションは、カスタム静的モジュールで明示的な依存関係を宣言できます。モジュール毎のディレクトリーになるよう、カスタムモジュールがJBOSS_HOME/modules
ディレクトリーにインストールされるようにする必要があります。こうすると、同梱されたバージョンではなく、system
ディレクトリーに存在するカスタムバージョンのモジュールがロードされるようになります。これにより、ユーザー提供のモジュールがシステムモジュールよりも優先されます。JBOSS_MODULEPATH
環境変数を使用して JBoss EAP がモジュールを検索する場所を変更する場合、指定された場所の 1 つでsystem
サブディレクトリー構造を探します。system
構造は、JBOSS_MODULEPATH
で指定された場所のどこかに存在する必要があります。 - 動的モジュール
- 動的モジュールは、各 JAR または WAR デプロイメント (または、EAR 内のサブデプロイメント) に対してアプリケーションサーバーによって作成およびロードされます。動的モジュールの名前は、デプロイされたアーカイブの名前から派生されます。デプロイメントはモジュールとしてロードされるため、依存関係を設定でき、他のデプロイメントは依存関係として使用することが可能です。
7.1.2. グローバルモジュール
7.1.3. モジュールの依存性
例7.2 モジュールの依存関係
- モジュール A がモジュール C への明示的な依存関係を宣言する場合。
- または、モジュール B がモジュール B の依存関係をモジュール C でエクスポートする場合。
7.1.4. サブデプロイメントクラスローダーの分離
7.2. すべてのデプロイメントを対象とするサブデプロイメントモジュール分離の無効化
警告
サーバーの停止
JBoss EAP 6 サーバーを停止します。サーバー設定ファイルを開く
サーバー設定ファイルをテキストエディターで開きます。このファイルは、管理対象ドメインまたはスタンドアロンサーバーによって異なります。また、デフォルト以外の場所とファイル名が使用されることがあります。デフォルトの設定ファイルは、domain/configuration/domain.xml
(管理対象ドメインの場合) とstandalone/configuration/standalone.xml
(スタンドアロンサーバー) です。EE サブシステム設定の特定
設定ファイルの EE サブシステム設定要素を特定します。設定ファイルの<profile>
要素には、複数のサブシステム要素が含まれます。EE サブシステム要素にはurn:jboss:domain:ee:1.2
のネームスペースがあります。<profile> ... <subsystem xmlns="urn:jboss:domain:ee:1.2" /> ...
デフォルト設定には単一の自己終了タグがありますが、カスタム設定は、以下のような個別の開始タグと終了タグを持つことがあります (タグ間に別の要素が含まれることがあります)。<subsystem xmlns="urn:jboss:domain:ee:1.2" ></subsystem>
自己終了タグの置き換え (必要な場合)
EE サブシステム要素が単一の自己終了タグである場合は、以下のように適切な開始タグと終了タグで置き換えます。<subsystem xmlns="urn:jboss:domain:ee:1.2" ></subsystem>
ear-subdeployments-isolated 要素の追加
以下のように、ear-subdeployments-isolated
要素を EE サブシステム要素の子として追加し、false
の内容を追加します。<subsystem xmlns="urn:jboss:domain:ee:1.2" ><ear-subdeployments-isolated>false</ear-subdeployments-isolated></subsystem>
サーバーの起動
新しい設定で実行されるよう JBoss EAP 6 サーバーを再起動します。
すべてのデプロイメントに対してサブデプロイメントモジュール分離が無効化された状態で、サーバーが実行されます。
7.3. すべてのデプロイメントへのモジュールの追加
前提条件
- グローバルモジュールとして設定されるモジュールの名前を知っている必要があります。JBoss EAP 6 に含まれる静的モジュールの一覧は、「含まれるモジュール」 を参照してください。モジュールが他のデプロイメントにある場合は、「動的モジュールの名前付け」 を参照してモジュール名を判断してください。
手順7.1 グローバルモジュールリストへのモジュールの追加
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- EE Subsystem パネルへ移動します。
- コンソールの上部から Configuration タブを選択します。
ドメインモードの場合
- 左上のドロップダウンボックスより該当するプロファイルを選択します。
- コンソールの左側にある Subsystems メニューを展開します。
- コンソールの左側にあるメニューより Container → EE の順で選択します。
- Subsystem Defaults セクションの Add をクリックします。Create Module ダイアログが表示されます。
- モジュールの名前と任意でモジュールスロットを入力します。
- Save をクリックして新しいグローバルモジュールを追加するか、 Cancel をクリックしてキャンセルします。
- Save をクリックすると、ダイアログが閉じられ指定のモジュールがグローバルモジュールのリストに追加されます。
- Cancel をクリックするとダイアログが閉じられ、何も変更されません。
グローバルモジュールのリストに追加されたモジュールは各デプロイメントへの依存関係に追加されます。
7.4. カスタムモジュールの作成
手順7.2 カスタムモジュールの作成
module/
ディレクトリー構造を作成し、ファイルを追加します。EAP_HOME/module
ディレクトリー下にディレクトリー構造を作成し、ファイルや JAR が含まれるようにします。例は次のとおりです。$ cd EAP_HOME/modules/
$ mkdir -p myorg-conf/main/properties
- 作成した
EAP_HOME/modules/myorg-conf/main/properties/
ディレクトリーにプロパティーファイルを移動します。 - 次の XML が含まれる
module.xml
ファイルをEAP_HOME/modules/myorg-conf/main/
ディレクトリーに作成します。<module xmlns="urn:jboss:module:1.1" name="myorg-conf"> <resources> <resource-root path="properties"/> </resources> </module>
- サーバー設定ファイルの
ee
サブシステムを編集します。JBoss CLI を使用するか、手作業でファイルを編集します。- 次の手順に従って JBoss CLI を使用し、サーバー設定ファイルを編集します。
- サーバーを起動し、管理 CLI へ接続します。
- Linux の場合は、コマンドラインで以下を入力します。
$ EAP_HOME/bin/jboss-cli.sh --connect
- Windows の場合は、コマンドラインで以下を入力します。
C:\>EAP_HOME\bin\jboss-cli.bat --connect
次の応答が表示されるはずです。Connected to standalone controller at localhost:9999
ee
サブシステムにmyorg-conf
<global-modules> 要素を作成するには、コマンドラインで以下を入力します。/subsystem=ee:write-attribute(name=global-modules, value=[{"name"=>"myorg-conf","slot"=>"main"}])
次の結果が表示されるはずです。{"outcome" => "success"}
- サーバー設定ファイルを手作業で編集する場合は、次の手順に従ってください。
- サーバーを停止し、テキストエディターでサーバー設定ファイルを開きます。スタンドアロンサーバーを実行している場合は、
EAP_HOME/standalone/configuration/standalone.xml
ファイルになります。管理対象ドメインを実行している場合は、EAP_HOME/domain/configuration/domain.xml
ファイルになります。 ee
サブシステムを見つけ、myorg-conf
のグローバルモジュールを追加します。以下は、myorg-conf
要素が含まれるように編集されたee
サブシステム要素の例になります。<subsystem xmlns="urn:jboss:domain:ee:1.0" > <global-modules> <module name="myorg-conf" slot="main" /> </global-modules> </subsystem>
my.properties
という名前のファイルを正しいモジュールの場所にコピーした場合は、以下のようなコードを使用してプロパティーファイルをロードできるようになります。Thread.currentThread().getContextClassLoader().getResource("my.properties");
7.5. 外部 JBoss モジュールディレクトリーの定義
デフォルトでは、JBoss EAP は EAP_HOME/modules/
ディレクトリーのモジュールを探します。JBoss EAP が 1 つまたは複数の外部ディレクトリーを検索するようにするには、JBOSS_MODULEPATH
環境変数を定義するか、起動設定ファイルに変数を設定します。本トピックでは両方の方法について説明します。
手順7.3 JBOSS_MODULEPATH 環境変数の設定
- 1 つ以上の外部モジュールディレクトリーを指定するには、
JBOSS_MODULEPATH
環境変数を定義します。Linux では、以下のようにディレクトリーのリストをコロンで区別します。export JBOSS_MODULEPATH=EAP_HOME/modules/:/home/username/external/modules/directory/
Windows では、以下のようにディレクトリーのリストをセミコロンで区別します。SET JBOSS_MODULEPATH=EAP_HOME\modules\;D:\JBoss-Modules\
手順7.4 起動設定ファイルでの JBOSS_MODULEPATH 変数の設定
- グローバル環境変数を設定したくない場合は、JBoss EAP 起動設定ファイルで
JBOSS_MODULEPATH
変数を設定できます。スタンドアロンサーバーを実行している場合は、EAP_HOME/bin/standalone.conf
ファイルになります。サーバーが管理対象ドメインで実行されている場合は、EAP_HOME/bin/domain.conf
ファイルになります。以下は、JBOSS_MODULEPATH
変数をstandalone.conf
ファイルに設定するコマンドの例になります。JBOSS_MODULEPATH="EAP_HOME/modules/:/home/username/external/modules/directory/"
7.6. 参考資料
7.6.1. 含まれるモジュール
7.6.2. 動的モジュールの名前付け
- WAR および JAR ファイルのデプロイメントは次の形式で名前が付けられます。
deployment.DEPLOYMENT_NAME
たとえば、inventory.war
のモジュール名はdeployment.inventory.war
となり、store.jar
のモジュール名はdeployment.store.jar
となります。 - エンタープライズアーカイブ内のサブデプロイメントは次の形式で名前が付けられます。
deployment.EAR_NAME.SUBDEPLOYMENT_NAME
たとえば、エンタープライズアーカイブaccounts.ear
内にあるreports.war
のサブデプロイメントのモジュール名はdeployment.accounts.ear.reports.war
になります。
第8章 Jsvc
8.1. はじめに
8.1.1. Jsvc
注記
Native Utilities for Windows Server
用ファイルに含まれる prunsrv.exe
を参照してください。
8.1.2. Jsvc を使用した JBoss EAP の起動および停止
前提条件
- Zip を使用して JBoss EAP がインストールされた場合、以下の条件を満たしている必要があります。
- Red Hat カスタマーポータルからダウンロードできる、ご使用のオペレーティングシステム用の「Native Utilities」パッケージをインストールします。『インストールガイド』の「ネイティブコンポーネントおよびネイティブユーティリティーのインストール (Zip、インストーラー)」を参照してください。
- JBoss EAP 6 インスタンスが実行されるユーザーアカウントを作成します。サーバーを起動および停止するために使用されるアカウントには、JBoss EAP がインストールされたディレクトリーの読み書き権限が必要です。
- RPM を使用して JBoss EAP がインストールされた場合は、「apache-commons-daemon-jsvc-eap6」パッケージをインストールします。『インストールガイド』の「ネイティブコンポーネントおよびネイティブユーティリティーのインストール (RPM インストール)」を参照してください。
以下は、スタンドアロンモードで JBoss EAP を起動または停止する手順です。
表8.1 Zip インストールの Jsvc ファイルの場所 - スタンドアロンモード
手順のファイル参照 | ファイルの場所 |
---|---|
EAP-HOME |
${eap-installation-location}/jboss-eap-${version}
|
JSVC-BIN |
EAP_HOME/modules/system/layers/base/native/sbin/jsvc
|
JSVC-JAR |
EAP_HOME/modules/system/layers/base/native/sbin/commons-daemon.jar
|
CONF-DIR |
EAP_HOME/standalone/configuration
|
LOG-DIR |
EAP_HOME/standalone/log
|
表8.2 RPM インストールの Jsvc ファイルの場所 - スタンドアロンモード
手順のファイル参照 | ファイルの場所 |
---|---|
EAP-HOME |
/usr/share/jbossas
|
JSVC-BIN |
/usr/bin/jsvc-eap6/jsvc
|
JSVC-JAR |
EAP_HOME/modules/system/layers/base/native/sbin/commons-daemon.jar
|
CONF-DIR |
/etc/jbossas/standalone
|
LOG-DIR |
/var/log/jbossas/standalone
|
スタンドモードでの JBoss EAP の起動
JSVC_BIN \ -outfile LOG_DIR/jsvc.out.log \ -errfile LOG_DIR/jsvc.err.log \ -pidfile LOG_DIR/jsvc.pid \ -user jboss \ -D[Standalone] -XX:+UseCompressedOops -Xms1303m \ -Xmx1303m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true \ -Dorg.jboss.boot.log.file=LOG_DIR/server.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -cp EAP_HOME/jboss-modules.jar:JSVC_JAR \ -Djboss.home.dir=EAP_HOME \ -Djboss.server.base.dir=EAP_HOME/standalone \ @org.jboss.modules.Main -start-method main \ -mp EAP_HOME/modules \ -jaxpmodule javax.xml.jaxp-provider \ org.jboss.as.standalone
スタンドアロンモードでの JBoss EAP の停止
JSVC_BIN \ -stop \ -outfile LOG_DIR/jsvc.out.log \ -errfile LOG_DIR/jsvc.err.log \ -pidfile LOG_DIR/jsvc.pid \ -user jboss \ -D[Standalone] -XX:+UseCompressedOops -Xms1303m \ -Xmx1303m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true \ -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true \ -Dorg.jboss.boot.log.file=LOG_DIR/server.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -cp EAP_HOME/jboss-modules.jar:JSVC_JAR \ -Djboss.home.dir=EAP_HOME \ -Djboss.server.base.dir=EAP_HOME/standalone \ @org.jboss.modules.Main -start-method main \ -mp EAP_HOME/modules \ -jaxpmodule javax.xml.jaxp-provider \ org.jboss.as.standalone
以下は、ドメインモードで JBoss EAP を起動または停止する手順です。ドメインモードでは、JAVA_HOME 変数を Java ホームディレクトリーに置き換える必要があることに注意してください。
表8.3 Zip インストールの Jsvc ファイルの場所 - ドメインモード
手順のファイル参照 | ファイルの場所 |
---|---|
EAP-HOME |
${eap-installation-location}/jboss-eap-${version}
|
JSVC-BIN |
EAP_HOME/modules/system/layers/base/native/sbin/jsvc
|
JSVC-JAR |
EAP_HOME/modules/system/layers/base/native/sbin/commons-daemon.jar
|
CONF-DIR |
EAP_HOME/domain/configuration
|
LOG-DIR |
EAP_HOME/domain/log
|
表8.4 RPM インストールの Jsvc ファイルの場所 - ドメインモード
手順のファイル参照 | ファイルの場所 |
---|---|
EAP-HOME |
/usr/share/jbossas
|
JSVC-BIN |
/usr/bin/jsvc-eap6/jsvc
|
JSVC-JAR |
EAP_HOME/modules/system/layers/base/native/sbin/commons-daemon.jar
|
CONF-DIR |
/etc/jbossas/domain
|
LOG-DIR |
/var/log/jbossas/domain
|
ドメインモードでの JBoss EAP の起動
JSVC_BIN \ -outfile LOG_DIR/jsvc.out.log \ -errfile LOG_DIR/jsvc.err.log \ -pidfile LOG_DIR/jsvc.pid \ -user jboss \ -nodetach -D"[Process Controller]" -server -Xms64m \ -Xmx512m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true \ -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true \ -Dorg.jboss.boot.log.file=LOG_DIR/process-controller.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -cp "EAP_HOME/jboss-modules.jar:JSVC_JAR" \ org.apache.commons.daemon.support.DaemonWrapper \ -start org.jboss.modules.Main -start-method main \ -mp EAP_HOME/modules org.jboss.as.process-controller \ -jboss-home EAP_HOME -jvm $JAVA_HOME/bin/java \ -mp EAP_HOME/modules -- \ -Dorg.jboss.boot.log.file=LOG_DIR/host-controller.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -server -Xms64m -Xmx512m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true \ -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true -- -default-jvm $JAVA_HOME/bin/java
ドメインモードでの JBoss EAP の停止
JSVC_BIN \ -stop \ -outfile LOG_DIR/jsvc.out.log \ -errfile LOG_DIR/jsvc.err.log \ -pidfile LOG_DIR/jsvc.pid \ -user jboss \ -nodetach -D"[Process Controller]" -server -Xms64m \ -Xmx512m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true \ -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true \ -Dorg.jboss.boot.log.file=LOG_DIR/process-controller.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -cp "EAP_HOME/jboss-modules.jar:JSVC_JAR" \ org.apache.commons.daemon.support.DaemonWrapper \ -start org.jboss.modules.Main -start-method main \ -mp EAP_HOME/modules org.jboss.as.process-controller \ -jboss-home EAP_HOME -jvm $JAVA_HOME/bin/java \ -mp EAP_HOME/modules -- \ -Dorg.jboss.boot.log.file=LOG_DIR/host-controller.log \ -Dlogging.configuration=file:CONF_DIR/logging.properties \ -Djboss.modules.policy-permissions \ -server -Xms64m -Xmx512m -XX:MaxPermSize=256m \ -Djava.net.preferIPv4Stack=true \ -Djboss.modules.system.pkgs=org.jboss.byteman \ -Djava.awt.headless=true -- -default-jvm $JAVA_HOME/bin/java
注記
第9章 グローバル値
9.1. バルブ
- グローバルバルブはサーバーレベルで設定され、サーバーにデプロイされたすべてのアプリケーションに適用されます。グローバルバルブの設定手順については、JBoss EAP の『管理および設定ガイド』を参照してください。
- アプリケーションレベルで設定されたバルブはアプリケーションデプロイメントとパッケージ化され、特定のアプリケーションのみが影響します。アプリケーションレベルでバルブを設定する方法の手順については、JBoss EAP の『開発ガイド』を参照してください。
9.2. グローバルバルブ
9.3. オーセンティケーターバルブ
org.apache.catalina.authenticator.AuthenticatorBase
のサブクラスで、authenticate(Request request, Response response, LoginConfig config)
メソッドを上書きします。
9.4. グローバルバルブのインストール
前提条件:
- バルブを作成し、JAR ファイルにパッケージ化する必要があります。
- モジュールに対して
module.xml
ファイルを作成する必要があります。module.xml
ファイルの例は 「モジュール」 を参照してください。
手順9.1 グローバルモジュールのインストール
モジュールインストールディレクトリーの作成
インストールするモジュールのディレクトリーはアプリケーションサーバーの modules ディレクトリーに作成する必要があります。EAP_HOME/modules/system/layers/base/MODULENAME/main
$ mkdir -P EAP_HOME/modules/system/layers/base/MODULENAME/main
ファイルのコピー
JAR およびmodule.xml
ファイルを 1. で作成したディレクトリーにコピーします。$ cp MyValves.jar module.xml EAP_HOME/modules/system/layers/base/MODULENAME/main
9.5. グローバルバルブの設定
手順9.2 グローバルバルブの設定
バルブの有効化
add
操作を使用して新しいバルブエントリーを追加します。/subsystem=web/valve=VALVENAME:add(module="MODULENAME",class-name="CLASSNAME")
次の値を指定する必要があります。VALVENAME
(アプリケーション設定でこのバルブの参照に使用される名前)MODULENAME
(設定される値が含まれるモジュール)CLASSNAME
(モジュールの特定バルブのクラス名)
/subsystem=web/valve=clientlimiter:add(module="clientlimitermodule",class-name="org.jboss.samplevalves.RestrictedUserAgentsValve")
オプション: パラメーターの指定
バルブに設定パラメーターがある場合は、add-param
操作で指定します。/subsystem=web/valve=testvalve:add-param(param-name="NAME", param-value="VALUE")
/subsystem=web/valve=testvalve:add-param( param-name="restrictedUserAgents", param-value="^.*MS Web Services Client Protocol.*$" )
第10章 アプリケーションデプロイメント
10.1. アプリケーションデプロイメント
管理
Development
10.2. 管理コンソールでのデプロイ
10.2.1. 管理コンソースでのアプリケーションデプロイメント管理
10.2.2. 管理コンソールを使用してデプロイされたアプリケーションを有効化
手順10.1 管理コンソールを使用してデプロイされたアプリケーションを有効化
- コンソールの上部より Runtime タブを選択します。
- 管理対象ドメインの場合は、
Domain
メニューを展開します。 - スタンドアロンサーバーの場合は、
Server
メニューを展開します。
- Manage Deployments を選択します。
- アプリケーションのデプロイメントの方法は、スタンドアロンサーバーインスタンスと管理対象ドメインのどちらにデプロイするかによって異なります。
スタンドアロンサーバーインスタンスでのアプリケーションの有効化
Available Deployments の表には、利用可能なすべてのアプリケーションデプロイメントとそれらの状態が表示されます。- スタンドアロンサーバーインスタンスでアプリケーションを有効にするには、アプリケーションを選択した後に En/Disable をクリックします。
- confirm をクリックし、サーバーインスタンスでアプリケーションを有効にすることを確定します。
管理対象ドメインでのアプリケーションの有効化
Content Repository タブには、利用可能なすべてのアプリケーションデプロイメントと、それらの状態を表す Available Deployment Content の表が含まれます。- 管理対象ドメインでアプリケーションを有効にするには、デプロイするアプリケーションを選択します。Available Deployment Content の表の上にある Assign をクリックします。
- アプリケーションを追加したい各サーバーグループのボックスにチェックマークを付け、Save をクリックして終了します。
- Server Groups タブをクリックし Server Groups の表を表示します。アプリケーションが選択したサーバーグループにデプロイされます。
該当のサーバーあるいはサーバーグループにアプリケーションがデプロイされます。
10.2.3. 管理コンソールを使用してデプロイされたアプリケーションを無効化
手順10.2 管理コンソールを使用してデプロイされたアプリケーションを無効化
- コンソールの上部より Runtime タブを選択します。
- 管理対象ドメインの場合は、Domain メニューを展開します。
- スタンドアロンサーバーの場合は、Server メニューを展開します。
- Manage Deployments を選択します。
- アプリケーションを無効化する方法は、スタンドアロンサーバーインスタンスと管理対象ドメインのどちらにデプロイするかどうかによって異なります。
スタンドアロンサーバーインスタンスにデプロイされたアプリケーションを無効化
Available Deployments の表には、利用可能なすべてのアプリケーションデプロイメントとそれらの状態が表示されます。- 無効にするアプリケーションを選択します。En/Disable をクリックし、選択したアプリケーションを無効にします。
- Confirm をクリックし、サーバーインスタンスでアプリケーションを無効にすることを確定します。
管理対象ドメインでのデプロイされたアプリケーションの無効化
Manage Deployments Content 画面には Content Repository タブが含まれます。Available Deployment Content の表には、利用可能なすべてのアプリケーションデプロイメントとそれらの状態が表示されます。- Server Groups タブを選択して、サーバーグループとデプロイされたアプリケーションの状態を表示します。
- アプリケーションをアンデプロイするサーバーの名前を Server Group の表から選択します。View をクリックしてアプリケーションを確認します。
- アプリケーションを選択し、En/Disable をクリックして選択したサーバーのアプリケーションを無効にします。
- Confirm をクリックし、サーバーインスタンスでアプリケーションを無効にすることを確定します。
- 必要に応じて、他のサーバーグループにも同じ手順を繰り返します。Group Deployments の表の各サーバーグループに対してアプリケーションの状態が確定されます。
該当のサーバーあるいはサーバーグループからアプリケーションがアンデプロイされます。
10.2.4. 管理コンソールを使用したアプリケーションのアンデプロイ
前提条件
手順10.3 管理コンソールを使用したアプリケーションのアンデプロイ
- コンソールの上部より Runtime タブを選択します。
- 管理対象ドメインの場合は、Domain メニューを展開します。
- スタンドアロンサーバーの場合は、Server メニューを展開します。
- Manage Deployments を選択します。
- アプリケーションをアンデプロイする方法は、スタンドアロンサーバーインスタンスと管理対象ドメインのどちらからアンデプロイするかどうかによって異なります。
デプロイされたアプリケーションをスタンドアロンサーバーインスタンスからアンデプロイ
Available Deployments の表には、利用可能なすべてのアプリケーションデプロイメントとそれらの状態が表示されます。- アンデプロイするアプリケーションを選択します。Remove をクリックして、選択されたアプリケーションをアンデプロイします。
- Confirm をクリックし、サーバーインスタンスでアプリケーションをアンデプロイすることを確定します。
デプロイされたアプリケーションを管理対象ドメインからアンデプロイ
Manage Deployments Content 画面には Content Repository タブが含まれます。Available Deployment Content の表には、利用可能なすべてのアプリケーションデプロイメントとそれらの状態が表示されます。- Server Groups タブを選択して、サーバーグループとデプロイされたアプリケーションの状態を表示します。
- アプリケーションをアンデプロイするサーバーの名前を Server Group の表から選択します。View をクリックしてアプリケーションを確認します。
- アプリケーションを選択し、Remove をクリックして、選択されたサーバーのアプリケーションをアンデプロイします。
- Confirm をクリックし、サーバーインスタンスでアプリケーションをアンデプロイすることを確定します。
- 必要に応じて、他のサーバーグループにも同じ手順を繰り返します。Group Deployments の表の各サーバーグループに対してアプリケーションの状態が確定されます。
該当のサーバーあるいはサーバーグループからアプリケーションがアンデプロイされます。スタンドアロンインスタンスでは、デプロイメントコンテンツも削除されます。管理対象ドメインでは、デプロイメントコンテンツはコンテンツリポジトリーに残り、サーバーグループからのみアンデプロイされます。
10.3. 管理 CLI でのデプロイ
10.3.1. 管理 CLI でのアプリケーションデプロイメントの管理
10.3.2. 管理 CLI を使用したスタンドアロンサーバーでのアプリケーションのデプロイ
手順10.4 スタンドアロンサーバーでのアプリケーションのデプロイ
deploy
コマンドの実行管理 CLI で、アプリケーションデプロイメントへのパスを指定してdeploy
コマンドを入力します。[standalone@localhost:9999 /]
deploy /path/to/test-application.war
デプロイメントに成功しても CLI には何も出力されないことに注意してください。
指定のアプリケーションが、スタンドアロンサーバーにデプロイされます。
10.3.3. 管理 CLI を使用したスタンドアロンサーバーでのアプリケーションのアンデプロイ
手順10.5 スタンドアロンサーバーでのアプリケーションのアンデプロイ
undeploy
コマンドはアンデプロイし、 JBoss EAP のスタンドアロンインスタンスからデプロイメントコンテンツを削除します。デプロイメントコンテンツを保持するには、パラメーター --keep-content
を追加します。
undeploy
コマンドの実行アプリケーションをアンデプロイし、デプロイメントコンテンツを削除するには、アプリケーションデプロイメントのファイル名とともに、管理 CLIundeploy
コマンドを入力します。[standalone@localhost:9999 /]
undeploy test-application.war
アプリケーションをアンデプロイし、デプロイメントコンテンツを保持するには、アプリケーションデプロイメントのファイル名とパラメーター--keep-content
ともに、管理 CLIundeploy
コマンドを入力します。[standalone@localhost:9999 /]
undeploy test-application.war
--keep-content
指定されたアプリケーションはアンデプロイされます。undeploy
コマンドは、成功した場合に管理 CLI に出力を表示しません。
10.3.4. 管理 CLI を使用した管理対象ドメインでのアプリケーションのデプロイ
手順10.6 管理対象ドメインでのアプリケーションのデプロイ
deploy
コマンドの実行管理 CLI で、アプリケーションデプロイメントへのパスを指定してdeploy
コマンドを入力します。すべてのサーバーグループをデプロイするために--all-server-groups
パラメーターを追加します。[domain@localhost:9999 /]
deploy /path/to/test-application.war --all-server-groups
- または、
--server-groups
パラメーターを追加して、デプロイメントに固有なサーバーグループを定義します。[domain@localhost:9999 /]
deploy /path/to/test-application.war --server-groups=server_group_1,server_group_2
デプロイメントに成功しても CLI には何も出力されないことに注意してください。
指定のアプリケーションが、管理対象ドメインのサーバーグループにデプロイされます。
10.3.5. 管理 CLI を使用した管理対象ドメインでのアプリケーションのアンデプロイ
手順10.7 管理対象ドメインでのアプリケーションのアンデプロイ
undeploy
コマンドの実行管理 CLI で、アプリケーションデプロイメントのファイル名を指定してundeploy
コマンドを入力します。--all-relevant-server-groups
パラメーターを追加すると、アプリケーションがデプロイされたすべてのサーバーグループからアプリケーションをアンデプロイできます。[domain@localhost:9999 /]
undeploy
test-application.war--all-relevant-server-groups
アンデプロイメントに成功すると、CLI へ出力されません。
指定のアプリケーションがアンデプロイされます。
10.4. HTTP API を用いたデプロイ
10.4.1. HTTP API を使用したアプリケーションのデプロイ
以下の手順に従って、HTTP API よりアプリケーションをデプロイできます。
手順10.8 DeployDmrToJson.java
を使用したアプリケーションのデプロイ
DeployDmrToJson.java
を使用して JSON への要求を生成し、アプリケーションをデプロイします。例10.1 DeployDmrToJson.java クラス
import org.jboss.dmr.ModelNode; import java.net.URL; public class DeployDmrToJson { public static void main(String[] args) throws Exception { if(args.length < 1) throw new IllegalArgumentException("The first argument must be a URL"); URL url = new URL(args[0]); String[] pathElements = url.getFile().split("/"); String name = pathElements[pathElements.length-1]; ModelNode deploy = getDeploy(url.toExternalForm(), name); ModelNode undeploy = getUndeploy(name); System.out.println("Deploy\n------------------------------\n"); System.out.println("Formatted:\n" + deploy.toJSONString(false)); System.out.println("Unformatted:\n" + deploy.toJSONString(true)); System.out.println("\nUndeploy\n------------------------------\n"); System.out.println("Formatted:\n" + undeploy.toJSONString(false)); System.out.println("Unformatted:\n" + undeploy.toJSONString(true)); } public static ModelNode getUndeploy(String name) { ModelNode undeployRequest = new ModelNode(); undeployRequest.get("operation").set("undeploy"); undeployRequest.get("address", "deployment").set(name); ModelNode removeRequest = new ModelNode(); removeRequest.get("operation").set("remove"); removeRequest.get("address", "deployment").set(name); ModelNode composite = new ModelNode(); composite.get("operation").set("composite"); composite.get("address").setEmptyList(); final ModelNode steps = composite.get("steps"); steps.add(undeployRequest); steps.add(removeRequest); return composite; } public static ModelNode getDeploy(String url, String name) { ModelNode deployRequest = new ModelNode(); deployRequest.get("operation").set("deploy"); deployRequest.get("address", "deployment").set(name); ModelNode addRequest = new ModelNode(); addRequest.get("operation").set("add"); addRequest.get("address", "deployment").set(name); addRequest.get("content").get(0).get("url").set(url); ModelNode composite = new ModelNode(); composite.get("operation").set("composite"); composite.get("address").setEmptyList(); final ModelNode steps = composite.get("steps"); steps.add(addRequest); steps.add(deployRequest); return composite; } }
- 以下のように、コマンドを使用してクラスを実行します。
例10.2 コマンドの実行
java -cp .:$JBOSS_HOME/modules/org/jboss/dmr/main/jboss-dmr-1.1.1.Final-redhat-1.jar DeployDmrToJson \ file:///Users/username/support/helloWorld.war/dist/helloWorld.war
- クラスが実行されると、以下のコマンド形式が表示されます。必要に応じて、
deploy
またはundeploy
コマンドを使用します。例10.3 デプロイおよびアンデプロイコマンド
Deploy ------------------------------ Formatted: { "operation" : "composite", "address" : [], "steps" : [ { "operation" : "add", "address" : {"deployment" : "helloWorld.war"}, "content" : [{"url" : "file:/Users/username/support/helloWorld.war/dist/helloWorld.war"}] }, { "operation" : "deploy", "address" : {"deployment" : "helloWorld.war"} } ] } Unformatted: {"operation" : "composite", "address" : [], "steps" : [{"operation" : "add", "address" : {"deployment" : "helloWorld.war"}, "content" : [{"url" : "file:/Users/username/support/helloWorld.war/dist/helloWorld.war"}]},{"operation" : "deploy", "address" : {"deployment" : "helloWorld.war"}}]} Undeploy ------------------------------ Formatted: { "operation" : "composite", "address" : [], "steps" : [ { "operation" : "undeploy", "address" : {"deployment" : "helloWorld.war"} }, { "operation" : "remove", "address" : {"deployment" : "helloWorld.war"} } ] } Unformatted: {"operation" : "composite", "address" : [], "steps" : [{"operation" : "undeploy", "address" : {"deployment" : "helloWorld.war"}},{"operation" : "remove", "address" : {"deployment" : "helloWorld.war"}}]}
- 以下のコマンドを使用して、アプリケーションをデプロイまたはアンデプロイします。
json request
を上記の要求に置き換えます。例10.4 コマンドの実行
curl -f --digest -u "<user>:<pass>" -H Content-Type:\ application/json -d '<json request>' "http://localhost:9990/management"
10.5. デプロイメントスキャナーでのデプロイ
10.5.1. デプロイメントスキャナーでのアプリケーションデプロイメント管理
10.5.2. デプロイメントスキャナーを使用してスタンドアロンサーバーインスタンスにアプリケーションをデプロイ
前提条件
このタスクでは、デプロイメントスキャナーを使用してアプリケーションをスタンドアロンサーバーインスタンスにデプロイする方法を説明します。「アプリケーションデプロイメント 」 の説明にあるように、この方法は開発者の利便性のために保持され、本番稼働環境でのアプリケーション管理には管理コンソールと管理 CLI の方法が推奨されます。
手順10.9 デプロイメントスキャナーを使用したアプリケーションのデプロイ
デプロイメントフォルダーへのコンテンツのコピー
アプリケーションファイルを、EAP_HOME/standalone/deployments/
にあるデプロイメントフォルダーにコピーします。デプロイメントスキャンモード
アプリケーションのデプロイ方法は 2 つあります。自動または手動のデプロイメントスキャナーモードを選択できます。「管理 CLI でのデプロイメントスキャナーの設定」 を読んでから、いずれかのデプロイメント方法を開始してください。自動デプロイメント
デプロイメントスキャナーは、「管理 CLI でのデプロイメントスキャナーの設定」 で定義されたようにフォルダー状態の変更を検出し、マーカーファイルを作成します。手動デプロイメント
デプロイメントスキャナーでは、デプロイメントプロセスをトリガーするマーカーファイルが必要です。以下の例では、Unix のtouch
コマンドを使用して新しい.dodeploy
ファイルを作成します。例10.5
touch
コマンドを使用したデプロイ[user@host bin]$
touch
$EAP_HOME/standalone/deployments/example.war.dodeploy
アプリケーションファイルがアプリケーションサーバーにデプロイされます。マーカーファイルがデプロイメントフォルダーで作成され、デプロイメントが正常に終了したことを示します。アプリケーションは、管理コンソールで、Enabled
と示されます。
例10.6 デプロイメント後のデプロイメントフォルダーコンテンツ
example.war example.war.deployed
10.5.3. デプロイメントスキャナーを使用してスタンドアロンサーバーインスタンスからアプリケーションをアンデプロイ
このタスクでは、デプロイメントスキャナーを使用してデプロイされたスタンドアロンサーバーインスタンスからアプリケーションをアンデプロイする方法を説明します。「アプリケーションデプロイメント 」 の説明にあるように、この方法は開発者の利便性のために保持され、本番稼働環境でのアプリケーション管理には管理コンソールと管理 CLI の方法が推奨されます。
注記
手順10.10 以下の方法の 1 つを用いたアプリケーションのアンデプロイ
アプリケーションのアンデプロイ
アプリケーションをデプロイする方法は 2 つありますが、アプリケーションをデプロイメントフォルダーから削除する場合と、デプロイメントの状態のみを変更する場合によって、使用する方法が異なります。マーカーファイルの削除によるアンデプロイ
デプロイされたアプリケーションのexample.war.deployed
マーカーファイルを削除して、ランタイムからアプリケーションのアンデプロイを開始するためにデプロイメントスキャナーをトリガーします。- 結果
- デプロイメントスキャナーは、アプリケーションをアンデプロイし、
example.war.undeployed
マーカーファイルを作成します。アプリケーションは、デプロイメントフォルダーに維持されます。
アプリケーションの削除によるアンデプロイ
デプロイメントディレクトリーからアプリケーションを削除して、ランタイムからアプリケーションのアンデプロイを開始するためにデプロイメントスキャナーをトリガーします。- 結果
- デプロイメントスキャナーは、アプリケーションをアンデプロイし、
filename.filetype.undeployed
マーカーファイルを作成します。アプリケーションはデプロイメントフォルダーに存在しません。
アプリケーションファイルは、アプリケーションサーバーからアンデプロイされ、管理コンソールの Deployments 画面に表示されません。
10.5.4. デプロイメントスキャナーを使用してスタンドアロンサーバーインスタンスにアプリケーションを再デプロイ
このタスクでは、デプロイメントスキャナーを使用してデプロイされたスタンドアロンサーバーインスタンスにアプリケーションをデプロイする方法を説明します。「「アプリケーションデプロイメント 」」の説明にあるように、この方法は開発者の利便性のために保持され、本番稼働環境でのアプリケーション管理には管理コンソールと管理 CLI の方法が推奨されます。
手順10.11 アプリケーションをスタンドアロンサーバーへ再デプロイ
アプリケーションの再デプロイ
デプロイメントスキャナーでデプロイされたアプリケーションを再デプロイするには、3 つの方法があります。これらの方法はデプロイメントサイクルを開始するためにデプロイメントスキャナーをトリガーし、個々の設定に応じて選択できます。マーカーファイルの変更による再デプロイ
マーカーファイルのアクセスと変更タイムスタンプを変更して、デプロイメントスキャナーの再デプロイメントをトリガーします。次の Linux の例では、touch
コマンドが使用されます。例10.7
touch
コマンドを使用した再デプロイ[user@host bin]$
touch
EAP_HOME/standalone/deployments/example.war.dodeploy結果デプロイメントスキャナーは、マーカーファイルの変更を検出し、アプリケーションを再デプロイします。新しい
.deployed
ファイルマーカーは以前のファイルを置き換えます。新しい
.dodeploy
マーカーファイルの作成による再デプロイ新しい.dodeploy
マーカーファイルを作成すして、デプロイメントスキャナーが再デプロイをトリガーします。「デプロイメントスキャナーを使用してスタンドアロンサーバーインスタンスにアプリケーションをデプロイ」 に記載された手動デプロイメント手順を参照してください。マーカーファイルの削除による再デプロイ
「デプロイメントスキャナーマーカーファイルのリファレンス」 の説明のように、デプロイされたアプリケーションの.deployed
マーカーファイルを削除すると、アンデプロイメントがトリガーされ、.undeployed
マーカーが作成されます。アンデプロイメントマーカーを削除すると、デプロイメントサイクルが再びトリガーされます。詳細については 「デプロイメントスキャナーを使用してスタンドアロンサーバーインスタンスからアプリケーションをアンデプロイ」 を参照してください。
アプリケーションファイルが再デプロイされます。
10.5.5. デプロイメントスキャナーマーカーファイルのリファレンス
マーカーファイルは、デプロイメントスキャナーサブシステムの一部です。これらのファイルは、スタンドアロンサーバーインスタンスのデプロイメントディレクトリー内にあるアプリケーションの状態をマークします。マーカーファイルは、アプリケーションと同じ名前を持ち、ファイル接尾辞はアプリケーションのデプロイメントの状態を示します。以下の表に、各マーカーファイルのタイプおよび応答の定義を示します。
例10.8 マーカーファイル例
testapplication.war
という名前のアプリケーションの正常にデプロイされたインスタンスのマーカーファイルを示します。
testapplication.war.deployed
表10.1 マーカーファイルタイプ定義
ファイル名接尾辞 | 生成 | 説明 |
---|---|---|
.dodeploy | ユーザー生成 | コンテンツをランタイムにデプロイまたは再デプロイする必要があることを示します。 |
.skipdeploy | ユーザー生成 | アプリケーションの自動デプロイを無効にします。展開されたコンテンツの自動デプロイメントを一時的にブロックする方法として役に立ち、不完全なコンテンツ編集がライブでプッシュされることを防ぎます。スキャナーは zip 形式のコンテンツに対する処理中の変更を検出し、完了するまで待機しますが、zip 形式のコンテンツとともに使用できます。 |
.isdeploying | システム生成 | デプロイメントの開始を示します。デプロイメントプロセスが完了すると、マーカーファイルが削除されます。 |
.deployed | システム生成 | コンテンツがデプロイされたことを示します。このファイルが削除された場合、コンテンツはアンデプロイされます。 |
.failed | システム生成 | デプロイメントの失敗を示します。マーカーファイルには、失敗の原因に関する情報が含まれます。マーカーファイルが削除された場合、コンテンツは自動デプロイメントで再び可視状態になります。 |
.isundeploying | システム生成 | .deployed ファイルの削除に対する応答を示します。コンテンツはアンデプロイされ、完了時にマーカーは自動的に削除されます。 |
.undeployed | システム生成 | コンテンツがアンデプロイされたことを示します。マーカーファイルを削除しても、コンテンツの再デプロイメントには影響ありません。 |
.pending | システム生成 | デプロイメントの指示が、検出された問題の解決を待っているサーバーに送信されます。このマーカーは、グローバルデプロイメントロードブロックとして機能します。この状態が存在する場合、スキャナーは他のコンテンツをデプロイまたはアンデプロイするようサーバーに指示しません。 |
10.5.6. デプロイメントスキャナー属性のリファレンス
write-attribute
操作を使用して設定できます。設定オプションの詳細については、「管理 CLI でのデプロイメントスキャナーの設定」 を参照してください。
表10.2 デプロイメントスキャナーの属性
名前 | 説明 | タイプ | デフォルト値 |
---|---|---|---|
auto-deploy-exploded | .dodeploy マーカーファイルなしで、展開形式のコンテンツの自動デプロイメントを許可します。基本的な開発シナリオに対してのみ推奨され、開発者またはオペレーティングシステムによる変更中に、展開形式のアプリケーションデプロイメントが行われないようにします。 | ブール値 | False |
auto-deploy-xml | .dodeploy マーカーファイルなしでの XML コンテンツの自動デプロイメントを許可します。 | ブール値 | True |
auto-deploy-zipped | .dodeploy マーカーファイルなしでの zip 形式のコンテンツの自動デプロイメントを許可します。 | ブール値 | True |
deployment-timeout | デプロイメントスキャナーでデプロイメントをキャンセルするまでのデプロイメント試行許可時間 (秒単位)。 | Long | 600 |
path | スキャンする実際のファイルシステムパスを定義します。relative-to 属性が指定された場合は、path 値が、そのディレクトリーまたはパスに対する相対追加分として機能します。 | 文字列 | deployments |
relative-to | サーバー設定 XML ファイルの paths セクションで定義されたファイルシステムパスの参照。 | 文字列 | jboss.server.base.dir |
scan-enabled | scan-interval により起動時にアプリケーションの自動スキャンを許可します。 | ブール値 | True |
scan-interval | リポジトリーのスキャン間の時間 (ミリ秒単位)。値が 1 未満の場合は、スキャナーが起動時にのみ動作します。 | Int | 5000 |
10.5.7. デプロイメントスキャナーの設定
10.5.8. 管理 CLI でのデプロイメントスキャナーの設定
前提条件
デプロイメントスキャナーを設定する方法は複数ありますが、バッチスクリプトの使用やリアルタイムによる属性の公開および変更には、管理 CLI を使用できます。read-attribute
および write-attribute
グローバルコマンドライン操作を使用すると、デプロイメントスキャナーの挙動を変更できます。デプロイメントスキャナー属性の詳細については 「デプロイメントスキャナー属性のリファレンス」 の説明を参照してください。
standalone.xml
で確認できます。
<subsystem xmlns="urn:jboss:domain:deployment-scanner:1.1"> <deployment-scanner path="deployments" relative-to="jboss.server.base.dir" scan-interval="5000"/> </subsystem>
手順10.12 デプロイメントスキャナーの設定
設定するデプロイメントスキャナー属性の決定
管理 CLI を使用してデプロイメントスキャナーを設定するには、最初に正しい属性名を公開する必要があります。これには、ルートノードでread-resources
操作を使用するか、cd
コマンドを使用してサブシステムの子ノードに移動して行います。また、このレベルでls
コマンドを使用して属性を表示することもできます。read-resource
操作を使用したデプロイメントスキャナー属性の表示read-resource
操作を使用して、デフォルトのデプロイメントスキャナーリソースで定義された属性を公開します。[standalone@localhost:9999 /]/subsystem=deployment-scanner/scanner=default:read-resource { "outcome" => "success", "result" => { "auto-deploy-exploded" => false, "auto-deploy-xml" => true, "auto-deploy-zipped" => true, "deployment-timeout" => 600, "path" => "deployments", "relative-to" => "jboss.server.base.dir", "scan-enabled" => true, "scan-interval" => 5000 } }
ls
コマンドを使用したデプロイメントスキャナー属性の表示ls
コマンドに任意の-l
引数を指定して、サブシステムノード属性、値、およびタイプを含む結果の表を表示します。ls
コマンドとその引数の詳細を確認するには、ls --help
と入力して CLI ヘルプエントリーを表示します。管理 CLI のヘルプメニューの詳細については、「管理 CLI でのヘルプの取得」 を参照してください。[standalone@localhost:9999 /] ls -l /subsystem=deployment-scanner/scanner=default ATTRIBUTE VALUE TYPE auto-deploy-exploded false BOOLEAN auto-deploy-xml true BOOLEAN auto-deploy-zipped true BOOLEAN deployment-timeout 600 LONG path deployments STRING relative-to jboss.server.base.dir STRING scan-enabled true BOOLEAN scan-interval 5000 INT
write-attribute
操作を使用したデプロイメントスキャナーの設定変更する属性の名前を決定したら、write-attribute
を使用して、書き込む属性名と新しい値を指定します。以下の例は、すべて子ノードレベルで実行されます。この例を使用するには、cd
コマンドとタブ補完を使用してデフォルトスキャナーノードを表示し、移動します。[standalone@localhost:9999 /] cd subsystem=deployment-scanner/scanner=default
展開されたコンテンツの自動デプロイメントの有効化
write-attribute
操作を使用して、展開されたアプリケーションコンテンツの自動デプロイメントを有効にします。[standalone@localhost:9999 scanner=default] :write-attribute(name=auto-deploy-exploded,value=true) {"outcome" => "success"}
XML コンテンツの自動デプロイメントの無効化
write-attribute
操作を使用して XML アプリケーションコンテンツの自動デプロイメントを無効にします。[standalone@localhost:9999 scanner=default] :write-attribute(name=auto-deploy-xml,value=false) {"outcome" => "success"}
zip 形式のコンテンツの自動デプロイメントの無効化
write-attribute
コマンドを使用して zip 形式のアプリケーションコンテンツの自動デプロイメントを無効にします。[standalone@localhost:9999 scanner=default] :write-attribute(name=auto-deploy-zipped,value=false) {"outcome" => "success"}
パス属性の設定
write-attribute
操作を使用して、パス属性を変更し、例のnewpathname
値を監視するデプロイメントスキャナーの新しいパス名に置き換えます。変更を反映するにはサーバーでリロードする必要があります。[standalone@localhost:9999 scanner=default] :write-attribute(name=path,value=newpathname) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } }
相対パス属性の設定
write-attribute
操作を使用して、設定 XML ファイルのパスセクションで定義されたファイルシステムパスに対する相対参照を変更します。変更を反映するには、サーバーでリロードする必要があります。[standalone@localhost:9999 scanner=default] :write-attribute(name=relative-to,value=new.relative.dir) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } }
デプロイメントスキャナーの無効化
write-attribute
操作を使用して、scan-enabled
値を false に設定することにより、デプロイメントスキャナーを無効にします。[standalone@localhost:9999 scanner=default] :write-attribute(name=scan-enabled,value=false) {"outcome" => "success"}
スキャン間隔の変更
write-attribute
操作を使用してスキャン間隔を 5000 ミリ秒から 10000 ミリ秒に変更します。[standalone@localhost:9999 scanner=default] :write-attribute(name=scan-interval,value=10000) {"outcome" => "success"}
設定の変更が、デプロイメントスキャナーに保存されます。
10.6. Maven でのデプロイ
10.6.1. Maven によるアプリケーションデプロイメントの管理
10.6.2. Maven によるアプリケーションのデプロイ
前提条件
このタスクでは、Maven を用いてアプリケーションをデプロイする方法について説明します。ここで使用される例は、JBoss EAP 6 のクイックスタートにある jboss-helloworld.war
アプリケーションを使用します。helloworld
プロジェクトには、jboss-as-maven-plugin
を初期化する POM ファイルが含まれています。このプラグインを使用すると、アプリケーションサーバーでアプリケーションを簡単にデプロイおよびアンデプロイできます。
手順10.13 Maven によるアプリケーションのデプロイ
- ターミナルセッションを開き、quickstart サンプルが含まれるディレクトリーに移動します。
例10.9 helloworld アプリケーションディレクトリーへの移動
[localhost]$ cd /QUICKSTART_HOME/helloworld
- Maven デプロイコマンドを実行してアプリケーションをデプロイします。アプリケーションがすでに実行されている場合、アプリケーションは再デプロイされます。
[localhost]$ mvn package jboss-as:deploy
- 結果を確認します。
- デプロイメントは、ターミナルウィンドウで操作ログを参照して確認できます。
例10.10 Maven での helloworld アプリケーションの確認
[INFO] ------------------------------------------------------------------------ [INFO] BUILD SUCCESS [INFO] ------------------------------------------------------------------------ [INFO] Total time: 32.629s [INFO] Finished at: Fri Mar 14 09:09:50 EDT 2014 [INFO] Final Memory: 23M/204M [INFO] ------------------------------------------------------------------------
- また、デプロイメントは、アクティブアプリケーションサーバーインスタンスのステータスストリームで確認することもできます。
例10.11 アプリケーションサーバーでの helloworld アプリケーションの確認
09:09:49,167 INFO [org.jboss.as.repository] (management-handler-thread - 1) JBAS014900: Content added at location /home/username/EAP_HOME/standalone/data/content/32/4b4ef9a4bbe7206d3674a89807203a2092fc70/content 09:09:49,175 INFO [org.jboss.as.server.deployment] (MSC service thread 1-7) JBAS015876: Starting deployment of "jboss-helloworld.war" (runtime-name: "jboss-helloworld.war") 09:09:49,563 INFO [org.jboss.weld.deployer] (MSC service thread 1-8) JBAS016002: Processing weld deployment jboss-helloworld.war 09:09:49,611 INFO [org.jboss.weld.deployer] (MSC service thread 1-1) JBAS016005: Starting Services for CDI deployment: jboss-helloworld.war 09:09:49,680 INFO [org.jboss.weld.Version] (MSC service thread 1-1) WELD-000900 1.1.17 (redhat) 09:09:49,705 INFO [org.jboss.weld.deployer] (MSC service thread 1-2) JBAS016008: Starting weld service for deployment jboss-helloworld.war 09:09:50,080 INFO [org.jboss.web] (ServerService Thread Pool -- 55) JBAS018210: Register web context: /jboss-helloworld 09:09:50,425 INFO [org.jboss.as.server] (management-handler-thread - 1) JBAS018559: Deployed "jboss-helloworld.war" (runtime-name : "jboss-helloworld.war")
アプリケーションが、アプリケーションサーバーにデプロイされます。
10.6.3. Maven によるアプリケーションのアンデプロイ
前提条件
このタスクでは、Maven を用いてアプリケーションをアンデプロイする方法について説明します。ここで使用される例は、JBoss EAP 6 のクイックスタートにある jboss-helloworld.war
アプリケーションを使用します。helloworld
プロジェクトには、jboss-as-maven-plugin
を初期化する POM ファイルが含まれています。このプラグインを使用すると、アプリケーションサーバーでアプリケーションを簡単にデプロイおよびアンデプロイできます。
手順10.14 Maven によるアプリケーションのアンデプロイ
- ターミナルセッションを開き、quickstart サンプルが含まれるディレクトリーに移動します。
例10.12 helloworld アプリケーションディレクトリーへの移動
[localhost]$ cd /QUICKSTART_HOME/helloworld
- Maven アンデプロイコマンドを実行してアプリケーションをアンデプロイします。
[localhost]$ mvn jboss-as:undeploy
- 結果を確認します。
- アンデプロイメントは、ターミナルウィンドウの操作ログを参照して確認できます。
例10.13 Maven による helloworld アプリケーションのアンデプロイの確定
[INFO] ------------------------------------------------------------------------ [INFO] BUILD SUCCESSFUL [INFO] ------------------------------------------------------------------------ [INFO] Total time: 1 second [INFO] Finished at: Mon Oct 10 17:33:02 EST 2011 [INFO] Final Memory: 11M/212M [INFO] ------------------------------------------------------------------------
- また、アンデプロイメントは、アクティブアプリケーションサーバーインスタンスのステータスストリームで確認することもできます。
例10.14 アプリケーションサーバーによる helloworld アプリケーションのアンデプロイの確定
09:51:40,512 INFO [org.jboss.web] (ServerService Thread Pool -- 69) JBAS018224: Unregister web context: /jboss-helloworld 09:51:40,522 INFO [org.jboss.weld.deployer] (MSC service thread 1-3) JBAS016009: Stopping weld service for deployment jboss-helloworld.war 09:51:40,536 INFO [org.jboss.as.server.deployment] (MSC service thread 1-1) JBAS015877: Stopped deployment jboss-helloworld.war (runtime-name: jboss-helloworld.war) in 27ms 09:51:40,621 INFO [org.jboss.as.repository] (management-handler-thread - 10) JBAS014901: Content removed from location /home/username/EAP_HOME/jboss-eap-6.3/standalone/data/content/44/e1f3c55c84b777b0fc201d69451223c09c9da5/content 09:51:40,621 INFO [org.jboss.as.server] (management-handler-thread - 10) JBAS018558: Undeployed "jboss-helloworld.war" (runtime-name: "jboss-helloworld.war")
アプリケーションが、アプリケーションサーバーからアンデプロイされます。
10.7. JBoss EAP 6 にデプロイされたアプリケーションの順序制御
手順10.15 EAP 6.0.X におけるデプロイメント順序の制御
- サーバーの起動または停止時に、順番にアプリケーションをデプロイおよびアンデプロイする CLI スクリプトを作成します。
- CLI はバッチモードの概念をサポートします。バッチモードでは、コマンドや操作をグループ化でき、グループ化したコマンドや操作をアトミックユニットとして一緒に実行できます。1 つ以上のコマンドや操作が失敗すると、正常に実行された他のコマンドや操作はロールバックされます。
手順10.16 EAP 6.1.X 以降におけるデプロイメント順序の制御
jboss-all.xml
ファイルがない場合は、app.ear/META-INF
フォルダーに作成します。app.ear
はアプリケーションアーカイブで、このアーカイブの前にデプロイされる他のアプリケーションアーカイブに依存します。- 次のように、このファイルに
jboss-deployment-dependencies
エントリーを作成します。下記では、framework.ear
は依存されるアプリケーションアーカイブで、app.ear
アプリケーションアーカイブの前にデプロイする必要があります。<jboss umlns="urn:jboss:1.0"> <jboss-deployment-dependencies xmlns="urn:jboss:deployment-dependencies:1.0"> <dependency name="framework.ear" /> </jboss-deployment-dependencies> </jboss>
10.8. デプロイメント記述子の上書き
手順10.17 管理 CLI を使用したデプロイメント記述子の上書き
app.war
というデプロイされたアプリケーションが存在し、このアプリケーションの WEB-INF/web.xml
ファイルを /home/user/web.xml
にある別の web.xml
で上書きすることを前提とします。
- デプロイメントオーバーレイを追加し、そこにコンテンツを追加します。これを行う方法は 2 つあります。
DMR ツリーの使用
/deployment-overlay=myoverlay:add
/deployment-overlay=myoverlay/content=WEB-INF\/web.xml:add(content={url=file:///home/user/web.xml})
また、2 番目のステートメントを使用してコンテンツルールを追加できます。
便利なメソッドの使用
deployment-overlay add --name=myoverlay --content=WEB-INF/web.xml=/home/user/web.xml
- オーバーレイをデプロイメントアーカイブへリンクします。これには、以下の 2 つの方法があります。
DMR ツリーの使用
/deployment-overlay=myoverlay/deployment=app.war:add
便利なメソッドの使用
deployment-overlay link --name=myoverlay --deployments=app.war
複数のアーカイブ名を指定するには、コンマで区切ります。
デプロイメントアーカイブ名がサーバー上に存在する必要がないことに注意してください。名前は指定しますが、まだこの段階では実際のデプロイメントへはリンクしません。 アプリケーションの再デプロイ
/deployment=app.war:redeploy
第11章 JBoss EAP 6 のセキュア化
11.1. セキュリティーサブシステム
security
サブシステムは、アプリケーションのセキュリティーインフラストラクチャーを提供します。サブシステムは、現在のリクエストに関連するセキュリティーコンテキストを使用して認証マネージャー、承認マネージャー、監査マネージャー、およびマッピングマネージャーの機能を関係するコンテナに提供します。
security
サブシステムはデフォルトで事前設定されているため、セキュリティー要素を変更する必要はほとんどありません。変更が必要となる可能性がある唯一のセキュリティー要素は、deep-copy-subject-mode を使用するかどうかです。ほとんどの場合で、管理者はセキュリティードメインの設定に集中します。
ディープコピーサブジェクトモードの詳細は、「ディープコピーサブジェクトモード」を参照してください。
セキュリティードメインとは、認証、承認、監査、およびマッピングを制御するために単一または複数のアプリケーションが使用する Java Authentication and Authorization Service (JAAS) 宣言型セキュリティー設定のセットです。デフォルトでは、jboss-ejb-policy
、jboss-web-policy
、および other
の 3 つのセキュリティードメインが含まれています。アプリケーションの要件に対応するため、必要な数のセキュリティードメインを作成できます。セキュリティードメインの詳細は、「アプリケーションでのセキュリティードメインの使用」を参照してください。
11.2. セキュリティーサブシステムの構造
例11.1 セキュリティーサブシステムの設定例
<subsystem xmlns="urn:jboss:domain:security:1.2"> <security-management> ... </security-management> <security-domains> <security-domain name="other" cache-type="default"> <authentication> <login-module code="Remoting" flag="optional"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> <login-module code="RealmUsersRoles" flag="required"> <module-option name="usersProperties" value="${jboss.domain.config.dir}/application-users.properties"/> <module-option name="rolesProperties" value="${jboss.domain.config.dir}/application-roles.properties"/> <module-option name="realm" value="ApplicationRealm"/> <module-option name="password-stacking" value="useFirstPass"/> </login-module> </authentication> </security-domain> <security-domain name="jboss-web-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> <security-domain name="jboss-ejb-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> </security-domains> <vault> ... </vault> </subsystem>
<security-management>
、 <subject-factory>
、および <security-properties>
要素はデフォルト設定では存在しません。<subject-factory>
および <security-properties>
要素は JBoss EAP 6.1 およびそれ以降のバージョンで廃止になりました。
11.3. セキュリティーサブシステムの設定
- <security-management>
- このセクションは、security サブシステムの高レベルの動作をオーバーライドします。スレッドの安全性を強化するため、セキュリティートークンへコピーまたはリンクするかどうかを指定するオプション設定
deep-copy-subject-mode
が含まれます。 - <security-domains>
- 複数のセキュリティードメインを保持するコンテナ要素です。セキュリティードメインには認証、承認、マッピング、監査モジュール、JASPI 認証、および JSSE 設定の情報が含まれることがあります。アプリケーションはセキュリティードメインを指定してセキュリティー情報を管理します。
- <security-properties>
- java.security.Security クラスに設定されるプロパティーの名前と値が含まれます。
11.4. ディープコピーサブジェクトモード
11.5. ディープコピーサブジェクトモードの有効化
手順11.1 管理コンソールからディープコピーセキュリティーモードを有効化
管理コンソールへのログイン
「管理コンソールへのログイン」 を参照してください。管理対象ドメイン: 適切なプロファイルを選択します。
管理対象ドメインではプロファイルごとにセキュリティーサブシステムが設定されているため、各プロファイルに対して個別にディープコピーセキュリティーモードを有効または無効にできます。プロファイルを選択するには、画面の上部にあるの右上にある Configuration をクリックし、左上にある Profile ドロップダウンボックスよりプロファイルを選択します。Security Subsystem 設定メニューを開きます。
Security メニューを展開し、Security Subsystem を選択します。Deep Copy Subject モードを有効にします。
Edit をクリックします。Deep Copy Subjects の横にあるボックスにチェックを入れ、ディープコピーサブジェクトモードを有効にします。
管理 CLI を使用してこのオプションを有効にしたい場合、以下のコマンドの 1 つを使用します。
例11.2 管理対象ドメイン
/profile=full/subsystem=security/:write-attribute(name=deep-copy-subject-mode,value=TRUE)
例11.3 スタンドアロンサーバー
/subsystem=security/:write-attribute(name=deep-copy-subject-mode,value=TRUE)
11.6. セキュリティードメイン
11.6.1. セキュリティードメイン
11.6.2. Picketbox
- 「承認」 およびアクセス制御
- 「セキュリティーマッピング」 のプリンシパル、ロール、および属性
11.6.3. 認証
11.6.4. セキュリティードメインでの認証の設定
手順11.2 セキュリティードメインの認証設定
セキュリティードメインの詳細ビューを開きます。
- 管理コンソールの上部にある Configuration ラベルをクリックします。
- プロファイルビューの左上にある Profile 選択ボックスから編集するプロファイルを選択します。
- Security メニューを展開し、Security Domains を選択します。
- 編集したいセキュリティードメインの View リンクをクリックします。
認証サブシステム設定に移動します。
ビューの上部にある Authentication ラベルを選択します (未選択である場合)。設定領域が Login Modules と Details の 2 つの領域に分割されます。ログインモジュールは、設定の基本単位です。セキュリティードメインには複数のログインモジュールを含めることができ、各ログインモジュールには複数の属性とオプションを含めることができます。認証モジュールを追加します。
Add をクリックして、JAAS 認証モジュールを追加します。モジュールの詳細を入力します。Code はモジュールのクラス名です。Flag 設定は、モジュールが同じセキュリティードメイン内で他の認証モジュールにどのように関係するかを制御します。フラグの説明Java Enterprise Edition 6 の仕様には、以下のようなセキュリティーモジュールの説明があります。次のリストは、http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html#AppendixA に記載されています。詳細については、そのドキュメントを参照してください。
フラグ 説明 required LoginModule は成功する必要があります。成功または失敗すると、LoginModule リストを下方向に進み認証が続行されます。requisite LoginModule は成功する必要があります。成功すると、LoginModule リストの下方向に進み認証が続行されます。失敗すると、即座に制御がアプリケーションに戻されます (LoginModule リストの下方向に進まず、認証が続行されません)。sufficient LoginModule は成功する必要はありません。成功した場合は、即座に制御がアプリケーションに戻されます (LoginModule リストの下方向に進まず、認証が続行されません)。失敗すると、LoginModule リストの下方向に進み認証が続行されます。optional LoginModule は成功する必要がありません。成功または失敗した場合、LoginModule リストの下方向に進み認証が続行されます。認証設定を編集します。
モジュールを追加したら、画面の Details セクションで Edit をクリックすることにより、Code または Flags を変更できます。Attributes タブが選択されていることを確認します。モジュールオプションを追加、編集、または削除します (任意)。
モジュールにオプションを追加する必要がある場合は、Login Modules リストのエントリーをクリックし、ページの Details セクションの Module Options タブを選択します。Add ボタンをクリックし、オプションのキーと値を指定します。Remove ボタンを使用してオプションを削除します。
認証モジュールが、セキュリティードメインに追加され、セキュリティードメインを使用するアプリケーションですぐに利用できます。
jboss.security.security_domain
モジュールのオプション
デフォルトでは、セキュリティードメインに定義された各ログインモジュールには jboss.security.security_domain
モジュールオプションが自動的に追加されます。既知のオプションのみが定義されるようチェックを行うログインモジュールでは、このオプションによって問題が発生します。このようなログインモジュールの 1 つが IBM Kerberos ログインモジュールの com.ibm.security.auth.module.Krb5LoginModule
です。
true
に設定します。以下を起動パラメーターに追加します。
-Djboss.security.disable.secdomain.option=true
11.6.5. 承認
11.6.6. セキュリティードメインにおける承認の設定
手順11.3 セキュリティードメインの承認設定
セキュリティードメインの詳細ビューを開きます。
- 管理コンソールの上部にある Configuration ラベルをクリックします。
- 管理対象ドメインでは、左上にある Profile ドロップダウンボックスで編集するプロファイルを選択します。
- Security メニューを展開し、Security Domains を選択します。
- 編集したいセキュリティードメインの View リンクをクリックします。
承認サブシステム設定に移動します。
画面の上部にある Authorization ラベルを選択します。設定領域が Policies と Details の 2 つの領域に分割されます。ログインモジュールは、設定の基本単位です。セキュリティードメインには複数の承認ポリシーを含めることができ、各ログインモジュールには複数の属性とオプションを含めることができます。ポリシーを追加します。
Add をクリックして、JAAS 承認ポリシーモジュールを追加します。モジュールの詳細を入力します。Code はモジュールのクラス名です。Flag は、モジュールが同じセキュリティードメイン内で他の承認ポリシーモジュールにどのように関係するかを制御します。フラグの説明Java Enterprise Edition 6 の仕様には、以下のようなセキュリティーモジュールの説明があります。次のリストは、http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html#AppendixA に記載されています。詳細については、そのドキュメントを参照してください。
フラグ 説明 required LoginModule は成功する必要があります。成功または失敗すると、LoginModule リストを下方向に進み承認が続行されます。requisite LoginModule は成功する必要があります。成功すると、LoginModule リストの下方向に進み承認が続行されます。失敗すると、即座に制御がアプリケーションに戻されます (LoginModule リストの下方向に進まず、承認が続行されません)。sufficient LoginModule は成功する必要はありません。成功した場合は、即座に制御がアプリケーションに戻されます (LoginModule リストの下方向に進まず、承認が続行されません)。失敗すると、LoginModule リストの下方向に進み承認が続行されます。optional LoginModule は成功する必要がありません。成功または失敗した場合、LoginModule リストを下方向に進み承認が続行されます。承認設定を編集します。
モジュールを追加したら、画面の Details セクションで Edit をクリックすることにより、Code または Flags を変更できます。Attributes タブが選択されていることを確認します。モジュールオプションを追加、編集、または削除します (任意)。
モジュールにオプションを追加する必要がある場合は、Policies リストのエントリーをクリックし、ページの Details セクションの Module Options タブを選択します。Add をクリックし、オプションのキーと値を指定します。Remove ボタンを使用してオプションを削除します。
承認ポリシーモジュールが、セキュリティードメインに追加され、セキュリティードメインを使用するアプリケーションですぐに利用できます。
11.6.7. セキュリティー監査
11.6.8. セキュリティー監査の設定
手順11.4 セキュリティードメインのセキュリティー監査の設定
セキュリティードメインの詳細ビューを開きます。
- 画面の上部にある Configuration をクリックします。
- 管理対象ドメインでは、左上にある Profile 選択ボックスから編集するプロファイルを選択します。
- Security メニューを展開し、Security Domains を選択します。
- 編集したいセキュリティードメインの View リンクをクリックします。
監査サブシステム設定に移動します。
画面の上部にある Audit タブを選択します。設定領域が Provider Modules と Details の 2 つの領域に分割されます。プロバイダーモジュールは、設定の基本単位です。セキュリティードメインには複数のプロバイダーモジュールを含めることができ、各ログインモジュールには属性とオプションを含めることができます。プロバイダーモジュールを追加します。
Add をクリックします。Code セクションに、プロバイダーモジュールのクラス名を入力します。モジュールの挙動を確認します。
監査モジュールの目的は、セキュリティーサブシステムのイベントを監視する方法を提供することです。ログファイルの記述、メールによる通知、またはその他の監査メカニズムによって監視を行うことが可能です。たとえば、JBoss EAP 6 にはデフォルトでLogAuditProvider
モジュールが含まれています。この監査モジュールを前述の手順に従って有効にすると、EAP_HOME
ディレクトリー内のlog
サブフォルダーにあるaudit.log
ファイルにセキュリティー通知を書き込みます。前述の手順がLogAuditProvider
のコンテキスト内で動作するかを確認するには、通知が発生するようなアクションを実行した後、監査ログファイルをチェックします。含まれるセキュリティー監査プロバイダーモジュールの完全一覧は 「含まれるセキュリティー監査プロバイダーモジュール」 を参照してください。モジュールオプションを追加、編集、または削除します (任意)。
モジュールにオプションを追加する場合は、Policies リストのエントリーをクリックし、ページの Details セクションの Module Options タブを選択します。Add をクリックし、オプションのキーと値を指定します。すでに存在するオプションを編集するには、Remove をクリックして削除し、Add をクリックして正しいオプションで再度追加します。
セキュリティー監査モジュールは、セキュリティードメインに追加され、セキュリティードメインを使用するアプリケーションですぐに利用できます。
11.6.9. 監査ログ
LogAuditProvider
モジュールが有効な場合、アプリケーションおよびログインモジュールでの認証および承認を記録する監査ログが JBoss EAP 6 によって維持されます。デフォルトでは、このファイルの名前は audit.log
になり、EAP_HOME ディレクトリーの log
サブディレクトリーに保存されます。挙動は、ロギングサブシステムのログハンドラーの設定によって決定されます。syslog
ログハンドラーを使用すると、ファイルの代わりまたはファイルとともに LogAuditProvider
モジュールの出力を syslog
サーバーに送信できます。
LogAuditProvider
モジュールは累積の audit.log
ファイルへのみ出力します。AUDIT
と呼ばれる定期的にローテーションを行うファイルハンドラーを実装するには、以下の管理 CLI コマンドを入力します。
/subsystem=logging/periodic-rotating-file-handler=AUDIT/:add(suffix=.yyyy-MM-dd,formatter=%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n,level=TRACE
,file={"relative-to" => "jboss.server.log.dir","path" => "audit.log"})
関連トピック:
11.6.10. セキュリティーマッピング
11.6.11. セキュリティードメインでのセキュリティーマッピングの設定
手順11.5 セキュリティードメインでのセキュリティーマッピングの設定
セキュリティードメインの詳細ビューを開きます。
- 管理コンソールの上部にある Configuration ラベルをクリックします。
- 管理対象ドメインでは、左上にある Profile 選択ボックスからプロファイルを選択します。
- Security メニューを展開し、Security Domains を選択します。
- 編集したいセキュリティードメインの View リンクをクリックします。
マッピングサブシステム設定に移動します。
画面の上部にある Mapping ラベルを選択します。設定領域が Modules と Details の 2 つの領域に分割されます。マッピングモジュールは、設定の基本単位です。セキュリティードメインには複数のマッピングモジュールを含めることができ、各ログインモジュールには複数の属性とオプションを含めることができます。セキュリティーマッピングモジュールを追加します。
Add をクリックします。モジュールの詳細を記入します。Code がモジュールのクラス名です。Type フィールドは、このモジュールが実行するマッピングのタイプを示します。許可される値は、principal、role、attribute、または credential です。セキュリティーマッピングモジュールを編集します。
モジュールを追加したら、Code または Type を変更できます。- Attributes タブを選択します。
- 画面の Details セクションにある Edit をクリックします。
モジュールオプションを追加、編集、または削除します (任意)。
モジュールにオプションを追加する場合は、Policies リストのエントリーをクリックし、ページの Details セクションの Module Options タブを選択します。Add をクリックし、オプションのキーと値を指定します。すでに存在するオプションを編集するには、Remove をクリックして削除し、新たな値で再度追加します。Remove ボタンを使用して、オプションを削除します。
セキュリティーマッピングモジュールは、セキュリティードメインに追加され、セキュリティードメインを使用するアプリケーションですぐに利用できます。
11.6.12. アプリケーションでのセキュリティードメインの使用
アプリケーションでセキュリティードメインを使用するには、最初にサーバーの設定でセキュリティードメインを定義し、アプリケーションのデプロイメント記述子でアプリケーションに対して有効にする必要があります。その後、使用する EJB に必要なアノテーションを追加する必要があります。ここでは、アプリケーションでセキュリティードメインを使用するために必要な手順について取り上げます。
警告
手順11.6 セキュリティードメインを使用するようアプリケーションを設定
セキュリティードメインの定義
サーバーの設定ファイルでセキュリティードメインを定義した後、アプリケーションの記述子ファイルでアプリケーションに対して有効にする必要があります。サーバーの設定ファイルへセキュリティードメインを設定
セキュリティードメインは、サーバーの設定ファイルのsecurity
サブシステムに設定されます。JBoss EAP 6 インスタンスが管理対象ドメインで実行されている場合、domain/configuration/domain.xml
ファイルになります。JBoss EAP 6 インスタンスがスタンドアロンサーバーとして実行されている場合はstandalone/configuration/standalone.xml
ファイルになります。other
、jboss-web-policy
、およびjboss-ejb-policy
セキュリティードメインはデフォルトとして JBoss EAP 6 に提供されます。次の XML の例は、サーバーの設定ファイルのsecurity
サブシステムよりコピーされました。セキュリティードメインのcache-type
属性は、高速な認証チェックを行うためにキャッシュを指定します。簡単なマップをキャッシュとして使用するdefault
か、Infinispan キャッシュを使用するinfinispan
を値として使用できます。<subsystem xmlns="urn:jboss:domain:security:1.2"> <security-domains> <security-domain name="other" cache-type="default"> <authentication> <login-module code="Remoting" flag="optional"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> <login-module code="RealmDirect" flag="required"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> </authentication> </security-domain> <security-domain name="jboss-web-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> <security-domain name="jboss-ejb-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> </security-domains> </subsystem>
管理コンソールまたは CLI を使用して、追加のセキュリティードメインを必要に応じて設定できます。アプリケーションの記述子ファイルでのセキュリティードメインの有効化
セキュリティードメインはアプリケーションのWEB-INF/web.xml
ファイルにある<jboss-web>
要素の<security-domain>
子要素に指定されます。次の例はmy-domain
という名前のセキュリティードメインを設定します。<jboss-web> <security-domain>my-domain</security-domain> </jboss-web>
これがWEB-INF/jboss-web.xml
記述子に指定できる多くの設定の 1 つになります。
EJB への必要なアノテーションの追加
@SecurityDomain
および@RolesAllowed
アノテーションを使用してセキュリティーを EJB に設定します。次の EJB コードの例は、guest
ロールのユーザーによるother
セキュリティードメインへのアクセスを制限します。package example.ejb3; import java.security.Principal; import javax.annotation.Resource; import javax.annotation.security.RolesAllowed; import javax.ejb.SessionContext; import javax.ejb.Stateless; import org.jboss.ejb3.annotation.SecurityDomain; /** * Simple secured EJB using EJB security annotations * Allow access to "other" security domain by users in a "guest" role. */ @Stateless @RolesAllowed({ "guest" }) @SecurityDomain("other") public class SecuredEJB { // Inject the Session Context @Resource private SessionContext ctx; /** * Secured EJB method using security annotations */ public String getSecurityInfo() { // Session context injected using the resource annotation Principal principal = ctx.getCallerPrincipal(); return principal.toString(); } }
その他のコード例は、Red Hat カスタマーポータルより入手できる JBoss EAP 6 Quickstarts バンドルのejb-security
クイックスタートを参照してください。
11.6.13. JACC (Java Authorization Contract for Containers)
11.6.13.1. JACC (Java Authorization Contract for Containers)
11.6.13.2. JACC (Java Authorization Contract for Containers) のセキュリティーの設定
jboss-web.xml
を編集する必要があります。
セキュリティードメインに JACC サポートを追加するには、required
フラグセットで JACC
承認ポリシーをセキュリティードメインの承認スタックへ追加します。以下は JACC サポートを持つセキュリティードメインの例になりますが、セキュリティードメインは直接 XML には設定されず、管理コンソールまたは管理 CLI で設定されます。
<security-domain name="jacc" cache-type="default"> <authentication> <login-module code="UsersRoles" flag="required"> </login-module> </authentication> <authorization> <policy-module code="JACC" flag="required"/> </authorization> </security-domain>
jboss-web.xml
は デプロイメントの WEB-INF/
ディレクトリーに存在し、Web コンテナに対する追加の JBoss 固有の設定を格納し、上書きします。JACC が有効になっているセキュリティードメインを使用するには、<security-domain>
要素が含まれるようにし、 さらに <use-jboss-authorization>
要素を true
に設定する必要があります。以下は、上記の JACC セキュリティードメインを使用するよう適切に設定されているアプリケーションになります。
<jboss-web> <security-domain>jacc</security-domain> <use-jboss-authorization>true</use-jboss-authorization> </jboss-web>
セキュリティードメインと JACC を使用するよう EJB を設定する方法は Web アプリケーションの場合とは異なります。EJB の場合、ejb-jar.xml
記述子にてメソッドまたはメソッドのグループ上でメソッドパーミッションを宣言できます。<ejb-jar>
要素内では、<method-permission>
要素のすべての子に JACC ロールに関する情報が含まれます。詳細は設定例を参照してください。EJBMethodPermission
クラスは Java Enterprise Edition 6 API の一部で、http://docs.oracle.com/javaee/6/api/javax/security/jacc/EJBMethodPermission.html で説明されています。
例11.4 EJB の JACC メソッドパーミッション例
<ejb-jar> <assembly-descriptor> <method-permission> <description>The employee and temp-employee roles may access any method of the EmployeeService bean </description> <role-name>employee</role-name> <role-name>temp-employee</role-name> <method> <ejb-name>EmployeeService</ejb-name> <method-name>*</method-name> </method> </method-permission> </assembly-descriptor> </ejb-jar>
<security>
子要素の jboss-ejb3.xml
記述子に宣言されます。セキュリティードメインの他に、EJB が実行されるプリンシパルを変更する run-as プリンシパル を指定することもできます。
例11.5 EJB におけるセキュリティードメイン宣言の例
<ejb-jar> <assembly-descriptor> <security> <ejb-name>*</ejb-name> <security-domain>myDomain</security-domain> <run-as-principal>myPrincipal</run-as-principal> </security> </assembly-descriptor> </ejb-jar>
11.6.14. JASPI (Java Authentication SPI for Containers)
11.6.14.1. JASPI (Java Authentication SPI for Containers) のセキュリティー
11.6.14.2. JASPI (Java Authentication SPI for Containers) のセキュリティーの設定
<authentication-jaspi>
要素をセキュリティードメインに追加します。設定は標準的な認証モジュールと似ていますが、ログインモジュール要素は <login-module-stack>
要素で囲まれています。設定の構成は次のとおりです。
例11.6 authentication-jaspi
要素の構成
<authentication-jaspi> <login-module-stack name="..."> <login-module code="..." flag="..."> <module-option name="..." value="..."/> </login-module> </login-module-stack> <auth-module code="..." login-module-stack-ref="..."> <module-option name="..." value="..."/> </auth-module> </authentication-jaspi>
EAP_HOME/domain/configuration/domain.xml
または EAP_HOME/standalone/configuration/standalone.xml
へ直接追加する必要があります。
11.7. IIOP のセキュア化
11.7.1. JBoss IIOP
11.7.2. IOR
- オブジェクトタイプ
- サーバーのホスト名
- サーバーのポート番号
- オブジェクトを識別するオブジェクトキー
11.7.3. IOR セキュリティーパラメーター
前提条件
- 以下の管理 CLI コマンドで IOR 設定を有効にします。
/subsystem=jacorb/ior-settings=default:add
- JacORB サブシステムが有効になっていることを確認します。たとえば、
full
プロファイルではすでに有効になっていますが、デフォルトのプロファイル (web
) では有効になっていません。JacORB サブシステムを有効にする方法の詳細は、「JTS トランザクション用 ORB の設定」 を参照してください。
表11.1 iorSASContextType
パラメーター | 説明 | 有効な値 |
---|---|---|
caller-propagation | 呼び出し側が SAS コンテキストで伝播されるべきかどうかを示します | none 、supported |
/subsystem=jacorb/ior-settings=default/setting=sas-context:add /subsystem=jacorb/ior-settings=default/setting=sas-context:write-attribute(name=caller-propagation, value=NONE|SUPPORTED)
表11.2 iorASContextType
パラメーター | 説明 | タイプ | 有効な値 |
---|---|---|---|
auth-method | 認証メソッド | 文字列 | none 、username_password |
realm | 認証サービスのレルム名 | 文字列 | デフォルト値: Default |
required | 認証が必要であるかどうかを示します。 | ブール値 | true 、false |
/subsystem=jacorb/ior-settings=default/setting=as-context:add /subsystem=jacorb/ior-settings=default/setting=as-context:write-attribute(name=ATTRIBUTE, value=VALUE)
表11.3 iorTransportconfigType
パラメーター | 説明 | 有効な値 |
---|---|---|
integrity | トランスポートに整合性の保護が必要であるかどうかを示します。 | none 、supported 、または required |
confidentiality | トランスポートに機密性の保護が必要であるかどうかを示します。 | none 、supported 、または required |
trust-in-target | トランスポートが trust-in-target を必要とするかどうかを示します。 | none 、supported |
trust-in-client | トランスポートが trust-in-client を必要とするかどうかを示します。 | none 、supported 、または required |
detect-replay | トランスポートにリプレイの検出を必要とするかどうかを示します。 | none 、supported 、または required |
detect-misordering | トランスポートに誤順序の検出を必要とするかどうかを示します。 | none 、supported 、または required |
/subsystem=jacorb/ior-settings=default/setting=transport-config:add /subsystem=jacorb/ior-settings=default/setting=transport-config:write-attribute(name=ATTRIBUTE, value=VALUE)
11.8. 管理インターフェースセキュリティー
11.8.1. デフォルトのユーザーセキュリティー設定
JBoss EAP 6 のすべての管理インターフェースはデフォルトで保護されます。このセキュリティーには、2 つの形式があります。
- ローカルインターフェースは、ローカルクライアントとローカルクライアントが接続するサーバーとの間の SASL コントラクトによって保護されます。このセキュリティーメカニズムは、ローカルファイルシステムにアクセスするクライアントの機能に基づきます。ローカルシステムへアクセスできるとクライアントによるユーザーの追加が可能で、他のセキュリティーメカニズムを無効にするよう設定を変更できるからです。これにより、ファイルシステムへ物理的にアクセスできると、他のセキュリティーメカニズムが不要になるという原則が厳守されます。このメカニズムは 4 つの手順で実現されます。
注記
HTTP を使用してローカルホストへ接続する場合でも、HTTP のアクセスはリモートと見なされます。- ローカル SASL メカニズムを用いて認証する要求が含まれるメッセージをクライアントがサーバーに送信します。
- サーバーは 1 度限りのトークンを生成して、固有のファイルに書き込み、そのファイルのフルパスが含まれるメッセージをクライアントに送信します。
- クライアントはファイルよりトークンを読み取り、サーバーへ送信し、ファイルシステムへローカルアクセスできるかを検証します。
- サーバーはトークンを検証し、ファイルを削除します。
- ローカル HTTP クライアントを含むリモートクライアントはレルムベースのセキュリティーを使用します。管理インターフェースを使用して JBoss EAP 6 インスタンスをリモートで設定するパーミッションを持つデフォルトのレルムは
ManagementRealm
です。このレルム (またはユーザーが作成したレルム) にユーザーを追加できるスクリプトが提供されます。ユーザーごとに、ユーザー名とハッシュ化されたパスワードがファイルに保存されます。- 管理対象ドメイン
EAP_HOME/domain/configuration/mgmt-users.properties
- スタンドアロンサーバー
EAP_HOME/standalone/configuration/mgmt-users.properties
mgmt-users.properties
の内容はマスクされていますが、機密ファイルとして扱う必要があります。ファイルモードを、ファイル所有者による読み書きのみが許可される600
に設定することが推奨されます。
11.8.2. 管理インターフェースの詳細設定の概要
EAP_HOME/domain/configuration/host.xml
または EAP_HOME/standalone/configuration/standalone.xml
の管理インターフェース設定は、ホストコントローラープロセスのバインド先となるネットワークインターフェース、利用可能な管理インターフェースのタイプ、および各インターフェースのユーザーを認証するために使用される認証システムのタイプを制御します。本トピックでは、ご使用の環境に合わせて管理インターフェースを設定する方法について説明します。
<management>
要素で構成されます。セキュリティレルムと送信接続はそれぞれ最初に定義されてから、管理インターフェースに属性として適用されます。
- <security-realms>
- <outbound-connections>
- <management-interfaces>
- <audit-log>
注記
セキュリティーレルムは、管理 API、管理 CLI、または Web ベースの管理コンソールを介して JBoss EAP 6 の管理を許可されているユーザーの認証と承認を行います。
ManagementRealm
と ApplicationRealm
です。これらのセキュリティーレルムはそれぞれ -users.properties
ファイルを使用してユーザーおよびハッシュ化されたパスワードを保存し、-roles.properties
を使用してユーザーとロール間のマッピングを保存します。サポートは LDAP 対応のセキュリティーレルムにも含まれています。
注記
一部のセキュリティーレルムは、LDAP サーバーなどの外部インターフェースに接続します。送信接続は、この接続の確立方法を定義します。 事前に定義された接続タイプ ldap-connection
は、LDAP サーバーに接続してクレデンシャルを検証するための必須およびオプションの属性をすべて設定します。
管理インターフェースには、JBoss EAP の接続および設定方法に関するプロパティーが含まれています。この情報には、名前付きのネットワークインターフェース、ポート、セキュリティーレルム、およびインターフェースに関するその他の設定可能な情報が含まれます。デフォルトのインストールには 2 つのインターフェースが含まれています。
http-interface
は Web ベースの管理コンソールの設定です。native-interface
はコマンドライン管理 CLI および REST ライクな管理 API の設定です。
11.8.3. LDAP
11.8.4. 管理インターフェースに対する LDAP を使用した認証
- LDAP サーバーへアウトバウンド接続を作成します。
- LDAP 対応のセキュリティーレルムを作成します。
- 管理インターフェースの新規セキュリティードメインを参照します。
LDAP 送信接続には、以下の属性を使用することができます。
表11.4 LDAP 送信接続の属性
属性 | 必須 | 説明 |
---|---|---|
url | 必要 |
ディレクトリーサーバーの URL アドレス。
|
search-dn | 不要 |
検索の実行を許可されているユーザーの完全識別名 (DN)
|
search-credentials | 不要 |
検索の実行を許可されているユーザーのパスワード。
|
initial-context-factory | 不要 |
接続を確立する際に使用する初期コンテキストファクトリー。デフォルトでは
com.sun.jndi.ldap.LdapCtxFactory に設定されています。
|
security-realm | 不要 |
接続を確立するときに、使用する設定済みの
SSLContext を取得するために参照するセキュリティーレルム。
|
例11.7 LDAP 送信接続の追加
- DN の検索:
cn=search,dc=acme,dc=com
- 証明情報の検索:
myPass
- URL:
ldap://127.0.0.1:389
/host=master/core-service=management/security-realm=ldap_security_realm:add
/host=master/core-service=management/ldap-connection=ldap_connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com")
管理インターフェースは、デフォルトで設定されているプロパティーファイルをベースとするセキュリティーレルムの代わりに LDAP サーバーに対して認証を行うことができます。LDAP のオーセンティケーターは、最初にリモートディレクトリーサーバーへの接続を確立します。次に、LDAP レコードの完全修飾識別名 (DN) を探すため、ユーザーが認証システムに渡したユーザー名を使用して検索を実行します。クレデンシャルとしてユーザーの DN とユーザー提供のパスワードを使用して、新規接続が確立されます。 この LDAP サーバーに対するこの検証に成功すると、DN が有効であることが検証されます。
- connection
- LDAP ディレクトリーへ接続するために使用される
outbound-connections
に定義されている接続の名前。 - advanced-filter
- 指定のユーザー ID を基にユーザーを検索するのに使用される完全に定義されたフィルター。フィルターには
{0}
という形式の変数が含まれている必要があります。これは、後でユーザー指定のユーザー名に置き換えられます。 - base-dn
- ユーザー検索を開始するためのコンテキストの識別名
- recursive
- LDAP ディレクトリーツリー全体にわたって再帰的に検索を行うか、指定のコンテキストのみを検索するかを指定します。デフォルトでは
false
に設定されています。 - user-dn
- 識別名を保持するユーザーの属性。これは、後で認証のテストに使用されます。デフォルトでは
dn
に設定されています。 - username-attribute
- ユーザーを検索するための属性の名前。このフィルターは、ユーザーによって入力されたユーザー名が指定の属性と一致する簡単な検索を行います。
- allow-empty-passwords
- この属性は、空白のパスワードが許可されるかどうかを決定します。この属性のデフォルト値は
false
です。 username-filter
またはadvanced-filter
を指定する必要があります。advanced-filter
属性には、標準の LDAP 構文のフィルタークエリーが含まれています。例を以下に示します。(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))
例11.8 LDAP 対応のセキュリティーレルムを示す XML
- connection -
ldap_connection
- base-dn -
cn=users,dc=acme,dc=com
. - username-filter -
attribute="sambaAccountName"
<security-realm name="ldap_security_realm"> <authentication> <ldap connection="ldap_connection" base-dn="cn=users,dc=acme,dc=com"> <username-filter attribute="sambaAccountName" /> </ldap> </authentication> </security-realm>
警告
例11.9 LDAP セキュリティーレルムの追加
/host=master/core-service=management/security-realm=ldap_security_realm/authentication=ldap:add(base-dn="DC=mycompany,DC=org", recursive=true, username-attribute="MyAccountName", connection="ldap_connection")
セキュリティーレルムの作成が完了したら、管理インターフェースの設定でそのドメインを参照する必要があります。管理インターフェースは、HTTP ダイジェスト認証用のセキュリティーレルムを使用します。
例11.10 HTTP インターフェースへのセキュリティーレルムの適用
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=ldap_security_realm)
例11.11 セキュリティーレルムのネイティブインターフェースへの適用
/host=master/core-service=management/management-interface=native-interface/:write-attribute(name=security-realm,value=ldap_security_realm)
11.8.5. HTTP 管理インターフェースの無効化
注記
console-enabled
属性 を false
に設定できます。
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=console-enabled,value=false)
例11.12 HTTP インターフェースの設定の読み込み
/host=master/core-service=management/management-interface=http-interface/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
{
"outcome" => "success",
"result" => {
"console-enabled" => true,
"interface" => "management",
"port" => expression "${jboss.management.http.port:9990}",
"secure-port" => undefined,
"security-realm" => "ManagementRealm"
}
}
例11.13 HTTP インターフェースの削除
/host=master/core-service=management/management-interface=http-interface/:remove
例11.14 HTTP インターフェースの再作成
/host=master/core-service=management/management-interface=http-interface:add(console-enabled=true,interface=management,port="${jboss.management.http.port:9990}",security-realm=ManagementRealm)
11.8.6. デフォルトセキュリティーレルムからのサイレント認証の削除
JBoss EAP 6 には、ローカル管理 CLI ユーザーに対するサイレント認証方法が含まれます。これにより、ローカルユーザーは、ユーザー名またはパスワード認証なしで管理 CLI にアクセスできるようになります。この機能は、利便性のために有効であり、ローカルユーザーが認証なしで管理 CLI スクリプトを実行する場合に役に立ちます。この機能は、ローカル設定へのアクセスにより、ユーザーが独自のユーザー詳細を追加できる (または、セキュリティーチェックを無効にする) ため、役に立つ機能です。
security-realm
セクション内で local
要素を削除することにより、実現できます。これは、スタンドアロンサーバーインスタンス用の standalone.xml
と管理対象ドメイン用の host.xml
の両方に適用されます。特定のサーバー設定への影響について理解している場合のみ、local
要素の削除を考慮するようにしてください。
local
要素を直接削除することです。
例11.15 security-realm
の local
要素の例
<security-realms> <security-realm name="ManagementRealm"> <authentication> <local default-user="$local"/> <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/> </authentication> </security-realm> <security-realm name="ApplicationRealm"> <authentication> <local default-user="$local" allowed-users="*"/> <properties path="application-users.properties" relative-to="jboss.server.config.dir"/> </authentication> <authorization> <properties path="application-roles.properties" relative-to="jboss.server.config.dir"/> </authorization> </security-realm> </security-realms>
手順11.7 デフォルトセキュリティーレルムからのサイレント認証の削除
管理 CLI でのサイレント認証の削除
必要に応じて、管理レルムとアプリケーションレルムからlocal
要素を削除します。- 管理レルムから
local
要素を削除します。スタンドアロンの場合
/core-service=management/security-realm=ManagementRealm/authentication=local:remove
管理対象ドメインの場合
/host=HOST_NAME/core-service=management/security-realm=ManagementRealm/authentication=local:remove
- アプリケーションレルムから
local
要素を削除します。スタンドアロンの場合
/core-service=management/security-realm=ApplicationRealm/authentication=local:remove
管理対象ドメインの場合
/host=HOST_NAME/core-service=management/security-realm=ApplicationRealm/authentication=local:remove
サイレント認証モードが、ManagementRealm
と ApplicationRealm
から削除されます。
11.8.7. JMX サブシステムへのリモートアクセスの無効化
/profile=default
接頭辞を削除してください。
注記
例11.16 JMX サブシステムからのリモートコネクターの削除
/profile=default/subsystem=jmx/remoting-connector=jmx/:remove
例11.17 JMX サブシステムの削除
/profile=default/subsystem=jmx/:remove
11.8.8. 管理インターフェースのセキュリティーレルムの設定
デフォルトでは、管理インターフェースは ManagementRealm
セキュリティーレルムを使用するよう設定されています。ManagementRealm はユーザーとパスワードの組み合わせを mgmt-users.properties
ファイルに格納します。
例11.18 デフォルトの ManagementRealm
/host=master/core-service=management/security-realm=ManagementRealm/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
{
"outcome" => "success",
"result" => {
"authorization" => undefined,
"server-identity" => undefined,
"authentication" => {"properties" => {
"path" => "mgmt-users.properties",
"plain-text" => false,
"relative-to" => "jboss.domain.config.dir"
}}
}
}
以下のコマンドは TestRealm
というセキュリティーレルムを作成し、関連するプロパティーファイルのディレクトリーを設定します。
例11.19 セキュリティーレルムを新たに作成します。
/host=master/core-service=management/security-realm=TestRealm/:add
/host=master/core-service=management/security-realm=TestRealm/authentication=properties/:add(path=TestUsers.properties, relative-to=jboss.domain.config.dir)
セキュリティードメインを使用して管理インターフェースに対して認証を行うには、以下の手順に従います。
security-realm
属性の値として指定します。
例11.20 HTTP 管理インターフェースに使用するセキュリティーレルムの指定
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=TestRealm)
11.9. ロールベースアクセス制御を用いた管理インターフェースのセキュア化
11.9.1. ロールベースアクセス制御 (RBAC)
11.9.2. 管理コンソールおよび CLI でのロールベースアクセス制御
- 管理コンソール
- 管理コンソールでは、ユーザーに割り当てられたロールのパーミッションによっては、制御およびビューの一部が無効化 (灰色で表示) されたり、全く表示されないことがあります。リソース属性に対する読み取りパーミッションがない場合、その属性は管理コンソールでは空白で表示されます。たとえば、ほとんどのロールは、データソースのユーザー名およびパスワードフィールドを読み取りできません。リソース属性に対する書き込みパーミッションがない場合、その属性はリソースの編集フォームで無効化 (灰色で表示) されます。リソースに対する書き込みパーミッションがない場合、リソースの編集ボタンは表示されません。ユーザーがリソースまたは属性へアクセスするパーミッションを持たない場合 (ロールに対して「アドレス不可能」な場合)、コンソールではそのユーザーに対するリソースまたは属性が表示されません。アクセス制御システム自体がこの例で、デフォルトでは少数のロールのみに対して表示されます。
- 管理 CLI または API
- RBAC が有効である場合、API での 管理 CLI や管理 API の動作が若干異なります。読み取りできないリソースや属性は結果からフィルターされます。フィルターされた項目がロールによってアドレス可能である場合、結果の
response-headers
セクションにこれらの名前がfiltered-attributes
としてリストされます。リソースまたは属性がロールによってアドレス可能でない場合は、リストされません。アドレス不可能なリソースにアクセスしようとすると、resource not found
(リソースが見つかりません) というエラーが発生します。適切な読み書きパーミッションのないユーザーが、アドレス可能なリソースを読み書きしようとすると、Permission Denied
(パーミッションが拒否されました) というエラーが返されます。
11.9.3. サポートされる認証スキーム
username/password
、client certificate
、および local user
です。
- Username/Password
- ユーザーはユーザー名とパスワードの組み合わせを使用して認証されます。この組み合わせは、
mgmt-users.properties
ファイルまたは LDAP サーバーに対して検証されます。 - Client Certificate
- トラストストアを使用します。
- Local User
- 同じマシン上で実行されているサーバーの場合、
jboss-cli.sh
は自動的に Local User として認証します。デフォルトでは、Local User はSuperUser
グループのメンバーになります。
mgmt-users.properties
ファイルまたは LDAP サーバーで認証する場合、これらのシステムはユーザーグループ情報を提供できます。ユーザーグループ情報は、ロールをユーザーに割り当てるために JBoss EAP が使用することも可能です。
11.9.4. 標準のロール
- Monitor
- Monitor ロールのユーザーは、最も少ないパーミッションを持ち、現在の設定およびサーバーの状態のみを読み取りできます。これは、サーバーのパフォーマンスを追跡し、報告する必要があるユーザー向けのロールです。Monitor はサーバー設定を変更したり、機密データおよび操作にアクセスしたりできません。
- Operator
- Operator ロールは、サーバーのランタイム状態を変更する機能を追加して、Monitor ロールを拡張します。これにより、Operator はサーバーをリロードおよびシャットダウンでき、JMS 宛先を一時停止および再開できます。Operator ロールは、アプリケーションサーバーの物理または仮想ホストを管理するユーザーに向いており、必要時にサーバーが正しくシャットダウンおよび再起動されるようにします。Operator はサーバー設定を変更したり、機密データおよび操作にアクセスしたりできません。
- Maintainer
- Maintainer ロールは、機密データおよび操作以外のすべての設定と、ランタイム状態を表示および変更できます。Maintainer ロールは、機密データおよび操作へアクセスできない汎用のロールです。Maintainer ロールは、パスワードやその他の機密情報へのアクセス権限を付与せずに、ユーザーがサーバーをほぼ完全に管理できるようにします。Maintainer は機密データまたは操作へアクセスできません。
- Administrator
- Administrator ロールは、監査ロギングシステムを除くサーバー上のすべてのリソースおよび操作へ無制限にアクセスできます。Administrator ロールは、機密のデータおよび操作へアクセスできます。このロールはアクセス制御システムも設定できます。Administrator ロールは、機密データを処理する場合や、ユーザーとロールを設定する場合のみ必要です。Administrator は監査ロギングシステムへアクセスできず、Administrator 自身を Auditor または SuperUser ロールへ変更できません。
- SuperUser
- SuperUser ロールには制限がなく、監査ロギングシステムを含むサーバーのすべてのリソースおよび操作へ完全にアクセスできます。このロールは、以前のバージョンの JBoss EAP 6 (6.0 および 6.1) での管理者ユーザーと同等です。RBAC が無効である場合、すべての管理ユーザーは SuperUser ロールと同等のパーミッションを持ちます。
- Deployer
- Deployer ロールは Monitor と同じパーミッションを持ちますが、デプロイメントの設定や状態を変更でき、アプリケーションリソースとして有効になっている他のリソースタイプも変更できます。
- Auditor
- Auditor ロールは Monitor ロールと同じパーミッションを持ちますが、機密データを表示でき (変更はできません)、監査ロギングシステムへ完全にアクセスできます。Auditor ロールは SuperUser ロール以外で唯一監査ログインシステムへアクセスできるロールです。Auditor は機密データやリソースを変更できません。読み取りのみが許可されます。
11.9.5. ロールパーミッション
表11.5 ロールパーミッション
Monitor
|
Operator
|
Maintainer
|
Deployer
|
Auditor
|
Administrator
|
SuperUser
| |
設定と状態の読み取り
|
○
|
○
|
○
|
○
|
○
|
○
|
○
|
機密データの読み取り [2]
|
○
|
○
|
○
| ||||
機密データの変更 [2]
|
○
|
○
| |||||
監査ログの読み取り/変更
|
○
|
○
| |||||
ランタイム状態の変更
|
○
|
○
|
○[1]
|
○
|
○
| ||
永続化設定の変更
|
○
|
○[1]
|
○
|
○
| |||
アクセス制御の読み取り/変更
|
○
|
○
|
11.9.6. 制約
- アプリケーション制約
- アプリケーション制約は、Deployer ロールのユーザーがアクセスできるリソースおよび属性のセットを定義します。デフォルトでは、有効になっているアプリケーション制約は、デプロイメントやデプロイメントオーバーレイが含まれるコアのみです。また、アプリケーション制約はデータソース、ロギング、メール、メッセージング、ネーミング、リソースアダプター、およびセキュリティーに対しても含まれますが、デフォルトでは有効になっていません。これらの制約により、Deployer ユーザーはアプリケーションをデプロイできるだけでなく、これらのアプリケーションが必要とするリソースを設定および維持できます。アプリケーション制約の設定は、管理 API の
/core-service=management/access=authorization/constraint=application-classification
にあります。 - 機密性制約
- 機密性制約は、「機密」とされるリソースのセットを定義します。通常、機密リソースとは、パスワードなどの秘密のリソースや、ネットワーキング、JVM 設定、システムプロパティーなどのサーバー操作に深刻な影響を与えるリソースのことを言います。アクセス制御システム自体も機密であるとみなされます。機密リソースへの書き込みを許可されるロールは、Administrator と SuperUser のみです。Auditor ロールは、機密リソースの読み取りのみ可能です。他のロールは機密リソースへアクセスできません。機密性制約の設定は、管理 API の
/core-service=management/access=authorization/constraint=sensitivity-classification
にあります。 - vault 式制約
- vault 式制約は、vault 式の読み取りまたは書き込みが機密操作としてみなされるかどうかを定義します。デフォルトでは、vault 式の読み書き両方が機密操作とみなされます。vault 式制約の設定は、管理 API の
/core-service=management/access=authorization/constraint=vault-expression
にあります。
11.9.7. JMX およびロールベースアクセス制御
- JBoss EAP 6 の管理 API は JXM 管理 Bean として公開されます。これらの管理 Bean は「コア MBean」と呼ばれ、コア MBean へのアクセスは基盤の管理 API と全く同じように制御およびフィルターされます。
- JMX サブシステムは、書き込みパーミッションが「機密」で設定されます。そのため、Administrator および SuperUser ロールのユーザーのみがそのサブシステムに変更を追加できます。Auditor ロールのユーザーはこのサブシステムの設定を読み取りできます。
- デフォルトでは、デプロイされたアプリケーションおよびサービスによって登録された管理 Bean (コアでない MBean) へすべての管理ユーザーがアクセスできますが、Maintainer、Operator、Administrator、および SuperUser ロールのユーザーのみが書き込み可能です。
11.9.8. ロールベースアクセス制御の設定
11.9.8.1. RBAC 設定タスクの概要
- 各ユーザーへ割り当てられた (または除外された) ロールの表示および設定
- 各グループへ割り当てられた (または除外された) ロールの表示および設定。
- ロールごとのグループおよびユーザーメンバーシップの表示。
- ロールごとのデフォルトメンバーシップの設定。
- スコープ指定されたロールの作成。
- RBAC の有効化および無効化。
- パーミッション組み合わせポリシーの変更
- アプリケーションリソースおよびリソース機密性の制約の設定
11.9.8.2. ロールベースアクセス制御の有効化
simple
から rbac
に変更します。この変更を行うには管理 CLI を使用しますが、サーバーがオフラインの場合はサーバー設定 XML ファイルを編集して変更できます。RBAC が稼働中のサーバー上で無効または有効になっている場合は、サーバー設定をリロードして変更を反映する必要があります。
SuperUser
ロールとして実行されます。
手順11.8 RBAC の有効化
- 管理 CLI で RBAC を有効にするには、アクセス承認リソースの
write-attribute
操作を使用して、プロバイダー属性をrbac
に設定します。/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=rbac) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined }
手順11.9 RBAC の無効化
- 管理 CLI で RBAC を無効にするには、アクセス承認リソースの
write-attribute
操作を使用して、プロバイダー属性をsimple
に設定します。/core-service=management/access=authorization:write-attribute(name=provider, value=simple)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=simple) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined }
access-control
要素にある provider
属性を編集します。有効にする場合は値を rbac
に設定し、無効にする場合は simple
に設定します。
<management> <access-control provider="rbac"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control> </management>
11.9.8.3. パーミッション組み合わせポリシーの変更
permissive
または rejecting
に設定できます。デフォルトは permissive
です。
permissive
に設定されると、アクションを許可するロールがユーザーに割り当てられている場合に、そのアクションが許可されます。
rejecting
に設定された場合、複数のロールが割り当てられたユーザーはすべてのアクションが禁止されます。そのため、ポリシーが rejecting
に設定された場合は、各ユーザーに 1 つのロールのみが割り当てられるようにします。ポリシーが rejecting
に設定されると、複数のロールが割り当てられたユーザーは管理コンソールや管理 CLI を使用できません。
permission-combination-policy
属性を permissive
または rejecting
に設定します。これは管理 CLI を使用して設定できますが、サーバーがオフラインの場合はサーバー設定 XML ファイルを編集して設定できます。
手順11.10 パーミッション組み合わせポリシーの設定
- アクセス承認リソースの
write-attribute
操作を使用してpermission-combination-policy
属性を必要なポリシー名に設定します。/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
有効なポリシー名は rejecting と permissive です。[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
permission-combination-policy
属性を編集します。
<access-control provider="rbac" permission-combination-policy="rejecting"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control>
11.9.9. ロールの管理
11.9.9.1. ロールメンバーシップ
- ユーザーが以下のいずれかである場合。
- ロールに含まれるユーザーとしてリストに記載されている。
- ロールに含まれるとリストに記載されたグループのメンバーである。
- ユーザーが以下のいずれかに該当しない場合。
- ロールから除外されるユーザーとしてリストに記載されている。
- ロールから除外されるとリストに記載されたグループのメンバーである。
11.9.9.2. ユーザーロール割り当ての設定
SuperUser
または Administrator
ロールのユーザーのみです。
- 管理コンソールへログインします。
- Administration タブをクリックします。
- Access Control メニューを展開し、Role Assignment を選択します。
- USERS タブを選択します。
手順11.11 ユーザーの新しいロール割り当ての作成
- 管理コンソールへログインします。
- Role Assignment セクションの Users タブに移動します。
- ユーザーリストの右上にある Add ボタンをクリックします。Add User ダイアログが表示されます。
図11.1 Add User ダイアログ
- ユーザー名を指定し、任意でレルムを指定します。
- Type メニューを include または exclude に設定します。
- include または exclude するロールのチェックボックスをクリックします。Control キー (OSX では Command キー) を押しながらクリックすると、複数のチェックボックスを選択できます。
- Save をクリックして終了します。正常に保存されると、Add User ダイアログが閉じられます。ユーザーのリストが更新され、変更内容が反映されます。正常に保存されなかった場合は、
Failed to save role assignment
というメッセージが表示されます。
手順11.12 ユーザーロール割り当ての更新
- 管理コンソールへログインします。
- Role Assignment セクションの Users タブに移動します。
- リストよりユーザーを選択します。
- Edit をクリックします。選択パネルが編集モードになります。
図11.2 Selection Edit ビュー
ここで、ユーザーに割り当てられたロールや除外されたロールを追加および削除できます。- 割り当てられたロールを追加するには、左側の使用可能なロールのリストからロールを選択し、割り当てられたロールリストの横にある、右矢印のボタンをクリックします。ロールが、使用可能なロールのリストから割り当てられたロールのリストに移動します。
- 割り当てられたロールを削除するには、割り当てられたロールのリストからロールを選択し、割り当てられたロールリストの横にある左矢印のボタンをクリックします。ロールが、割り当てられたロールのリストから使用可能なロールのリストへ移動します。
- 除外されたロールを追加するには、左側の使用可能なロールのリストからロールを選択し、除外されたロールリストの横にある、右矢印のボタンをクリックします。ロールが、使用可能なロールのリストから除外されたロールのリストに移動します。
- 除外されたロールを削除するには、除外されたロールのリストからロールを選択し、除外されたロールリストの横にある左矢印のボタンをクリックします。ロールが、除外されたロールのリストから使用可能なロールのリストへ移動します。
- Save をクリックして終了します。正常に保存されると、編集ビューが閉じられます。ユーザーのリストが更新され、変更内容が反映されます。正常に保存されなかった場合は、
Failed to save role assignment
というメッセージが表示されます。
手順11.13 ユーザーのロール割り当ての削除
- 管理コンソールへログインします。
- Role Assignment セクションの Users タブへ移動します。
- リストよりユーザーを選択します。
- Remove をクリックします。Remove Role Assignment 確認プロンプトが表示されます。
- Confirm をクリックします。正しく削除されると、ユーザーロール割り当てのリストにユーザーが表示されなくなります。
重要
11.9.9.3. 管理 CLI を用いたユーザーロール割り当ての設定
role-mapping
要素とする /core-service=management/access=authorization
にあります。
/core-service=management/access=authorization
の場所を変更します。
[standalone@localhost:9999] cd /core-service=management/access=authorization
手順11.14 ロール割り当て設定の表示
- :read-children-names 操作を使用して、設定されたロールの完全リストを取得します。
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "Administrator", "Deployer", "Maintainer", "Monitor", "Operator", "SuperUser" ] }
- 指定されたロールマッピングの
read-resource
操作を使用して、特定ロールの完全詳細を取得します。/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=Administrator:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
手順11.15 新規ロールの追加
add
操作を使用して、新しいロール設定を追加します。/core-service=management/access=authorization/role-mapping=ROLENAME:add
ROLENAME は新しいマッピングに対するロール名です。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.16 ロールに include されるユーザーの追加
add
操作を使用して、ユーザーエントリーをロールの include リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=USERNAME, type=USER)
ROLENAME は設定されたロールの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、user-USERNAME
などのエイリアスに命名規則を使用することを推奨します。USERNAME は、include リストに追加されたユーザーの名前です。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.17 ロールに exclude されるユーザーの追加
add
操作を使用して、ユーザーエントリーをロールの exclude リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=USERNAME, type=USER)
ROLENAME は設定されたロールの名前です。USERNAME は、exclude リストに追加されたユーザーの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、user-USERNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.18 ユーザーロールの include 設定の削除
remove
操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、user-USERNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
include リストからユーザーを削除しても、ユーザーはシステムから削除されず、ロールがユーザーに割り当てられなくなる保証はありません。ロールはグループメンバーシップを基に割り当てられる可能性があります。
手順11.19 ユーザーロールの exclude 設定の削除
remove
操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、user-USERNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
exclude リストからユーザーを削除しても、ユーザーはシステムから削除されず、ロールがユーザーに割り当てられる保証はありません。ロールはグループメンバーシップを基に除外される可能性があります。
11.9.9.4. ロールとユーザーグループ
mgmt-users.properties
ファイルまたは LDAP サーバーを使用して認証されるユーザーはユーザーグループのメンバーである可能性があります。ユーザーグループは、1 名以上のユーザーに割り当てできる任意のラベルです。
mgmt-users.properties
ファイルを使用する場合、グループ情報は mgmt-groups.properties
ファイルに保存されます。LDAP を使用する場合、グループ情報は LDAP サーバーに保存され、LDAP サーバーの管理者によって維持されます。
11.9.9.5. グループロール割り当ての設定
SuperUser
または Administrator
ロールのユーザーのみです。
- 管理コンソールへログインします。
- Administration タブをクリックします。
- Access Control メニューを展開し、Role Assignment を選択します。
- GROUPS タブを選択します。
手順11.20 グループの新しいロール割り当ての作成
- 管理コンソールへログインします。
- Role Assignment セクションの GROUPS タブに移動します。
- ユーザーリストの右上にある Add ボタンをクリックします。Add Group ダイアログが表示されます。
図11.3 Add Group ダイアログ
- グループ名を指定し、任意でレルムを指定します。
- Type メニューを include または exclude に設定します。
- include または exclude するロールのチェックボックスをクリックします。Control キー (OSX では Command キー) を押しながらクリックすると、複数のチェックボックスを選択できます。
- Save をクリックして終了します。正常に保存されると、Add Group ダイアログが閉じられます。グループのリストが更新され、変更内容が反映されます。正常に保存されなかった場合は、
Failed to save role assignment
というメッセージが表示されます。
手順11.21 グループロール割り当ての更新
- 管理コンソールへログインします。
- Role Assignment セクションの GROUPS タブへ移動します。
- リストよりグループを選択します。
- Edit をクリックします。Selection ビューが編集モードになります。
図11.4 Selection ビュー編集モード
ここで、グループに割り当てられたロールや除外されたロールを追加および削除できます。- 割り当てられたロールを追加するには、左側の使用可能なロールのリストからロールを選択し、割り当てられたロールリストの横にある、右矢印のボタンをクリックします。ロールが、使用可能なロールのリストから割り当てられたロールのリストに移動します。
- 割り当てられたロールを削除するには、割り当てられたロールのリストからロールを選択し、割り当てられたロールリストの横にある左矢印のボタンをクリックします。ロールが、割り当てられたロールのリストから使用可能なロールのリストへ移動します。
- 除外されたロールを追加するには、左側の使用可能なロールのリストからロールを選択し、除外されたロールリストの横にある、右矢印のボタンをクリックします。ロールが、使用可能なロールのリストから除外されたロールのリストに移動します。
- 除外されたロールを削除するには、除外されたロールのリストからロールを選択し、除外されたロールリストの横にある左矢印のボタンをクリックします。ロールが、除外されたロールのリストから使用可能なロールのリストへ移動します。
- Save をクリックして終了します。正常に保存されると、編集ビューが閉じられます。グループのリストが更新され、変更内容が反映されます。正常に保存されなかった場合は、Failed to save role assignment というメッセージが表示されます。
手順11.22 グループのロール割り当ての削除
- 管理コンソールへログインします。
- Role Assignment セクションの GROUPS タブへ移動します。
- リストよりグループを選択します。
- Remove をクリックします。Remove Role Assignment 確認プロンプトが表示されます。
- Confirm をクリックします。正しく削除されると、グループロール割り当てのリストにロールが表示されなくなります。ロール割り当てのリストからグループを削除しても、ユーザーグループはシステムから削除されず、そのグループのメンバーにロールが割り当てられなくなる保証はありません。各グループメンバーに直接ロールが割り当てられる可能性があります。
11.9.9.6. 管理 CLI を用いたグループロール割り当ての設定
role-mapping
要素とする /core-service=management/access=authorization
にあります。
/core-service=management/access=authorization
の場所を変更します。
[standalone@localhost:9999] cd /core-service=management/access=authorization
手順11.23 グループロール割り当て設定の表示
read-children-names
操作を使用して、設定されたロールの完全リストを取得します。/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "Administrator", "Deployer", "Maintainer", "Monitor", "Operator", "SuperUser" ] }
- 指定されたロールマッピングの
read-resource
操作を使用して、特定ロールの完全詳細を取得します。/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=Administrator:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
手順11.24 新規ロールの追加
add
操作を使用して、新しいロール設定を追加します。/core-service=management/access=authorization/role-mapping=ROLENAME:add
[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.25 グループに include されるユーザーの追加
add
操作を使用して、グループエントリーをロールの include リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)
ROLENAME は設定されたロールの名前です。GROUPNAME は、include リストに追加されたグループの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、group-GROUPNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=group-investigators:add(name=investigators, type=GROUP) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.26 ロールに exclude されるグループの追加
add
操作を使用して、グループエントリーをロールの exclude リストに追加します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)
ROLENAME は設定されたロールの名前です。GROUPNAME は、include リストに追加されたグループの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、group-GROUPNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=group-supervisors:add(name=supervisors, type=GROUP) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
手順11.27 グループーロールの include 設定の削除
remove
操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、group-GROUPNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/include=group-investigators:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
include リストからグループを削除しても、グループはシステムから削除されず、このグループのユーザーにロールが割り当てられなくなる保証はありません。ロールは、グループのユーザーへ個別に割り当てられる可能性があります。
手順11.28 ユーザーグループの exclude エントリーの削除
remove
操作を使用してエントリーを削除します。/core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
ROLENAME は設定されたロールの名前です。ALIAS
はこのマッピングの一意名です。Red Hat は、group-GROUPNAME
などのエイリアスに命名規則を使用することを推奨します。[standalone@localhost:9999 access=authorization] ./role-mapping=Auditor/exclude=group-supervisors:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
exclude リストからグループを削除しても、グループはシステムから削除されず、ロールがグループのメンバーに割り当てられる保証はありません。ロールはグループメンバーシップを基に除外される可能性があります。
11.9.9.7. LDAP での承認とグループローディング
memberOf
属性を用いてユーザーエンティティーがユーザーが属するグループをマップしたり、 uniqueMember
属性を用いてグループエンティティーが属するユーザーをマップしたりすることがあります。また、両方のマッピングが LDAP サーバーによって維持されることもあります。
force
が false に設定されている場合は承認クエリー中に再使用されます。force
が true の場合は、承認中 (グループのロード中) に検索が再実行されます。通常、これは認証と承認が異なるサーバーによって実行される場合に行われます。
<authorization> <ldap connection="..."> <!-- OPTIONAL --> <username-to-dn force="true"> <!-- Only one of the following. --> <username-is-dn /> <username-filter base-dn="..." recursive="..." user-dn-attribute="..." attribute="..." /> <advanced-filter base-dn="..." recursive="..." user-dn-attribute="..." filter="..." /> </username-to-dn> <group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." > <!-- One of the following --> <group-to-principal base-dn="..." recursive="..." search-by="..."> <membership-filter principal-attribute="..." /> </group-to-principal> <principal-to-group group-attribute="..." /> </group-search> </ldap> </authorization>
重要
force
属性で、デフォルト値の false
に設定されていても必要となります。
username-to-dn
username-to-dn
要素は、ユーザー名をエントリーの識別名へマップする方法を指定します。この要素は、以下の両方の条件に見合う場合のみ必要となります。
- 認証および承認手順は異なる LDAP サーバーに対するものである。
- グループ検索が識別名を使用する。
- 1:1 username-to-dn
- リモートユーザーによって入力されたユーザー名はユーザーの識別名であると指定します。
<username-to-dn force="false"> <username-is-dn /> </username-to-dn>
これは 1:1 マッピングを定義し、追加の設定はありません。 - username-filter
- 次のオプションは、前述の認証手順の簡単なオプションと似ています。指定のユーザー名に対して一致する指定の属性が検索されます。
<username-to-dn force="true"> <username-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" attribute="sn" user-dn-attribute="dn" /> </username-to-dn>
設定可能な属性は次のとおりです。base-dn
: 検索を開始するコンテキストの識別名。recursive
: サブコンテキストが検索対象となるかどうか。デフォルトはfalse
です。attribute
: 指定のユーザー名に対して一致されるユーザーエントリーの属性。デフォルトはuid
です。user-dn-attribute
: ユーザーの識別名を取得するために読み取る属性。デフォルトはdn
です。
- advanced-filter
- 詳細フィルターを指定するオプションです。認証セクションでは、カスタムフィルターを使用してユーザーの識別名を見つけられます。
<username-to-dn force="true"> <advanced-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" filter="sAMAccountName={0}" user-dn-attribute="dn" /> </username-to-dn>
username-filter の例と同じ属性は、意味とデフォルト値も同じです。新たな属性は以下の 1 つのみです。filter
: ユーザー名が{0}
プレースホルダーで置き換えられる、ユーザーのエントリーの検索に使用されるカスタムフィルター。
重要
フィルターの定義後も XML が有効である必要があるため、&
などの特殊文字が使用される場合は、適切な形式が使用されるようにしてください。たとえば、&
文字には&
を使用します。
グループ検索
例11.21 LDIF の例: プリンシパルからグループ
TestUserOne
は GroupOne
のメンバーで、 GroupOne
は GroupFive
のメンバーです。グループメンバーシップは、memberOf
属性を使用して表されます。memberOf
属性は、ユーザー (またはグループ) がメンバーであるグループの識別名に設定されます。
memberOf
属性を設定することも可能です (ユーザーが直接メンバーであるグループごとに 1 つ)。
dn: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: inetOrgPerson objectClass: uidObject objectClass: person objectClass: organizationalPerson cn: Test User One sn: Test User One uid: TestUserOne distinguishedName: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org memberOf: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org memberOf: uid=Slashy/Group,ou=groups,dc=principal-to-group,dc=example,dc=org userPassword:: e1NTSEF9WFpURzhLVjc4WVZBQUJNbEI3Ym96UVAva0RTNlFNWUpLOTdTMUE9PQ== dn: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: group objectClass: uidObject uid: GroupOne distinguishedName: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org memberOf: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org dn: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: group objectClass: uidObject uid: GroupFive distinguishedName: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org
例11.22 LDIF の例: グループからプリンシパル
TestUserOne
は GroupOne
のメンバーで、 GroupOne
は GroupFive
のメンバーですが、相互参照にはグループからユーザーへ属性 uniqueMember
が使用されます。
dn: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: inetOrgPerson objectClass: uidObject objectClass: person objectClass: organizationalPerson cn: Test User One sn: Test User One uid: TestUserOne userPassword:: e1NTSEF9SjR0OTRDR1ltaHc1VVZQOEJvbXhUYjl1dkFVd1lQTmRLSEdzaWc9PQ== dn: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: groupOfUniqueNames objectClass: uidObject cn: Group One uid: GroupOne uniqueMember: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org dn: uid=GroupFive,ou=subgroups,ou=groups,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: groupOfUniqueNames objectClass: uidObject cn: Group Five uid: GroupFive uniqueMember: uid=TestUserFive,ou=users,dc=group-to-principal,dc=example,dc=org uniqueMember: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org
一般的なグループ検索
<group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." > ... </group-search>
group-name
: この属性は、ユーザーがメンバーであるグループのリストとして返されるグループ名に使用される形式を指定するために使用されます。これは、単純なグループ名またはグループの識別名になります。識別名が必要な場合は、この属性をDISTINGUISHED_NAME
に設定できます。デフォルトはSIMPLE
です。iterative
: ユーザーがメンバーであるグループを特定した後に、グループがメンバーであるグループを特定するため、グループを基に繰り返し検索するかどうかを指定するために使用される属性です。繰り返し検索が有効であると、他のグループのメンバーでないグループが見つかるか、サイクルが検出されるまで検索を続行します。デフォルトはfalse
です。
重要
group-dn-attribute
: 属性が識別名であるグループのエントリーです。デフォルトはdn
です。group-name-attribute
: 属性が単純名であるグループのエントリーです。デフォルトはuid
です。
例11.23 プリンシパルからグループへの設定例
memberOf
属性です。
<authorization> <ldap connection="LocalLdap"> <username-to-dn> <username-filter base-dn="ou=users,dc=principal-to-group,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" /> </username-to-dn> <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid"> <principal-to-group group-attribute="memberOf" /> </group-search> </ldap> </authorization>
principal-to-group
要素が単一の属性で追加されていることです。
group-attribute
: ユーザーがメンバーであるグループの識別名と一致する、ユーザーエントリー上の属性名。デフォルトはmemberOf
です。
例11.24 グループからプリンシパルへの設定例
<authorization> <ldap connection="LocalLdap"> <username-to-dn> <username-filter base-dn="ou=users,dc=group-to-principal,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" /> </username-to-dn> <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid"> <group-to-principal base-dn="ou=groups,dc=group-to-principal,dc=example,dc=org" recursive="true" search-by="DISTINGUISHED_NAME"> <membership-filter principal-attribute="uniqueMember" /> </group-to-principal> </group-search> </ldap> </authorization>
group-to-principal
要素が追加されています。この要素は、ユーザーエントリーを参照するグループの検索がどのように実行されるかを定義するために使用されます。以下の属性が設定されます。
base-dn
: 検索を開始するために使用するコンテキストの識別名。recursive
: サブコンテキストも検索されるかどうか。デフォルトはfalse
です。search-by
: 検索で使用されるロール名の形式です。有効な値はSIMPLE
およびDISTINGUISHED_NAME
です。デフォルトはDISTINGUISHED_NAME
です。
principal-attribute
: ユーザーエントリーを参照する、グループエントリー上の属性名。デフォルトはmember
です。
11.9.9.8. スコープ指定ロール
- 一意名。
- ベースになる標準ロール。
- サーバーグループまたはホストへ適用されるかどうか。
- スコープ指定ロールが制限されるサーバーグループまたはホストのリスト。
- すべてのユーザーが自動的に含まれるかどうか。デフォルトは false です。
- ホストスコープ指定ロール
- ホストスコープ指定されたロールは、そのロールのパーミッションを 1 つ以上のホストに制限します。これにより、関連する
/host=*/
リソースツリーにアクセスできますが、他のホスト固有のリソースは表示されません。 - サーバーグループスコープ指定ロール
- サーバーグループスコープ指定のロールは、そのロールのパーミッションを 1 つ以上のサーバーグループに制限します。さらに、ロールパーミッションは、指定されたサーバーグループに関連するプロファイル、ソケットバインディンググループ、サーバー設定、およびサーバーリソースにも適用されます。サーバーグループに論理的に関連しないリソース内のサブリソースは、ユーザーに対して表示されません。
11.9.9.9. スコープ指定ロールの作成
SuperUser
または Administrator
ロールのユーザーのみです。
- 管理コンソールへログインします。
- Administration タブをクリックします。
- Access Control メニューを展開し、Role Assignment を選択します。
- ROLES タブを選択し、そのタブ内にある Scoped Roles タブを選択します。
手順11.29 新しいスコープ指定ロールの追加
- 管理コンソールへログインします。
- Roles タブの Scoped Roles エリアに移動します。
- Add をクリックします。Add Scoped Role ダイアログが表示されます。
- 次の詳細を指定します。
- Name: 新しいスコープ指定ロールの一意名。
- Base Role: このロールのパーミッションがベースとなるロール。
- Type: このロールがホストまたはサーバーグループに制限されるかどうか。
- Scope: ロールが制限されるホストまたはサーバーグループのリスト。複数のエントリーを選択できます。
- Include All: このロールにすべてのユーザーが自動的に含まれるかどうか。デフォルトは no です。
- Save ボタンをクリックすると、ダイアログが閉じられ、新規作成されたロールがテーブルに表示されます。
手順11.30 スコープ指定ロールの編集
- 管理コンソールへログインします。
- Roles タブの Scoped Roles エリアに移動します。
- テーブル上で編集するスコープ指定ロールをクリックします。ロールの詳細がテーブルの下の Selection パネルに表示されます。
- Selection パネルの Edit をクリックします。Selection パネルが編集モードになります。
- 変更する必要がある詳細を変更し、Save ボタンをクリックします。Selection パネルが以前の状態に戻ります。Selection パネルとテーブルの両方に、新たに更新された詳細が表示されます。
手順11.31 スコープ指定ロールメンバーの表示
- 管理コンソールへログインします。
- Roles タブの Scoped Roles エリアに移動します。
- テーブル上で、Members を表示したいスコープ指定ロールをクリックし、Members をクリックします。Members of role ダイアログが表示されます。このダイアログには、ロールに含まれるまたは除外されるユーザーとグループが表示されます。
- 情報を確認した後、Done ボタンをクリックします。
手順11.32 スコープ指定ロールの削除
重要
- 管理コンソールへログインします。
- Roles タブの Scoped Roles エリアに移動します。
- テーブル上で、削除するスコープ指定ロールを選択します。
- Remove ボタンをクリックします。Remove Scoped Role ダイアログが表示されます。
- Confirm ボタンをクリックします。ダイアログが閉じられ、ロールが削除されます。
11.9.10. 制約の設定
11.9.10.1. 機密性制約の設定
/core-service=management/access=authorization/constraint=sensitivity-classification
にあります。
classification
として識別されます。classification (分類) は types
にグループ化されます。39 個の分類が含まれ、それらは 13 個のタイプにグループ化されます。
write-attribute
操作を使用して configured-requires-read
、configured-requires-write
、または configured-requires-addressable
属性を設定します。操作のタイプを機密にするには、true
を値として設定します。機密にしない場合は false
を設定します。デフォルトではこれらの属性は設定されておらず、default-requires-read
、default-requires-write
、および default-requires-addressable
の値が使用されます。configured 属性の値が設定されると、デフォルトの代わりにその値が使用されます。デフォルト値は変更できません。
例11.25 読み取りシステムプロパティーを機密操作にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property [domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=system-property] :read-resource { "outcome" => "success", "result" => { "configured-requires-addressable" => undefined, "configured-requires-read" => true, "configured-requires-write" => undefined, "default-requires-addressable" => false, "default-requires-read" => false, "default-requires-write" => true, "applies-to" => { "/host=master/system-property=*" => undefined, "/host=master/core-service=platform-mbean/type=runtime" => undefined, "/server-group=*/system-property=*" => undefined, "/host=master/server-config=*/system-property=*" => undefined, "/host=master" => undefined, "/system-property=*" => undefined, "/" => undefined } } } [domain@localhost:9999 classification=system-property]
表11.6 機密性制約の設定結果
Value | requires-read | requires-write | requires-addressable |
---|---|---|---|
true
|
読み取りは機密です。
Auditor 、Administrator 、および SuperUser のみ読み取りできます。
|
書き込みは機密です。
Administrator および SuperUser のみ書き込みできます。
|
アドレス指定は機密です。
Auditor 、Administrator 、および SuperUser のみアドレス可能です。
|
false
|
読み取りは機密ではありません。
すべての管理ユーザーが読み取りできます。
|
書き込みは機密ではありません。
Maintainer 、Administrator 、および SuperUser のみ書き込みできます。Deployers はアプリケーションリソースのアプリケーションを書き込みできます。
|
アドレス指定は機密ではありません。
すべての管理ユーザーがアドレス指定できます。
|
11.9.10.2. アプリケーションリソース制約の設定
/core-service=management/access=authorization/constraint=application-classification/
にあります。
classification
として識別されます。classification (分類) は types
にグループ化されます。14 個の分類が含まれ、それらは 8 つのタイプにグループ化されます。各分類には、分類設定が適用されるリソースパスパターンのリストである applies-to
要素が含まれます。
core
のみです。core にはデプロイメント、デプロイメントオーバーレイ、およびデプロイメント操作が含まれます。
write-attribute
操作を使用して、分類の configured-application attribute
を true
に設定します。アプリケーションリソースを無効にするには、この属性を false
に設定します。デフォルトでは、この属性は設定されていないため、default-application attribute
の値が使用されます。デフォルトの値は変更できません。
例11.26 logger-profile アプリケーションリソースの分類を有効にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile [domain@localhost:9999 classification=logging-profile] :write-attribute(name=configured-application, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=logging-profile] :read-resource { "outcome" => "success", "result" => { "configured-application" => true, "default-application" => false, "applies-to" => {"/profile=*/subsystem=logging/logging-profile=*" => undefined} } } [domain@localhost:9999 classification=logging-profile]
重要
Deployer
ユーザーに、あるデータソースリソースへのアクセスを許可し、他のデータソースリソースへのアクセスを拒否することはできません。このような分離レベルが必要な場合は、リソースを異なるサーバーグループに設定し、各グループに対して異なるスコープ指定の Deployer
ロールを作成することが推奨されます。
11.9.10.3. Vault 式制約の設定
/core-service=management/access=authorization/constraint=vault-expression
にあります。
write-attribute
操作を使用して configured-requires-write
および configured-requires-read
属性を true
または false
に設定します。デフォルトでは、これらの属性は設定されていないため、default-requires-read
および default-requires-write
の値が使用されます。デフォルトの値は変更できません。
例11.27 vault 式への書き込みを非機密操作にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=vault-expression [domain@localhost:9999 constraint=vault-expression] :write-attribute(name=configured-requires-write, value=false) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 constraint=vault-expression] :read-resource { "outcome" => "success", "result" => { "configured-requires-read" => undefined, "configured-requires-write" => false, "default-requires-read" => true, "default-requires-write" => true } } [domain@localhost:9999 constraint=vault-expression]
表11.7 vault 式制約の設定結果
Value | requires-read | requires-write |
---|---|---|
true
|
読み取り操作は機密です。
Auditor 、Administrator 、および SuperUser のみ読み取りできます。
|
書き込み操作は機密です。
Administrator および SuperUser のみ書き込みできます。
|
false
|
読み取り操作は機密ではありません。
すべての管理ユーザーが読み取りできます。
|
書き込み操作は機密ではありません。
Maintainer 、Administrator 、および SuperUser が書き込みできます。Deployers はアプリケーションリソースに Vault 式がある場合に書き込みできます。
|
11.9.11. 制約に関する参考情報
11.9.11.1. アプリケーションリソース制約に関する参考情報
タイプ: core
- 分類: deployment-overlay
- デフォルト: true
- PATH: /deployment-overlay=*
- PATH: /deployment=*
- PATH: /操作:upload-deployment-stream、full-replace-deployment、 upload-deployment-url、upload-deployment-bytes
タイプ: datasources
- 分類: datasource
- デフォルト: false
- PATH: /deployment=*/subdeployment=*/subsystem=datasources/data-source=*
- PATH: /subsystem=datasources/data-source=*
- PATH: /subsystem=datasources/data-source=ExampleDS
- PATH: /deployment=*/subsystem=datasources/data-source=*
- 分類: jdbc-driver
- デフォルト: false
- PATH: /subsystem=datasources/jdbc-driver=*
- 分類: xa-data-source
- デフォルト: false
- PATH: /subsystem=datasources/xa-data-source=*
- PATH: /deployment=*/subsystem=datasources/xa-data-source=*
- PATH: /deployment=*/subdeployment=*/subsystem=datasources/xa-data-source=*
タイプ: logging
- 分類: logger
- デフォルト: false
- PATH: /subsystem=logging/logger=*
- PATH: /subsystem=logging/logging-profile=*/logger=*
- 分類: logging-profile
- デフォルト: false
- PATH: /subsystem=logging/logging-profile=*
タイプ: mail
- 分類: mail-session
- デフォルト: false
- PATH: /subsystem=mail/mail-session=*
タイプ: naming
- 分類: binding
- デフォルト: false
- PATH: /subsystem=naming/binding=*
タイプ: resource-adapters
- 分類: resource-adapters
- デフォルト: false
- PATH: /subsystem=resource-adapters/resource-adapter=*
タイプ: security
- 分類: security-domain
- デフォルト: false
- PATH: /subsystem=security/security-domain=*
11.9.11.2. 機密性制約に関する参考情報
タイプ: core
- 分類: access-control
- requires-addressable: true
- requires-read: true
- requires-write: true
- PATH: /core-service=management/access=authorization
- PATH: /subsystem=jmx ATTRIBUTE: non-core-mbean-sensitivity
- 分類: credential
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=mail/mail-session=*/server=pop3 ATTRIBUTE: username , password
- PATH: /subsystem=mail/mail-session=*/server=imap ATTRIBUTE: username , password
- PATH: /subsystem=datasources/xa-data-source=* ATTRIBUTE: user-name, recovery-username, password, recovery-password
- PATH: /subsystem=mail/mail-session=*/custom=* ATTRIBUTE: username, password
- PATH: /subsystem=datasources/data-source=*" ATTRIBUTE: user-name, password
- PATH: /subsystem=remoting/remote-outbound-connection=*" ATTRIBUTE: username
- PATH: /subsystem=mail/mail-session=*/server=smtp ATTRIBUTE: username, password
- PATH: /subsystem=web/connector=*/configuration=ssl ATTRIBUTE: key-alias, password
- PATH: /subsystem=resource-adapters/resource-adapter=*/connection-definitions=*" ATTRIBUTE: recovery-username, recovery-password
- 分類: domain-controller
- requires-addressable: false
- requires-read: false
- requires-write: true
- 分類: domain-names
- requires-addressable: false
- requires-read: false
- requires-write: true
- 分類: extensions
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /extension=*
- 分類: jvm
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=platform-mbean/type=runtime ATTRIBUTE: input-arguments, boot-class-path, class-path, boot-class-path-supported, library-path
- 分類: management-interfaces
- requires-addressable: false
- requires-read: false
- requires-write: true
- /core-service=management/management-interface=native-interface
- /core-service=management/management-interface=http-interface
- 分類: module-loading
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=module-loading
- 分類: patching
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=patching/addon=*
- PATH: /core-service=patching/layer=*"
- PATH: /core-service=patching
- 分類: read-whole-config
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: / OPERATION: read-config-as-xml
- 分類: security-domain
- requires-addressable: true
- requires-read: true
- requires-write: true
- PATH: /subsystem=security/security-domain=*
- 分類: security-domain-ref
- requires-addressable: true
- requires-read: true
- requires-write: true
- PATH: /subsystem=datasources/xa-data-source=* ATTRIBUTE: security-domain
- PATH: /subsystem=datasources/data-source=* ATTRIBUTE: security-domain
- PATH: /subsystem=ejb3 ATTRIBUTE: default-security-domain
- PATH: /subsystem=resource-adapters/resource-adapter=*/connection-definitions=* ATTRIBUTE: security-domain, recovery-security-domain, security-application, security-domain-and-application
- 分類: security-realm
- requires-addressable: true
- requires-read: true
- requires-write: true
- PATH: /core-service=management/security-realm=*
- 分類: security-realm-ref
- requires-addressable: true
- requires-read: true
- requires-write: true
- PATH: /subsystem=remoting/connector=* ATTRIBUTE: security-realm
- PATH: /core-service=management/management-interface=native-interface ATTRIBUTE: security-realm
- PATH: /core-service=management/management-interface=http-interface ATTRIBUTE: security-realm
- PATH: /subsystem=remoting/remote-outbound-connection=* ATTRIBUTE: security-realm
- 分類: security-vault
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=vault
- 分類: service-container
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=service-container
- 分類: snapshots
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: / ATTRIBUTE: take-snapshot, list-snapshots, delete-snapshot
- 分類: socket-binding-ref
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: /subsystem=mail/mail-session=*/server=pop3 ATTRIBUTE: outbound-socket-binding-ref
- PATH: /subsystem=mail/mail-session=*/server=imap ATTRIBUTE: outbound-socket-binding-ref
- PATH: /subsystem=remoting/connector=* ATTRIBUTE: socket-binding
- PATH: /subsystem=web/connector=* ATTRIBUTE: socket-binding
- PATH: /subsystem=remoting/local-outbound-connection=* ATTRIBUTE: outbound-socket-binding-ref
- PATH: /socket-binding-group=*/local-destination-outbound-socket-binding=* ATTRIBUTE: socket-binding-ref
- PATH: /subsystem=remoting/remote-outbound-connection=* ATTRIBUTE: outbound-socket-binding-ref
- PATH: /subsystem=mail/mail-session=*/server=smtp ATTRIBUTE: outbound-socket-binding-ref
- PATH: /subsystem=transactions ATTRIBUTE: process-id-socket-binding, status-socket-binding, socket-binding
- 分類: socket-config
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /interface=* OPERATION: resolve-internet-address
- PATH: /core-service=management/management-interface=native-interface ATTRIBUTE: port, interface, socket-binding
- PATH: /socket-binding-group=*
- PATH: /core-service=management/management-interface=http-interface ATTRIBUTE: port, secure-port, interface, secure-socket-binding, socket-binding
- PATH: / OPERATION: resolve-internet-address
- PATH: /subsystem=transactions ATTRIBUTE: process-id-socket-max-ports
- 分類: system-property
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /core-service=platform-mbean/type=runtime ATTRIBUTE: system-properties
- PATH: /system-property=*
- PATH: / OPERATION: resolve-expression
タイプ: datasources
- 分類: data-source-security
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=datasources/xa-data-source=* ATTRIBUTE: user-name, security-domain, password
- PATH: /subsystem=datasources/data-source=* ATTRIBUTE: user-name, security-domain, password
タイプ: jdr
- 分類: jdr
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /subsystem=jdr OPERATION: generate-jdr-report
タイプ: jmx
- 分類: jmx
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /subsystem=jmx
タイプ: mail
- 分類: mail-server-security
- requires-addressable: false
- requires-read: false
- requires-write: true
- PATH: /subsystem=mail/mail-session=*/server=pop3 ATTRIBUTE: username, tls, ssl, password
- PATH: /subsystem=mail/mail-session=*/server=imap ATTRIBUTE: username, tls, ssl, password
- PATH: /subsystem=mail/mail-session=*/custom=* ATTRIBUTE: username, tls, ssl, password
- PATH: /subsystem=mail/mail-session=*/server=smtp ATTRIBUTE: username, tls, ssl, password
タイプ: naming
- 分類: jndi-view
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=naming OPERATION: jndi-view
- 分類: naming-binding
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: /subsystem=naming/binding=*
タイプ: remoting
- 分類: remoting-security
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=remoting/connector=* ATTRIBUTE: authentication-provider, security-realm
- PATH: /subsystem=remoting/remote-outbound-connection=* ATTRIBUTE: username, security-realm
- PATH: /subsystem=remoting/connector=*/security=sasl
タイプ: resource-adapters
- 分類: resource-adapter-security
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=resource-adapters/resource-adapter=*/connection-definitions=* ATTRIBUTE: security-domain, recovery-username, recovery-security-domain, security-application, security-domain-and-application, recovery-password
タイプ: security
- 分類: misc-security
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=security ATTRIBUTE: deep-copy-subject-mode
タイプ: web
- 分類: web-access-log
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: /subsystem=web/virtual-server=*/configuration=access-log
- 分類: web-connector
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: /subsystem=web/connector=*
- 分類: web-ssl
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=web/connector=*/configuration=ssl
- 分類: web-sso
- requires-addressable: false
- requires-read: true
- requires-write: true
- PATH: /subsystem=web/virtual-server=*/configuration=sso
- 分類: web-valve
- requires-addressable: false
- requires-read: false
- requires-write: false
- PATH: /subsystem=web/valve=*
11.10. ネットワークセキュリティー
11.10.1. 管理インターフェースのセキュア化
11.10.2. JBoss EAP 6 が使用するネットワークインターフェースの指定
サービスを必要とするクライアントにのみアクセスできるようサービスを分離すると、ネットワークのセキュリティーが強化されます。JBoss EAP 6 には、デフォルト設定の 2 つのインターフェースが含まれ、どちらもデフォルトで IP アドレス 127.0.0.1
または localhost
にバインドされます。インターフェースの 1 つは management
と呼ばれ、管理コンソール、CLI、および API によって使用されます。他のインターフェースは public
と呼ばれ、アプリケーションをデプロイするために使用されます。これらのインターフェースは、特別なものではありませんが、作業を始める土台として提供されます。
management
インターフェースはデフォルトでポート 9990
および 9999
を使用し、public
インターフェースはポート 8080
または 8443
(HTTPS を使用する場合) を使用します。
警告
JBoss EAP 6 を停止します。
オペレーティングシステムに適切な方法で割り込みを送信して JBoss EAP 6 を停止します。JBoss EAP 6 をフォアグラウンドアプリケーションとして実行している場合、通常は Ctrl+C を押してこれを行います。バインドアドレスを指定して JBoss EAP 6 を再起動します。
-b
コマンドラインスイッチを使用して、特定のインターフェースで JBoss EAP 6 を起動します。例11.28 パブリックインターフェースの指定
EAP_HOME/bin/domain.sh -b 10.1.1.1
例11.29 管理インターフェースの指定
EAP_HOME/bin/domain.sh -bmanagement=10.1.1.1
例11.30 各インターフェースへの異なるアドレスの指定
EAP_HOME/bin/domain.sh -bmanagement=127.0.0.1 -b 10.1.1.1
例11.31 すべてのネットワークインターフェースへのパブリックインターフェースのバインド
EAP_HOME/bin/domain.sh -b 0.0.0.0
-b
コマンドラインスイッチを使用してランタイム時に IP アドレスを指定できなくなるため、お勧めしません。この作業を行う場合は、XML ファイルを編集する前に JBoss EAP 6 を完全に停止する必要があります。
11.10.3. JBoss EAP 6 により使用されるネットワークポート
- サーバーグループがデフォルトのソケットバインディンググループのいずれかを使用するか、またはカスタムグループを使用するかどうか。
- 個別デプロイメントの要件。
注記
8080
で、サーバーは 100
のポートオフセットを使用する場合、その HTTP ポートは 8180
になります。
デフォルトのソケットバインディンググループ
full-ha-sockets
full-sockets
ha-sockets
standard-sockets
表11.8 デフォルトのソケットバインディングの参照
名前 | ポート | マルチキャストポート | 説明 | full-ha-sockets | full-sockets | ha-socket | standard-socket |
---|---|---|---|---|---|---|---|
ajp | 8009 | Apache JServ プロトコル。HTTP クラスタリングおよび負荷分散に使用します。 | ○ | ○ | ○ | ○ | |
http | 8080 | デプロイされた Web アプリケーションのデフォルトポート。 | ○ | ○ | ○ | ○ | |
https | 8443 | デプロイされた Web アプリケーションとクライアント間の SSL 暗号化接続。 | ○ | ○ | ○ | ○ | |
jacorb | 3528 | JTS トランザクションおよび他の ORB 依存サービス用の CORBA サービス。 | ○ | ○ | × | × | |
jacorb-ssl | 3529 | SSL 暗号化 CORBA サービス。 | ○ | ○ | × | × | |
jgroups-diagnostics | 7500 | マルチキャスト。HA クラスターでのピアの検出に使用されます。管理インターフェースを使用しても設定できません。 | ○ | × | ○ | × | |
jgroups-mping | 45700 | マルチキャスト。HA クラスターでの初期メンバーシップの検出に使用されます。 | ○ | × | ○ | × | |
jgroups-tcp | 7600 | TCP を使用した、HA クラスター内でのユニキャストピア検出。 | ○ | × | ○ | × | |
jgroups-tcp-fd | 57600 | TCP を介した HA 障害検出に使用されます。 | ○ | × | ○ | × | |
jgroups-udp | 55200 | 45688 | UDP を使用した、HA クラスター内でのマルチキャストピア検出。 | ○ | × | ○ | × |
jgroups-udp-fd | 54200 | UDP を介した HA 障害検出に使用されます。 | ○ | × | ○ | × | |
messaging | 5445 | JMS サービス。 | ○ | ○ | × | × | |
messaging-group | HornetQ JMS ブロードキャストと検出グループにより参照されます。 | ○ | ○ | × | × | ||
messaging-throughput | 5455 | JMS Remoting により使用されます。 | ○ | ○ | × | × | |
mod_cluster | 23364 | JBoss EAP 6 と HTTP ロードバランサー間の通信に対するマルチキャストポート。 | ○ | × | ○ | × | |
osgi-http | 8090 | OSGi サブシステムを使用する内部コンポーネントにより使用されます。管理インターフェースを使用して設定できません。 | ○ | ○ | ○ | ○ | |
remoting | 4447 | リモート EJB の呼び出しに使用されます。 | ○ | ○ | ○ | ○ | |
txn-recovery-environment | 4712 | JTA トランザクションリカバリーマネージャー。 | ○ | ○ | ○ | ○ | |
txn-status-manager | 4713 | JTA / JTS トランザクションマネージャー。 | ○ | ○ | ○ | ○ |
ソケットバインディンググループの他に、各ホストコントローラーによって 2 つのポートが管理目的で開かれます。
9990
- Web 管理コンソールポート9999
- 管理コンソールと管理 API によって使用されるポート
11.10.4. JBoss EAP 6 で動作可能なネットワークファイアウォールの設定
ほとんどの本番環境では、ネットワークセキュリティー全体の方針の一部としてファイアウォールを使用します。複数のサーバーインスタンスがお互いに通信したり、Web サーバーやデータベースなどの外部サービスと通信したりする必要がある場合は、ファイアウォールでこれを考慮する必要があります。適切に管理されたファイアウォールでは、操作に必要なポートのみが開かれ、特定の IP アドレス、サブネット、およびネットワークプロトコルに対するポートへのアクセスが制限されます。
前提条件
- 開く必要があるポートを判断します。
- ファイアウォールソフトウェアについて理解する必要があります。この手順では、Red Hat Enterprise Linux 6 の
system-config-firewall
コマンドを使用します。Microsoft Windows Server には、ファイアウォールが組み込まれ、各プラットフォーム用の複数のサードパーティー製ファイアウォールソリューションが利用可能です。Microsoft Windows Server では、PowerShell を使用してファイアウォールを設定できます。
この手順では、以下を前提として環境のファイアウォールを設定します。
- オペレーティングシステムは Red Hat Enterprise Linux 6 です。
- JBoss EAP 6 はホスト
10.1.1.2
で実行されます。オプションで、サーバーには独自のファイアウォールがあります。 - ネットワークファイアウォールサーバーは、ホスト
10.1.1.1
のインターフェースeth0
で実行され、外部インターフェースeth1
を持ちます。 - ポート
5445
(JMS で使用されるポート) のトラフィックを JBoss EAP 6 に転送します。ネットワークファイアウォールで他のトラフィックは許可されません。
手順11.33 ネットワークファイアウォールと JBoss EAP 6 が連携するための管理
管理コンソールへのログイン
管理コンソールにログインします。デフォルトでは、http://localhost:9990/console/ で実行されます。ソケットバインディンググループが使用するソケットバインディングを決定します。
- 管理コンソールの上部にある Configuration ラベルをクリックします。
- General Configuration メニューを展開します。Socket Binding を選択します。
- Socket Binding Declarations 画面が表示されます。最初に、
standard-sockets
グループが表示されます。他のグループを選択する場合は、右側のコンボボックスから選択します。
注記
スタンドアロンサーバーを使用する場合は、1 つのソケットバインディンググループのみが存在します。ソケット名とポートのリストが表示されます (1 ページあたり 8 つの値)。テーブルの矢印ナビゲーションを使用してページを移動できます。開く必要があるポートを判断します。
特定ポートの機能および環境の要件によっては、一部のポートをファイアウォール上で開く必要がある場合があります。JBoss EAP 6 にトラフィックを転送するようファイアウォールを設定します。
以下の手順を実行して、必要なポートでトラフィックを許可するようネットワークファイアウォールを設定します。- root ユーザーとしてファイアウォールマシンにログインし、コマンドプロンプトにアクセスします。
system-config-firewall
コマンドを実行してファイアウォール設定ユーティリティーを起動します。ファイアウォールシステムにログインした方法に応じて、GUI またはコマンドラインユーティリティーが起動します。このタスクでは、SSH 経由でコマンドラインインターフェースを使用してログインしていることを前提とします。- キーボードで TAB キーを使用して Customize ボタンに移動し、ENTER キーを押します。Trusted Services 画面が表示されます。
- どの値も変更せずに、TAB キーを使用して Forward ボタンに移動し、ENTER を押して次の画面に進みます。Other Ports 画面が表示されます。
- TAB キーを使用して <Add> ボタンに移動し、ENTER を押します。Port and Protocol 画面が表示されます。
- Port / Port Range フィールドに
5445
と入力し、TAB キーを使用して Protocol フィールドに移動し、tcp
と入力します。TAB キーを使用して OK ボタンに移動し、ENTER を押します。 - TAB キーを使用して、Forward ボタンに移動し、Port Forwarding 画面にアクセスします。
- TAB キーを使用して <Add> ボタンに移動し、ENTER キーを押します。
- 以下の値を入力してポート
5445
のポート転送を設定します。- 送信元インターフェース:
eth1
- プロトコル:
tcp
- ポート/ポート範囲:
5445
- 宛先 IP アドレス:
10.1.1.2
- ポート/ポート範囲:
5445
TAB キーを使用して OK ボタンに移動し、ENTER を押します。 - TAB キーを使用して Close ボタンに移動し、ENTER を押します。
- TAB キーを使用して OK ボタンに移動し、ENTER を押します。変更内容を適用するには、警告を読み、Yes をクリックします。
JBoss EAP 6 ホストでファイアウォールを設定します。
一部の組織では、JBoss EAP 6 サーバー自体でファイアウォールを設定し、運用に必要ないすべてのポートを閉じます。「JBoss EAP 6 により使用されるネットワークポート」 を参照して開くポートを決定し、残りのポートを閉じます。Red Hat Enterprise Linux 6 のデフォルトの設定では、Secure Shell (SSH) に使用される22
と、マルチキャスト DNS に使用される5353
以外のポートが閉じられます。ポートを設定する場合は、誤ってロックアウトされないよう物理的にアクセスしてください。
ファイアウォール設定で指定したとおり、ファイアウォールによって内部 JBoss EAP 6 サーバーへトラフィックが転送されるようになります。サーバーでファイアウォールを有効にした場合は、アプリケーションを実行するために必要なポート以外はすべて閉じられます。
手順11.34 PowerShell を使用した Microsoft Windows 上でのファイアウォールの設定
- デバッグの目的でファイアウォールを停止し、現在のネットワークの挙動がファイアウォールの設定と関係しているかどうかを判断します。
Start-Process "$psHome\powershell.exe" -Verb Runas -ArgumentList '-command "NetSh Advfirewall set allprofiles state off"'
- ポート 23364 上で UDP 接続を許可します。以下に例を示します。
Start-Process "$psHome\powershell.exe" -Verb Runas -ArgumentList '-command "NetSh Advfirewall firewall add rule name="UDP Port 23364" dir=in action=allow protocol=UDP localport=23364"' Start-Process "$psHome\powershell.exe" -Verb Runas -ArgumentList '-command "NetSh Advfirewall firewall add rule name="UDP Port 23364" dir=out action=allow protocol=UDP localport=23364"'
手順11.35 mod_cluster アドバタイズを許可するよう Red Hat Enterprise Linux 7 でファイアウォールを設定
- Red Hat Enterprise Linux 7 で mod_cluster のアドバタイズを有効にするには、以下のようにファイアウォールで UDP ポートを有効にする必要があります。
firewall-cmd --permanent --zone=public --add-port=23364/udp
注記
UDP マルチキャストをアドバタイズする mod_cluster バランサーのデフォルトアドレスおよびポートは 224.0.1.105:23364 です。
11.11. Java セキュリティーマネージャー
11.11.1. Java Security Manager
Java Security Manager は、Java 仮想マシン (JVM) サンドボックスの外部境界を管理するクラスで、JVM 内で実行するコードが JVM 外のリソースと対話する方法を制御します。Java Security Manager が有効な場合、Java API は安全でない可能性のある操作を行う前に Security Manager が承認するか確認します。
11.11.2. Java Security Manager 内での JBoss EAP 6 の実行
domain.sh
スクリプトまたは standalone.sh
スクリプトにパラメーターをオプションとして渡すことはできません。次の手順を実行すると、インスタンスが Java Security Manager ポリシー内で実行されるよう設定できます。
前提条件
- この手順を実行する前に、Java Development Kit (JDK) に含まれる
policytool
コマンドを使用してセキュリティーポリシーを記述する必要があります。この手順では、ポリシーがEAP_HOME/bin/server.policy
にあることを前提としています。この代わりに、テキストエディターを使用してセキュリティーポリシーを書き、EAP_HOME/bin/server.policy
として手作業で保存することもできます。 - 設定ファイルを編集する前に、ドメインまたはスタンドアロンサーバーを完全に停止する必要があります。
手順11.36 JBoss EAP 6 向けのセキュリティーマネージャーの設定
設定ファイルを開きます。
編集のために設定ファイルを開きます。このファイルの場所は、管理対象ドメインとスタンドアロンサーバーのどちらを使用しているかによって異なります。このファイルは、サーバーまたはドメインを起動するために使用される実行可能ファイルではありません。管理対象ドメイン
- Linux の場合:
EAP_HOME/bin/domain.conf
- Windows の場合:
EAP_HOME\bin\domain.conf.bat
スタンドアロンサーバー
- Linux の場合:
EAP_HOME/bin/standalone.conf
- Windows の場合:
EAP_HOME\bin\standalone.conf.bat
ファイルに Java オプションを追加します。
確実に Java オプションが使用されるようにするため、以下で始まるコードブロックに Java オプションを追加します。if [ "x$JAVA_OPTS" = "x" ]; then
-Djava.security.policy
の値を編集して、セキュリティーポリシーの場所を指定できます。改行を入れずに 1 行で指定する必要があります。-Djava.security.policy
プロパティーを設定するときに==
を使用して指定すると、セキュリティーマネージャーは指定されたポリシーファイルのみを使用します。=
を使用して指定すると、セキュリティーマネージャーは指定されたポリシーとJAVA_HOME/lib/security/java.security
のpolicy.url
セクションに指定されたポリシーを一緒に使用します。重要
JBoss Enterprise Application Platform 6.2.2 およびそれ以降のリリースでは、システムプロパティーjboss.modules.policy-permissions
を true に設定する必要があります。例11.32 domain.conf
JAVA_OPTS="$JAVA_OPTS -Djava.security.manager -Djava.security.policy==$PWD/server.policy -Djboss.home.dir=/path/to/EAP_HOME -Djboss.modules.policy-permissions=true"
例11.33 domain.conf.bat
set "JAVA_OPTS=%JAVA_OPTS% -Djava.security.manager -Djava.security.policy==\path\to\server.policy -Djboss.home.dir=\path\to\EAP_HOME -Djboss.modules.policy-permissions=true"
例11.34 standalone.conf
JAVA_OPTS="$JAVA_OPTS -Djava.security.manager -Djava.security.policy==$PWD/server.policy -Djboss.home.dir=$JBOSS_HOME -Djboss.modules.policy-permissions=true"
例11.35 standalone.conf.bat
set "JAVA_OPTS=%JAVA_OPTS% -Djava.security.manager -Djava.security.policy==\path\to\server.policy -Djboss.home.dir=%JBOSS_HOME% -Djboss.modules.policy-permissions=true"
ドメインサーバーを起動します。
ドメインまたはサーバーを通常どおり起動します。
11.11.3. Java Security Manager のポリシー
コードの異なるクラスに対する定義済みのパーミッション。Java Security Manager はアプリケーションがリクエストしたアクションとセキュリティポリシーを比較します。ポリシーによってアクションが許可される場合、Java Security Manager はアクションの実行を許可します。ポリシーによってアクションが許可されない場合は、Java Security Manager はこのアクションを拒否します。セキュリティポリシーは、コードの場所、コードの署名、またはサブジェクトのプリンシパルを基にパーミッションを定義できます。
java.security.manager
や java.security.policy
を使用して設定されます。
セキュリティーポリシーのエントリーは、policytool
に関係のある以下の設定要素から構成されます。
- CodeBase
- コードの元の URL の場所 (ホストとドメインの情報以外)。オプションのパラメーターです。
- SignedBy
- コードを署名するためにプライベートキーが使用された署名者を参照するキーストアで使用されたエイリアス。これは、単一値またはカンマ区切りの値リストになります。オプションのパラメーターです。省略された場合は、署名の有無に関わらず Java Security Manager に影響はありません。
- Principal
principal_type
とprincipal_name
のペアのリスト。これは、実行スレッドのプリンシパルセット内に存在する必要があります。Principals エントリーは任意です。このエントリーを省略すると、実行スレッドのプリンシパルによる Java Security Manager への影響はありません。- Permissions
- permission は、コードに与えられるアクセス権です。多くのパーミッションは、Java Enterprise Edition 6 (Java EE 6) 仕様の一部として提供されます。
11.11.4. Java Security Manager ポリシーの記述
ほとんどの JDK および JRE ディストリビューションには、Java Security Manager セキュリティーポリシーを作成および編集するための policytool
という名前のアプリケーションが含まれます。policytool
の詳細については、http://docs.oracle.com/javase/6/docs/technotes/tools/ を参照してください。
手順11.37 新しい Java Security Manager ポリシーの設定
policytool
を起動します。policytool
ツールを次のいずれかの方法で起動します。Red Hat Enterprise Linux
GUI またはコマンドプロンプトで、/usr/bin/policytool
を実行します。Microsoft Windows Server
スタートメニューまたは Java インストールのbin\
から、policytool.exe
を実行します。場所は異なることがあります。
ポリシーを作成します。
ポリシーを作成するには、Add Policy Entry を選択します。必要なパラメーターを追加し、Done をクリックします。既存のポリシーを編集します。
既存のポリシーのリストからポリシーを選択し、Edit Policy Entry ボタンを選択します。必要に応じて、パラメーターを編集します。既存のポリシーを削除します。
既存のポリシーのリストからポリシーを選択し、Remove Policy Entry ボタンを選択します。
11.11.5. Security Manager ポリシーのデバッグ
java.security.debug
オプションは、報告されたセキュリティー関連情報のレベルを設定します。コマンド java -Djava.security.debug=help
は、すべてのデバッグオプションのヘルプ出力を表示します。デバッグレベルを all
に設定すると、原因不明のセキュリティー関連の障害をトラブルシューティングするときに役に立ちますが、一般的な使用には多すぎる量の情報が表示されます。一般的に適切なデフォルト値は access:failure
です。
手順11.38 一般的なデバッグの有効化
この手順を実行すると、セキュリティー関連デバッグ情報の一般的な機密レベルを有効にすることができます。
次の行をサーバー設定ファイルに追加します。- 管理対象ドメインで JBoss EAP 6 インスタンスが実行されている場合、以下の行は Linux では
bin/domain.conf
ファイル、Windows ではbin\domain.conf.bat
ファイルに追加されます。 - JBoss EAP 6 インスタンスがスタンドアロンサーバーとして実行されている場合、以下の行は Linux では
bin/standalone.conf
ファイル、Windows ではbin\standalone.conf.bat
ファイルに追加されます。
Linux
JAVA_OPTS="$JAVA_OPTS -Djava.security.debug=access:failure"
Windows
set "JAVA_OPTS=%JAVA_OPTS% -Djava.security.debug=access:failure"
セキュリティー関連デバッグ情報の一般的なレベルが有効になります。
11.12. SSL 暗号化
11.12.1. JBoss EAP 6 Web サーバーでの SSL 暗号化の実装
多くの Web アプリケーションでは、クライアントとサーバー間で SSL 暗号化接続 (HTTPS
接続とも呼ばれます) が必要です。以下の手順を使用すると、サーバーまたはサーバーグループで HTTPS
を有効にできます。
警告
前提条件
- SSL 暗号化キーセットと SSL 暗号化証明書。これらは、証明書署名認証局から購入したり、コマンドラインユーティリティーを使用して生成したりできます。Red Hat Enterprise Linux のユーティリティーを使用して暗号化キーを生成するには、「SSL 暗号化キーおよび証明書の生成」を参照してください。
- 特定の環境と設定に関する以下の詳細。
- 証明書ファイルが保存されている完全なディレクトリー名。
- 暗号化キーの暗号化パスワード。
- ドメインコントローラーまたはスタンドアロンサーバーに接続する稼働中の管理 CLI。
- 適切な暗号化スイートを選択します。
暗号化スイートを構成するために使用される暗号プリミティブは複数あります。推奨される暗号プリミティブは最初の表に記載されています。2 つ目の表には、既存のソフトウェアとの互換性を維持するために使用できる 可能性がある 暗号プリミティブが記載されていますが、推奨されるプリミティブよりも安全性が低くなります。
警告
cipher-suite
に使用することを推奨します。弱い暗号を使用するとセキュリティーリスクが増大します。互換性の問題がある可能性があるため、特定の暗号化スイートを決定する前に JDK ベンダーのドキュメントを確認してください。
表11.9 推奨される暗号プリミティブ
2048 ビットキーと OAEP を使用する RSA |
CBC モードの AES-128 |
SHA-256 |
HMAC-SHA-256 |
HMAC-SHA-1 |
表11.10 その他の暗号プリミティブ
1024 以上のキーサイズとレガシーパディングを使用する RSA |
AES-192 |
AES-256 |
3DES (トリプル DES で、2 つまたは 3 つの 56 ビットキー) |
RC4 (非推奨) |
SHA-1 |
HMAC-MD5 |
注記
/profile=default
を削除して管理 CLI コマンドを変更します。
警告
手順11.39 JBoss Web Server が HTTPS を使用するよう設定
新しい HTTPS コネクターを追加します。
https
スキームとhttps
ソケットバインディング (デフォルトは8443
) を使用し、セキュアとして設定される HTTPS という名前のセキュアなコネクターを作成します。/profile=default/subsystem=web/connector=HTTPS/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
SSL 暗号化証明書およびキーを設定します。
例の値を独自の値に置き換え、SSL 証明書を設定します。この例では、キーストアはサーバー設定ディレクトリー (管理対象ドメインではEAP_HOME/domain/configuration/
) へコピーされることを前提としています。/profile=default/subsystem=web/connector=HTTPS/ssl=configuration:add(name=https,certificate-key-file="${jboss.server.config.dir}/keystore.jks",password=SECRET, key-alias=KEY_ALIAS, cipher-suite=CIPHERS)
プロトコルを
TLSv1
に設定します。/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=TLSv1)
アプリケーションをデプロイします。
設定したプロファイルを使用するサーバーグループにアプリケーションをデプロイします。スタンドアロンサーバーを使用する場合、アプリケーションをサーバーにデプロイします。アプリケーションに対する HTTPS 要求は新しい SSL 暗号化接続を使用します。
11.12.2. SSL 暗号化キーおよび証明書の生成
前提条件
- Java Development Kit 実装で提供される
keytool
ユーティリティーが必要です。このコマンドは、Red Hat Enterprise Linux 上の OpenJDK により/usr/bin/keytool
にインストールされます。 keytool
コマンドの構文およびパラメーターについて理解してください。この手順では、非常に一般的な手順を実行します。本書では、SSL 証明書またはkeytool
コマンドに特有の説明は範囲外となります。
手順11.40 SSL 暗号化キーおよび証明書の生成
パブリックキーおよびプライベートキーとともにキーストアを生成します。
以下のコマンドを実行し、jboss
というエイリアスを持つserver.keystore
という名前のキーストアをカレントディレクトリーに生成します。keytool -genkeypair -alias jboss -keyalg RSA -keystore server.keystore -storepass mykeystorepass --dname "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,S=NC,C=US"
この keytool コマンドで使用されるパラメーターの説明は次のとおりです。パラメーター 説明 -genkeypair
keytool
コマンドは公開鍵と秘密鍵が含まれるキーペアを生成します。-alias
キーストアのエイリアス。この値は任意ですが、エイリアス jboss
はデフォルトで JBoss Web サーバーによって使用されます。-keyalg
キーペア生成のアルゴリズム。この例では RSA
になります。-keystore
キーストアファイルの名前と場所。デフォルトの場所はカレントディレクトリーです。選択する名前は任意です。この例では、ファイルの名前は server.keystore
になります。-storepass
このパスワードは、キーの読み取りを可能にするためキーストアに対して認証を行うために使用されます。パスワードは 6 文字以上である必要があり、キーストアがアクセスされた時に提供しなければなりません。この例では、 mykeystorepass
が使用されています。このパラメーターを省略すると、コマンドの実行時に入力するよう要求されます。-keypass
実際の鍵のパスワードです。注記
実装の制限により、ストアと同じパスワードを使用する必要があります。--dname
キーの識別名を記述する引用符で囲まれた文字列 (例: "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,C=US")。以下のコンポーネントが連結された文字列になります。 CN
- 共通名またはホスト名。ホスト名が jsmith.mycompany.com の場合、CN
は jsmith になります。OU
- 組織単位 (例: Engineering)。O
- 組織名 (例: mycompany.com)。L
- 地域 (例: Raleigh または London)。S
- 州 (例: NC)。このパラメーターの使用は任意です。C
- 2 文字の国コード (例: US または UK)。
上記のコマンドを実行すると、次の情報が要求されます。- コマンドラインで
-storepass
パラメーターを使用しなかった場合、キーストアのパスワードを入力するよう要求されます。次に要求されたら新しいパスワードを再入力します。 - コマンドラインで
-keypass
パラメーターを使用しなかった場合、キーのパスワードを入力するよう要求されます。Enter を押し、キーストアのパスワードと同じ値を設定します。
コマンドが終了すると、ファイルserver.keystore
にエイリアスjboss
を持つ単一のキーが含まれるようになります。キーを検証します。
以下のコマンドを使用して、キーが正常に動作することを検証します。keytool -list -keystore server.keystore
キーストアのパスワードを入力するよう求められます。キーストアの内容 (この場合はjboss
という名前の単一キー) が表示されます。jboss
キーの種類がPrivateKeyEntry
であることに注意してください。これは、キーストアにこのキーのパブリックおよびプライベートエントリが含まれることを示します。証明書署名要求を生成します。
次のコマンドを実行し、手順 1 で作成したキーストアより公開鍵を使用して証明書署名要求を生成します。keytool -certreq -keyalg RSA -alias jboss -keystore server.keystore -file certreq.csr
キーストアに対する認証を行うために、パスワードを入力するよう求められます。keytool
コマンドにより、現在の作業ディレクトリーにcertreq.csr
という名前の証明書署名要求が新規作成されます。新しく生成された証明書署名要求をテストします。
以下のコマンドを使用して証明書の内容をテストします。openssl req -in certreq.csr -noout -text
証明書の詳細が表示されます。オプション: 証明書署名要求を認証局 (CA) に送信します。
認証局 (CA) は、証明書を認証できます。この結果、証明書は、サードパーティークライアントが信用できると見なされます。CA により、署名済み証明書が提供されます。また、オプションで 1 つまたは複数の中間証明書が提供されます。オプション: キーストアからの自己署名証明書のエクスポート
テストまたは内部使用のためにのみ証明書が必要な場合は、自己署名証明書を使用できます。次のように、手順 1 で作成したキーストアからエクスポートします。keytool -export -alias jboss -keystore server.keystore -file server.crt
キーストアに対して認証するためパスワードの入力が求められます。server.crt
という名前の自己署名証明書が現在の作業ディレクトリーに作成されます。署名済み証明書を中間証明書とともにインポートします。
CA で指示された順序で各証明書をインポートします。各証明書をインポートするには、intermediate.ca
またはserver.crt
を実際のファイル名に置き換えます。証明書が別のファイルとして提供されない場合は、各証明書に対して個別のファイルを作成し、その内容をファイルに貼り付けます。注記
署名済み証明書および証明書キーは機密情報です。サーバー間での転送方法に注意してください。keytool -import -keystore server.keystore -alias intermediateCA -file intermediate.ca
keytool -importcert -alias jboss -keystore server.keystore -file server.crt
証明書が正常にインポートされたことをテストします。
以下のコマンドを実行し、要求された場合にキーストアパスワードを入力します。キーストアの内容が表示され、証明書がリストの一部になります。keytool -list -keystore server.keystore
署名済み証明書はキーストアに含まれ、HTTPS Web サーバー通信を含む SSL 接続を暗号化するために使用できます。
11.12.3. SSL コネクターリファレンス
default
を使用した管理対象ドメイン向けに設計されています。プロファイル名を、管理対象ドメインに対して設定する名前に変更するか、コマンドの /profile=default
部分を省略します (スタンドアロンサーバーの場合)。
表11.11 SSL コネクター属性
属性 | 説明 | CLI コマンド |
---|---|---|
name |
SSL コネクターの表示名。
|
属性
name は読み取り専用です。
|
verify-client |
HTTP/HTTPS コネクターまたはネイティブ APR コネクターが使用されるかによって、
verify-client の可能な値は異なります。
HTTP/HTTPS コネクター
可能な値は ネイティブ APR コネクター
可能な値は |
最初のコマンド例は HTTPS コネクターを使用します。
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-client,value=want)
2 つ目のコマンド例は APR コネクターを使用します。
/profile=default/subsystem=web/connector=APR/ssl=configuration/:write-attribute(name=verify-client,value=require) |
verify-depth |
クライアントが有効な証明を持たないと判断するまでにチェックされる中間証明書発行者の最大数。デフォルト値は
10 です。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-depth,value=10) |
certificate-key-file |
署名済みサーバー証明書が格納されるキーストアの完全ファイルパスおよびファイル名。JSSE 暗号化の場合、この証明書ファイルが唯一のファイルになり、OpenSSL は複数のファイルを使用します。デフォルト値は JBoss EAP 6 を実行しているユーザーのホームディレクトリー内にある
.keystore ファイルになります。keystoreType がファイルを使用しない場合は、パラメーターを空の文字列に設定します。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-key-file,value=../domain/configuration/server.keystore) |
certificate-file |
OpenSSL 暗号化を使用する場合は、このパラメーターの値を、サーバー証明書を含むファイルに対するパスに設定します。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=server.crt) |
password |
トラストストアおよびキーストアのパスワード。以下の例では、PASSWORD を実際のパスワードに置き換えます。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=password,value=PASSWORD) |
protocol |
使用する SSL プロトコルのバージョン。サポートされる値は基礎の SSL 実装 (JSSE または OpenSSL) によって異なります。Java SSE のドキュメントを参照してください。
また、プロトコルの組み合わせをコンマで区切って指定することもできます (例: TLSv1, TLSv1.1,TLSv1.2)。
警告
Red Hat は、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSL を明示的に無効化することを推奨しています。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=ALL) /profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value="TLSv1, TLSv1.1,TLSv1.2") |
cipher-suite |
許可される暗号のリスト。JSSE の構文ではカンマ区切りのリストを使用する必要があります。OpenSSL の構文ではコロン区切りのリストを使用する必要があります。必ず 1 つの構文のみを使用してください。
デフォルトは
HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5 です。
例では可能な暗号が 2 つのみですが、実際にはこれ以上の暗号を使用することになります。
重要
弱い暗号を使用するとセキュリティーリスクが増大します。NIST が推奨する暗号化スイートは http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915295 を参照してください。
使用可能な OpenSSL の暗号のリストは https://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS を参照してください。
@SECLEVEL 、SUITEB128 、SUITEB128ONLY 、および SUITEB192 はサポートされないことに注意してください。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=cipher-suite, value="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA") |
key-alias |
キーストア内のサーバー証明書に使用されるエイリアス。以下の例では、KEY_ALIAS を実際の証明書のエイリアスに置き換えます。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=key-alias,value=KEY_ALIAS) |
truststore-type |
トラストストアのタイプ。
PKCS12 や Java の標準 JKS など、さまざまなタイプのトラストストアが使用可能です。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=truststore-type,value=jks) |
keystore-type |
キーストアのタイプ。
PKCS12 や Java の標準 JKS など、さまざまなタイプのキーストアが使用可能です。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=keystore-type,value=jks) |
ca-certificate-file |
CA 証明書が含まれるファイル。JSSE の場合、これは
truststoreFile であり、キーストアと同じパスワードを使用します。クライアント証明書を検証するには、ca-certificate-file ファイルが使用されます。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=ca.crt) |
ca-certificate-password | ca-certificate-file の証明書パスワード。以下の例では、MASKED_PASSWORD を実際のマスクされたパスワードに置き換えます。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-certificate-password,value=MASKED_PASSWORD) |
ca-revocation-url |
呼び出しリストが含まれるファイルまたは URL。JSSE の場合は、
crlFile を参照し、SSL の場合は、SSLCARevocationFile を参照します。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-revocation-url,value=ca.crl) |
session-cache-size |
SSLSession キャッシュのサイズ。この属性は、JSSE コネクターへのみ適用されます。デフォルト値は
0 で、無制限のキャッシュサイズが指定されます。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-cache-size,value=100) |
session-timeout |
キャッシュされた SSLSession が期限切れになるまでの秒数。この属性は JSSE コネクターへのみ適用されます。デフォルト値は
86400 秒 (24 時間) です。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-timeout,value=43200) |
11.13. 機密性の高い文字列のパスワード vault
11.13.1. パスワード vault システム
11.13.2. 機密性が高い文字列を格納する Java キーストアの作成
前提条件
- Java Runtime Environment (JRE) によって提供される
keytool
ユーティリティーが必要です。このファイルのパスを見つけます。Red Hat Enterprise Linux では/usr/bin/keytool
になります。
警告
keytool
ユーティリティーを使用してキーストアを生成する必要があります。
keytool
によって生成されたキーストアを別のベンダーの JDK で実行されている JBoss EAP インスタンスで使用すると、以下の例外が発生します。
java.io.IOException: com.sun.crypto.provider.SealedObjectForKeyProtector
手順11.41 Java キーストアの設定
キーストアと他の暗号化された情報を格納するディレクトリーを作成します。
キーストアと他の重要な情報を保存するディレクトリーを作成します。この残りの手順では、ディレクトリーがEAP_HOME/vault/
であることを前提とします。このディレクトリーには機密情報が含まれるため、限られたユーザーのみがアクセスできるようにする必要があります。JBoss EAP が実行されるユーザーアカウントでは、最低でも読み書きアクセスが必要です。keytool
ユーティリティーで使用するパラメーターを決定します。以下のパラメーターの値を決定します。- alias
- alias はキーストアに保存された vault またはその他のデータの一意な識別子です。大文字と小文字を区別します。
- storetype
- storetype はキーストアのタイプを指定します。値は
jceks
が推奨されます。 - keyalg
- 暗号化に使用するアルゴリズム。利用可能な他の選択肢については、JRE およびオペレーティングシステムのドキュメンテーションを参照してください。
- keysize
- 暗号化キーのサイズは、ブルートフォース攻撃で復号化を行う難しさに影響します。適切な値については、
keytool
ユーティリティーで提供されるドキュメントを参照してください。 - storepass
storepass
の値は、キーを読み取りできるようにするためキーストアに対する認証で使用されるパスワードです。パスワードは 6 文字以上である必要があり、キーストアがアクセスされたときにパスワードが提供される必要があります。このパラメーターを省略すると、コマンドの実行時に入力するよう要求されます。- keypass
keypass
の値は特定のキーへのアクセスに使用されるパスワードで、storepass
パラメーターの値と一致する必要があります。- validity
validity
の値は、キーの有効期間 (日数) になります。- keystore
keystore
の値は、キーストアの値が保存されるファイルパスおよびファイル名になります。キーストアファイルはデータが最初に追加されたときに作成されます。ファイルパスで正しい区切り文字を使用するようにしてください。Red Hat Enterprise Linux や類似のオペレーティングシステムの場合は/
(スラッシュ) を使用し、Microsoft Windows Server の場合は\
(バックスラッシュ) を使用する必要があります。
keytool
ユーティリティーには他にも多くのオプションがあります。詳細については、JRE またはオペレーティングシステムのドキュメントを参照してください。keytool
コマンドを実行します。オペレーティングシステムのコマンドラインインターフェースを開き、収集した情報を使用してkeytool
ユーティリティーを実行します。
例11.36 Java キーストアの作成
$ keytool -genseckey -alias vault -storetype jceks -keyalg AES -keysize 128 -storepass vault22 -keypass vault22 -validity 730 -keystore EAP_HOME/vault/vault.keystore
ファイル EAP_HOME/vault/vault.keystore
にキーストアが作成されます。このキーストアにはエイリアスが vault
であるキーが 1 つ保存され、パスワードなどの JBoss EAP の暗号化された文字列を保存するために使用されます。
11.13.3. キーストアパスワードのマスキングとパスワード vault の初期化
vault.sh
コマンドを実行します。EAP_HOME/bin/vault.sh
を実行します。0
を入力して新しい対話セッションを開始します。暗号化されたファイルが保存されるディレクトリーを入力します。
限られたユーザーのみがこのディレクトリーにアクセスできるようにする必要があります。JBoss EAP が実行されるユーザーアカウントでは、最低でも読み書きアクセスが必要です。「機密性が高い文字列を格納する Java キーストアの作成」に従ってキーストアを作成した場合、キーストアはEAP_HOME/vault/
というディレクトリーにあります。注記
必ずディレクトリー名の最後にスラッシュが含まれるようにしてください。ご使用のオペレーティングシステムに応じて/
または\
を使用します。キーストアへのパスを入力します。
キーストアファイルへのフルパスを入力します。この例ではEAP_HOME/vault/vault.keystore
を使用します。キーストアパスワードを暗号化します。
次の手順に従って、設定ファイルやアプリケーションで安全に使用できるようキーストアのパスワードを暗号化します。キーストアパスワードを入力します。
入力を促されたらキーストアのパスワードを入力します。salt 値を入力します。
8 文字の salt 値を入力します。salt 値は繰り返す回数 (下記) と共にハッシュ値の作成に使用されます。繰り返す回数を入力します。
繰り返す回数の値を入力します。マスクされたパスワード情報を書き留めておきます。
マスクされたパスワード、salt、および繰り返す回数は標準出力へ書き出されます。これらの情報を安全な場所に書き留めておきます。攻撃者がこれらの情報を使用してパスワードを復号化する可能性があるからです。vault のエイリアスを入力します。
入力を促されたら、vault のエイリアスを入力します。「機密性が高い文字列を格納する Java キーストアの作成」 に従って vault を作成した場合、エイリアスはvault
になります。
対話コンソールを終了します。
2
を入力して対話コンソールを終了します。
設定ファイルとデプロイメントで使用するため、キーストアパスワードがマスキングされます。また、vault が完全設定され、すぐ使用できる状態になります。
11.13.4. パスワード vault を使用するよう JBoss EAP 6 を設定
設定ファイルにあるパスワードや機密性の高いその他の属性をマスキングする前に、これらを保存し復号化するパスワード vault を JBoss EAP 6 が認識するようにする必要があります。次の手順に従ってこの機能を有効にします。
手順11.42 パスワード vault の設定
コマンドの適切な値を決定します。
キーストアの作成に使用されるコマンドによって決定される以下のパラメーターの値を決定します。キーストア作成の詳細は「機密性が高い文字列を格納する Java キーストアの作成」および「キーストアパスワードのマスキングとパスワード vault の初期化」を参照してください。パラメーター 説明 KEYSTORE_URL ファイルシステムのパスまたはキーストアファイル。通常vault.keystore
のようになります。KEYSTORE_PASSWORD キーストアのアクセスに使用されるパスワード。この値はマスクされる必要があります。KEYSTORE_ALIAS キーストアエイリアスの名前。SALT キーストアの値を暗号化および復号化するために使用される salt。ITERATION_COUNT 暗号化アルゴリズムが実行される回数。ENC_FILE_DIR キーストアコマンドが実行されるディレクトリーへのパス。通常、パスワード vault が含まれるディレクトリーになります。host (管理対象ドメインのみ) 設定するホストの名前。管理 CLI を使用してパスワード vault を有効にします。
次のコマンドの 1 つを実行します。実行するコマンドは、管理対象ドメインまたはスタンドアロンサーバー設定のどちらを使用するかによって異なります。コマンドの値は、手順の最初で使用した値に置き換えます。注記
Microsoft Windows Server を使用する場合、CLI コマンドでは ディレクトリーパスにある\
文字に\
を追加してエスケープします。たとえば、C:\\data\\vault\\vault.keystore
のようになります。これは、単一の\
文字は文字のエスケープに使用されるためです。管理対象ドメイン
/host=YOUR_HOST/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "PATH_TO_KEYSTORE"), ("KEYSTORE_PASSWORD" => "MASKED_PASSWORD"), ("KEYSTORE_ALIAS" => "ALIAS"), ("SALT" => "SALT"),("ITERATION_COUNT" => "ITERATION_COUNT"), ("ENC_FILE_DIR" => "ENC_FILE_DIR")])
スタンドアロンサーバー
/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "PATH_TO_KEYSTORE"), ("KEYSTORE_PASSWORD" => "MASKED_PASSWORD"), ("KEYSTORE_ALIAS" => "ALIAS"), ("SALT" => "SALT"),("ITERATION_COUNT" => "ITERATION_COUNT"), ("ENC_FILE_DIR" => "ENC_FILE_DIR")])
仮の値を用いたコマンドの例は次のとおりです。/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "/home/user/vault/vault.keystore"), ("KEYSTORE_PASSWORD" => "MASK-3y28rCZlcKR"), ("KEYSTORE_ALIAS" => "vault"), ("SALT" => "12438567"),("ITERATION_COUNT" => "50"), ("ENC_FILE_DIR" => "/home/user/vault/")])
パスワード vault を使用してマスキングされた文字列を復号化するよう JBoss EAP 6 が設定されます。vault に文字列を追加し、設定で使用する場合は「Java キーストアに暗号化された機密性の高い文字列の保存および読み出し」を参照してください。
11.13.5. パスワード Vault のカスタム実装を使用するよう JBoss EAP 6 を設定
独自の SecurityVault
実装を使用して、設定ファイルのパスワードや機密性の高いその他の属性をマスクできます。
手順11.43 パスワード vault のカスタム実装の使用
- インターフェース
SecurityVault
を実装するクラスを作成します。 - 前の手順のクラスが含まれるモジュールを作成し、インターフェースが
SecurityVault
であるorg.picketbox
の依存関係を指定します。 - 以下の属性を用いて vault 要素を追加して、JBoss EAP サーバー設定でカスタムのパスワード vault を有効にします。
- code
SecurityVault
を実装するクラスの完全修飾名。- module
- カスタムクラスが含まれるモジュールの名前。
オプションでvault-options
パラメーターを使用して、パスワード Vault のカスタムクラスを初期化できます。以下に例を示します。/core-service=vault:add(code="custom.vault.implementation.CustomSecurityVault", module="custom.vault.module", vault-options=[("KEYSTORE_URL" => "PATH_TO_KEYSTORE"), ("KEYSTORE_PASSWORD" => "MASKED_PASSWORD"), ("KEYSTORE_ALIAS" => "ALIAS"), ("SALT" => "SALT"),("ITERATION_COUNT" => "ITERATION_COUNT"), ("ENC_FILE_DIR" => "ENC_FILE_DIR")])
パスワード vault のカスタム実装を使用して、マスクされた文字列が復号化されるよう JBoss EAP 6 が設定されます。
11.13.6. Java キーストアに暗号化された機密性の高い文字列の保存および読み出し
パスワードや、機密性の高いその他の文字列がプレーンテキストの設定ファイルに含まれるのはセキュアではありません。JBoss EAP 6 には、このような機密性の高い文字列をマスキングして暗号化されたキーストアに保存する機能や、設定ファイルでマスクされた値を使用する機能が含まれています。
前提条件
EAP_HOME/bin/vault.sh
アプリケーションはコマンドラインインターフェースからアクセスできなければなりません。
手順11.44 Java キーストアの設定
vault.sh
コマンドを実行します。EAP_HOME/bin/vault.sh
を実行します。0
を入力して新しい対話セッションを開始します。暗号化されたファイルが保存されるディレクトリーを入力します。
「機密性が高い文字列を格納する Java キーストアの作成」 に従ってキーストアを作成した場合、キーストアはEAP_HOME/vault/
というディレクトリーにあります。ほとんどの場合、暗号化した情報をキーストアと同じ場所に保存することは適切です。このディレクトリーには機密性の高い情報が含まれるため、アクセスできるユーザーを制限する必要があります。最低でも、JBoss EAP を実行するユーザーアカウントには読み書き権限が必要です。注記
必ずディレクトリー名の最後にスラッシュが含まれるようにしてください。ご使用のオペレーティングシステムに応じて/
または\
を使用します。キーストアへのパスを入力します。
キーストアファイルへのフルパスを入力します。この例ではEAP_HOME/vault/vault.keystore
を使用します。キーストアパスワード、vault 名、ソルト、繰り返す回数を入力します。
入力を促されたら、キーストアパスワード、vault 名、ソルト、繰り返す回数を入力します。ハンドシェイクが実行されます。パスワードを保存するオプションを選択します。
オプション0
を選択して、パスワードや機密性の高い他の文字列を保存します。値を入力します。
入力を促されたら、値を 2 回入力します。値が一致しない場合は再度入力するよう要求されます。vault ブロックを入力します。
同じリソースに関連する属性のコンテナである vault ブロックを入力します。属性名の例としてはds_ExampleDS
などが挙げられます。データソースまたは他のサービス定義で、暗号化された文字列への参照の一部を形成します。属性名を入力します。
保存する属性の名前を入力します。password
が属性名の例の 1 つになります。結果以下のようなメッセージによって、属性が保存されたことが示されます。
Secured attribute value has been stored in vault.
暗号化された文字列に関する情報を書き留めます。
メッセージは vault ブロック、属性名、共有キー、および設定で文字列を使用する場合のアドバイスを表示する標準出力を出力します。安全な場所にこの情報を書き留めておくようにしてください。出力例は次のとおりです。******************************************** Vault Block:ds_ExampleDS Attribute Name:password Configuration should be done as follows: VAULT::ds_ExampleDS::password::1 ********************************************
設定で暗号化された文字列を使用します。
プレーンテキストの文字列の代わりに、前の設定手順の文字列を使用します。以下は、上記の暗号化されたパスワードを使用するデータソースになります。... <subsystem xmlns="urn:jboss:domain:datasources:1.0"> <datasources> <datasource jndi-name="java:jboss/datasources/ExampleDS" enabled="true" use-java-context="true" pool-name="H2DS"> <connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1</connection-url> <driver>h2</driver> <pool></pool> <security> <user-name>sa</user-name> <password>${VAULT::ds_ExampleDS::password::1}</password> </security> </datasource> <drivers> <driver name="h2" module="com.h2database.h2"> <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class> </driver> </drivers> </datasources> </subsystem> ...
式が許可されるドメインまたはスタンドアロン設定ファイルであれば、どこでも暗号化された文字列を使用することができます。注記
特定のサブシステム内で式が許可されるかを確認するには、そのサブシステムに対して次の CLI コマンドを実行します。/host=master/core-service=management/security-realm=TestRealm:read-resource-description(recursive=true)
このコマンドの出力で、expressions-allowed
パラメーターの値を探します。値が true であればこのサブシステムの設定内で式を使用できます。文字列をキーストアに格納した後、次の構文を使用してクリアテキストの文字列を暗号化された文字列に置き換えます。${VAULT::VAULT_BLOCK::ATTRIBUTE_NAME::ENCRYPTED_VALUE}
実環境の値の例は次のとおりです。vault ブロックはds_ExampleDS
、属性はpassword
です。<password>${VAULT::ds_ExampleDS::password::1}</password>
11.13.7. アプリケーションでの機密性の高い文字列の保存および解決
JBoss EAP 6 の設定要素は、セキュリティー vault メカニズムを通じて Java キーストアに保存される値に対して暗号化された文字列を解決する機能をサポートしています。この機能に対するサポートを独自のアプリケーションに追加することができます。
この手順を実行する前に、vault ファイルを格納するディレクトリーが存在することを確認してください。JBoss EAP 6 を実行するユーザーが vault ファイルを読み書きできるパーミッションを持っていれば、vault ファイルの場所はどこでも構いません。この例では、vault/
ディレクトリーを /home/USER/vault/
ディレクトリーに置きます。vault 自体は vault/
ディレクトリーの中にある vault.keystore
と呼ばれるファイルになります。
例11.37 vault へのパスワードの文字列の追加
EAP_HOME/bin/vault.sh
コマンドを用いて文字列を vault へ追加します。次の画面出力にコマンドと応答がすべて含まれています。ユーザー入力の値は強調文字で表されています。出力の一部は書式上、削除されています。Microsoft Windows ではコマンド名は vault.bat
になります。Microsoft Windows のファイルパスでは、ディレクトリーの分離記号として /
ではなく \
が使用されることに注意してください。
[user@host bin]$ ./vault.sh ********************************** **** JBoss Vault ******** ********************************** Please enter a Digit:: 0: Start Interactive Session 1: Remove Interactive Session 2: Exit0
Starting an interactive session Enter directory to store encrypted files:/home/user/vault/
Enter Keystore URL:/home/user/vault/vault.keystore
Enter Keystore password:...
Enter Keystore password again:...
Values match Enter 8 character salt:12345678
Enter iteration count as a number (Eg: 44):25
Enter Keystore Alias:vault
Vault is initialized and ready for use Handshake with Vault complete Please enter a Digit:: 0: Store a password 1: Check whether password exists 2: Exit0
Task: Store a password Please enter attribute value:sa
Please enter attribute value again:sa
Values match Enter Vault Block:DS
Enter Attribute Name:thePass
Secured attribute value has been stored in vault. Please make note of the following: ******************************************** Vault Block:DS Attribute Name:thePass Configuration should be done as follows: VAULT::DS::thePass::1 ******************************************** Please enter a Digit:: 0: Store a password 1: Check whether password exists 2: Exit2
VAULT
で始まる行です。
例11.38 vault されたパスワードを使用するサーブレット
package vaulterror.web; import java.io.IOException; import java.io.Writer; import javax.annotation.Resource; import javax.annotation.sql.DataSourceDefinition; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.sql.DataSource; /*@DataSourceDefinition( name = "java:jboss/datasources/LoginDS", user = "sa", password = "sa", className = "org.h2.jdbcx.JdbcDataSource", url = "jdbc:h2:tcp://localhost/mem:test" )*/ @DataSourceDefinition( name = "java:jboss/datasources/LoginDS", user = "sa", password = "VAULT::DS::thePass::1", className = "org.h2.jdbcx.JdbcDataSource", url = "jdbc:h2:tcp://localhost/mem:test" ) @WebServlet(name = "MyTestServlet", urlPatterns = { "/my/" }, loadOnStartup = 1) public class MyTestServlet extends HttpServlet { private static final long serialVersionUID = 1L; @Resource(lookup = "java:jboss/datasources/LoginDS") private DataSource ds; @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { Writer writer = resp.getWriter(); writer.write((ds != null) + ""); } }
11.14. FIPS 140-2 準拠の暗号化
11.14.1. FIPS 140-2 の準拠
11.14.2. FIPS 140-2 準拠のパスワード
- 7 文字以上であること。
- 以下の文字クラスのうち、3 クラス以上の文字が含まれること。
- ASCII 数字
- 小文字の ASCII
- 大文字の ASCII
- 英数字以外の ASCII
- ASCII 以外の文字
11.14.3. Red Hat Enterprise Linux 6 にて SSL の FIPS 140-2 準拠の暗号を有効化
前提条件
- Red Hat Enterprise Linux 6 が FIPS 140-2 に準拠するよう設定されている必要があります。https://access.redhat.com/knowledge/solutions/137833 を参照してください。
手順11.45 SSL に対して FIPS 140-2 準拠の暗号化を有効にする
データベースの作成
jboss
ユーザーが所有するディレクトリーに NSS データベースを作成します。$ mkdir -p /usr/share/jboss-as/nssdb $ chown jboss /usr/share/jboss-as/nssdb $ modutil -create -dbdir /usr/share/jboss-as/nssdb
NSS 設定ファイルの作成
次の内容が含まれるnss_pkcsll_fips.cfg
という名前の新しいテキストファイルを/usr/share/jboss-as
ディレクトリーに作成します。name = nss-fips nssLibraryDirectory=/usr/lib64 nssSecmodDirectory=/usr/share/jboss-as/nssdb nssModule = fips
NSS 設定ファイルには以下が指定されている必要があります。- 名前
- NSS ライブラリーが存在するディレクトリー
- 手順 1 に従って作成された NSS データベースが存在するディレクトリー
Red Hat Enterprise Linux 6 の 64 ビットバージョンを実行していない場合は、/usr/lib64
の代わりに/usr/lib
をnssLibraryDirectory
に設定します。SunPKCS11 プロバイダーの有効化
JRE ($JAVA_HOME/jre/lib/security/java.security
) のjava.security
設定ファイルを編集し、次の行を追加します。security.provider.1=sun.security.pkcs11.SunPKCS11 /usr/share/jboss-as/nss_pkcsll_fips.cfg
この行に指定されている設定ファイルは手順 2 で作成されたファイルであることに注意してください。このプロバイダーを優先するため、このファイルにある他のsecurity.provider.X
行の値 (X) に 1 を足す必要があります。NSS ライブラリーに対して FIPS モードを有効にする
次のようにmodutil
コマンドを実行し、FIPS モードを有効にします。modutil -fips true -dbdir /usr/share/jboss-as/nssdb
ここで指定するディレクトリーは手順 1 で作成したものであることに注意してください。この時点で、セキュリティーライブラリーエラーが発生し、NSS 共有オブジェクトの一部に対してライブラリー署名の再生成が必要になることがあります。FIPS トークンのパスワードの変更
次のコマンドを使用して FIPS トークンのパスワードを設定します。トークンの名前はNSS FIPS 140-2 Certificate DB
でなければならないことに注意してください。modutil -changepw "
NSS FIPS 140-2 Certificate DB
" -dbdir /usr/share/jboss-as/nssdbFIPS トークンに使用されるパスワードは FIPS 準拠のパスワードでなければなりません。NSS ツールを使用した証明書の作成
次のコマンドを入力し、NSS ツールを使用して証明書を作成します。certutil -S -k rsa -n jbossweb -t "u,u,u" -x -s "CN=localhost, OU=MYOU, O=MYORG, L=MYCITY, ST=MYSTATE, C=MY" -d /usr/share/jboss-as/nssdb
PKCS11 キーストアを使用するよう HTTPS コネクターを設定する
JBoss CLI ツールで次のコマンドを使用し、HTTPS コネクターを追加します。/subsystem=web/connector=https/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
次に、以下のコマンドを使用して SSL 設定を追加します。PASSWORD を 手順 5 の FIPS 準拠のパスワードに置き換えます。/subsystem=web/connector=https/ssl=configuration:add(name=https,password=PASSWORD,keystore-type=PKCS11, cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA, TLS_ECDH_anon_WITH_AES_256_CBC_SHA")
検証
次のコマンドを実行し、JVM が PKCS11 キーストアから公開鍵を読み取れることを検証します。keytool -list -storetype pkcs11
例11.39 FIPS 140-2 に準拠した HTTPS コネクターの XML 設定
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="https" password="****" cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA, TLS_ECDH_anon_WITH_AES_256_CBC_SHA" keystore-type="PKCS11"/> </connector>
cipher-suite
属性には改行が挿入されていることに注意してください。
11.14.4. Apache HTTP サーバーでの FIPS 140-2 の有効化
SSLFIPS on
ディレクティブを Apache HTTP サーバー設定ファイル (httpd.conf
または ssl.conf
) に挿入します。このディレクティブは VirtualHost
設定セクションの外部で使用する必要があります。
SSLFIPS on
ディレクティブは SSL ライブラリーの FIPS_mode フラグを有効にします。このモードはすべての SSL ライブラリー操作に適用されます。変更を有効にするには、このディレクティブを追加した後に Apache HTTP サーバーを再起動する必要があります。
注記
FIPS_mode
フラグをサポートする FIPS 対応の OpenSSL がシステムにインストールされている必要があります。
第12章 セキュリティー管理リファレンス
12.1. 含まれる認証モジュール
Role
という単語が Code
名に含まれます。
Code
値またはフルネーム (パッケージ修飾) 使用します。
認証モジュール
表12.1 RealmDirect
コード | RealmDirect
|
クラス | org.jboss.as.security.RealmDirectLoginModule
|
説明 |
セキュリティーレルムと直接インターフェースで接続するログインモジュール実装。このログインモジュールは、バッキングストアとのやりとりがすべてレルムへ委譲されるようにするため、定義の重複や同期化が必要なくなります。リモーティング呼び出しや管理インターフェースに対して使用されます。
|
表12.2 RealmDirect
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
realm |
文字列
| ApplicationRealm
|
指定するレルムの名前。
|
表12.3 Client
コード | Client
|
クラス | org.jboss.security.ClientLoginModule
|
説明 |
このログインモジュールは、JBoss EAP 6 がクライアントとして動作するときに呼び出し元 ID とクレデンシャルを確立するよう設定されています。サーバー認証に使用されるセキュリティードメインの一部として使用しないでください。
|
表12.4 Client
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
multi-threaded | true または false
| false
|
各スレッドが独自のプリンシパルとクレデンシャルストレージを持つ場合は、true に設定します。VM 内のすべてのスレッドが同じ ID とクレデンシャルを共有するよう指定する場合は false に設定します。
|
password-stacking
| useFirstPass または false
| false
|
このログインモジュールが ID として使用する
LoginContext に格納された情報を探すよう指定する場合は、LoginContext に設定します。このオプションは、他のログインモジュールをスタックする場合に使用できます。
|
restore-login-identity
| true または false
| false
| login() メソッドの先頭に示された ID とクレデンシャルを logout() メソッドの呼び出し後に復元する必要がある場合は true に設定します。
|
表12.5 Remoting
コード | Remoting
|
クラス | org.jboss.as.security.remoting.RemotingLoginModule
|
説明 |
このログインモジュールは、現在認証中の要求が Remoting 接続上で受信された要求であるかどうかを確認するために使用されます。Remoting 接続上で受信された要求である場合、Remoting 認証処理中に作成された ID が使用され、現在の要求に関連付けされます。要求が Remoting 接続上で受信されなかった場合は、このモジュールは何もせず、JAAS ベースのログインは次のモジュールへ続行されます。
|
表12.6 Remoting
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
password-stacking | useFirstPass または false
| false
|
このログインモジュールが ID を見つけるため
LoginContext に格納された情報を最初に探すことを示す useFirstPass の値。このオプションは、他のログインモジュールをこのモジュールとスタックする場合に使用できます。
|
principalClass
|
完全修飾クラス名
|
なし
|
プリンシパル名に String 引数を取るコンストラクターを含む
Principal 実装クラス。
|
unauthenticatedIdentity
|
プリンシパル名。
|
なし
|
認証情報を含まない要求に割り当てられるプリンシパル名を定義します。これにより、保護されていないサーブレットは特定のロールを必要としない EJB でメソッドを呼び出すことができるようになります。このようなプリンシパルには関連付けられたロールがなく、セキュアでない JEB または
unchecked permission 制約に関連付けられた EJB メソッドのみにアクセスできます。
|
表12.7 Certificate
コード | Certificate
|
クラス | org.jboss.security.auth.spi.BaseCertLoginModule
|
説明 |
このログインモジュールは、
X509 Certificates に基づいてユーザーを認証するよう設計されています。この使用例は、Web アプリケーションの CLIENT-CERT 認証です。
|
表12.8 Certificate
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
securityDomain
| 文字列 | other
|
信頼済み証明書を保持するトラストストア用 JSSE 設定を持つセキュリティードメインの名前。
|
verifier
| class |
なし
|
ログイン証明書の検証に使用する
org.jboss.security.auth.certs.X509CertificateVerifier のクラス名。
|
表12.9 CertificateRoles
コード | CertificateRoles
|
クラス | org.jboss.security.auth.spi.CertRolesLoginModule
|
説明 |
このログインモジュールは、Certificate ログインモジュールを拡張して、プロパティーファイルからロールマッピング機能を追加します。同じすべてのオプションを Certificate ログインモジュールとして取得し、次のオプションを追加します。
|
表12.10 CertificateRoles
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
rolesProperties
| 文字列 | roles.properties
|
各ユーザーに割り当てるロールを含むリソースまたはファイルの名前。ロールプロパティーファイルの形式は
username=role1,role2 である必要があります。username は証明書の DN で、= (等記号) やスペースをすべてエスケープします。正しい形式を用いた例は次のとおりです。
CN\=unit-tests-client,\ OU\=Red\ Hat\ Inc.,\ O\=Red\ Hat\ Inc.,\ ST\=North\ Carolina,\ C\=US |
defaultRolesProperties
| 文字列 | defaultRoles.properties
| rolesProperties ファイルが見つからない場合に使用するリソースまたはファイルの名前。
|
roleGroupSeparator
| 単一の文字。 | . (ピリオド 1 つ)
| rolesProperties ファイルでどの文字をロールグループセパレーターとして使用するか。
|
表12.11 Database
コード | Database |
クラス | org.jboss.security.auth.spi.DatabaseServerLoginModule
|
説明 |
認証とロールマッピングをサポートする JDBC ベースのログインモジュール。これは、次の定義を使用して、2 つの論理テーブルに基づきます。
|
表12.12 Database
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
digestCallback
| 完全修飾クラス名 |
なし
|
入力パスワードをハッシュ化するソルト値などのプレまたはポストダイジェストコンテンツを含む
DigestCallback 実装のクラス名。hashAlgorithm が指定された場合にのみ使用されます。
|
dsJndiName
| JNDI リソース | java:/DefaultDS
|
認証情報を保持する JNDI リソースの名前。このオプションは必須です。
|
hashAlgorithm
| 文字列 |
プレーンパスワードを使用
|
パスワードをハッシュ化するのに使用されるメッセージダイジェストアルゴリズム。サポートされるアルゴリズムは Java セキュリティープロバイダーに依存しますが、
MD5 、SHA-1 、および SHA-256 がサポートされます。
|
hashCharset
| 文字列 |
プラットフォームのデフォルトのエンコーディング
|
パスワードの文字列をバイトアレイに変換するときに使用する文字セット/エンコーディングの名前。これにはサポートされるすべての Java 文字セット名が含まれます。
|
hashEncoding
| 文字列 |
Base64
|
使用する文字列エンコーディング形式。
|
ignorePasswordCase
| boolean |
false
|
パスワードの比較で大文字と小文字の区別を無視するかどうかを示すフラグ。
|
inputValidator
| 完全修飾クラス名 |
なし
|
クライアントによって提供されるユーザー名およびパスワードを検証するために使用される InputValidator 実装のインスタンス。
|
principalsQuery
| 準備済み SQL ステートメント | select Password from Principals where PrincipalID=?
|
プリンシパルに関する情報を取得するための準備済み SQL クエリー。
|
rolesQuery
| 準備済み SQL ステートメント |
なし
|
ロールの情報を取得するための準備済み SQL クエリー。
select Role, RoleGroup from Roles where PrincipalID=? と同等である必要があります。ここで、Role はロール名で、RoleGroup 列の値は常に R が大文字である Roles または CallerPrincipal である必要があります。
|
storeDigestCallback
| 完全修飾クラス名 |
なし
|
ストア/予想されるパスワードをハッシュ化するソルト値などのプレまたはポストダイジェストコンテンツを含む
DigestCallback 実装のクラス名。hashStorePassword または hashUserPassword が true で、hashAlgorithm が指定された場合のみ使用されます。
|
suspendResume
| boolean |
true
|
データベース操作中に既存の JTA トランザクションを一時停止するかどうか。
|
throwValidatorError
| boolean |
false
|
検証エラーがクライアントへ公開されるべきかどうかを示すフラグ。
|
transactionManagerJndiName
| JNDI リソース |
java:/TransactionManager
|
ログインモジュールによって使用されるトランザクションマネージャーの JNDI 名。
|
表12.13 DatabaseCertificate
コード | DatabaseCertificate
|
クラス | org.jboss.security.auth.spi.DatabaseCertLoginModule
|
説明 |
このログインモジュールは、Certificate ログインモジュールを拡張して、データベーステーブルからロールマッピング機能を追加します。同じオプションと次の追加オプションが存在します。
|
表12.14 DatabaseCertificate
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
dsJndiName
| JNDI リソース | java:/DefaultDS
|
認証情報を保持する JNDI リソースの名前。このオプションは必須です。
|
rolesQuery
| 準備済み SQL ステートメント | select Role,RoleGroup from Roles where PrincipalID=?
|
ロールをマップするために実行される SQL 準備済みステートメント。これは、
select Role, RoleGroup from Roles where PrincipalID=? と同等である必要があります。Role はロール名で、RoleGroup 列の値は常に R が大文字である Roles または CallerPrincipal である必要があります。
|
suspendResume
| true または false
| true
|
データベース操作中に既存の JTA トランザクションを一時停止するかどうか。
|
表12.15 Identity
コード | Identity
|
クラス | org.jboss.security.auth.spi.IdentityLoginModule
|
説明 |
モジュールオプションで指定されたプリンシパルをモジュールに対して認証されたサブジェクトと関連付けます。使用される Principal クラスのタイプは
org.jboss.security.SimplePrincipal です。プリンシパルオプションが指定されない場合は、名前が guest のプリンシパルが使用されます。
|
表12.16 Identity
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
principal
| 文字列 | guest
|
プリンシパルに使用する名前。
|
roles
| カンマ区切りの文字列リスト |
なし
|
サブジェクトに割り当てられるロールのカンマ区切りリスト。
|
表12.17 Ldap
コード | Ldap
|
クラス | org.jboss.security.auth.spi.LdapLoginModule
|
説明 |
ユーザー名とパスワードが、JNDI LDAP プロバイダーを使用してアクセスできる LDAP サーバーに格納された場合に、LDAP サーバーに対して認証します。多くのオプションは、LDAP プロバイダーまたは環境によって決定されるため、必須ではありません。
|
表12.18 Ldap
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
java.naming.factory.initial
| クラス名 | com.sun.jndi.ldap.LdapCtxFactory
| InitialContextFactory 実装クラス名。
|
java.naming.provider.url
| ldap:// URL
| java.naming.security.protocol の値が SSL の場合は ldap://localhost:636 で、その他の場合は ldap://localhost:389 。
|
LDAP サーバーの URL。
|
java.naming.security.authentication
| none 、simple 、または SASL メカニズムの名前。
| simple
|
LDAP サーバーにバインドするために使用するセキュリティーレベル。
|
java.naming.security.protocol
| トランスポートプロトコル |
指定されない場合は、プロバイダーによって決定されます。
|
SSL などの、セキュアアクセスに使用するトランスポートプロトコル。
|
java.naming.security.principal
| 文字列 |
なし
|
サービスに対する呼び出し元を認証するプリンシパルの名前。これは、以下に示された他のプロパティーから構築されます。
|
java.naming.security.credentials
| クレデンシャルタイプ |
なし
|
認証スキームにより使用されるクレデンシャルのタイプ。一部の例には、ハッシュ化されたパスワード、クリアテキストパスワード、キー、または証明書が含まれます。このプロパティーが指定されない場合は、動作がサービスプロバイダーにより決定されます。
|
principalDNPrefix
| 文字列 |
|
ユーザー DN を形成するユーザー名に追加される接頭辞。ユーザーにユーザー名の指定を要求したり、
principalDNPrefix および principalDNSuffix を使用して完全修飾 DN を構築したりできます。
|
principalDNSuffix
| 文字列 |
|
ユーザー DN を形成するユーザー名に追加されるサフィックス。ユーザーにユーザー名の指定を要求したり、
principalDNPrefix および principalDNSuffix を使用して完全修飾 DN を構築したりできます。
|
useObjectCredential
| true または false
|
false
|
JAAS PasswordCallback を使用した
char[] パスワードではなく Callback の org.jboss.security.auth.callback.ObjectCallback タイプを使用した不透明なオブジェクトとしてクレデンシャルを取得するかどうか。これにより、char[] クレデンシャル情報を LDAP サーバーに渡すことができます。
|
rolesCtxDN
| 完全修飾 DN |
なし
|
ユーザーロールを検索するコンテキストの完全修飾 DN。
|
userRolesCtxDNAttributeName
|
attribute
|
なし
|
ユーザーロールを検索するコンテキストの DN を含むユーザーオブジェクトの属性。これは、
rolesCtxDN と異なるため、ユーザーのロールを検索するコンテキストは各ユーザーに対して一意になることがあります。
|
roleAttributeID
| attribute | roles
|
ユーザーロールを含む属性の名前。
|
roleAttributeIsDN
| true または false
| false
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。
|
roleNameAttributeID
| attribute | name
|
ロール名を含む
roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合、このプロパティーはロールオブジェクトの名前属性を見つけるために使用されます。
|
uidAttributeID
| attribute | uid
|
ユーザー ID に対応する
UserRolesAttributeDN の属性の名前。これは、ユーザーロールを見つけるために使用されます。
|
matchOnUserDN
| true または false
| false
|
ユーザーロールの検索でユーザーの完全識別 DN またはユーザー名のみに一致するかどうか。
true の場合、完全 userDN は一致する値として使用されます。false の場合は、ユーザー名のみが uidAttributeName 属性に対して一致する値として使用されます。
|
allowEmptyPasswords
| true または false
| false
|
空白のパスワードを許可するかどうか。ほとんどの LDAP サーバーでは、空白のパスワードが匿名ログイン試行として扱われます。空のパスワードを拒否するには、これを
false に設定します。
|
表12.19 LdapExtended
コード | LdapExtended
|
クラス | org.jboss.security.auth.spi.LdapExtLoginModule
|
説明 |
検索を使用してバインドユーザーと関連するロールを見つける別の LDAP ログインモジュール実装。ロールクエリーは再帰的に DN に従い、階層ロール構造をナビゲートします。同じ
java.naming オプションを Ldap モジュールとして使用し、Ldap モジュールの他のオプションの代わりに次のオプションを使用します。
認証は 2 つの手順で行われます。
|
表12.20 LdapExtended
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
baseCtxDN
| 完全修飾 DN |
なし
|
ユーザー検索を開始する最上位コンテキストの固定 DN。
|
bindCredential
| 文字列、オプションで暗号化 |
なし
|
詳細は JBoss EAP『セキュリティーガイド』を参照してください。
|
bindDN
| 完全修飾 DN |
なし
|
ユーザーおよびロールクエリーのために LDAP サーバーに対してバインドするために使用される DN。この DN は
baseCtxDN および rolesCtxDN の値に対する読み取りおよび検索パーミッションを必要とします。
|
baseFilter
| LDAP フィルター文字列 |
なし
|
認証するユーザーのコンテキストを見つけるために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された
userDN が、{0} 式が使用されたフィルターに置換されます。検索フィルターの一般的な例は (uid={0}) です。
|
rolesCtxDN
| 完全修飾 DN |
なし
|
ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。
|
roleFilter
| LDAP フィルター文字列 |
なし
|
認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された
userDN が {0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。
|
roleAttributeIsDN | true または false
| false
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。
|
defaultRole
|
ロール名
|
なし
|
認証された全ユーザーに対して含まれるロール
|
parseRoleNameFromDN
| true または false
| false
|
クエリによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。
true に設定された場合、DN は roleNameATtributeID に対してチェックされます。false に設定された場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリのパフォーマンスを向上できます。
|
parseUsername
| true または false
| false
|
DN がユーザー名に対して解析されるかどうかを示すフラグ。
true に設定された場合、 DN はユーザー名に対して解析されます。false に設定された場合、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。
|
usernameBeginString
|
文字列
|
なし
|
ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは
usernameEndString と共に使用されます。
|
usernameEndString
|
文字列
|
なし
|
ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは
usernameBeginString と共に使用されます。
|
roleNameAttributeID
| attribute | name
|
ロール名を含む
roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合、このプロパティーはロールオブジェクトの名前属性を見つけるために使用されます。
|
distinguishedNameAttribute
| attribute | distinguishedName
|
ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。
|
roleRecursion
| 整数 | 0
|
ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを
0 に設定します。
|
searchTimeLimit
| 整数 | 10000 (10 秒)
|
ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。
|
searchScope
| OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか。
| SUBTREE_SCOPE
|
使用する検索範囲。
|
allowEmptyPasswords
| true または false
| false
|
空白のパスワードを許可するかどうか。ほとんどの LDAP サーバーでは、空白のパスワードが匿名ログイン試行として扱われます。空のパスワードを拒否するには、これを false に設定します。
|
referralUserAttributeIDToCheck
|
attribute
|
なし
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例:
member ) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。
|
表12.21 RoleMapping
コード | RoleMapping
|
クラス | org.jboss.security.auth.spi.RoleMappingLoginModule
|
説明 |
認証プロセスの結果であるロールを宣言ロールに対してマップします。このモジュールは、セキュリティードメインに追加する場合に
optional とフラグ付けする必要があります。
|
表12.22 RoleMapping
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
rolesProperties
| プロパティーファイルまたはリソースの完全修飾ファイルパスまたは完全修飾ファイル名。 | none
|
ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名。形式は
original_role=role1,role2,role3 になります。
|
replaceRole
| true または false
| false
|
現在のロールを追加するか、現在のロールをマップされたロールに置き換えるか。
true に設定された場合は、置き換えられます。
|
注記
rolesProperties
モジュールオプションは RoleMapping に必要です。
表12.23 RunAs
コード | RunAs
|
クラス | org.jboss.security.auth.spi.RunAsLoginModule
|
説明 | run as ロールを、認証のログイン段階の間スタックにプッシュし、コミットまたはアボート段階でスタックから run as ロールをポップするヘルパーモジュール。このログインモジュールは、セキュアな EJB にアクセスするログインモジュールなどの、認証を実行するためにセキュアなリソースにアクセスする必要がある他のログインモジュール用ロールを提供します。run as ロールを確立する必要があるログインモジュールの前に、RunAsLoginModule を設定する必要があります。
|
表12.24 RunAs
オプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
roleName
| ロール名 | nobody
|
ログイン段階で
run as ロールとして使用するロールの名前。
|
principalName
| プリンシパル名 | nobody
|
ログインフェーズ中に
run as プリンシパルとして使用するプリンシパルの名前。指定がない場合、デフォルトの nobody が使用されます。
|
principalClass
| 完全修飾クラス名 |
なし
|
プリンシパル名に String 引数を取るコンストラクターを含む
Principal 実装クラス。
|
表12.25 Simple
コード | Simple
|
クラス | org.jboss.security.auth.spi.SimpleServerLoginModule
|
説明 |
テスト目的でセキュリティーを素早くセットアップするモジュール。次の単純なアルゴリズムが実装されます。
|
Simple
モジュールオプション
Simple
モジュールにはオプションがありません。
表12.26 ConfiguredIdentity
コード | ConfiguredIdentity
|
クラス | org.picketbox.datasource.security.ConfiguredIdentityLoginModule
|
説明 |
モジュールオプションで指定されたプリンシパルをモジュールに対して認証されたサブジェクトに関連付けます。使用される Principal クラスのタイプは
org.jboss.security.SimplePrincipal です。
|
表12.27 ConfiguredIdentity
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
username
| 文字列 | なし | 認証のユーザー名 |
password
| 暗号化文字列 | "" |
認証に使用するパスワード。パスワードを暗号化するには、コマンドラインで直接モジュールを使用します。
このコマンドの結果をモジュールオプションの値フィールドに貼り付けます。デフォルトの値は空の文字列です。
|
principal
| プリンシパルの名前 | none
|
モジュールに対して認証されるサブジェクトに関連付けられるプリンシパル。
|
表12.28 SecureIdentity
コード | SecureIdentity
|
クラス | org.picketbox.datasource.security.SecureIdentityLoginModule
|
説明 |
このモジュールは、レガシー対応のために提供されます。このモジュールを使用すると、パスワードを暗号化し、暗号化されたパスワードを最適なプリンシパルで使用します。アプリケーションが
SecureIdentity を使用する場合は、パスワード vault メカニズムを代わりに使用することを検討してください。
|
表12.29 SecureIdentity
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
username
| 文字列 | なし | 認証のユーザー名 |
password
| 暗号化文字列 | "" |
認証に使用するパスワード。パスワードを暗号化するには、コマンドラインで直接モジュールを使用します。
このコマンドの結果をモジュールオプションの値フィールドに貼り付けます。デフォルトの値は空の文字列です。
|
managedConnectionFactoryName
| JCA リソース | なし |
データソースの JCA 接続ファクトリーの名前。
|
表12.30 PropertiesUsers
コード | PropertiesUsers
|
クラス | org.jboss.security.auth.spi.PropertiesUsersLoginModule
|
説明 |
認証用ユーザー名およびパスワードを格納するプロパティーファイルを使用します。認証 (ロールマッピング) は提供されません。このモジュールは、テスト向けのみに限定されます。
|
表12.31 SimpleUsers
コード | SimpleUsers
|
クラス | org.jboss.security.auth.spi.SimpleUsersLoginModule
|
説明 |
このログインモジュールは
module-option を使用してユーザー名とクリアテキストパスワードを保存します。module-option の name および value 属性はユーザー名とパスワードを指定します。テストの目的でのみ含まれているため、本番環境
|
表12.32 LdapUsers
コード | LdapUsers
|
クラス | org.jboss.security.auth.spi.LdapUsersLoginModule
|
説明 | LdapUsers モジュールは ExtendedLDAP および AdvancedLdap モジュールが導入されたため廃止になりました。
|
表12.33 Kerberos
コード | Kerberos
|
クラス | com.sun.security.auth.module.Krb5LoginModule 。IBM JDK でのクラス名は com.ibm.security.auth.module.Krb5LoginModule 。
|
説明 |
GSSAPI を使用して Kerberos ログイン認証を実行します。このモジュールは、Sun Microsystems により提供された API のセキュリティーフレームワークの一部です。詳細については、http://docs.oracle.com/javase/7/docs/jre/api/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html を参照してください。このモジュールは、認証とロールのマッピングを処理する別のモジュールと組み合わせる必要があります。
|
表12.34 Kerberos
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
storekey
| true または false
| false | KerberosKey をサブジェクトのプライベートクレデンシャルに追加するかどうか。
|
doNotPrompt
| true または false
| false | true に設定された場合、ユーザーはパスワードを要求されません。
|
useTicketCache
| true または false のブール値
| false | true の場合、TGT はチケットキャッシュから取得されます。false の場合、チケットキャッシュは使用されません。
|
ticketcache
| Kerberos チケットキャッシュを表すファイルまたはリソース。 |
デフォルトは使用するオペレーティングシステムによって異なります。
| チケットキャッシュの場所。 |
useKeyTab
| true または false
| false | キーテーブルファイルからプリンシパルのキーを取得するかどうか。 |
keytab
| Kerberos keytab を表すファイルまたはリソース。 |
オペレーティングシステムの Kerberos 設定ファイルの場所または
/home/user/krb5.keytab
| キーテーブルファイルの場所。 |
principal
| 文字列 | なし |
プリンシパルの名前。これは、
host/testserver.acme.com などの単純なユーザー名またはサービス名のいずれかになります。これは、キーテーブルからプリンシパルを取得する代わり、またはキーテーブルに複数のプリンシパルが含まれる場合に使用します。
|
useFirstPass
| true または false
| false | javax.security.auth.login.name および javax.security.auth.login.password をキーとして使用して、モジュールの共有状態からユーザー名とパスワードを取得するかどうか。認証が失敗した場合、再試行は行われません。
|
tryFirstPass
| true または false
| false | useFirstPass と同じです。ただし、認証が失敗した場合、モジュールは CallbackHandler を使用して新しいユーザー名とパスワードを取得します。2 番目の認証が失敗した場合、失敗は読み出し元アプリケーションに報告されます。
|
storePass
| true または false
| false |
モジュールの共有状態でユーザー名とパスワードを格納するかどうか。これは、キーがすでに共有状態である場合、または認証に失敗した場合は、行われません。
|
clearPass
| true または false
| false |
これを
true に設定して、認証段階が完了した後に共有状態からユーザー名とパスワードを削除します。
|
表12.35 SPNEGO
コード | SPNEGO
|
クラス | org.jboss.security.negotiation.spnego.SPNEGOLoginModule
|
説明 |
Microsoft Active Directory サーバーまたは SPNEGO をサポートする他の環境に対して SPNEGO 認証を許可します。SPNEGO は Kerberos クレデンシャルを持つこともできます。このモジュールは、認証とロールのマッピングを処理する別のモジュールと組み合わせる必要があります。
|
表12.36 SPNEGO
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
serverSecurityDomain
| string
| null
|
Kerberos ログインモジュールを介してサーバーサービスの ID を読み出すために使用されるドメインを定義します。このプロパティーは必ず設定する必要があります。
|
removeRealmFromPrincipal
| boolean
| false
|
処理を続行する前に Kerberos レルムをプリンシパルから削除する必要があることを指定します。
|
usernamePasswordDomain
| string
| null
|
Kerberos が失敗したときにフェールオーバーログインとして使用する必要がある設定内の別のセキュリティードメインを指定します。
|
表12.37 AdvancedLdap
コード | AdvancedLdap |
クラス | org.jboss.security.negotiation.AdvancedLdapLoginModule
|
説明 |
SASL や JAAS セキュリティードメインの使用など、追加機能を提供するモジュール。
|
表12.38 AdvancedLdap
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
bindAuthentication
|
文字列
|
なし
|
ディレクトリーサーバーへのバインディングに使用する SASL 認証のタイプ。
|
java.naming.provider.url
| string
| java.naming.security.protocol の値が SSL の場合は ldap://localhost:686 で、その他の場合は ldap://localhost:389 。
|
ディレクトリーサーバーの URI。
|
baseCtxDN
|
完全修飾 DN
|
なし
|
検索の基盤として使用する識別名。
|
baseFilter
|
LDAP 検索フィルターを表す文字列。
|
なし
|
検索結果を絞り込むために使用するフィルター。
|
roleAttributeID
|
LDAP 属性を表す文字列値。
|
なし
|
承認ロールの名前が含まれる LDAP 属性。
|
roleAttributeIsDN
| true または false
| false
|
ロール属性が識別名 (DN) であるかどうか。
|
roleNameAttributeID
|
LDAP 属性を表す文字列。
|
なし
|
実際のロール属性が含まれる
RoleAttributeId 内に格納された属性。
|
recurseRoles
| true または false
| false
|
ロールに対して
RoleAttributeId を再帰的に検索するかどうか。
|
referralUserAttributeIDToCheck
|
attribute
|
なし
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例:
member ) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。
|
表12.39 AdvancedADLdap
コード | AdvancedADLdap |
クラス | org.jboss.security.negotiation.AdvancedADLoginModule
|
説明 |
このモジュールは
AdvancedLdap ログインモジュールを拡張し、Microsoft Active Directory に関連する追加パラメーターを追加します。
|
表12.40 UsersRoles
コード | UsersRoles |
クラス | org.jboss.security.auth.spi.UsersRolesLoginModul
|
説明 |
2 つの異なるプロパティーファイルに格納された複数のユーザーおよびユーザーロールをサポートする簡単なログインモジュール。
|
表12.41 UsersRoles
モジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
usersProperties
|
ファイルまたはリソースへのパス。
| users.properties
|
ユーザーからパスワードへのマッピングが含まれるファイルまたはリソース。ファイルの形式は
username=password になります。
|
rolesProperties
|
ファイルまたはリソースへのパス。
| roles.properties
|
ユーザーからロールへのマッピングが含まれるファイルまたはリソース。ファイルの形式は
username=role1,role2,role3 になります。
|
password-stacking
| useFirstPass または false
| false
|
このログインモジュールが ID を見つけるため
LoginContext に格納された情報を最初に探すことを示す useFirstPass の値。このオプションは、他のログインモジュールをこのモジュールとスタックする場合に使用できます。
|
hashAlgorithm
|
パスワードをハッシュ化するアルゴリズムを表す文字列。
| none
|
パスワードをハッシュ化するために使用する
java.security.MessageDigest アルゴリズムの名前。デフォルト値はないため、ハッシュを有効にするためにこのオプションを明示的に設定する必要があります。hashAlgorithm が指定された場合は、inputPassword 引数として UsernamePasswordLoginModule.validatePassword に渡す前に CallbackHandler から取得されたクリアテキストパスワードがハッシュ化されます。users.properties ファイルに格納されたパスワードも、同様にハッシュ化する必要があります。
|
hashEncoding
| base64 または hex
| base64
|
hashAlgorithm も設定されている場合、ハッシュ化されたパスワードの文字列形式。
|
hashCharset
|
文字列
|
コンテナのランタイム環境に設定されるデフォルトのエンコーディング。
|
クリアテキストのパスワードをバイトアレイに変換するために使用されるエンコーディング。
|
unauthenticatedIdentity
|
プリンシパル名
|
なし
|
認証情報を含まない要求に割り当てるプリンシパル名を定義します。これにより、保護されていないサーブレットは特定のロールを必要としない EJB でメソッドを呼び出すことができるようになります。このようなプリンシパルは関連付けられたロールを持たず、
unchecked permission 制約に関連付けられたセキュアでない EJB または EJB メソッドにのみアクセスできます。
|
認証モジュールは、javax.security.auth.spi.LoginModule
の実装です。カスタム認証モジュールの作成の詳細については、API ドキュメンテーションを参照してください。
12.2. 含まれる承認モジュール
コード | クラス |
---|---|
DenyAll | org.jboss.security.authorization.modules.AllDenyAuthorizationModule |
PermitAll | org.jboss.security.authorization.modules.AllPermitAuthorizationModule |
Delegating | org.jboss.security.authorization.modules.DelegatingAuthorizationModule |
Web | org.jboss.security.authorization.modules.web.WebAuthorizationModule |
JACC | org.jboss.security.authorization.modules.JACCAuthorizationModule |
XACML | org.jboss.security.authorization.modules.XACMLAuthorizationModule |
認証リクエストを常に拒否する単純な承認モジュールです。設定オプションはありません。
認証リクエストを常に許可する単純な承認モジュールです。設定オプションはありません。
意思決定を設定済みの delegate へ移譲するデフォルトの認証モジュールです。
デフォルトの Tomcat 承認ロジック (permit all) を持つデフォルトの Web 認証モジュールです。
このモジュールは 2 つの delegate を使用して JACC セマンティックを強制します (Web コンテナ承認リクエストの WebJACCPolicyModuleDelegate と、EJB コンテナリクエストの EJBJACCPolicyModuleDelegate)。設定オプションはありません。
このモジュールは Web コンテナと EJB コンテナの 2 つの delegate を使用して (WebXACMLPolicyModuleDelegate および EJBXACMLPolicyModuleDelegate) XACML 承認を強制します。このモジュールは登録されたポリシーを基に PDP オブジェクトを作成し、それに対して Web または EJB リクエストを評価します。
これはオーバーライドされる必要があるベースの承認モジュールで、他の承認モジュールへ委譲するためのファシリティーを提供します。
12.3. 含まれるセキュリティーマッピングモジュール
コード | クラス |
---|---|
PropertiesRoles | org.jboss.security.mapping.providers.role.PropertiesRolesMappingProvider |
SimpleRoles | org.jboss.security.mapping.providers.role.SimpleRolesMappingProvider |
DeploymentRoles | org.jboss.security.mapping.providers.DeploymentRolesMappingProvider |
DatabaseRoles | org.jboss.security.mapping.providers.role.DatabaseRolesMappingProvider |
LdapRoles | org.jboss.security.mapping.providers.role.LdapRolesMappingProvider |
LdapAttributes | org.jboss.security.mapping.providers.attribute.LdapAttributeMappingProvider |
jboss-web.xml
および jboss-app.xml
デプロイメント記述子で可能なプリンシパルからロールへのマッピングを考慮するロールマッピングモジュール。
例12.1 例
<jboss-web> ... <security-role> <role-name>Support</role-name> <principal-name>Mark</principal-name> <principal-name>Tom</principal-name> </security-role> ... </jboss-web>
jboss-web.xml
および jboss-app.xml
デプロイメント記述子で指定できるプリンシパルからロールへのマッピングを考慮するロールツーロール (Role to Roles) マッピングモジュールです。この場合、principal-name は他のロールをマップするロールを示します。
例12.2 例
<jboss-web> ... <security-role> <role-name>Employee</role-name> <principal-name>Support</principal-name> <principal-name>Sales</principal-name> </security-role> ... </jboss-web>
オプションからロールを選び、渡されたグループの前に追加するロールマッピングプロバイダー。ロール (値) のカンマ区切りリストが含まれるロール名 (キー) のプロパティースタイルマッピングを取ります。
SimplePrincipal を取り、異なるプリンシパル名で SimplePrincipal を変換するプリンシパルマッピングプロバイダー。
データベースからロールを読み取る MappingProvider。
dsJndiName
: ロールをユーザーにマップするために使用されるデータソースの JNDI 名。rolesQuery
: このオプションは「select RoleName from Roles where User=?」と同等の準備済みステートメントです。「?」は現在のプリンシパル名に置き換えられます。suspendResume
: ブール値 - ロールの検索の実行中に、現在のスレッドに関連するトランザクションを停止し、その後再開します。transactionManagerJndiName
: トランザクションマネージャーの JNDI 名 (デフォルトは java:/TransactionManager)。
ロールを検索するため LDAP サーバーを使用してロールを割り当てるマッピングプロバイダー。
bindDN
: ユーザーおよびロールクエリーのために LDAP サーバーに対してバインドするために使用される DN。この DN は baseCtxDN および rolesCtxDN の値では読み取りおよび検索パーミッションが必要です。bindCredential
: bindDN のパスワード。これは、jaasSecurityDomain が指定された場合に暗号化できます。rolesCtxDN
: ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。roleAttributeID
: 承認ロールの名前が含まれる LDAP 属性。roleAttributeIsDN
:roleAttributeID
にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名のroleNameAttributeId
属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性をtrue
に設定する必要があります。roleNameAttributeID
: ロール名を含むroleCtxDN
コンテキスト内の属性の名前。roleAttributeIsDN
プロパティーがtrue
に設定された場合、このプロパティーはロールオブジェクトの名前属性を見つけるために使用されます。parseRoleNameFromDN
: クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true
に設定された場合、DN は roleNameATtributeID に対してチェックされます。false
に設定された場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。roleFilter
: 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得されたuserDN
が{0}
式が使用されたフィルターに置換されます。認証済みuserDN
は、{1}
が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0})
です。認証済みuserDN
に一致する他の例は(member={1})
です。roleRecursion
: ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを0
に設定します。searchTimeLimit
: ユーザー/ロール検索のタイムアウト (ミリ秒単位)。デフォルトは 10000 (10 秒) です。searchScope
: 使用する検索範囲。
「username=role1,role2,...」という形式でプロパティーファイルからロールを読み取る MappingProvider。
rolesProperties
: プロパティーでフォーマットされるファイル名。JBoss 変数の拡張は${jboss.variable}
という形式で使用されます。
オプションマップからロールを読み取る簡単な MappingProvider。オプションの属性名はロールを割り当てるプリンシパルの名前で、 属性値はプリンシパルに割り当てるロール名のカンマ区切りリストです。
例12.3 例
<module-option name="JavaDuke" value="JBossAdmin,Admin"/> <module-option name="joe" value="Users"/>
モジュールをチェックし、マッピングコンテキストからプリンシパル名を見つけ、principalName + ".email" という名前のモジュールオプションから属性電子メールアドレスを作成し、それを指定のプリンシパルへマップします。
属性を LDAP からサブジェクトへマップします。オプションには、ご使用の LDAP JNDI プロバイダーがサポートするオプションがすべて含まれます。
例12.4 標準のプロパティー名の例
Context.INITIAL_CONTEXT_FACTORY = "java.naming.factory.initial" Context.SECURITY_PROTOCOL = "java.naming.security.protocol" Context.PROVIDER_URL = "java.naming.provider.url" Context.SECURITY_AUTHENTICATION = "java.naming.security.authentication"
bindDN
: ユーザーおよびロールクエリーのために LDAP サーバーに対してバインドするために使用される DN。この DN は baseCtxDN および rolesCtxDN の値では読み取りおよび検索パーミッションが必要です。bindCredential
: bindDN のパスワード。これは、jaasSecurityDomain が指定された場合に暗号化できます。baseCtxDN
: ユーザー検索を開始するコンテキストの固定 DN。baseFilter
: 認証するユーザーのコンテキストを見つけるために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得されたuserDN
が、{0}
式が使用されたフィルターに置換されます。この置換の挙動は標準の__DirContext.search(Name, String, Object[], SearchControls cons)__
メソッドからになります。一般的な検索フィルターの例は(uid={0})
です。searchTimeLimit
: ユーザー/ロール検索のタイムアウト (ミリ秒単位)。デフォルトは 10000 (10 秒) です。attributeList
: ユーザーの属性のカンマ区切りリスト (例: mail,cn,sn,employeeType,employeeNumber)。jaasSecurityDomain
:java.naming.security.principal
の復号化に使用する JaasSecurityDomain。パスワードの暗号化された形式はJaasSecurityDomain#encrypt64(byte[])
によって返されます。org.jboss.security.plugins.PBEUtils
を使用して暗号化された形式を生成することもできます。
12.4. 含まれるセキュリティー監査プロバイダーモジュール
コード | クラス |
---|---|
LogAuditProvider | org.jboss.security.audit.providers.LogAuditProvider |
第13章 サブシステムの設定
13.1. サブシステム設定の概要
JBoss EAP 6 は単純化された設定を使用します (ドメインごとまたはスタンドアロンサーバーごとに 1 つの設定ファイルを使用)。ドメインモードでは、各ホストコントローラーに対しても個別のファイルが存在します。設定の変更は自動的に保持されるため、XML を手動で編集する必要はありません。設定は、管理 API により自動的にスキャンされ、上書きされます。コマンドラインベースの管理 CLI および Web ベースの管理コンソールにより、JBoss EAP 6 の各側面を設定することができます。
EAP_HOME/domain/configuration/domain.xml
、スタンドアロンサーバーの場合には EAP_HOME/standalone/configuration/standalone.xml
という統合設定ファイルに保管されます。多くのサブシステムには、以前の JBoss EAP の旧バージョンでデプロイメント記述子に追加された設定詳細が含まれます。
各サブシステムの設定は XML スキーマで定義されます。設定スキーマは、ご使用のインストールの EAP_HOME/docs/schema/
ディレクトリーにあります。
簡易サブシステム
ee
– Java EE 6 API 実装ejb
– Enterprise JavaBeans (EJB) サブシステムjaxrs
– RESTeasy によって提供される JAX-RS APIsar
– サービスアーカイブをサポートするサブシステムthreads
– プロセススレッドをサポートするサブシステムweld
– Weld によって提供される Contexts and Dependency Injection (コンテキストと依存性の注入) API
第14章 ロギングサブシステム
14.1. はじめに
14.1.1. ロギングの概要
14.1.2. JBoss LogManager でサポートされるアプリケーションロギングフレームワーク
- JBoss Logging - JBoss EAP 6 に含まれます
- Apache Commons Logging - http://commons.apache.org/logging/
- Simple Logging Facade for Java (SLF4J) - http://www.slf4j.org/
- Apache log4j - http://logging.apache.org/log4j/1.2/
- Java SE Logging (java.util.logging) - http://download.oracle.com/javase/6/docs/api/java/util/logging/package-summary.html
14.1.3. ブートロギングの設定
logging.properties
ファイルが使用できる場合、これらのプロパティー設定はロギングサブシステムが初期化される前に発生したイベントを記録するために使用されます。この時点で、ロギングサブシステムがイベントの記録を引き継ぎます。
logging
サブシステムを編集すると、logging.properties
ファイルが更新されます。
logging.properties
ファイルがない場合、ロギングサブシステムが初期化される前のブート中に通常表示されるログメッセージは失われます。ロギングシステムが初期化されると、メッセージが再度ログに表示されます。
警告
logging.properties
ファイルを直接編集することが推奨されます。
14.1.4. ガベッジコレクションロギング
standalone
モードでデフォルトで有効になっています。
EAP_HOME/standalone/log/gc.log.digit
へ出力されます。ログロテーションは有効になっており、ログファイルの数は 5 に制限され、各ログファイルの最大サイズは 3 MiB に制限されています。
14.1.5. 暗黙的なロギング API の依存関係
add-logging-api-dependencies
属性が含まれています。デフォルトでは、この属性は true
に設定され、暗黙的なロギング API 依存関係はすべてデプロイメントへ追加されます。false
に設定すると、暗黙的なロギング API 依存関係は追加されません。
add-logging-api-dependencies
属性を設定できます。例は次のとおりです。
/subsystem=logging:write-attribute(name=add-logging-api-dependencies, value=false)
14.1.6. デフォルトのログファイルの場所
表14.1 スタンドアロンサーバーのデフォルトログファイル
ログファイル | 説明 |
---|---|
EAP_HOME/standalone/log/server.log |
サーバーログ。サーバー起動メッセージなど、すべてのサーバーログメッセージが含まれます。
|
EAP_HOME/standalone/log/gc.log |
ガベッジコレクションのログ。ガベッジコレクションすべての詳細が含まれます。
|
表14.2 管理対象ドメイン用のデフォルトログファイル
ログファイル | 説明 |
---|---|
EAP_HOME/domain/log/host-controller.log |
ホストコントローラーのブートログ。ホストコントローラーの起動に関連するログメッセージが含まれます。
|
EAP_HOME/domain/log/process-controller.log |
プロセスコントローラーのブートログ。プロセスコントローラーの起動に関連するログメッセージが含まれます。
|
EAP_HOME/domain/servers/SERVERNAME/log/server.log |
名前付きサーバーのサーバーログ。サーバー起動メッセージなど、そのサーバーのすべてのログメッセージが含まれます。
|
14.1.7. ロギングのフィルター式
注記
filter-spec
は他のロガーによって継承されません。ハンドラーごとに filter-spec
を指定する必要があります。
表14.3 ロギングのフィルター式
フィルタータイプ
expression
| 説明 | パラメーター |
---|---|---|
Accept
accept
| すべてのログメッセージを許可します。 | accept
|
Deny
deny
| すべてのログメッセージを拒否します。 | deny
|
Not
not[filter expression]
| フィルター式の逆の値を返します。 |
1 つのフィルター式をパラメーターとして取ります。
not(match("JBAS"))
|
All
all[filter expression]
| 複数のフィルター式より連結された値を返します。 |
コンマ区切りの複数のフィルター式を取ります。
all(match("JBAS"),match("WELD"))
|
Any
any[filter expression]
| 複数のフィルター式より 1 つの値を返します。 |
コンマ区切りの複数のフィルター式を取ります。
any(match("JBAS"),match("WELD"))
|
Level Change
levelChange[level]
| 指定のレベルでログレコードを変更します。 |
1 つの文字列ベースのレベルを引数として取ります。
levelChange("WARN")
|
Levels
levels[levels]
| レベルリストにあるレベルの 1 つでログメッセージをフィルターします。 |
コンマで区切られた複数の文字列ベースのレベルを取ります。
levels("DEBUG","INFO","WARN","ERROR")
|
Level Range
levelRange[minLevel,maxLevel]
| 指定のレベル範囲内でログメッセージをフィルターします。 |
フィルター式では、
[ を使用して含まれる最小レベルが示され、] を使用して含まれる最大レベルが示されます。この代わりに、それぞれ ( または ) を使用して含まれるレベルを示すことが可能です。式の最初の引数が許可される最小レベルで、2 つ目の引数が許可される最大レベルになります。
以下に例を示します。
|
Match (match["pattern"] ) | 正規表現ベースのフィルター。式に指定されたパターンに対してフォーマットされていないメッセージが使用されます。 |
正規表現を引数として取ります。
match("JBAS\d+")
|
Substitute (substitute["pattern","replacement value"] ) | 最初にパターンと一致した値を指定の値に置き換えるフィルター。 |
式の最初の引数はパターンで、2 つ目の引数は置き換えるテキストです。
substitute("JBAS","EAP")
|
Substitute All (substituteAll["pattern","replacement value"] ) | パターンと一致したすべての値を指定の値に置き換えるフィルター。 |
式の最初の引数はパターンで、2 つ目の引数は置き換えるテキストです。
substituteAll("JBAS","EAP")
|
14.1.8. ログレベル
TRACE
、DEBUG
、INFO
、WARN
、ERROR
および FATAL
となります。
WARN
レベルのログハンドラーは、WARN
、ERROR
、および FATAL
のレベルのメッセージのみを記録します。
14.1.9. サポート対象のログレベル
表14.4 サポート対象のログレベル
ログのレベル | Value | 説明 |
---|---|---|
FINEST | 300 |
-
|
FINER | 400 |
-
|
TRACE | 400 |
アプリケーションの実行状態に関する詳細情報を提供するメッセージに使用します。通常、
TRACE のログメッセージはアプリケーションのデバッグ時のみにキャプチャーされます。
|
DEBUG | 500 |
アプリケーションの個別の要求または活動の進捗状況を表示するメッセージに使用します。
DEBUG のログメッセージは通常アプリケーションのデバッグ時のみにキャプチャーされます。
|
FINE | 500 |
-
|
CONFIG | 700 |
-
|
INFO | 800 |
アプリケーションの全体的な進捗状況を示すメッセージに使用します。多くの場合、アプリケーションの起動、シャットダウン、およびその他の主要なライフサイクルイベントに使用されます。
|
WARN | 900 |
エラーではないが、理想的とは見なされない状況を示すために使用されます。将来的にエラーをもたらす可能性のある状況を示します。
|
WARNING | 900 |
-
|
ERROR | 1000 |
発生したエラーの中で、現在の活動や要求の完了を妨げる可能性があるが、アプリケーション実行の妨げにはならないエラーを表示するために使用されます。
|
SEVERE | 1000 |
-
|
FATAL | 1100 |
クリティカルなサービス障害やアプリケーションのシャットダウンをもたらしたり、JBoss EAP 6 のシャットダウンを引き起こす可能性があるイベントを表示するのに使用されます。
|
14.1.10. ログカテゴリー
14.1.11. ルートロガーについて
server.log
ファイルに書き込むように設定されています。このファイルはサーバーログと呼ばれる場合もあります。
14.1.12. ログハンドラー
Console
、File
、Periodic
、Size
、Async
、Custom
、および syslog
です。
14.1.13. ログハンドラーのタイプ
- Console
- コンソールログハンドラーは、ログメッセージをホストオペレーティングシステムの標準出力 (stdout) または標準エラー (stderr) ストリームに書き込みます。これらのメッセージは、JBoss EAP 6 がコマンドラインプロンプトから実行された場合に表示されます。オペレーティングシステムで標準出力または標準エラーストリームをキャプチャーするように設定されていない限りは、コンソールログハンドラーからのメッセージは保存されません。
- File
- ファイルログハンドラーは、ログメッセージを指定のファイルに書き込む、最もシンプルなログハンドラーです。
- Periodic
- Periodic ログハンドラーは、指定した時間が経過するまで、ログメッセージを指定ファイルに書き込みます。その時間が経過した後には、指定のタイムスタンプが追記されてファイルの名前が変更され、 ハンドラーは元の名前で新規作成されたログファイルに書き込みを継続します。
- Size
- サイズログハンドラーは、指定のファイルが指定サイズに到達するまで、そのファイルにログメッセージを書き込みます。ファイルが指定したサイズに到達すると、名前に数値の接頭辞を追加して名前変更され、ハンドラーは元の名前で新規作成されたログファイルに書き込みを継続します。各サイズログハンドラーは、このような方式で保管されるファイルの最大数を指定する必要があります。
- Async
- Async ログハンドラーは、 単一または複数のログハンドラーを対象とする非同期動作を提供するラッパーログハンドラーです。Async ログハンドラーは、待ち時間が長かったり、ネットワークファイルシステムへのログファイルの書き込みなどにパフォーマンス上の問題があるログハンドラーに対して有用です。
- Custom
- Custom ログハンドラーにより、実装された新たなタイプのログハンドラーを設定することができます。カスタムハンドラーは、
java.util.logging.Handler
を拡張する Java クラスとして実装し、モジュール内に格納する必要があります。 - syslog
- syslog-handler は、リモートのロギングサーバーへメッセージを送信するために使用できます。これにより、複数のアプリケーションが同じサーバーにログメッセージを送信でき、そのサーバーですべてのログメッセージを解析できます。
14.1.14. ログフォーマッター
java.util.Formatter
クラスを基にした構文を使用する文字列です。
%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n
は次のようなログメッセージを作成します。
15:53:26,546 INFO [org.jboss.as] (Controller Boot Thread) JBAS015951: Admin console listening on http://127.0.0.1:9990
14.1.15. ログフォーマッター構文
表14.5 ログフォーマッター構文
記号 | 説明 |
---|---|
%c | ロギングイベントのカテゴリー |
%p | ログエントリーのレベル (情報やデバッグなど) |
%P | ログエントリーのローカライズレベル |
%d | 現在の日付/時刻 (yyyy-MM-dd HH:mm:ss,SSS 形式) |
%r | 相対時間 (ログが初期化された以降のミリ秒単位の時間) |
%z | タイムゾーン |
%k | ログリソースキー (ログメッセージのローカリゼーションに使用) |
%m | ログメッセージ (例外トレースを除外) |
%s | 単純なログメッセージ (例外トレースなし) |
%e | 例外スタックトレース (拡張モジュール情報なし) |
%E | 例外スタックトレース (拡張モジュール情報あり) |
%t | 現在のスレッドの名前 |
%n | 改行文字 |
%C | ログメソッドを呼び出すコードのクラス (低速) |
%F | ログメソッドを呼び出すクラスのファイル名 (低速) |
%l | ログメソッドを呼び出すコードのソースロケーション (低速) |
%L | ログメソッドを呼び出すコードの行番号 (低速) |
%M | ログメソッドを呼び出すコードのメソッド (低速) |
%x | ネスト化診断コンテキスト |
%X | メッセージ診断コンテキスト |
%% | リテラルパーセント記号 (エスケープ) |
14.2. 管理コンソールでのロギングの設定
- 管理コンソールへのログイン
- ロギングサブシステム設定に移動します。この手順は、スタンドアロンサーバーとして実行されているサーバーと管理対象ドメインで実行されているサーバーとで異なります。
スタンドアロンサーバー
Configuration をクリックし、Subsystems メニューの Core を展開してから Logging をクリックします。管理対象ドメイン
Configuration をクリックし、ドロップダウンメニューから編集するプロファイルを選択します。 Subsystems メニューの Core を展開してから Logging をクリックします。
- ログレベルを編集します。
- ログハンドラーを追加および削除します。
- ログカテゴリーを追加および削除します。
- ログカテゴリープロパティーを編集します。
- カテゴリーのログハンドラーを追加および削除します。
- 新しいハンドラーを追加します。
- ハンドラーを設定します。
14.3. CLI でのロギング設定
管理 CLI が実行され、関係する JBoss EAP インスタンスに接続している必要があります。詳細については、「管理 CLI の起動」 を参照してください。
14.3.1. CLI でのルートロガーの設定
- ルートロガーへのログハンドラーの追加
- ルートロガー設定の表示
- ログレベルの変更
- ルートロガーからのログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- ルートロガーへのログハンドラーの追加
- 次の構文で
add-handler
操作を使用します。HANDLER は追加するログハンドラーの名前です。/subsystem=logging/root-logger=ROOT:add-handler(name="HANDLER")
ログハンドラーを作成してから、ログハンドラーをルートロガーへ追加する必要があります。例14.1 ルートロガーの add-handler 操作
[standalone@localhost:9999 /] /subsystem=logging/root-logger=ROOT:add-handler(name="FILE") {"outcome" => "success"}
- ルートロガーの設定内容の表示
- 次の構文で
read-resource
操作を使用します。/subsystem=logging/root-logger=ROOT:read-resource
例14.2 ルートロガーの read-resource 操作
[standalone@localhost:9999 /] /subsystem=logging/root-logger=ROOT:read-resource { "outcome" => "success", "result" => { "filter" => undefined, "filter-spec" => undefined, "handlers" => [ "CONSOLE", "FILE" ], "level" => "INFO" } }
- ルートロガーのログレベルの設定
- 次の構文で
write-attribute
操作を使用します。LEVEL はサポートされているログレベルの 1 つです。/subsystem=logging/root-logger=ROOT:write-attribute(name="level", value="LEVEL")
例14.3 ルートロガーの write-attribute 操作によるログレベルの設定
[standalone@localhost:9999 /] /subsystem=logging/root-logger=ROOT:write-attribute(name="level", value="DEBUG") {"outcome" => "success"}
- ルートロガーからのログハンドラーの削除
- 次の構文で
remove-handler
を使用します。HANDLER は削除するログハンドラーの名前です。/subsystem=logging/root-logger=ROOT:remove-handler(name="HANDLER")
例14.4 ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/root-logger=ROOT:remove-handler(name="FILE") {"outcome" => "success"}
14.3.2. CLI でのログカテゴリー設定
- 新しいログカテゴリーの追加
- ログカテゴリーの設定表示
- ログレベルを設定します。
- ログカテゴリーへのログハンドラーの追加
- ログカテゴリーからのログハンドラーの削除
- ログカテゴリーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- ログカテゴリーの追加
- 次の構文で
add
操作を使用します。CATEGORY は追加するカテゴリーに置き換えます。/subsystem=logging/logger=CATEGORY:add
例14.5 新規カテゴリーの追加
[standalone@localhost:9999 /] /subsystem=logging/logger=com.company.accounts.rec:add {"outcome" => "success"} [standalone@localhost:9999 /]
- ログカテゴリーの設定の表示
- 次の構文で
read-resource
操作を使用します。CATEGORY はカテゴリー名に置き換えます。/subsystem=logging/logger=CATEGORY:read-resource
例14.6 ログカテゴリーの read-resource 操作
[standalone@localhost:9999 /] /subsystem=logging/logger=org.apache.tomcat.util.modeler:read-resource { "outcome" => "success", "result" => { "category" => "org.apache.tomcat.util.modeler", "filter" => undefined, "filter-spec" => undefined, "handlers" => undefined, "level" => "WARN", "use-parent-handlers" => true } } [standalone@localhost:9999 /]
- ログレベルの設定
- 次の構文で
write-attribute
操作を使用します。CATEGORY の箇所はログカテゴリー名に、LEVEL は設定するログレベルに置き換えます。/subsystem=logging/logger=CATEGORY:write-attribute(name="level", value="LEVEL")
例14.7 ログレベルの設定
[standalone@localhost:9999 /] /subsystem=logging/logger=com.company.accounts.rec:write-attribute(name="level", value="DEBUG") {"outcome" => "success"} [standalone@localhost:9999 /]
- ルートロガーのログハンドラーを使用するためのログカテゴリの設定
- 次の構文で
write-attribute
操作を使用します。CATEGORY はログカテゴリ名に置き換えます。root ロガーのハンドラーを使用するためのこのログカテゴリには、BOOLEAN を true に置き換えます。独自の割り当てられたハンドラーのみを使用する場合には false に置き換えてください。/subsystem=logging/logger=CATEGORY:write-attribute(name="use-parent-handlers", value="BOOLEAN")
例14.8 use-parent-handlers の設定
[standalone@localhost:9999 /] /subsystem=logging/logger=com.company.accounts.rec:write-attribute(name="use-parent-handlers", value="true") {"outcome" => "success"} [standalone@localhost:9999 /]
- ログカテゴリへのログハンドラ追加
- 次の構文で
add-handler
操作を使用します。CATEGORY はカテゴリー名に、HANDLER は追加するハンドラーの名前に置き換えます。/subsystem=logging/logger=CATEGORY:add-handler(name="HANDLER")
ログハンドラーを作成してから、ログハンドラーをルートロガーへ追加する必要があります。例14.9 ログハンドラーの追加
[standalone@localhost:9999 /] /subsystem=logging/logger=com.company.accounts.rec:add-handler(name="AccountsNFSAsync") {"outcome" => "success"}
- ログカテゴリからのログハンドラの削除
- 次の構文で
remove-handler
操作を使用します。CATEGORY はカテゴリー名に、HANDLER は削除するログハンドラーの名前に置き換えます。/subsystem=logging/logger=CATEGORY:remove-handler(name="HANDLER")
例14.10 ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/logger=jacorb:remove-handler(name="AccountsNFSAsync") {"outcome" => "success"} [standalone@localhost:9999 /]
- カテゴリーの削除
- 次の構文で
remove
操作を使用します。CATEGORY は削除するカテゴリーの名前に置き換えます。/subsystem=logging/logger=CATEGORY:remove
例14.11 ログカテゴリの削除
[standalone@localhost:9999 /] /subsystem=logging/logger=com.company.accounts.rec:remove {"outcome" => "success"} [standalone@localhost:9999 /]
14.3.3. CLI でのコンソールログハンドラーの設定
- 新しいコンソールログハンドラーの追加
- コンソールログハンドラーの設定表示
- ハンドラーのログレベルの設定
- ハンドラーの出力のターゲットの設定
- ハンドラーの出力に使用されるエンコーディングの設定
- ハンドラーの出力に使用されるフォーマッターの設定
- ハンドラーによる自動フラッシュ使用の有無を設定
- コンソールログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- Console ログハンドラーの追加
- 次の構文で
add
操作を使用します。HANDLER は追加するコンソールログハンドラーに置き換えます。/subsystem=logging/console-handler=HANDLER:add
例14.12 Console ログハンドラーの追加
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:add {"outcome" => "success"}
- コンソールログハンドラーの設定表示
- 次の構文で
read-resource
操作を使用します。HANDLERはコンソールログハンドラーの名前に置き換えます。/subsystem=logging/console-handler=HANDLER:read-resource
例14.13 コンソールログハンドラーの設定表示
[standalone@localhost:9999 /] /subsystem=logging/console-handler=CONSOLE:read-resource { "outcome" => "success", "result" => { "autoflush" => true, "enabled" => true, "encoding" => undefined, "filter" => undefined, "filter-spec" => undefined, "formatter" => "%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n", "level" => "INFO", "name" => "CONSOLE", "named-formatter" => "COLOR-PATTERN", "target" => "System.out" } }
- ログレベルの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はコンソールログハンドラーの名前に、LEVEL は設定するログレベルに置き換えてください。/subsystem=logging/console-handler=HANDLER:write-attribute(name="level", value="INFO")
例14.14 ログレベルの設定
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:write-attribute(name="level", value="TRACE") {"outcome" => "success"}
- ターゲットの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はコンソールログハンドラーの名前に置き換えます。TARGET は、システムエラーストリームの場合にはSystem.err
に、標準出力ストリームの場合にはSystem.out
に置き換えてください。/subsystem=logging/console-handler=HANDLER:write-attribute(name="target", value="TARGET")
例14.15 ターゲットの設定
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:write-attribute(name="target", value="System.err") {"outcome" => "success"}
- エンコーディングの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER をコンソールログハンドラーの名前に置き換え、ENCODING を必要な文字エンコーディングシステムの名前に置き換えます。/subsystem=logging/console-handler=HANDLER:write-attribute(name="encoding", value="ENCODING")
例14.16 エンコーディングの設定
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:write-attribute(name="encoding", value="utf-8") {"outcome" => "success"}
- フォーマッターの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はコンソールログハンドラーの名前に置き換えます。FORMAT は必要なフォーマッターの文字列に置き換えます。/subsystem=logging/console-handler=HANDLER:write-attribute(name="formatter", value="FORMAT")
例14.17 フォーマッターの設定
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:write-attribute(name="formatter", value="%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n") {"outcome" => "success"}
- 自動フラッシュの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はコンソールログハンドラーの名前に置き換えます。このハンドラーが出力を直ちに書き込むようにするには、BOOLEAN をtrue
に置き換えます。/subsystem=logging/console-handler=HANDLER:write-attribute(name="autoflush", value="BOOLEAN")
例14.18 自動フラッシュの設定
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:write-attribute(name="autoflush", value="true") {"outcome" => "success"}
- Console ログハンドラーの削除
- 次の構文で
remove
操作を使用します。HANDLER は削除するコンソールログハンドラーの名前に置き換えます。/subsystem=logging/console-handler=HANDLER:remove
例14.19 Console ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/console-handler=ERRORCONSOLE:remove {"outcome" => "success"}
14.3.4. CLI でのファイルログハンドラーの設定
- 新しいファイルログハンドラーの追加
- ファイルログハンドラーの設定表示
- ハンドラーのログレベルの設定
- ハンドラーの追加動作の設定
- ハンドラーによる自動フラッシュ使用の有無を設定
- ハンドラーの出力に使用されるエンコーディングの設定
- ログハンドラーが書き込むファイルの指定
- ハンドラーの出力に使用されるフォーマッターの設定
- ファイルログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- ファイルログハンドラーの追加
- 次の構文で
add
操作を使用します。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルを格納するディレクトリーの名前に置き換えます。DIR の値はパス変数に指定できます。/subsystem=logging/file-handler=HANDLER:add(file={"path"=>"PATH", "relative-to"=>"DIR"})
例14.20 ファイルログハンドラーの追加
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:add(file={"path"=>"accounts.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"} [standalone@localhost:9999 /]
- ファイルログハンドラー設定の表示
- 次の構文で
read-resource
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。/subsystem=logging/file-handler=HANDLER:read-resource
例14.21 read-resource 操作の使用
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:read-resource { "outcome" => "success", "result" => { "append" => true, "autoflush" => true, "encoding" => undefined, "file" => { "path" => "accounts.log", "relative-to" => "jboss.server.log.dir" }, "filter" => undefined, "formatter" => "%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n", "level" => undefined } }
- ログレベルの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。LOG_LEVEL_VALUE は設定するログレベルに置き換えます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="level", value="LOG_LEVEL_VALUE")
例14.22 ログレベルの変更
/subsystem=logging/file-handler=accounts_log:write-attribute(name="level", value="DEBUG") {"outcome" => "success"} [standalone@localhost:9999 /]
- 追加動作の設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。アプリケーションサーバーが起動されるたびに新しいログファイルを作成する必要がある場合は、BOOLEAN を false に置き換えます。アプリケーションサーバーが同じファイルを使用し続ける必要がある場合は、BOOLEAN をtrue
に置き換えます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="append", value="BOOLEAN")
例14.23 追加プロパティーの変更
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:write-attribute(name="append", value="true") { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /]
この変更を反映するには、JBoss EAP 6 を再起動する必要があります。 - 自動フラッシュの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。このハンドラーが出力を直ちに書き込むようにするには、BOOLEAN をtrue
に置き換えます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="autoflush", value="BOOLEAN")
例14.24 自動フラッシュプロパティーの変更
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:write-attribute(name="autoflush", value="false") { "outcome" => "success", "response-headers" => {"process-state" => "reload-required"} } [standalone@localhost:9999 /]
この変更を反映するには、JBoss EAP 6 を再起動する必要があります。 - エンコーディングの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。ENCODING は必要な文字エンコーディングシステムの名前に置き換えます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="encoding", value="ENCODING")
例14.25 エンコーディングの設定
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:write-attribute(name="encoding", value="utf-8") {"outcome" => "success"}
- ログハンドラーが書き込むファイルの変更
- 次の構文で
write-attribute
操作を使用します。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルを格納するディレクトリーの名前に置き換えます。DIR の値はパス変数を指定できます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="file", value={"path"=>"PATH", "relative-to"=>"DIR"})
例14.26 ログハンドラーが書き込むファイルの変更
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:write-attribute(name="file", value={"path"=>"accounts-debug.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"} [standalone@localhost:9999 /]
- フォーマッターの設定
- 次の構文で
write-attribute
操作を使用します。HANDLER はファイルログハンドラーの名前に置き換えます。FORMAT は必要なフォーマッターの文字列に置き換えます。/subsystem=logging/file-handler=HANDLER:write-attribute(name="formatter", value="FORMAT")
例14.27 フォーマッターの設定
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts-log:write-attribute(name="formatter", value="%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n") {"outcome" => "success"} [standalone@localhost:9999 /]
- File ログハンドラーの削除
- 次の構文で
remove
操作を使用します。HANDLER は削除するファイルログハンドラーの名前に置き換えます。/subsystem=logging/file-handler=HANDLER:remove
例14.28 File ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/file-handler=accounts_log:remove {"outcome" => "success"} [standalone@localhost:9999 /]
ログハンドラーは、ログカテゴリーまたは非同期ログハンドラーによって参照されていない場合にのみ削除できます。
14.3.5. CLI での周期ログハンドラーの設定
- 新しい周期ログハンドラーの追加
- 周期ログハンドラーの設定表示
- ハンドラーのログレベルの設定
- ハンドラーの追加動作の設定
- ハンドラーが
autoflush
を使用するかどうかを設定します。 - ハンドラーの出力に使用されるエンコーディングの設定
- ログハンドラーが書き込むファイルの指定
- ハンドラーの出力に使用されるフォーマッターの設定
- ローテーションされるログの接尾辞を設定します。
- 周期ログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- 新しい周期ローテーションファイルログハンドラーの追加
- 次の構文で
add
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:add(file={"path"=>"PATH", "relative-to"=>"DIR"}, suffix="SUFFIX")
HANDLER をログハンドラーの名前に置き換えます。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルが存在するディレクトリーの名前に置き換えます。DIR の値をパス変数に指定できます。SUFFIX を、使用するファイルローテーション接尾辞に置き換えます。例14.29 新しいハンドラーの追加
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:add(file={"path"=>"daily-debug.log", "relative-to"=>"jboss.server.log.dir"}, suffix=".yyyy.MM.dd") {"outcome" => "success"} [standalone@localhost:9999 /]
- 周期ローテーションファイルログハンドラー設定の表示
- 次の構文で
read-resource
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:read-resource
HANDLER をログハンドラーの名前に置き換えます。例14.30 read-resource 操作の使用
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:read-resource { "outcome" => "success", "result" => { "append" => true, "autoflush" => true, "encoding" => undefined, "file" => { "path" => "daily-debug.log", "relative-to" => "jboss.server.log.dir" }, "filter" => undefined, "formatter" => "%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n", "level" => undefined } }
- ログレベルの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="level". value="LOG_LEVEL_VALUE")
HANDLER を周期ログハンドラーの名前に置き換えます。LOG_LEVEL_VALUE を設定するログレベルに置き換えます。例14.31 ログレベルの設定
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="level", value="DEBUG") {"outcome" => "success"}
- 追加動作の設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-handler=HANDLER:write-attribute(name="append", value="BOOLEAN")
HANDLER を周期ログハンドラーの名前に置き換えます。アプリケーションサーバーが起動されるたびに新しいログファイルを作成する必要がある場合は、BOOLEAN をfalse
に置き換えます。アプリケーションサーバーが同じファイルを使用し続ける必要がある場合は、BOOLEAN をtrue
に置き換えます。この変更を反映するには、JBoss EAP 6 を再起動する必要があります。例14.32 追加動作の設定
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="append", value="true") { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } }
- 自動フラッシュの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="autoflush", value="BOOLEAN")
HANDLER を周期ログハンドラーの名前に置き換えます。このハンドラーがすぐに出力を書き込む場合は、BOOLEAN をtrue
に置き換えます。この変更を反映するには、JBoss EAP 6 を再起動する必要があります。例14.33 自動フラッシュ動作の設定
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="autoflush", value="false") { "outcome" => "success", "response-headers" => {"process-state" => "reload-required"} }
- エンコーディングの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="encoding", value="ENCODING")
HANDLER を周期ログハンドラーの名前に置き換えます。ENCODING を必要な文字エンコーディングシステムの名前に置き換えます。例14.34 エンコーディングの設定
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="encoding", value="utf-8") {"outcome" => "success"}
- ログハンドラーが書き込むファイルの変更
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="file", value={"path"=>"PATH", "relative-to"=>"DIR"})
HANDLER を周期ログハンドラーの名前に置き換えます。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルが存在するディレクトリーの名前に置き換えます。DIR の値をパス変数に指定できます。例14.35 ログハンドラーが書き込むファイルの変更
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="file", value={"path"=>"daily-debug.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"}
- フォーマッターの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="formatter", value="FORMAT")
HANDLER を周期ログハンドラーの名前に置き換えます。FORMAT を必要なフォーマッター文字列に置き換えます。例14.36 フォーマッターの設定
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="formatter", value="%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n") {"outcome" => "success"} [standalone@localhost:9999 /]
- ローテーションされるログの接尾辞の設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:write-attribute(name="suffix", value="SUFFIX")
HANDLER をログハンドラーの名前に置き換えます。SUFFIX を必要な接尾辞の文字列に置き換えます。例14.37
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:write-attribute(name="suffix", value=".yyyy-MM-dd-HH") {"outcome" => "success"} [standalone@localhost:9999 /]
- 周期ログハンドラーの削除
- 次の構文で
remove
操作を使用します。/subsystem=logging/periodic-rotating-file-handler=HANDLER:remove
HANDLER を周期ログハンドラーの名前に置き換えます。例14.38 周期ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/periodic-rotating-file-handler=HOURLY_DEBUG:remove {"outcome" => "success"} [standalone@localhost:9999 /]
14.3.6. CLI でのサイズログハンドラーの設定
- 新しいログハンドラーの追加
- ログハンドラーの設定表示
- ハンドラーのログレベルの設定
- ハンドラーの追加動作の設定
- ハンドラーによる自動フラッシュ使用の有無を設定
- ハンドラーの出力に使用されるエンコーディングの設定
- ログハンドラーが書き込むファイルの指定
- ハンドラーの出力に使用されるフォーマッターの設定
- 各ログファイルの最大サイズの設定
- 保持するバックアップログの最大数の設定
- サイズローテーションファイルハンドラーに対するブート時のローテーションオプションの設定
- ログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
- 新しいログハンドラーの追加
- 次の構文で
add
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:add(file={"path"=>"PATH", "relative-to"=>"DIR"})
HANDLER をログハンドラーの名前に置き換えます。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルが存在するディレクトリーの名前に置き換えます。DIR の値をパス変数に指定できます。例14.39 新しいログハンドラーの追加
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:add(file={"path"=>"accounts_trace.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"}
- ログハンドラーの設定表示
- 次の構文で
read-resource
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:read-resource
HANDLER をログハンドラーの名前に置き換えます。例14.40 ログハンドラーの設定表示
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:read-resource { "outcome" => "success", "result" => { "append" => true, "autoflush" => true, "encoding" => undefined, "file" => { "path" => "accounts_trace.log", "relative-to" => "jboss.server.log.dir" }, "filter" => undefined, "formatter" => "%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n", "level" => undefined, "max-backup-index" => 1, "rotate-size" => "2m" } } [standalone@localhost:9999 /]
- ハンドラーのログレベルの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attributel(name="level", value="LOG_LEVEL_VALUE")
HANDLER をログハンドラーの名前に置き換えます。LOG_LEVEL_VALUE を設定するログレベルに置き換えます。例14.41 ハンドラーのログレベルの設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="level", value="TRACE") {"outcome" => "success"} [standalone@localhost:9999 /]
- ハンドラーの追加動作の設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="append", value="BOOLEAN")
HANDLER をログハンドラーの名前に置き換えます。アプリケーションサーバーが起動されるたびに新しいログファイルを作成する必要がある場合は、BOOLEAN をfalse
に置き換えます。アプリケーションサーバーが同じファイルを使用し続ける必要がある場合は、BOOLEAN をtrue
に置き換えます。この変更を反映するには、JBoss EAP 6 を再起動する必要があります。例14.42 ハンドラーの追加動作の設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="append", value="true") { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /]
- ハンドラーによる自動フラッシュ使用の有無を設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="autoflush", value="BOOLEAN")
HANDLER をログハンドラーの名前に置き換えます。このハンドラーがすぐに出力を書き込む場合は、BOOLEAN をtrue
に置き換えます。例14.43 ハンドラーによる自動フラッシュ使用の有無を設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="autoflush", value="true") {"outcome" => "success"} [standalone@localhost:9999 /]
- ハンドラーの出力に使用されるエンコーディングの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="encoding", value="ENCODING")
HANDLER をログハンドラーの名前に置き換えます。ENCODING を必要な文字エンコーディングシステムの名前に置き換えます。例14.44 ハンドラーの出力に使用されるエンコーディングの設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="encoding", value="utf-8") {"outcome" => "success"}]
- ログハンドラーが書き込むファイルの指定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="file", value={"path"=>"PATH", "relative-to"=>"DIR"})
HANDLER をログハンドラーの名前に置き換えます。PATH をログが書き込まれるファイルのファイル名に置き換えます。DIR をファイルが存在するディレクトリーの名前に置き換えます。DIR の値をパス変数に指定できます。例14.45 ログハンドラーが書き込むファイルの指定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="file", value={"path"=>"accounts_trace.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"}
- ハンドラーの出力に使用されるフォーマッターの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="formatter", value="FORMATTER")
HANDLER をログハンドラーの名前に置き換えます。FORMAT を必要なフォーマッター文字列に置き換えます。例14.46 ハンドラーの出力に使用されるフォーマッターの設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="formatter", value="%d{HH:mm:ss,SSS} %-5p (%c) [%t] %s%E%n") {"outcome" => "success"}
- 各ログファイルの最大サイズの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="rotate-size", value="SIZE")
HANDLER をログハンドラーの名前に置き換えます。SIZE を最大ファイルサイズに置き換えます。例14.47 各ログファイルの最大サイズの設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="rotate-size", value="50m") {"outcome" => "success"} [standalone@localhost:9999 /]
- 保持するバックアップログの最大数の設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="max-backup-index", value="NUMBER")
HANDLER をログハンドラーの名前に置き換えます。NUMBER を、保持するログファイルの必要な数に置き換えます。例14.48 保持するバックアップログの最大数の設定
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="max-backup-index", value="5") {"outcome" => "success"} [standalone@localhost:9999 /]
size-rotating-file-handler
での rotate-on-boot (ブート時のローテーション) オプションの設定- このオプションは
size-rotating-file-handler
ファイルハンドラーのみに使用できます。デフォルト値はfalse
で、サーバーの再起動時に新しいログファイルは作成されません。変更するには、次の構文でwrite-attribute
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:write-attribute(name="rotate-on-boot", value="BOOLEAN")
HANDLER をsize-rotating-file-handler
ログハンドラーの名前に置き換えます。再起動時に新しいsize-rotating-file-handler
ログファイルを作成する場合は BOOLEAN をtrue
に置き換えます。例14.49 サーバーの再起動時に
size-rotating-file-handler
ログファイルを作成するよう指定[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:write-attribute(name="rotate-on-boot", value="true") {"outcome" => "success"} [standalone@localhost:9999 /]
- ログハンドラーの削除
- 次の構文で
remove
操作を使用します。/subsystem=logging/size-rotating-file-handler=HANDLER:remove
HANDLER をログハンドラーの名前に置き換えます。例14.50 ログハンドラーの削除
[standalone@localhost:9999 /] /subsystem=logging/size-rotating-file-handler=ACCOUNTS_TRACE:remove {"outcome" => "success"}
14.3.7. CLI での非同期ログハンドラーの設定
- 新しい非同期ログハンドラーの追加
- 非同期ログハンドラーの設定表示
- ログレベルの変更
- キューの長さの設定
- オーバーフローアクションの設定
- サブハンドラーの追加
- サブハンドラーの削除
- 非同期ログハンドラーの削除
重要
/subsystem=logging/
ではなく /subsystem=logging/logging-profile=NAME/
になります。
/subsystem=logging/
を /profile=NAME/subsystem=logging/
に置き換えます)。
- 新しい非同期ログハンドラーの追加
- 次の構文で
add
操作を使用します。/subsystem=logging/async-handler=HANDLER:add(queue-length="LENGTH")
HANDLER をログハンドラーの名前に置き換えます。LENGTH を、キューに保持できるログ要求の最大数に置き換えます。例14.51
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:add(queue-length="10") {"outcome" => "success"}
- 非同期ログハンドラーの設定表示
- 次の構文で
read-resource
操作を使用します。/subsystem=logging/async-handler=HANDLER:read-resource
HANDLER をログハンドラーの名前に置き換えます。例14.52
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:read-resource { "outcome" => "success", "result" => { "encoding" => undefined, "filter" => undefined, "formatter" => "%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n", "level" => undefined, "overflow-action" => "BLOCK", "queue-length" => "50", "subhandlers" => undefined } } [standalone@localhost:9999 /]
- ログレベルの変更
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/async-handler=HANDLER:write-attribute(name="level", value="LOG_LEVEL_VALUE")
HANDLER をログハンドラーの名前に置き換えます。LOG_LEVEL_VALUE を設定するログレベルに置き換えます。例14.53
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:write-attribute(name="level", value="INFO") {"outcome" => "success"} [standalone@localhost:9999 /]
- キューの長さの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/async-handler=HANDLER:write-attribute(name="queue-length", value="LENGTH")
HANDLER をログハンドラーの名前に置き換えます。LENGTH を、キューに保持できるログ要求の最大数に置き換えます。この変更を反映するには、JBoss EAP 6 を再起動する必要があります。例14.54
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:write-attribute(name="queue-length", value="150") { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } }
- オーバーフローアクションの設定
- 次の構文で
write-attribute
操作を使用します。/subsystem=logging/async-handler=HANDLER:write-attribute(name="overflow-action", value="ACTION")
HANDLER をログハンドラーの名前に置き換えます。ACTION を DISCARD または BLOCK に置き換えます。例14.55
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:write-attribute(name="overflow-action", value="DISCARD") {"outcome" => "success"} [standalone@localhost:9999 /]
- サブハンドラーの追加
- 次の構文で
size-rotating-file-handler
操作を使用します。/subsystem=logging/async-handler=HANDLER:add-handler(name="SUBHANDLER")
HANDLER をログハンドラーの名前に置き換えます。SUBHANDLER を、この非同期ハンドラーのサブハンドラーとして追加するログハンドラーの名前に置き換えます。例14.56
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:add-handler(name="NFS_FILE") {"outcome" => "success"} [standalone@localhost:9999 /]
- サブハンドラーの削除
- 次の構文で
remove-handler
操作を使用します。/subsystem=logging/async-handler=HANDLER:remove-handler(name="SUBHANDLER")
HANDLER をログハンドラーの名前に置き換えます。SUBHANDLER を、削除するサブハンドラーの名前に置き換えます。例14.57
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:remove-handler(name="NFS_FILE") {"outcome" => "success"} [standalone@localhost:9999 /]
- 非同期ログハンドラーの削除
- 次の構文で
remove
操作を使用します。/subsystem=logging/async-handler=HANDLER:remove
HANDLER をログハンドラーの名前に置き換えます。例14.58
[standalone@localhost:9999 /] /subsystem=logging/async-handler=NFS_LOGS:remove {"outcome" => "success"} [standalone@localhost:9999 /]
14.3.8. syslog-handler の設定
Syslog
プロトコル (RFC-3164 または RFC-5424) をサポートするリモートのロギングサーバーへメッセージを送信するために使用できます。これにより、複数のアプリケーションが同じサーバーにログメッセージを送信でき、そのサーバーですべてのログメッセージを解析できます。ここでは、管理 CLI を使用したハンドラーの作成および設定方法と、利用可能な設定オプションについて取り上げます。
- 管理 CLI のアクセスおよび適切なパーミッション。
手順14.1 syslog-handler の追加
- 以下のコマンドを実行し、syslog-handler を追加します。
/subsystem=logging/syslog-handler=HANDLER_NAME:add
手順14.2 syslog-handler の設定
- 以下のコマンドを実行し、syslog-handler 属性を設定します。
/subsystem=logging/syslog-handler=HANDLER_NAME:write-attribute(name=ATTRIBUTE_NAME,value=ATTRIBUTE_VALUE)
手順14.3 syslog-handler の削除
- 以下のコマンドを実行し、既存の syslog-handler を削除します。
/subsystem=logging/syslog-handler=HANDLER_NAME:remove
表14.6 syslog-handler 設定属性
属性 | 説明 | デフォルト値 |
---|---|---|
port | syslog サーバーがリッスンするポート。 | 514 |
app-name | メッセージを RFC5424 形式でフォーマットするときに使用されるアプリケーション名。 | null |
enabled | true に設定されると、ハンドラーが有効になり、通常どおり機能します。false に設定されると、ログメッセージの処理時にハンドラーが無視されます。 | true |
level | ログに記録されるメッセージレベルを指定するログレベル。指定値よりも低いメッセージレベルは破棄されます。 | ALL |
facility | RFC-5424 および RFC-3164 の定義どおり。 | user-level |
server-address | syslog サーバーのアドレス。 | localhost |
hostname | メッセージ送信元のホスト名。 | null |
syslog-format | RFC 仕様にしたがってログメッセージをフォーマットします。 | RFC5424 |
14.3.9. CLI でのカスタムログフォーマッターの設定
「ログフォーマッター構文」 のログフォーマッター構文の他に、ログハンドラーと使用するカスタムのログフォーマッターを作成できます。この手順例では、コンソールログハンドラーに対して XML フォーマッターを作成して説明します。
前提条件
- JBoss EAP 6 サーバーの管理 CLI へのアクセス。
- 以前設定されたログハンドラー。この手順例では、コンソールログハンドラーを使用します。
手順14.4 ログハンドラーのカスタム XML フォーマッターの設定
- カスタムフォーマッターを作成します。この例では、次のコマンドは
java.util.logging.XMLFormatter
クラスを使用するXML_FORMATTER
という名前のカスタムフォーマッターを作成します。[standalone@localhost:9999 /]
/subsystem=logging/custom-formatter=XML_FORMATTER:add(class=java.util.logging.XMLFormatter, module=org.jboss.logmanager)
- 使用したいログハンドラーのカスタムフォーマッターを登録します。この例では、前の手順のフォーマッターがコンソールログハンドラーに追加されます。
[standalone@localhost:9999 /]
/subsystem=logging/console-handler=HANDLER:write-attribute(name=named-formatter, value=XML_FORMATTER)
- JBoss EAP 6 サーバーを再起動し、変更を反映します。
[standalone@localhost:9999 /]
shutdown --restart=true
カスタム XML フォーマッターがコンソールログハンドラーに追加されます。コンソールログへの出力は XML でフォーマットされます。
<record> <date>2014-03-11T13:02:53</date> <millis>1394539373833</millis> <sequence>116</sequence> <logger>org.jboss.as</logger> <level>INFO</level> <class>org.jboss.as.server.BootstrapListener</class> <method>logAdminConsole</method> <thread>282</thread> <message>JBAS015951: Admin console listening on http://%s:%d</message> <param>127.0.0.1</param> <param>9990</param> </record>
14.4. デプロイメントごとのロギング
14.4.1. デプロイメントごとのロギング
14.4.2. デプロイメントごとのロギングの無効化
手順14.5 デプロイメントごとのロギングの無効化
デプロイメントごとのロギングを無効にする方法は 2 つあります。1 つの方法はすべてのバージョンの JBoss EAP 6 で使用できますが、もう 1 つの方法は JBoss EAP 6.3 およびそれ以降のバージョンでのみ使用できます。
JBoss EAP 6 (全バージョン)
システムプロパティーを追加します。org.jboss.as.logging.per-deployment=false
JBoss EAP 6.3 (およびそれ以降のバージョン)
jboss-deployment-structure.xml
ファイルを使用してロギングサブシステムを除外します。詳細については、『開発ガイド』の「サブシステムをデプロイメントから除外する」を参照してください。
14.5. ロギングプロファイル
14.5.1. ロギングプロファイル
重要
- 一意の名前 (必須)
- 任意の数のログハンドラー。
- 任意の数のログカテゴリー。
- 最大 1 つのルートロガー。
logging-profile
属性を使用して、MANIFEST.MF
ファイルで使用するロギングプロファイルを指定できます。
14.5.2. CLI を使用した新しいロギングプロファイルの作成
/subsystem=logging/logging-profile=NAME:add
14.5.3. CLI を使用したロギングプロファイルの設定
- ルートの設定パスは
/subsystem=logging/logging-profile=NAME
です。 - ロギングプロファイルに他のロギングプロファイルを追加できません。
例14.59 ロギングプロファイルの作成および設定
- プロファイルの作成
/subsystem=logging/logging-profile=accounts-app-profile:add
- ファイルハンドラーの作成
/subsystem=logging/logging-profile=accounts-app-profile/file-handler=ejb-trace-file:add(file={path=>"ejb-trace.log", "relative-to"=>"jboss.server.log.dir"})
/subsystem=logging/logging-profile=accounts-app-profile/file-handler=ejb-trace-file:write-attribute(name="level", value="DEBUG")
- ロガーカテゴリーの作成
/subsystem=logging/logging-profile=accounts-app-profile/logger=com.company.accounts.ejbs:add(level=TRACE)
- ファイルハンドラーをカテゴリーへ割り当て
/subsystem=logging/logging-profile=accounts-app-profile/logger=com.company.accounts.ejbs:add-handler(name="ejb-trace-file")
14.5.4. アプリケーションでのロギングプロファイルの指定
MANIFEST.MF
ファイルに指定します。
前提条件:
- サーバー上に設定されたロギングプロファイルの名前を知っている必要があります。使用するプロファイルの名前はサーバー管理者に問い合わせてください。
手順14.6 ロギングプロファイル設定のアプリケーションへの追加
MANIFEST.MF
の編集アプリケーションにMANIFEST.MF
ファイルがない場合は、以下の内容が含まれるファイルを作成します。NAME は必要なプロファイル名に置き換えてください。Manifest-Version: 1.0 Logging-Profile: NAME
アプリケーションにMANIFEST.MF
ファイルがある場合は、以下の行を追加し、NAME を必要なプロファイル名に置き換えます。Logging-Profile: NAME
注記
maven-war-plugin
を使用している場合、MANIFEST.MF ファイルを src/main/resources/META-INF/
に置き、次の設定を pom.xml
ファイルに追加できます。
<plugin> <artifactId>maven-war-plugin</artifactId> <configuration> <archive> <manifestFile>src/main/resources/META-INF/MANIFEST.MF</manifestFile> </archive> </configuration> </plugin>
14.5.5. ロギングプロファイル設定の例
MANIFEST.MF
ファイルを示します。
- 名前は
accounts-app-profile
です。 - ログカテゴリーは
com.company.accounts.ejbs
です。 - ログレベルは
TRACE
です。 - ログハンドラーはファイル
ejb-trace.log
を使用するファイルハンドラーです。
例14.60 CLI セッション
localhost:bin user$ ./jboss-cli.sh -c [standalone@localhost:9999 /] /subsystem=logging/logging-profile=accounts-app-profile:add {"outcome" => "success"} [standalone@localhost:9999 /] /subsystem=logging/logging-profile=accounts-app-profile/file-handler=ejb-trace-file:add(file={path=>"ejb-trace.log", "relative-to"=>"jboss.server.log.dir"}) {"outcome" => "success"} [standalone@localhost:9999 /] /subsystem=logging/logging-profile=accounts-app-profile/file-handler=ejb-trace-file:write-attribute(name="level", value="DEBUG") {"outcome" => "success"} [standalone@localhost:9999 /] /subsystem=logging/logging-profile=accounts-app-profile/logger=com.company.accounts.ejbs:add(level=TRACE) {"outcome" => "success"} [standalone@localhost:9999 /] /subsystem=logging/logging-profile=accounts-app-profile/logger=com.company.accounts.ejbs:add-handler(name="ejb-trace-file") {"outcome" => "success"} [standalone@localhost:9999 /]
例14.61 XML 設定
<logging-profiles> <logging-profile name="accounts-app-profile"> <file-handler name="ejb-trace-file"> <level name="DEBUG"/> <file relative-to="jboss.server.log.dir" path="ejb-trace.log"/> </file-handler> <logger category="com.company.accounts.ejbs"> <level name="TRACE"/> <handlers> <handler name="ejb-trace-file"/> </handlers> </logger> </logging-profile> </logging-profiles>
例14.62 アプリケーションの MANIFEST.MF ファイル
Manifest-Version: 1.0 Logging-Profile: accounts-app-profile
14.6. ロギング設定プロパティー
14.6.1. ルートロガーのプロパティー
表14.7 ルートロガーのプロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
level | 文字列 |
ルートロガーが記録するログメッセージの最大レベル。
|
handlers | String[] |
ルートロガーによって使用されるログハンドラーの一覧。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないログエントリーを除外するフィルターを定義します。
|
注記
filter-spec
は他のハンドラーによって継承されません。ハンドラーごとに filter-spec
を指定する必要があります。
14.6.2. ログカテゴリーのプロパティー
表14.8 ログカテゴリーのプロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
level | 文字列 |
ログカテゴリーが記録するログメッセージの最大レベル。
|
handlers | String[] |
ルートロガーによって使用されるログハンドラーの一覧。
|
use-parent-handlers | ブール値 |
true に設定した場合、割り当てられた他のハンドラーだけでなく、ルートロガーのログハンドラーを使用します。
|
category | 文字列 |
ログメッセージがキャプチャーされるログカテゴリー。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
14.6.3. コンソールログハンドラーのプロパティー
表14.9 コンソールログハンドラーのプロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
level | 文字列 |
ログハンドラーが記録するログメッセージの最大レベル。
|
encoding | 文字列 |
出力に使用する文字エンコーディングスキーム。
|
formatter | 文字列 |
このログハンドラーで使用するログフォーマッター。
|
target | 文字列 |
ログハンドラーの出力先となるシステム出力ストリーム。これは システムエラーストリームの場合は System.err、標準出力ストリームの場合は System.out とすることができます。
|
autoflush | ブール値 |
true に設定すると、ログメッセージは受信直後にハンドラーのターゲットに送信されます。
|
name | 文字列 |
このログハンドラーの一意の ID。
|
enabled | ブール値 | true に設定された場合、ハンドラーが有効になり、通常とおり機能します。false に設定された場合、ログメッセージの処理時にハンドラーが無視されます。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
14.6.4. ファイルログハンドラープロパティー
表14.10 ファイルログハンドラープロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
level | 文字列 |
ログハンドラーが記録するログメッセージの最大レベル。
|
encoding | 文字列 |
出力に使用する文字エンコーディングスキーム。
|
formatter | 文字列 |
このログハンドラーで使用するログフォーマッター。
|
append | ブール値 |
true に設定された場合、このハンドラーが書き込んだすべてのメッセージがファイル (すでに存在する場合) に追加されます。false に設定された場合、アプリケーションサーバーが起動されるたびに、新しいファイルが作成されます。
append に対する変更を反映するには、サーバーを再起動する必要があります。
|
autoflush | ブール値 |
true に設定された場合は、受信直後にハンドラーにより割り当てられたファイルに送信されます。
autoflush に対する変更を反映するには、サーバーを再起動する必要があります。
|
name | 文字列 |
このログハンドラーの一意の ID。
|
file | オブジェクト |
このログハンドラーの出力が書き込まれるファイルを表すオブジェクト。このオブジェクトには、
relative-to と path の 2 つの設定プロパティーが含まれます。
|
relative-to | 文字列 |
ファイルオブジェクトのプロパティーであり、ログファイルが書き込まれるディレクトリーです。ここでは、JBoss EAP 6 のファイルパス変数を指定できます。
jboss.server.log.dir 変数はサーバーの log/ ディレクトリーを示します。
|
path | 文字列 |
ファイルオブジェクトのプロパティーであり、ログメッセージが書き込まれるファイルの名前です。これは、完全パスを決定するために、
relative-to プロパティーの値に追加されます。
|
enabled | ブール値 | true に設定された場合、ハンドラーが有効になり、通常とおり機能します。false に設定された場合、ログメッセージの処理時にハンドラーが無視されます。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
14.6.5. 周期ログハンドラープロパティー
表14.11 周期ログハンドラープロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
append | ブール値 | true に設定された場合、このハンドラーが書き込んだすべてのメッセージがファイル (すでに存在する場合) に追加されます。false に設定された場合、アプリケーションサーバーが起動されるたびに、新しいファイルが作成されます。append に対する変更を反映するには、サーバーを再起動する必要があります。
|
autoflush | ブール値 | true に設定された場合は、受信直後にハンドラーにより割り当てられたファイルに送信されます。autoflush に対する変更を反映するには、サーバーを再起動する必要があります。
|
encoding | 文字列 |
出力に使用する文字エンコーディングスキーム。
|
formatter | 文字列 |
このログハンドラーで使用するログフォーマッター。
|
level | 文字列 |
ログハンドラーが記録するログメッセージの最大レベル。
|
name | 文字列 |
このログハンドラーの一意の ID。
|
file | オブジェクト |
このログハンドラーの出力が書き込まれるファイルを表すオブジェクト。このオブジェクトには、
relative-to と path の 2 つの設定プロパティーがあります。
|
relative-to | 文字列 |
ファイルオブジェクトのプロパティーであり、ログファイルが含まれるディレクトリーです。ここでは、ファイルパス変数を指定できます。
jboss.server.log.dir 変数はサーバーの log/ ディレクトリーを参照します。
|
path | 文字列 |
ファイルオブジェクトのプロパティーであり、ログメッセージが書き込まれるファイルの名前です。これは、完全パスを決定するために、
relative-to プロパティーの値に追加されます。
|
suffix | 文字列 |
この文字列はローテーションされたログのファイル名に追加され、ローテーションの周期を決定するために使用されます。この接尾辞の形式では、ドット (.) の後に、
SimpleDateFormat クラスで解析できる date String が指定されます。ログは接尾辞で定義された最小時間単位に基づいてローテーションされます。suffix 属性で許可される最小時間単位は分であることに注意してください。
たとえば、
suffix 値が .YYYY-MM-dd の場合は、ログが毎日ローテーションされます。server.log という名前のログファイルが存在し、suffix 値が .YYYY-MM-dd の場合、2014 年 10 月 20 日にローテーションされたログファイルの名前は server.log.2014-10-19 になります。周期ログハンドラーの場合、接尾辞には最小時間単位の前の値が含まれます。この例では、dd の値は 19 (前日) です。
|
enabled | ブール値 | true に設定された場合、ハンドラーが有効になり、通常とおり機能します。false に設定された場合、ログメッセージの処理時にハンドラーが無視されます。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
14.6.6. サイズログハンドラープロパティー
表14.12 サイズログハンドラープロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
append | ブール値 |
true に設定された場合、このハンドラーが書き込んだすべてのメッセージがファイル (すでに存在する場合) に追加されます。false に設定された場合、アプリケーションサーバーが起動されるたびに、新しいファイルが作成されます。append の変更を反映するには、サーバーを再起動する必要があります。
|
autoflush | ブール値 |
true に設定された場合は、受信直後にハンドラーにより割り当てられたファイルに送信されます。autoflash の変更を反映するには、サーバーを再起動する必要があります。
|
encoding | 文字列 |
出力に使用する文字エンコーディングスキーム。
|
formatter | 文字列 |
このログハンドラーで使用するログフォーマッター。
|
level | 文字列 |
ログハンドラーが記録するログメッセージの最大レベル。
|
name | 文字列 |
このログハンドラーの一意の ID。
|
file | オブジェクト |
このログハンドラーの出力が書き込まれるファイルを表すオブジェクト。このオブジェクトには、
relative-to と path の 2 つの設定プロパティーがあります。
|
relative-to | 文字列 |
ファイルオブジェクトのプロパティーであり、ログファイルが書き込まれるディレクトリーです。ここでは、ファイルパス変数を指定できます。
jboss.server.log.dir 変数はサーバーの log/ ディレクトリーを示します。
|
path | 文字列 |
ファイルオブジェクトのプロパティーであり、ログメッセージが書き込まれるファイルの名前です。これは、完全パスを決定するために、
relative-to プロパティーの値に追加されます。
|
rotate-size | Integer |
ログファイルがローテーションされる前に到達できる最大サイズ。数字に追加された単一文字はサイズ単位を示します。バイトの場合は
b 、キロバイトの場合は k 、メガバイトの場合は m 、ギガバイトの場合は g になります。たとえば、50 メガバイトの場合は、50m になります。
|
max-backup-index | Integer |
保持されるローテーションログの最大数です。この数字に達すると、最も古いログが再利用されます。
|
enabled | ブール値 | true に設定された場合、ハンドラーが有効になり、通常とおり機能します。false に設定された場合、ログメッセージの処理時にハンドラーが無視されます。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
rotate-on-boot | ブール値 | true に設定されると、新しいログファイルがサーバーの起動時に作成されます。デフォルト値は false です。
|
14.6.7. 同期ログハンドラープロパティー
表14.13 同期ログハンドラープロパティー
プロパティー | データタイプ | 説明 |
---|---|---|
level | 文字列 |
ログハンドラーが記録するログメッセージの最大レベル。
|
name | 文字列 |
このログハンドラーの一意の ID。
|
queue-length | Integer |
サブハンドラーが応答するときに、このハンドラーが保持するログメッセージの最大数。
|
overflow-action | 文字列 |
キューの長さを超えたときにこのハンドラーがどのように応答するかを示します。これは
BLOCK または DISCARD に設定できます。BLOCK により、キューでスペースが利用可能になるまでロギングアプリケーションが待機します。これは、非同期でないログハンドラーと同じ動作です。DISCARD により、ロギングアプリケーションは動作し続けますが、ログメッセージは削除されます。
|
subhandlers | String[] |
これは、この非同期ハンドラーがログメッセージを渡すログハンドラーの一覧です。
|
enabled | ブール値 | true に設定された場合、ハンドラーが有効になり、通常とおり機能します。false に設定された場合、ログメッセージの処理時にハンドラーが無視されます。
|
filter-spec | 文字列 |
フィルターを定義する式の値。式
not(match("JBAS.*")) はパターンに一致しないフィルターを定義します。
|
14.7. ロギング用 XML 設定例
14.7.1. ルートロガーの XML 設定例
<root-logger> <level name="INFO"/> <handlers> <handler name="CONSOLE"/> <handler name="FILE"/> </handlers> </root-logger>
14.7.2. ログカテゴリーの XML 設定例
<logger category="com.company.accounts.rec"> <handlers> <handler name="accounts-rec"/> </handlers> </logger>
14.7.3. コンソールログハンドラーの XML 設定例
<console-handler name="CONSOLE"> <level name="INFO"/> <formatter> <pattern-formatter pattern="%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n"/> </formatter> </console-handler>
14.7.4. ファイルログハンドラーの XML 設定例
<file-handler name="accounts-rec-trail" autoflush="true"> <level name="INFO"/> <file relative-to="jboss.server.log.dir" path="accounts-rec-trail.log"/> <append value="true"/> </file-handler>
14.7.5. 定期ログハンドラーの XML 設定例
<periodic-rotating-file-handler name="FILE"> <formatter> <pattern-formatter pattern="%d{HH:mm:ss,SSS} %-5p [%c] (%t) %s%E%n"/> </formatter> <file relative-to="jboss.server.log.dir" path="server.log"/> <suffix value=".yyyy-MM-dd"/> <append value="true"/> </periodic-rotating-file-handler>
14.7.6. サイズログハンドラーの XML 設定例
<size-rotating-file-handler name="accounts_debug" autoflush="false"> <level name="DEBUG"/> <file relative-to="jboss.server.log.dir" path="accounts-debug.log"/> <rotate-size value="500k"/> <max-backup-index value="5"/> <append value="true"/> </size-rotating-file-handler>
14.7.7. 非同期ログハンドラーの XML 設定例
<async-handler name="Async_NFS_handlers"> <level name="INFO"/> <queue-length value="512"/> <overflow-action value="block"/> <subhandlers> <handler name="FILE"/> <handler name="accounts-record"/> </subhandlers> </async-handler>
第15章 Infinispan
15.1. Infinispan
web
(Web セッションクラスタリング)ejb
(ステートフルセッションビーンクラスタリング)hibernate
(エンティティーキャッシング)singleton
(シングルトンキャッシング)
重要
15.2. クラスタリングモード
レプリケートモードはクラスターの新しいインスタンスを自動的に検出し、追加します。これらのインスタンスに加えられた変更は、クラスター上のすべてのノードにレプリケートされます。ネットワークでレプリケートされる情報量が多いため、通常レプリケートモードは小型のクラスターでの使用に最も適しています。UDP マルチキャストを使用するよう Infinispan を設定すると、ネットワークトラフィックの輻輳をある程度軽減できます。
ディストリビューションモードでは、Infinispan はクラスターを線形にスケールできます。ディストリビューションモードは一貫性のあるハッシュアルゴリズムを使用して、クラスター内で新しいノードを配置する場所を決定します。保持する情報のコピー数は設定可能です。保持するコピー数、データの永続性、およびパフォーマンスにはトレードオフが生じます。保持するコピー数が多いほどパフォーマンスへの影響が大きくなりますが、サーバーの障害時にデータを損失する可能性は低くなります。ハッシュアルゴリズムは、メタデータのマルチキャストや保存を行わずにエントリーを配置し、ネットワークトラフィックを軽減します。
レプリケーションは同期または非同期的に実行でき、選択されるモードは要件やアプリケーションによって異なります。同期レプリケーションでは、ユーザーのリクエストを処理するスレッドはレプリケーションが正常に終了するまでブロックされます。レプリケーションが正常に行われた場合のみ応答がクライアントに送信され、スレッドがリリースされます。同期レプリケーションはクラスターの各ノードからの応答を必要とするため、ネットワークトラフィックに影響します。しかし、クラスターのすべてのノードへ確実に変更が加えられる利点があります。
非同期レプリケーションはバックグラウンドで実行されます。Infinispan は、バックグラウンドスレッドがレプリケーションを実行するために使用されるレプリケーションキューを実装します。レプリケーションは時間またはキューのサイズによって引き起こされます。レプリケーションキューを使用すると、クラスターノード間の対話が発生しないため、パフォーマンスが向上します。非同期レプリケーションの欠点は、正確性が低いことです。失敗したレプリケーションはログに書き込まれ、リアルタイムで通知されません。
15.3. キャッシュコンテナー
- キャッシュコンテナー
- キャッシュコンテナはサブシステムによって使用されるキャッシュのリポジトリーです。Infinispan ではデフォルトのキャッシュコンテナは設定 xml ファイル (standalone-ha.xml、standalone-full-ha.xml、domain.xml) に定義されます。1 つのキャッシュがデフォルトとして定義され、そのキャッシュがクラスタリングに使用されます。
例15.1 standalone-ha.xml 設定ファイルのキャッシュコンテナ定義
<subsystem xmlns="urn:jboss:domain:infinispan:1.5"> <cache-container name="singleton" aliases="cluster ha-partition" default-cache="default"> <transport lock-timeout="60000"/> <replicated-cache name="default" mode="SYNC" batching="true"> <locking isolation="REPEATABLE_READ"/> </replicated-cache> </cache-container> <cache-container name="web" aliases="standard-session-cache" default-cache="repl" module="org.jboss.as.clustering.web.infinispan"> <transport lock-timeout="60000"/> <replicated-cache name="repl" mode="ASYNC" batching="true"> <file-store/> </replicated-cache> <replicated-cache name="sso" mode="SYNC" batching="true"/> <distributed-cache name="dist" l1-lifespan="0" mode="ASYNC" batching="true"> <file-store/> </distributed-cache> </cache-container>
各キャッシュコンテナに定義されたデフォルトのキャッシュに注目してください。この例では、web
キャッシュコンテナでrepl
キャッシュがデフォルトととして定義されています。そのため、Web セッションのクラスタリングではrepl
キャッシュが使用されます。キャッシュコンテナとキャッシュ属性は、管理コンソールまたは CLI コマンドを使用して設定できますが、キャッシュコンテナまたはキャッシュの名前を変更することは推奨されません。 - キャッシュコンテナーの設定
- Infinispan のキャッシュコンテナは CLI または管理コンソールを使用して設定できます。
手順15.1 管理コンソールでの Infinispan キャッシュコンテナの設定
- 画面の上部にある Configuration タブを選択します。
- ドメインモードの場合は、右上のドロップダウンメニューより ha または full-ha を選択します。
- Subsystems メニューを展開し、Infinispan を展開します。Cache Containers を選択します。
- Cache Containers テーブルからキャッシュコンテナを選択します。
デフォルトのキャッシュコンテナの追加、削除、および設定
- 新しいキャッシュコンテナを作成するには、Cache Containers テーブルの Add をクリックします。
- キャッシュコンテナを削除するには、Cache Containers テーブルのキャッシュコンテナをクリックします。Remove をクリックし、OK をクリックして確定します。
- キャッシュコンテナをデフォルトとして設定するには、Set Default をクリックし、ドロップダウンリストからキャッシュコンテナ名を指定して Save をクリックして確定します。
- キャッシュコンテナの属性を追加および更新するには、Cache Containers テーブルのキャッシュコンテナを選択します。画面の Details エリアにある Attributes、Transport、および Aliases タブの 1 つを選択し、Edit をクリックします。Attributes、Transport、および Aliases タブの内容に関するヘルプは、Need Help? をクリックします。
手順15.2 管理 CLI での Infinispan キャッシュコンテナの設定
- 設定可能な属性のリストを取得するには、以下の CLI コマンドを入力します。
/profile=profile name/subsystem=infinispan/cache-container=container name:read-resource
- 管理 CLI を使用してキャッシュコンテナを追加、削除、および更新できます。コマンドを実行する前に、管理 CLI コマンドで正しいプロファイルが使用されることを確認してください。
キャッシュコンテナの追加
キャッシュコンテナを追加するには、以下の例に従ってコマンドを入力します。/profile=profile-name/subsystem=infinispan/cache-container="cache container name":add
キャッシュコンテナの削除
キャッシュコンテナを削除するには、以下の例に従ってコマンドを入力します。/profile=profile-name/subsystem=infinispan/cache-container="cache container name":remove
キャッシュコンテナ属性の更新
write-attribute 操作を使用して新しい値を属性に書き込みます。入力中にタブ補完を使用するとコマンドの文字列を補完し、使用可能な属性を表示できます。以下の例は、statictics-enabled を true に更新します。/profile=profile name/subsystem=infinispan/cache-container=cache container name:write-attribute(name=statistics-enabled,value=true)
15.4. キャッシュストア
shared
属性を true に設定します)。キャッシュストアが共有として定義されていないと、データベースのデッドロックやパフォーマンスに影響するその他の問題が発生する可能性があります。
15.5. Infinispan の統計
警告
15.6. Infinispan 統計収集の有効化
standalone.xml
、standalone-ha.xml
、domain.xml
など) または管理 CLI から有効にできます。
15.6.1. 起動設定ファイルでの Infinispan 統計収集の有効化
手順15.3 起動設定ファイルでの Infinispan 統計の有効化
- 属性
statistics-enabled
=VALUE
を Infinispan サブシステム下の必要なcache-container
またはcache
XML タグに追加します。
例15.2 cache
の統計収集の有効化
<replicated-cache name="sso" mode="SYNC" batching="true" statistics-enabled="true"/>
例15.3 cache-container
の統計収集の有効化
<cache-container name="singleton" aliases="cluster ha-partition" default-cache="default" statistics-enabled="true">
15.6.2. 管理 CLI での Infinispan 統計収集の有効化
手順15.4 管理 CLI での Infinispan 統計収集の有効化
- 推奨の
cache-container
はCACHE_CONTAINER
です (例:web
)。 - 推奨のキャッシュタイプは
CACHE_TYPE
です (例:distributed-cache
)。 CACHE
はキャッシュ名です (例:dist
)。
- 以下のコマンドを実行します。
/subsystem=infinispan/cache-container=CACHE_CONTAINER/CACHE_TYPE=CACHE:write-attribute(name=statistics-enabled,value=true)
- 以下のコマンドを実行し、サーバーをリロードします。
:reload
注記
/subsystem=infinispan/cache-container=CACHE_CONTAINER/CACHE_TYPE=CACHE:undefine-attribute(name=statistics-enabled)
15.6.3. Infinispan 統計収集の有効化を検証
手順15.5 Infinispan 統計収集の有効化を検証
cache
または cache-container
のどちらで有効であるかによって使用するコマンドが異なります。
cache
の場合/subsystem=infinispan/cache-container=
CACHE_CONTAINER
/CACHE_TYPE
=CACHE
:read-attribute(name=statistics-enabled
)cache-container
の場合/subsystem=infinispan/cache-container=
CACHE_CONTAINER
:read-attribute(name=statistics-enabled
)
15.7. JGroups
15.7.1. JGroups
- udp - クラスターのノードは UDP (User Datagram Protocol、ユーザーデータグラムプロトコル) マルチキャストを使用してお互いに通信します。通常、UDP は TPC よりも高速ですが、信頼性は劣ります。
- tcp - クラスターのノードは TCP (Transmission Control Protocol、伝送制御プロトコル) を使用してお互いに通信します。通常、TCP は UDP よりも低速ですが、宛先にデータを配信する信頼性は勝ります。
第16章 JVM
16.1. JVM
16.1.1. JVM 設定
host.xml
および domain.xml
設定ファイルで宣言され、サーバープロセスを起動および停止するドメインコントローラーコンポーネントにより決定されます。スタンドアロンサーバーインスタンスでは、サーバー起動プロセスで起動時にコマンドライン設定を渡すことができます。これらは、管理コンソールのコマンドラインまたは System Properties 画面で宣言できます。
管理対象ドメインの重要な機能は、JVM 設定を複数のレベルで定義できることです。サーバーグループまたはサーバーインスタンスによって、ホストレベルでカスタム JVM 設定を指定できます。特別な子要素は親設定よりも優先され、グループまたはホストレベルで除外せずに特定のサーバー設定を宣言できます。これにより、設定が設定ファイルで宣言されるか、実行時に渡されるまで、親設定は他のレベルで継承できます。
例16.1 ドメイン設定ファイルの JVM 設定
domain.xml
設定ファイルの、サーバーグループに対する JVM 宣言を示しています。
<server-groups> <server-group name="main-server-group" profile="default"> <jvm name="default"> <heap size="64m" max-size="512m"/> </jvm> <socket-binding-group ref="standard-sockets"/> </server-group> <server-group name="other-server-group" profile="default"> <jvm name="default"> <heap size="64m" max-size="512m"/> </jvm> <socket-binding-group ref="standard-sockets"/> </server-group> </server-groups>
main-server-group
という名前のサーバーグループが 64 メガバイトのヒープサイズと 512 メガバイトの最大ヒープサイズを宣言しています。このグループに属するすべてのサーバーは、これらの設定を継承します。これらの設定は、グループ全体、ホスト、または個別サーバーで変更できます。
例16.2 ホスト設定ファイルのドメイン設定
host.xml
設定ファイルの、サーバーグループに対する JVM 宣言を示しています。
<servers> <server name="server-one" group="main-server-group" auto-start="true"> <jvm name="default"/> </server> <server name="server-two" group="main-server-group" auto-start="true"> <jvm name="default"> <heap size="64m" max-size="256m"/> </jvm> <socket-bindings port-offset="150"/> </server> <server name="server-three" group="other-server-group" auto-start="false"> <socket-bindings port-offset="250"/> </server> </servers>
server-two
という名前のサーバーが、main-server-group
という名前のサーバーグループに属し、default
JVM グループから JVM 設定を継承します。前の例では、main-server-group
のメインヒープサイズは 512 メガバイトに設定されていました。これよりも小さい 256 メガバイトを最大ヒープサイズとして宣言すると、server-two
が domain.xml
設定よりも優先され、必要に応じてパフォーマンスを微調整できます。
スタンドアロンサーバーインスタンスの JVM 設定を実行時に宣言するには、サーバーを起動する前に JAVA_OPTS
環境変数を設定します。以下は Linux のコマンドラインで JAVA_OPTS
環境変数を設定する一例です。
[user@host bin]$ export JAVA_OPTS="-Xmx1024M"
C:\> set JAVA_OPTS="Xmx1024M"
EAP_HOME/bin
フォルダーにある standalone.conf
ファイルに JVM 設定を追加することも可能です。
警告
16.1.2. 管理コンソールでの JVM 状態の表示
表16.1 JVM 状態属性
タイプ | 説明 |
---|---|
Max | メモリー管理に使用できる最大メモリー容量。使用可能な最大メモリー容量は薄い灰色のバーで表示されます。 |
Used | 使用中のメモリー容量。使用中のメモリー容量は濃い灰色のバーで表示されます。 |
Committed | Java 仮想マシンが使用するために確保されたメモリー容量。確保されたメモリーは濃い灰色で表示されます。 |
Init | メモリー管理のために Java 仮想マシンが最初にオペレーティングシステムからリクエストするメモリー容量。これは濃い灰色のバーで表示されます。 |
手順16.1 管理コンソールでの JVM 状態の表示
スタンドアロンサーバーインスタンスの JVM 状態 の表示
画面の上部から Runtime タブを選択します。Status メニューを展開したら Platform メニューを展開します。JVM を選択します。管理対象ドメインの JVM 状態の表示
画面の上部から Runtime タブを選択します。Server Status メニューを展開したら Platform メニューを展開します。JVM を選択します。
- 管理対象ドメインはサーバーグループのすべてのサーバーインスタンスを表示できますが、サーバーメニューから選択した 1 つのサーバーのみを一度に表示できます。サーバーグループの他のサーバーの状態を表示するには、画面の左にある Change Server をクリックしてグループに表示されるホストとサーバーから選択します。必要なサーバーまたはホストを選択すると、JVM の詳細が変更されます。Close をクリックして終了します。
サーバーインスタンスに対する JVM 設定の状態が表示されます。
16.1.3. JVM の設定
例16.3 <jvm-options> の使用
<jvm name="default"> <heap size="1303m" max-size="1303m"/> <permgen max-size="256m"/> <jvm-options> <option value="-XX:+UseCompressedOops"/> </jvm-options> </jvm>
CLI を使用して JVM を設定するには、以下の構文を使用します。
# cd /server-group=main-server-group/jvm=default # :add-jvm-option(jvm-option="-XX:+UseCompressedOops") { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => { "outcome" => "success", "response-headers" => { "operation-requires-restart" => true, "process-state" => "restart-required" } }}, "server-two" => {"response" => { "outcome" => "success", "response-headers" => { "operation-requires-restart" => true, "process-state" => "restart-required" } }} }}}} } # :read-resource # Expected Result: [domain@localhost:9999 jvm=default] :read-resource { "outcome" => "success", "result" => { "agent-lib" => undefined, "agent-path" => undefined, "env-classpath-ignored" => undefined, "environment-variables" => undefined, "heap-size" => "1303m", "java-agent" => undefined, "java-home" => undefined, "jvm-options" => ["-XX:+UseCompressedOops"], "max-heap-size" => "1303m", "max-permgen-size" => "256m", "permgen-size" => undefined, "stack-size" => undefined, "type" => undefined } }
jvm-options エントリーを削除するには、次の構文を使用します。
# cd /server-group=main-server-group/jvm=default # :remove-jvm-option(jvm-option="-XX:+UseCompressedOops") # Expected Result: [domain@localhost:9999 jvm=default] :remove-jvm-option(jvm-option="-XX:+UseCompressedOops") { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => { "outcome" => "success", "response-headers" => { "operation-requires-restart" => true, "process-state" => "restart-required" } }}, "server-two" => {"response" => { "outcome" => "success", "response-headers" => { "operation-requires-restart" => true, "process-state" => "restart-required" } }} }}}} }
第17章 Web サブシステム
17.1. Web サブシステムの設定
Web ベース管理コンソールを使用して Web サブシステムを設定するには、画面上部の Configuration タブをクリックします。Subsystems メニューを展開した後、Web メニューを展開します。Web サブシステムの設定可能な各部分が表示されます。
注記
ha
または full-ha
である場合、または standalone-ha
または standalone-full-ha
プロファイルでスタンドアロンサーバーを起動する場合にのみ利用できます。mod_cluster 設定については 「mod_cluster
サブシステムの設定」 を参照してください。
JSP コンテナー、HTTP コネクター、および仮想 HTTP サーバーを設定するには、Servlet/HTTP メニューエントリーをクリックします。Edit ボタンをクリックして任意の値を変更します。Advanced ボタンをクリックして高度なオプションを表示します。これらのオプションについては以下で説明されています。HTTP コネクターおよび仮想サーバーのオプションは、別の表で示されます。
表17.1 サーブレット/HTTP 設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
Instance ID |
負荷分散が使用される場合にセッションアフィニティーを有効にするため使用される ID。この ID はクラスターのすべての JBoss EAP サーバーで一意である必要があり、生成されたセッション ID の最後に追加されます。これにより、フロントエンドプロキシーによって特定のセッションが同じ JBoss EAP インスタンスへ転送されるようになります。インスタンス ID はデフォルトとして設定されていません。
|
/profile=full-ha/subsystem=web:write-attribute(name=instance-id,value=worker1) |
Disabled? | true の場合は、Java ServerPages (JSP) コンテナーを無効にします。デフォルトで false に設定されます。これは、JSP を使用しない場合に役に立ちます。
|
/profile=full-ha/subsystem=web/configuration=jsp-configuration/:write-attribute(name=disabled,value=false) |
Development? | true の場合は、Development Mode を有効にします。この場合、より冗長なデバッグ情報が生成されます。デフォルトで false に設定されます。
|
/profile=full-ha/subsystem=web/configuration=jsp-configuration/:write-attribute(name=development,value=false) |
Keep Generated? |
Advanced をクリックしてオプションを確認します (非表示である場合)。
true の場合は、生成されたサーブレットを保持します。デフォルト値は true です。
|
/profile=full-ha/subsystem=web/configuration=jsp-configuration/:write-attribute(name=keep-generated,value=true) |
Check Interval? |
Advanced をクリックしてオプションを確認します (非表示である場合)。バックグラウンドプロセスを使用して JSP の更新をチェックする頻度を決める値 (秒単位)。デフォルトで
0 に設定されます。
|
/profile=full-ha/subsystem=web/configuration=jsp-configuration/:write-attribute(name=check-interval,value=0) |
Display Source? |
Advanced をクリックしてこのオプションを確認します (非表示である場合)。
true の場合、ランタイムエラーが発生すると、JSP ソース断片が表示されます。デフォルトで true に設定されます。
|
/profile=full-ha/subsystem=web/configuration=jsp-configuration/:write-attribute(name=display-source-fragment,value=true) |
mod_cluster
、 mod_jk
、mod_proxy
、 ISAPI
、および NSAPI
を使用します。コネクターを設定するには Connectors タブを選択し、Add をクリックします。コネクターを削除するには、エントリーを選択し Remove をクリックします。コネクターを編集するには、エントリーを選択し Edit をクリックします。
例17.1 新しいコネクターの作成
/profile=full-ha/subsystem=web/connector=ajp/:add(socket-binding=ajp,scheme=http,protocol=AJP/1.3,secure=false,name=ajp,max-post-size=2097152,enabled=true,enable-lookups=false,redirect-port=8433,max-save-post-size=4096)
表17.2 コネクターオプション
オプション | 説明 | CLI コマンド |
---|---|---|
Name |
表示目的のコネクターの一意な名前。
|
/profile=full-ha/subsystem=web/connector=ajp/:read-attribute(name=name) |
Socket Binding |
コネクターがバインドされる名前付きソケットバインディング。ソケットバインディングは、ソケット名とネットワークポート間のマッピングです。ソケットバインディングは、各スタンドアロンサーバーに対して設定されるか、管理対象ドメインのソケットバインディンググループを介して設定されます。ソケットバインディンググループはサーバーグループへ適用されます。
|
/profile=full-ha/subsystem=web/connector=ajp/:write-attribute(name=socket-binding,value=ajp) |
Scheme |
HTTP や HTTPS などの Web コネクタースキーム。
|
/profile=full-ha/subsystem=web/connector=ajp/:write-attribute(name=scheme,value=http) |
Protocol |
AJP や HTTP などの、使用する Web コネクタープロトコル。
|
/profile=full-ha/subsystem=web/connector=ajp/:write-attribute(name=protocol,value=AJP/1.3) |
Enabled |
Web コネクターが有効であるかどうか。
|
/profile=full-ha/subsystem=web/connector=ajp/:write-attribute(name=enabled,value=true) |
Redirect Port |
リダイレクトする場合に使用されるポート番号を指定するために使用されます。セキュア (
https ) または AJP コネクターが一般的です。
|
/profile=full-ha/subsystem=web/connector=http:write-attribute(name=redirect-port,value=8443) |
Redirect Binding |
バインディングのリダイレイトは挙動の面ではポートのリダイレクトと似ていますが、「value」にポート番号ではなくソケットバインディング名を指定する必要があります。事前定義されたソケットバインディング (http、AJP など) を使用できるため、
redirect-binding を使用すると設定の柔軟性が高くなります。結果は redirect-port オプションと同じになります。
|
/profile=full-ha/subsystem=web/connector=http:write-attribute(name=redirect-binding,value=https) |
例17.2 新しい仮想サーバーの追加
/profile=full-ha/subsystem=web/virtual-server=default-host/:add(enable-welcome-root=true,default-web-module=ROOT.war,alias=["localhost","example.com"],name=default-host)
表17.3 仮想サーバーオプション
オプション | 説明 | CLI コマンド |
---|---|---|
Name |
表示目的の仮想サーバーの一意な名前。
|
/profile=full-ha/subsystem=web/virtual-server=default-host/:read-attribute(name=name) |
Alias |
この仮想サーバーに一致する必要があるホスト名のリスト。管理コンソールで、1 行あたり 1 つのホスト名を使用します。
|
/profile=full-ha/subsystem=web/virtual-server=default-host/:write-attribute(name=alias,value=["localhost","example.com"]) |
Default Module |
Web アプリケーションをこの仮想サーバーのルートノードにデプロイする必要があるモジュールであり、ディレクトリーが HTTP 要求で提供されない場合に表示されます。
|
/profile=full-ha/subsystem=web/virtual-server=default-host/:write-attribute(name=default-web-module,value=ROOT.war) |
17.2. デフォルトの Welcome Web アプリケーションの置き換え
手順17.1 デフォルトの Welcome Web アプリケーションを独自の Web アプリケーションに置き換える
Welcome アプリケーションを無効にします。
管理 CLI スクリプトEAP_HOME/bin/jboss-cli.sh
を使用して次のコマンドを実行します。異なる管理対象ドメインプロファイルの変更が必要となる場合があります。スタンドアローンサーバーでは、コマンドの/profile=default
の部分を削除する必要がある場合があります。/profile=default/subsystem=web/virtual-server=default-host:write-attribute(name=enable-welcome-root,value=false)
ルートコンテキストを使用するよう Web アプリケーションを設定します。
Web アプリケーションを設定してルートコンテキスト (/) を URL アドレスとして使用するには、META-INF/
またはWEB-INF/
ディレクトリーにあるjboss-web.xml
を変更します。<context-root>
ディレクティブを次のようなディレクティブに置き換えます。<jboss-web> <context-root>/</context-root> </jboss-web>
アプリケーションをデプロイします。
サーバーグループか最初に変更したサーバーにアプリケーションをデプロイします。アプリケーションはhttp://SERVER_URL:PORT/
で使用できるようになります。
第18章 Web サービスサブシステム
18.1. Web サービスオプションの設定
表18.1 Web サービス設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
Modify WSDL Address |
WSDL アドレスをアプリケーションで変更できるかどうか。デフォルトで
true に設定されます。
|
/profile=full-ha/subsystem=webservices/:write-attribute(name=modify-wsdl-address,value=true) |
WSDL Host |
JAX-WS Web サービスの WSDL コントラクトには、エンドポイントの場所を示す <soap:address> 要素が含まれます。 <soap:address> の値が有効な URL の場合は、
modify-wsdl-address が true に設定されない限り、上書きされません。<soap:address> の値が有効な URL の場合は、wsdl-host の値と wsdl-port または wsdl-secure-port を使用して上書きされます。wsdl-host が jbossws.undefined.host に設定されている場合は、<soap-address> が書き換えられたときに要求側のホストアドレスが使用されます。デフォルトで ${jboss.bind.address:127.0.0.1} に設定されます。JBoss EAP 6 が起動されたときにバインドアドレスが指定されてない場合は、127.0.0.1 を使用します。
|
/profile=full-ha/subsystem=webservices/:write-attribute(name=wsdl-host,value=127.0.0.1) |
WSDL Port |
SOAP アドレスを書き換えるために使用されるセキュアでないポート。これが
0 (デフォルト値) に設定された場合、ポートはインストール済みコネクターのリストを問い合わせることにより識別されます。
|
/profile=full-ha/subsystem=webservices/:write-attribute(name=wsdl-port,value=80) |
WSDL Secure Port |
SOAP アドレスを書き換えるために使用されるセキュアポート。これが
0 (デフォルト値) に設定された場合、ポートはインストール済みコネクターのリストを問い合わせることにより識別されます。
|
/profile=full-ha/subsystem=webservices/:write-attribute(name=wsdl-secure-port,value=443) |
注記
Apache CXF でのロギングを有効にするには、以下のシステムプロパティーを standalone/domain.xml
ファイルに設定します。
<system-properties> <property name="org.apache.cxf.logging.enabled" value="true"/> </system-properties>
第19章 HTTP クラスタリングおよび負荷分散
19.1. はじめに
19.1.1. 高可用性および負荷分散クラスター
- アプリケーションサーバーのインスタンス
- 内部 JBoss Web サーバー、Apache HTTP サーバー、Microsoft IIS、または Oracle iPlanet Web Server と併用される Web アプリケーション
- ステートフル、ステートレス、およびエンティティー Enterprise JavaBean (EJB)
- シングルサインオン (SSO) メカニズム
- 分散キャッシュ
- HTTP セッション
- JMS サービスおよびメッセージ駆動型 Bean (MDB)
jgroups
と modcluster
の 2 つのサブシステムによってクラスタリングが使用できるようになります。ha
および full-ha
プロファイルではこれらのシステムが有効になっています。JBoss EAP 6 では、これらのサービスは必要に応じて起動およびシャットダウンしますが、distributable
として設定されたアプリケーションがサーバー上にデプロイされた場合のみ起動します。
19.1.2. 高可用性が有益なコンポーネント
JBoss EAP 6 の複数のインスタンス (スタンドアローンサーバーとして実行) またはサーバーグループのメンバー (管理対象ドメインの一部として実行) を高可用性として設定できます。つまり、1 つのインスタンスまたはメンバーが停止したり、クラスターから消去された場合、そのワークロードはピアに移行されます。負荷分散機能を提供するようワークロードを管理することもできるため、多くの優れたリソースを持つサーバーやサーバーグループは、より多くのワークロードを担当できます。また、負荷が高い間、処理能力を追加することも可能です。
互換性のある負荷分散メカニズムの 1 つを使用して Web サーバー自体も HA 用にクラスター化できます。mod_cluster
コネクターが最も柔軟で、 JBoss EAP 6 のコンテナと密接に統合されます。他にも、Apache の mod_jk
または mod_proxy
コネクター、ISAPI および NSAPI コネクターなどがあります。
Java Enterprise Edition 6 (Java EE 6) 仕様によって、デプロイされたアプリケーションを高可用化できます。ステートレスまたはステートフルセッション EJB をクラスター化できるため、作業に関与するノードがなくなった場合に他のノードによる引き継ぎが可能です。ステートフルセッション Bean の場合は状態が保持されます。
19.1.3. HTTP コネクターの概要
表19.1 HTTP コネクター機能および制約
コネクター | Web サーバー | サポート対象オペレーティングシステム | サポート対象プロトコル | デプロイメント状態への適合 | スティッキーセッションのサポート |
---|---|---|---|---|---|
mod_cluster | JBoss Enterprise Web Server の httpd、オペレーティングシステム (Red Hat Enterprise Linux、Hewlett-Packard HP-UX) によって提供される httpd | Red Hat Enterprise Linux、Microsoft Windows Server、Oracle Solaris、Hewlett-Packard HP-UX | HTTP、HTTPS、AJP | 可。アプリケーションのデプロイメントとアンデプロイメントを検出し、アプリケーションがそのサーバーにデプロイされたかどうかに基づいて、サーバーにクライアント要求を送信するかどうかを動的に決定します。 | ○ |
mod_jk | JBoss Enterprise Web Server の httpd、オペレーティングシステム (Red Hat Enterprise Linux、Hewlett-Packard HP-UX) によって提供される httpd | Red Hat Enterprise Linux、Microsoft Windows Server、Oracle Solaris、Hewlett-Packard HP-UX | AJP | 不可。アプリケーションの状態に関係なく、コンテナーが利用可能な限り、クライアント要求をコンテナーに送信します。 | ○ |
mod_proxy | JBoss Enterprise Web Server の httpd | Red Hat Enterprise Linux、Microsoft Windows Server、Oracle Solaris | HTTP、HTTPS、AJP | 不可。アプリケーションの状態に関係なく、コンテナーが利用可能な限り、クライアント要求をコンテナーに送信します。 | ○ |
ISAPI | Microsoft IIS | Microsoft Windows Server | AJP | 不可。アプリケーションの状態に関係なく、コンテナーが利用可能な限り、クライアント要求をコンテナーに送信します。 | ○ |
NSAPI | Oracle iPlanet Web Server | Oracle Solaris | AJP | 不可。アプリケーションの状態に関係なく、コンテナーが利用可能な限り、クライアント要求をコンテナーに送信します。 | ○ |
各 HTTP コネクターの詳細について
19.1.4. ワーカーノード
ワーカーノードは、1 つまたは複数のクライアント向け Web サーバーから要求を許可する JBoss EAP 6 サーバーで、単にノードと呼ばれることもあります。JBoss EAP 6 は Apache HTTP Server、Microsoft IIS、Oracle iPlanet Web Server などの独自の Web サーバーからの要求を許可できます。
クラスターノードはサーバーのクラスターのメンバーです。このようなクラスターは、負荷分散、高可用性、またはその両方です。負荷分散クラスターでは、中央マネージャーが状況固有の均等性の単位を使用してノード間で負荷を均等に分散します。高可用性クラスターでは、一部のノードがアクティブに処理を行い、他のノードはアクティブなノードのいずれかがクラスターから離れるまで待機します。
19.2. コネクター設定
19.2.1. JBoss EAP 6 にて HTTP コネクターのスレッドプールを定義
エクゼキューターモデルを使用すると JBoss EAP 6 のスレッドプールを異なるコンポーネント間で共有できます。これらのプールは異なる (HTTP) コネクターで共有できるだけでなく、エクゼキューターモデルをサポートする JBoss EAP 6 内の他のコンポーネントも共有できます。HTTP コネクターのスレッドプールを現在の Web パフォーマンスの要件に合わせることは容易ではなく、現在のスレッドプール、現在および予想される Web ロードの要求を綿密に監視する必要があります。このタスクでは、エクゼキューターモデルを使用して HTTP コネクターのスレッドプールを設定する方法について取り上げます。コマンドラインインターフェースを使用して設定する方法と、XML 設定ファイルを編集して設定する方法の両方を説明します。
手順19.1 HTTP コネクターのスレッドプールの設定
スレッドファクトリーの定義
設定ファイルを開きます (スタンドアロンサーバーに対して編集する場合はstandalone.xml
、ドメインベースの設定に対して編集する場合はdomain.xml
)。このファイルはEAP_HOME/standalone/configuration
またはEAP_HOME/domain/configuration
フォルダーにあります。次のサブシステムエントリーを追加します。値はサーバーの要件に合わせて変更します。<subsystem xmlns="urn:jboss:domain:threads:1.1"> <thread-factory name="http-connector-factory" thread-name-pattern="HTTP-%t" priority="9" group-name="uq-thread-pool"/> </subsystem>
CLI を使用したい場合は、CLI コマンドプロンプトで次のコマンドを実行します。[standalone@localhost:9999 /] ./subsystem=threads/thread-factory=http-connector-factory:add(thread-name-pattern="HTTP-%t", priority="9", group-name="uq-thread-pool")
エクゼキューターの作成
6 つある組み込みエクゼキュータークラスの 1 つを使用して、このファクトリーのエクゼキューターとして動作させることができます。6 つのエクゼキューターは以下のとおりです。unbounded-queue-thread-pool
: このタイプのスレッドプールは常にタスクを許可します。最大数未満のスレッドが実行されている場合、新しいスレッドが開始され、送信されたタスクを実行します。それ以外の場合は、タスクは非有界の FIFO キューに置かれ、スレッドが利用可能になると実行されます。注記
Executors.singleThreadExecutor()
によって提供された単一スレッドエクゼキュータータイプは、スレッドの数が 1 に制限される非有界キューのエクゼキューターです。このタイプのエクゼキューターはunbounded-queue-thread-pool-executor
要素を使用してデプロイされます。bounded-queue-thread-pool
: このタイプのエクゼキューターは固定長のキューと、core
およびmaximum
の 2 つのプールサイズを維持します。タスクが許可されると、実行中のプールスレッドの数がcore
サイズ未満である場合は新しいスレッドが起動されタスクが実行されます。キューが空いている場合はタスクはキューに置かれます。実行中のプールスレッドの数がmaximum
サイズ未満である場合は新しいスレッドが起動されタスクが実行されます。エクゼキューターでブロッキングが有効になっている場合は、キューに空きができるまで呼び出しスレッドがブロックします。ハンドオフエクゼキューターが設定されている場合はタスクがハンドオフエクゼキューターに委譲されます。それ以外の場合はタスクが拒否されます。blocking-bounded-queue-thread-pool
: スレッドの送信タスクがブロックする可能性がある、有界キューを持つスレッドプールエクゼキューター。このようなスレッドプールには core および miximum サイズ、指定されたキューの長さがあります。タスクの送信時、実行中のスレッド数が core サイズ未満である場合は新しいスレッドが作成されます。キューが空いている場合はタスクはキューに置かれます。実行中のスレッド数が maximum サイズ未満である場合は新しいスレッドが作成されます。これ以外の場合は、キューが空くまで呼び出し側がブロックします。queueless-thread-pool
: 場合によっては、タスクの完了に関与するキューがなく、スレッドを再使用し、個別のスレッドでタスクを実行するために簡単なスレッドプールが必要なことがあります。タスクを許可した後に他の実行タスクが完了するまで実行を遅延するのではなく、タスクは常に許可直後に開始されるため、このプールタイプは長期実行タスクや I/O のブロックを使用するタスクを処理するのに適しています。このタイプのエクゼキューターはqueueless-thread-pool-executor
要素を使用して宣言されます。blocking-queueless-thread-pool
: スレッドの送信タスクがブロックするキューを持たないスレッドプールエクゼキューター。タスクが送信されると、実行中のスレッド数が maximum サイズ未満の場合は新しいスレッドが作成されます。その他の場合は、別のスレッドがタスクを完了し、新しいタスクを許可するまで呼び出し側がブロックします。scheduled-thread-pool
:java.util.concurrent.ScheduledThreadPoolExecutor
クラスを基に特定の時間および時間間隔でタスクを実行する目的の特別なタイプのエクゼキューターです。このタイプのエクゼキューターはscheduled-thread-pool-executor
要素を用いて設定されます。
この例では、unbounded-queue-thread-pool
を使用してエクゼキューターとして動作させます。サーバーの環境に合わせてmax-threads
およびkeepalive-time
パラメーターの値を編集します。<unbounded-queue-thread-pool name="uq-thread-pool"> <thread-factory name="http-connector-factory" /> <max-threads count="10" /> <keepalive-time time="30" unit="seconds" /> </unbounded-queue-thread-pool>
CLI を使用する場合は、以下を実行します。[standalone@localhost:9999 /] ./subsystem=threads/unbounded-queue-thread-pool=uq-thread-pool:add(thread-factory="http-connector-factory", keepalive-time={time=30, unit="seconds"}, max-threads=30)
HTTP Web コネクターがこのスレッドプールを使用するようにする
同じ設定ファイルで、Web サブシステム下にある HTTP コネクター要素を見つけ、前の手順で定義したスレッドプールを使用するよう編集します<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http" executor="uq-thread-pool" />
CLI を使用する場合は、以下を実行します。[standalone@localhost:9999 /] ./subsystem=web/connector=http:write-attribute(name=executor, value="uq-thread-pool")
サーバーの再起動
変更を有効にするため、サーバー (スタンドアロンまたはドメイン) を再起動します。次の CLI コマンドを使用して、以前の手順で行った変更が有効になったことを確認します。[standalone@localhost:9999 /] ./subsystem=threads:read-resource(recursive=true) { "outcome" => "success", "result" => { "blocking-bounded-queue-thread-pool" => undefined, "blocking-queueless-thread-pool" => undefined, "bounded-queue-thread-pool" => undefined, "queueless-thread-pool" => undefined, "scheduled-thread-pool" => undefined, "thread-factory" => {"http-connector-factory" => { "group-name" => "uq-thread-pool", "name" => "http-connector-factory", "priority" => 9, "thread-name-pattern" => "HTTP-%t" }}, "unbounded-queue-thread-pool" => {"uq-thread-pool" => { "keepalive-time" => { "time" => 30L, "unit" => "SECONDS" }, "max-threads" => 30, "name" => "uq-thread-pool", "thread-factory" => "http-connector-factory" }} } } [standalone@localhost:9999 /] ./subsystem=web/connector=http:read-resource(recursive=true) { "outcome" => "success", "result" => { "configuration" => undefined, "enable-lookups" => false, "enabled" => true, "executor" => "uq-thread-pool", "max-connections" => undefined, "max-post-size" => 2097152, "max-save-post-size" => 4096, "name" => "http", "protocol" => "HTTP/1.1", "proxy-name" => undefined, "proxy-port" => undefined, "redirect-port" => 443, "scheme" => "http", "secure" => false, "socket-binding" => "http", "ssl" => undefined, "virtual-server" => undefined } }
スレッドファクトリーとエクゼキューターが正常に作成され、このスレッドプールを使用するよう HTTP コネクターが編集されます。
19.3. Web サーバーの設定
19.3.1. スタンドアロン Apache HTTP Server
19.3.2. JBoss EAP 6 に含まれる Apache HTTP Server のインストール (Zip)
前提条件
- root または管理者権限。
- サポートされるバージョンの Java がインストールされている必要があります。
- 以下のパッケージがインストールされている必要があります:
krb5-workstation
mod_auth_kerb
(Kerberos 機能に必要)elinks
(apachectl 機能に必要)- Red Hat Enterprise Linux 7 の場合は
apr-util-ldap
(LDAP 認証機能)
- Apache Portability Runtime (APR) がインストールされている必要があります。Red Hat Enterprise Linux では、
apr-util-devel
をインストールします。
Apache HTTP Server
Zip アーカイブには、複数の Kerberos モジュールに対するシンボリックリンクが含まれます。このため、mod_auth_kerb
パッケージが前提条件になります。Kerberos 機能が必要でない場合は、mod_auth_kerb
パッケージをインストールする必要はなく、関連するシンボリックリンクを削除できます (EAP_HOME/httpd/modules/mod_auth_kerb.so
)。
手順19.2 Apache HTTP Server のインストール
Red Hat カスタマーポータル上でご使用のプラットフォームの JBoss EAP ダウンロードリストへ移動します。
カスタマーポータル https://access.redhat.com にログインします。ダウンロードをクリックした後、Product Downloads
のリストより Red Hat JBoss Enterprise Application Platform を選択します。Version ドロップダウンメニューから適切な JBoss EAP のバージョンを選択します。一覧より httpd バイナリーを選択します。
ご使用のオペレーティングシステムの Apache HTTP Server オプションを探します。Download リンクをクリックします。Apache HTTP Server ディストリビューションが含まれる Zip ファイルがコンピューターにダウンロードされます。Apache HTTP Server バイナリーを実行するシステムに Zip を展開します。
希望のサーバーの任意の場所に Zip ファイルを一時的に展開します。Zip ファイルの jboss-ews-version-number フォルダー下にhttpd
ディレクトリーが含まれています。httpd
フォルダーをコピーし、JBoss EAP 6 をインストールしたディレクトリー (通常、EAP_HOME と呼ばれます) の中に置きます。これで、Apache HTTP Server の場所がEAP_HOME/httpd/
ディレクトリーになります。他の JBoss EAP 6 ドキュメントに記載されているとおり、この場所を HTTPD_HOME として使用できるようになります。ポストインストールスクリプトを実行し、Apache ユーザーおよびグループのアカウントを作成します。
ターミナルエミュレーター上で root ユーザーアカウントになり、EAP_HOME/httpd
ディレクトリーへ移動し、以下のコマンドを実行します。./.postinstall
次に、以下のコマンドを実行し、apache
というユーザーがシステム上に存在するか確認します。id apache
ユーザー apache が存在しない場合は、そのユーザーと適切なユーザーグループを追加する必要があります。これには、以下のコマンドを実行します。/usr/sbin/groupadd -g 91 -r apache 2> /dev/null || : /usr/sbin/useradd -c "Apache" -u 48 -g 91 -s /sbin/nologin -r apache 2> /dev/null || :
コマンドの完了後、apache
ユーザーが httpd サービスを実行する場合、HTTP ディレクトリーの所有者を変更する必要があります。chown -R apache:apache httpd
上記のコマンドが正常に実行されたことを確認するには、apache
ユーザーが Apache HTTP Server のインストールパスへの実行権限を持っているか確認します。ls -l
出力は以下のようになるはずです。drwxrwxr-- 11 apache apache 4096 Feb 14 06:52 httpd
Apache HTTP Server を設定します。
以下のコマンドを使用して、新しいユーザーアカウントに切り替わります。sudo su apache
apache
ユーザーとして、組織の必要性に合わせて Apache HTTP Server を設定します。一般的な手順は、Apache Foundation http://httpd.apache.org/ のドキュメントを参照してください。Apache HTTP Server を起動します。
以下のコマンドを使用して Apache HTTP Server を起動します。EAP_HOME/httpd/sbin/apachectl start
Apache HTTP Server を停止します。
Apache HTTP Server を停止するには、以下のコマンドを実行します。EAP_HOME/httpd/sbin/apachectl stop
19.3.3. Red Hat Enterprise Linux (RHEL) 5、6、および 7 への Apache HTTP Server のインストール (RPM)
前提条件
- root 権限。
- 最新バージョンの elinks パッケージがインストールされている必要があります (apachectl 機能に必要)。
- Red Hat Enterprise Linux (RHEL) チャンネルをサブスクライブする必要があります (RHEL チャンネルから Apache HTTP Server をインストールするため)。
jbappplatform-6-ARCH-server-VERS-rpm
Red Hat Network (RHN) チャンネルをサブスクライブする必要があります (Apache HTTP Server の EAP 固有のディストリビューションをインストールするため)。
- Red Hat Enterprise Linux (RHEL) チャンネルからのインストール。Apache HTTP Server のインストールには Red Hat Enterprise Linux (RHEL) チャンネルの有効なサブスクリプションが必要です。
jbappplatform-6-ARCH-server-VERS-rpm
チャンネル (JBoss EAP 固有のディストリビューション) からのインストール。JBoss EAP は独自のバージョンの Apache HTTP Server を配布します。Apache HTTP Server の JBoss EAP 固有のディストリビューションをインストールするには、jbappplatform-6-ARCH-server-VERS-rpm
チャンネルの有効なサブスクリプションが必要です。
手順19.3 Red Hat Enterprise Linux 5 および 6 への Apache HTTP Server のインストールおよび設定 (RPM)
httpd
のインストールJBoss EAP に固有するバージョンのhttpd
パッケージをインストールするには、以下のコマンドを実行します。yum install httpd
Red Hat Enterprise Linux (RHEL) チャンネルからhttpd
を明示的にインストールするには、以下のコマンドを実行します。yum install httpd --disablerepo=jbappplatform-6-*
注記
上記のコマンドの 1 つのみを実行してhttpd
パッケージをシステムにインストールする必要があります。サービスブートの挙動設定
コマンドラインまたはサービス設定グラフィカルツールから、httpd
サービスの起動時の挙動を定義できます。挙動を定義するには、以下のコマンドを実行します。chkconfig httpd on
サービス設定ツールを使用するには、以下のコマンドを実行し、表示されたウインドウでサービス設定を変更します。system-config-services
httpd
の起動以下のコマンドを使用してhttpd
を起動します。service httpd start
httpd
の停止以下のコマンドを使用してhttpd
を停止します。service httpd stop
手順19.4 Red Hat Enterprise Linux 7 への Apache HTTP Server のインストールおよび設定 (RPM)
httpd22
のインストールJBoss EAP に固有するバージョンのhttpd22
パッケージをインストールするには、以下のコマンドを実行します。yum install httpd22
サービスブートの挙動設定
以下のコマンドを実行して起動時にhttpd22
サービスを開始します。systemctl enable httpd22.service
httpd22
の起動以下のコマンドを使用してhttpd22
を起動します。systemctl start httpd22.service
httpd22
の停止以下のコマンドを使用してhttpd22
を停止します。systemctl stop httpd22.service
19.3.4. httpd 上の mod_cluster 設定
mod_cluster は httpd ベースのロードバランサーです。通信チャネルを使用して要求を httpd からアプリケーションサーバーノードのセットの 1 つに転送します。以下の派生を httpd 上の mod_cluster に設定できます。
注記
表19.2 mod_cluster の派生
派生 | 説明 | 値 |
---|---|---|
CreateBalancers | バランサーが httpd VirtualHosts でどのように作成されるかを定義します。 ProxyPass /balancer://mycluster1/ のような派生を許可します。 |
0: httpd で定義された VirtualHosts をすべて作成する
1: バランサーを作成してはいけない (バランサー名の定義に最低でも 1 つの ProxyPass または ProxyMatch が必要)
2: メインサーバーのみを作成する
デフォルト: 2
1 を値として使用する場合、必ず ProxyPass ディレクティブにバランサーを設定するようにしてください。これは、デフォルト値は空の stickysession および
nofailover=Off であり、MCMP CONFIG メッセージを介して受信された値は無視されるためです。
|
UseAlias | エイリアスがサーバー名に対応することを確認します。 |
0: エイリアスを無視する
1: エイリアスを確認する
デフォルト: 0
|
LBstatusRecalTime | 負荷分散論理がノードの状態を再計算する間隔 (秒単位)。 |
デフォルト: 5 秒
|
WaitForRemove | 削除されたノードを httpd が記憶しなくなるまでの時間 (分単位)。 |
デフォルト: 10 秒
|
ProxyPassMatch/ProxyPass |
ProxyPassMatch および ProxyPass は、
! (バックエンド url の代わりに) の使用時にパスのリバースプロキシを防ぐ mod_proxy のディレクティブです。イメージなどの静的な情報に httpd が対応できるようにするため使用されます。例は次のとおりです。
ProxyPassMatch ^(/.*\.gif)$ !
上記の例は httpd が直接 .gif ファイルに対応できるようにします。
|
<subsystem xmlns="urn:jboss:domain:modcluster:1.2"> <mod-cluster-config advertise-socket="modcluster" connector="ajp"> - <dynamic-load-provider> - <load-metric type="busyness"/> - </dynamic-load-provider> + <simple-load-provider factor="0"/> </mod-cluster-config> </subsystem>
- ノード A、Load: 10
- ノード B、Load: 10
- ノード C、Load: 0
mod_manager ディレクティブのコンテキストは、指定がある場合を除きすべて VirtualHost になります。server config
の内容は、ディレクティブが VirtualHost 設定の外部になければならないことを示します。そうでない場合、エラーメッセージが表示され、httpd が開始しません。
表19.3 mod_manager の派生
派生 | 説明 | 値 |
---|---|---|
EnableMCPMReceive | VirtualHost がノードより MCPM を受信できるようにします。mod_cluster が動作するようにするため、httpd 設定に EnableMCPMReceive が含まれます。VirtualHost のアドバタイズを設定する場所に保存します。 | |
MemManagerFile |
設定の保存、共有メモリーまたはロックされたファイルのキー生成に mod_manager が使用するベース名。絶対パス名である必要があります。ディレクトリーは必要な場合に作成されます。これらのファイルは NFS 共有ではなくローカルドライブに格納することが推奨されます。
内容: サーバー設定
| $server_root/logs/
|
Maxcontext | mod_cluster によってサポートされるコンテキストの最大数。
内容: サーバー設定
|
デフォルト: 100
|
Maxnode | mod_cluster によってサポートされるノードの最大数。
内容: サーバー設定
|
デフォルト: 20
|
Maxhost | mod_cluster によってサポートされるホスト (エイリアス) の最大数。バランサーの最大数も含まれます。
内容: サーバー設定
| デフォルト: 20 |
Maxsessionid |
mod_cluster-manager ハンドラーにアクティブなセッションの数を提供するために保存されるアクティブ sessionid の数。5 分以内に mod_cluster がセッションより情報を受信しないとセッションは非アクティブになります。
内容: サーバー設定
このフィールドはデモおよびデバッグの目的でのみ使用されます。
| 0: 論理はアクティベートされない。 |
MaxMCMPMaxMessSize | 他の Max ディレクティブからの MCMP メッセージの最大サイズ。 | 他の Max ディレクティブより計算されます。最小: 1024 |
ManagerBalancerName | Boss AS、JBossWeb、または Tomcat がバランサー名を提供しない場合に使用するバランサーの名前。 | mycluster
|
PersistSlots | ファイルのノード、別名、およびコンテキストを保持するよう mod_slotmem に伝えます。
内容: サーバー設定
| オフ |
CheckNonce | mod_cluster-manager ハンドラーを使用する際に nonce のチェックを切り替えます。 |
on/off
デフォルト: on - Nonce をチェック
|
AllowDisplay | mod_cluster-manager メインページの追加表示を切り替えます。 |
on/off
デフォルト: off - バージョンのみを表示
|
AllowCmd | mod_cluster-manager の URL を使用するコマンドを許可します。 |
on/off
デフォルト: on - コマンドを許可
|
ReduceDisplay | メインの mod_cluster-manager ページに表示される情報を減らし、ページ上により多くのノードを表示できるようにします。 |
on/off
デフォルト: off - 情報をすべて表示
|
SetHandler mod_cluster-manager |
mod_cluster がクラスターから可視できるノードの情報を表示します。情報には一般的な情報が含まれ、追加でアクティブなセッションの数を調べます。
<Location /mod_cluster-manager> SetHandler mod_cluster-manager Order deny,allow Allow from 127.0.0.1 </Location> |
on/off
デフォルト: off
|
注記
19.3.5. 外部 Web サーバーを JBoss EAP 6 アプリケーションの Web フロントエンドとして使用
外部 Web サーバーを Web フロントエンドとして使用する理由と、JBoss EAP 6 でサポートされるさまざまな HTTP コネクターの利点と欠点については、「HTTP コネクターの概要」 を参照してください。状況によっては、オペレーティングシステムに同梱される Apache HTTP Server を使用できます。それ以外の場合は、JBoss Enterprise Web Server の一部として同梱される Apache HTTP Server を使用できます。
19.3.6. 外部 Web サーバーからの要求を許可するよう JBoss EAP 6 を設定
JBoss EAP 6 は、要求を受け入れるプロキシを認識する必要がなく、検索するポートとプロトコルのみを認識する必要があります。これは、mod_cluster
の場合は該当しません。この場合は、JBoss EAP 6 の設定に密接に関係します。ただし、mod_jk
、mod_proxy
、ISAPI
、および NSAPI
には以下のタスクが有効です。例にあるプロトコルとポートを設定が必要なものに置き換えます。
mod_cluster
に対して JBoss EAP 6 を設定する場合は 「mod_cluster ワーカーノードの設定」 を参照してください。
前提条件
- このタスクを実行するには、管理 CLI または管理コンソールにログインする必要があります。タスクの実際の手順では、管理 CLI を使用しますが、管理コンソールでは同じ基本的な手順が使用されます。
- 使用するプロトコル (HTTP、HTTPS、または AJP) のリストが必要です。
手順19.5 設定の編集およびソケットバインディングの追加
jvmRoute
システムプロパティーを設定します。デフォルトでは、jvmRoute はサーバー名と同じ値に設定されています。カスタマイズする必要がある場合は、次のようなコマンドを使用できます。使用するプロファイルやスタンドアロンサーバーの使用の有無によって、コマンドの/profile=ha
部分を置き換えまたは削除します。文字列CUSTOM_ROUTE_NAME
はカスタム jvmRoute の名前に置き換えます。[user@localhost:9999 /]
/profile=ha/subsystem=web:write-attribute(name="instance-id",value=
"CUSTOM_ROUTE_NAME"
)Web サブシステムで利用可能なコネクターをリストします。
注記
この手順は、管理対象ドメインのスタンドアロンサーバーまたはサーバーグループにha
またはfull-ha
プロファイルを使用していない場合のみ必要になります。これらの設定には必要なコネクターがすべて含まれています。外部 Web サーバーが JBoss EAP 6 の Web サーバーに接続できるようにするには、Web サブシステムにコネクターが必要です。各プロトコルにはソケットグループに関連付けられた独自のコネクターが必要です。現在利用可能なコネクターをリストするには、以下のコマンドを実行します。[standalone@localhost:9999 /]
/subsystem=web:read-children-names(child-type=connector)
必要なコネクター (HTTP、HTTPS、AJP) を示す行がない場合は、コネクターを追加する必要があります。コネクターの設定を確認します。
コネクターの設定方法の詳細を確認するには、その設定を読み取ります。以下のコマンドは AJP コネクターの設定を読み取ります。他のコネクターの設定出力も同様になります。[standalone@localhost:9999 /]
/subsystem=web/connector=ajp:read-resource(recursive=true)
{ "outcome" => "success", "result" => { "enable-lookups" => false, "enabled" => true, "max-post-size" => 2097152, "max-save-post-size" => 4096, "protocol" => "AJP/1.3", "redirect-port" => 8443, "scheme" => "http", "secure" => false, "socket-binding" => "ajp", "ssl" => undefined, "virtual-server" => undefined } }必要なコネクターを Web サブシステムに追加します。
コネクターを Web サブシステムに追加するには、ソケットバインディングが必要です。ソケットバインディングは、サーバーまたはサーバーグループによって使用されるソケットバインディンググループに追加されます。以下の手順では、サーバーグループがserver-group-one
であり、ソケットバインディンググループがstandard-sockets
であることを前提とします。ソケットをソケットバインディンググループに追加します。
ソケットをソケットバインディンググループに追加するには、以下のコマンドを実行し、プロトコルとポートを必要なものに置き換えます。[standalone@localhost:9999 /]
/socket-binding-group=standard-sockets/socket-binding=ajp:add(port=8009)
ソケットバインディングを Web サブシステムに追加します。
以下のコマンドを発行してコネクターを Web サブシステムに追加し、ソケットバインディング名とプロトコルを必要なものに置き換えます。[standalone@localhost:9999 /]
/subsystem=web/connector=ajp:add(socket-binding=ajp, protocol="AJP/1.3", enabled=true, scheme="http")
19.4. クラスタリング
19.4.1. クラスタリングサブシステムに TCP 通信を使用
TCPPING
プロトコルスタックを追加し、デフォルトのメカニズムとして使用できます。このような設定オプションはコマンドラインベースの管理 CLI で使用可能です。
mod_cluster
サブシステムもデフォルトで UDP 通信を使用しますが、TCP の使用を選択できます。
19.4.2. TCP を使用するよう JGroups サブシステムを設定
mod_cluster
サブシステムを設定する場合は、「mod_cluster
サブシステムのアドバタイズの無効化」 を参照してください。
お使いの環境に合わせて以下のスクリプトを変更します。
以下のスクリプトをテキストエディターにコピーします。管理対象ドメインで異なるプロファイルを使用する場合は、プロファイル名を変更します。スタンドアロンサーバーを使用する場合は、コマンドの/profile=full-ha
部分を削除します。以下のように、コマンドの最下部にリストされたプロパティーを変更します。これらは任意のプロパティーです。- initial_hosts
- 既知と見なされたホストのカンマ区切りのリストであり、初期メンバーシップを検索するために使用できます。
- port_range
- 必要な場合は、ポート範囲を割り当てることができます。2 のポート範囲を割り当て、初期ポートが 7600 である場合は、TCPPING がポート 7600 - 7601 の各ホストと通信しようとします。これは任意のプロパティーです。
- timeout
- クラスターメンバーの任意のタイムアウト値 (ミリ秒単位)
- num_initial_members
- クラスターが完了したと見なされるまでのノード数。これは任意のプロパティーです。
batch ## If tcp is already added then you can remove it ## /profile=full-ha/subsystem=jgroups/stack=tcp:remove /profile=full-ha/subsystem=jgroups/stack=tcp:add(transport={"type" =>"TCP", "socket-binding" => "jgroups-tcp"}) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=TCPPING) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=MERGE2) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=FD_SOCK,socket-binding=jgroups-tcp-fd) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=FD) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=VERIFY_SUSPECT) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=BARRIER) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=pbcast.NAKACK) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=UNICAST2) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=pbcast.STABLE) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=pbcast.GMS) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=UFC) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=MFC) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=FRAG2) /profile=full-ha/subsystem=jgroups/stack=tcp/:add-protocol(type=RSVP) /profile=full-ha/subsystem=jgroups:write-attribute(name=default-stack,value=tcp) run-batch /profile=full-ha/subsystem=jgroups/stack=tcp/protocol=TCPPING/property=initial_hosts/:add(value="HostA[7600],HostB[7600]") /profile=full-ha/subsystem=jgroups/stack=tcp/protocol=TCPPING/property=port_range/:add(value=0) /profile=full-ha/subsystem=jgroups/stack=tcp/protocol=TCPPING/property=timeout/:add(value=3000) /profile=full-ha/subsystem=jgroups/stack=tcp/protocol=TCPPING/property=num_initial_members/:add(value=3)
スクリプトをバッチモードで実行します。
警告
バッチファイルを実行する前に、プロファイルを実行しているサーバーをシャットダウンする必要があります。ターミナルエミュレーターで、jboss-cli.sh
スクリプトが含まれるディレクトリーに移動し、以下のコマンドを実行します。./jboss-cli.sh -c --file=
SCRIPT_NAME はスクリプトが含まれるパスの名前に置き換えます。SCRIPT_NAME
TCPPING
スタックが JGroups サブシステムで利用できるようになります。JGroups サブシステムは、すべてのネットワーク通信に TCP を使用します。mod_cluster
サブシステムが TCP も使用するよう設定するには、「mod_cluster
サブシステムのアドバタイズの無効化」 を参照してください。
19.4.3. mod_cluster
サブシステムのアドバタイズの無効化
mod_cluster
サブシステムのバランサーはマルチキャスト UDP を使用して可用性をバックグラウンドワーカーにアドバタイズしますが、アドバタイズを無効にすることも可能です。次の手順を用いてこの挙動を設定します。
手順19.6
httpd 設定を変更します。
サーバーアドバタイジングを無効にし、代わりにプロキシリストを使用するよう httpd 設定を変更します。プロキシリストはワーカーで設定され、ワーカーが対話できるmod_cluster
が有効な Web サーバーがすべて含まれます。Web サーバーのmod_cluster
設定は、通常は httpd インストール内の/etc/httpd/
またはetc/httpd/
ディレクトリーにあります (標準以外の場所にインストールされた場合)。そのファイルの詳細については、「Apache HTTP Server または JBoss Enterprise Web Server への mod_cluster モジュールのインストール (Zip)」 および 「mod_cluster が有効な Web サーバーに対するサーバーアドバタイズメントプロパティーの設定」 を参照してください。 MCPM 要求をリッスンする仮想ホストを含むファイルを開き (EnableMCPMReceive
ディレクティブを使用)、次のようにServerAdvertise
ディレクティブを変更してサーバーアドバタイジングを無効にします。ServerAdvertise Off
JBoss EAP 6 の
mod_cluster
サブシステム内でアドバタイジングを無効にし、プロキシのリストを提供します。Web ベースの管理コンソールまたはコマンドラインの管理 CLI を使用して、mod_cluster
サブシステムのアドバタイジングを無効にし、プロキシのリストを提供できます。アドバタイジングが無効な場合は、mod_cluster
サブシステムがプロキシを自動的に検出できないため、プロキシのリストが必要です。管理コンソール
管理対象ドメインを使用する場合は、mod_cluster
が有効になっているプロファイル (ha
プロファイルやfull-ha
プロファイルなど) でのみmod_cluster
を設定できます。- 管理コンソールにログインし、画面上部にある Configuration ラベルを選択します。管理対象ドメインを使用する場合は、左上の Profiles ドロップダウンメニューから
ha
またはfull-ha
プロファイルを選択します。 - Subsystems を展開した後に Web メニューを展開し、mod_cluster を選択します。
mod_cluster
の Advertising タブ下にある Edit をクリックします。アドバタイジングを無効にするには、Advertise の横にあるチェックボックスのチェックマークを削除し、Save をクリックします。図19.1
mod_cluster
アドバタイジング設定画面- Proxies タブをクリックします。Edit をクリックし、Proxy List フィールドにプロキシサーバーのリストを入力します。正しい構文は、以下のような
HOSTNAME:PORT
文字列のカンマ区切りリストになります。10.33.144.3:6666,10.33.144.1:6666
Save ボタンをクリックして終了します。
管理 CLI
次の 2 つの管理 CLI コマンドは、上記の管理コンソールの指示と同じ設定を作成します。管理対象ドメインを実行し、サーバーグループがfull-ha
プロファイルを使用することが前提となります。異なるプロファイルを使用する場合は、コマンドで名前を変更します。standalone-ha
プロファイルを使用してスタンドアロンサーバーを使用する場合は、コマンドの/profile=full-ha
部分を削除します。/profile=full-ha/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=advertise,value=false) /profile=full-ha/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=proxy-list,value="10.33.144.3:6666,10.33.144.1:6666")
httpd バランサーがその存在をワーカーノードにアドバタイズせず、UDP マルチキャストが使用されないようになります。
19.4.4. HornetQ クラスタリングの UDP の TCP への変更
注記
<cluster-password>${jboss.messaging.cluster.password:ChangeMe>}</cluster-password>
broadcast-groups および discovery-groups を削除します。
<broadcast-groups> <broadcast-group name="bg-group1"> <socket-binding>messaging-group</socket-binding> <broadcast-period>5000</broadcast-period> <connector-ref>netty</connector-ref> </broadcast-group> </broadcast-groups> <discovery-groups> <discovery-group name="dg-group1"> <socket-binding>messaging-group</socket-binding> <refresh-timeout>10000</refresh-timeout> </discovery-group> </discovery-groups
"messaging-group" ソケットバインディングを削除します (任意設定)。
<socket-binding name="messaging-group" port="0" multicast-address="${jboss.messaging.group.address:231.7.7.7}" multicast-port="${jboss.messaging.group.port:9876}"/>
適切な Netty コネクターを設定します (クラスターの他のノードごとに 1 つ)。
たとえば、クラスターが 3 ノードの場合は 2 つの Netty コネクターを設定し、クラスターが 2 ノードの場合は 1 つの Netty コネクターを設定します。3 ノードクラスターの設定例を以下に示します。<netty-connector name="other-cluster-node1" socket-binding="other-cluster-node1"/> <netty-connector name="other-cluster-node2" socket-binding="other-cluster-node2"/>
関連するソケットバインディングを設定します。
注記
必要な場合は、host または port に対してシステムプロパティーの置換を使用できます。<outbound-socket-binding name="other-cluster-node1"> <remote-destination host="otherNodeHostName1" port="5445"/> </outbound-socket-binding> <outbound-socket-binding name="other-cluster-node2"> <remote-destination host="otherNodeHostName2" port="5445"/> </outbound-socket-binding>
デフォルトで使用される discovery-group の代わりに、これらのコネクターを使用する cluster-connection を設定します。
<cluster-connection name="my-cluster"> <address>jms</address> <connector-ref>netty</connector-ref> <static-connectors> <connector-ref>other-cluster-node1</connector-ref> <connector-ref>other-cluster-node2</connector-ref> </static-connectors> </cluster-connection>
各ノードが、クラスターの他のノードすべて対してコネクターを持つように、この処理を各クラスターノードで繰り返す必要があります。注記
自身への接続を持つノードを設定しないでください。誤設定と見なされます。
19.5. Web、HTTP コネクター、および HTTP クラスタリング
19.5.1. mod_cluster
HTTP コネクター
- mod_cluster Management Protocol (MCMP) は、JBoss Enterprise Application Platform 6 サーバーと mod_cluster が有効な Apache HTTP Server との間の追加的な接続です。HTTP メソッドのカスタムセットを使用してサーバー側の負荷分散係数およびライフサイクルイベントを Apache HTTP Server サーバーへ再び送信するために JBoss Enterprise Application Platform サーバーによって使用されます。
- mod_cluster がある Apache HTTP Server を動的に設定すると、手動で設定せずに JBoss EAP 6 サーバーが負荷分散配置に参加できます。
- JBoss EAP 6 は、mod_cluster がある Apache HTTP Server に依存せずに負荷分散係数の計算を行います。これにより、負荷分散メトリックが他のコネクターよりも正確になります。
- mod_cluster コネクターにより、アプリケーションライフサイクルを細かく制御できるようになります。各 JBoss EAP 6 サーバーは Web アプリケーションコンテキストライフサイクルイベントを Apache HTTP Server サーバーに転送し、指定コンテキストのルーティング要求を開始または停止するよう通知します。これにより、リソースを使用できないことが原因の HTTP エラーがエンドユーザーに表示されないようになります。
- AJP、HTTP、または HTTPS トランスポートを使用できます。
19.5.2. mod_cluster
サブシステムの設定
mod_cluster
オプションを Web サブシステム設定エリアで使用できます。Configuration タブをクリックします。監理対象ドメインを使用する場合は、設定するプロファイルを左上にある Profile 選択ボックスから選択します。デフォルトでは、ha
および full-ha
プロファイルで mod_cluster
サブシステムが有効になっています。スタンドアロンサーバーを使用する場合は、standalone-ha
または standalone-full-ha
プロファイルを使用してサーバーを起動する必要があります。 Web メニューを展開し、mod_cluster を選択します。オプションの説明は下表を参照してください。最初に設定全体が示され、次にセッション、Web コンテキスト、プロキシ、SSL、およびネットワーキングの設定が示されます。これらのタブは mod_cluster 設定画面内に表示されます。
注記
ha
プロファイルと full-ha
プロファイルに対してのみ表示可能です。管理対象ドメインの場合、これらのプロファイルは ha
と full-ha
であり、スタンドアロンサーバーの場合は standalone-ha
と standalone-full-ha
です。
表19.4 mod_cluster
設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
負荷分散グループ (Load Balancing Group) |
これが null でない場合、要求はロードバランサーの特定の負荷分散グループに送信されます。負荷分散グループを使用しない場合は、これを空白のままにしてください。これはデフォルトでは設定されません。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=load-balancing-group,value=myGroup) |
バランサー (Balancer) |
バランサーの名前。httpd プロキシの設定と一致する必要があります。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=balancer,value=myBalancer) |
ソケットのアドバタイズ (Advertise Socket) |
クラスターのアドバタイズに使用するソケットバインディングの名前です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=advertise-socket,value=modcluster) |
セキュリティーキーのアドバタイズ (Advertise Security Key) |
アドバタイズのセキュリティーキーが含まれる文字列。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=advertise-security-key,value=myKey) |
アドバタイズ (Advertise) |
アドバタイズが有効かどうかを指定します。デフォルト値は
true です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=advertise,value=true) |
表19.5 mod_cluster
セッション設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
スティッキーセッション (Sticky Session) |
要求にスティッキーセッションを使用するかどうかを指定します。つまり、クライアントが特定のクラスターノードに接続すると、クラスターノードが利用不可能でない限り、それ以降の通信は同じノードにルーティングされます。デフォルト値および推奨される設定値は
true です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=sticky-session,value=true) |
スティッキーセッションの強制 (Sticky Session Force) | true を設定すると、最初のノードが利用不可能になった場合に要求は新しいクラスターノードにリダイレクトされず、失敗します。デフォルト値は false です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=sticky-session-force,value=false) |
スティッキーセッションの削除 (Sticky Session Remove) |
フェイルオーバー時にセッション情報を削除します。デフォルト値は
false です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=sticky-session-remove,value=false) |
表19.6 mod_cluster
Web コンテキスト設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
コンテキストの自動有効化 (Auto Enable Contexts) |
デフォルトで
mod_cluster に新しいコンテンツを追加するかどうかを指定します。このデフォルト値は true です。デフォルト値を変更し、コンテキストを手動で有効にする必要がある場合は、Web アプリケーションで enable() MBean メソッドまたは mod_cluster マネージャー (httpd の設定で指定された名前付き仮想ホストまたはポートの httpd プロキシで実行される Web アプリケーション) を使用してコンテキストを有効にできます。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=auto-enable-contexts,value=true) |
除外されたコンテキスト (Excluded Contexts) | mod_cluster が無視する必要がある、コンテキストのカンマ区切りリスト。ホストが指定されない場合、ホストは localhost と見なされます。ROOT は Web アプリケーションのルートコンテキストを示します。デフォルト値は ROOT,invoker,jbossws,juddi,console です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=excluded-contexts,value="ROOT,invoker,jbossws,juddi,console") |
表19.7 mod_cluster
プロキシー設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
プロキシ URL (Proxy URL) |
定義された場合、この値は MCMP コマンドの URL の前に付加されます。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=proxy-url,value=myhost) |
プロキシリスト (Proxy List) |
httpd プロキシアドレスのカンマ区切りリスト (
hostname:port 形式)。これは、mod_cluster プロセスが最初に通信しようとするリストを示します。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=proxy-list,value="127.0.0.1,127.0.0.2") |
mod_cluster
に対する SSL 通信の設定
デフォルトでは、mod_cluster
通信は暗号化されていない HTTP リンクを介して行われます。コネクタースキームを HTTPS
(表19.5「mod_cluster
セッション設定オプション」を参照) に設定する場合、以下の設定では、mod_cluster
に、接続を暗号化する情報を見つける場所が通知されます。
表19.8 mod_cluster
SSL 設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
ssl |
SSL を有効にするかどうか。デフォルトは
false です。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=ssl,value=true) |
キーエイリアス (Key Alias) |
証明書が作成されたときに選択されたキーエイリアス。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=key-alias,value=jboss) |
キーストア (Key Store) |
クライアント証明書が含まれるキーストアの場所。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=key-store,value=System.getProperty("user.home") + "/.keystore") |
キーストアタイプ (Key Store Type) |
キーストアのタイプ
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=key-store-type,value=JKS) |
キーストアプロバイダー (Key Store Provider) |
キーストアプロバイダー。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=key-store-provider,value=IBMJCE) |
パスワード |
証明書が作成された時に選択されたパスワード。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=password,value=changeit) |
トラストアルゴリズム (Trust Algorithm) |
トラストマネージャーファクトリーのアルゴリズム。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=trust-algorithm,value=PKIX) |
証明書ファイル (Cert File) |
証明書ファイルの場所。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=ca-certificate-file,value=${user.home}/jboss.crt) |
CRL ファイル (CRL File) |
証明書失効リスト (CRL) ファイル。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=ca-crl-file,value=${user.home}/jboss.crl) |
証明書の最大長 (Max Certificate Length) |
トラストストアの保持される証明書の最大長。デフォルトは
5 です。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=trust-max-cert-length,value=5) |
キーファイル (Key File) |
証明書のキーファイルの場所。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=certificate-key-file,value=${user.home}/.keystore) |
暗号スイート (Cipher Suite) |
許可された暗号スイート。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=cipher-suite,value=ALL) |
証明書エンコーディングアルゴリズム (Certificate Encoding Algorithms) |
キーマネージャーファクトリーのアルゴリズム。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=encoding-algorithms,value=ALL) |
失効 URL (Revocation URL) |
証明局失効リストの URL。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=ca-revocation-url,value=jboss.crl) |
プロトコル |
有効 な SSL プロトコル。
また、プロトコルの組み合わせをコンマで区切って指定することもできます (例: TLSv1, TLSv1.1,TLSv1.2)。
警告
Red Hat は、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSL を明示的に無効化することを推奨しています。
|
/subsystem=modcluster/mod-cluster-config=configuration/ssl=configuration/:write-attribute(name=protocol,value="TLSv1, TLSv1.1,TLSv1.2") |
mod_cluster
ネットワーキングオプションの設定
利用可能な mod_cluster
ネットワーキングオプションは、mod_cluster
サービスが通信する異なるタイプのサービスのさまざまなタイムアウト動作を制御します。
表19.9 mod_cluster
ネットワーキング設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
ノードタイムアウト (Node Timeout) |
ノードに対するプロキシ接続のタイムアウト (秒単位)。これは、
mod_cluster がバックエンド応答を待機する時間です。この時間が経過するとエラーが返されます。これはワーカー mod_proxy ドキュメンテーションのタイムアウトに対応します。値が -1 の場合は、タイムアウトがないことを示します。mod_cluster は要求を転送する前に cping/cpong を常に使用し、mod_cluster により使用される connectiontimeout 値は ping 値であることに注意してください。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=node-timeout,value=-1) |
ソケットタイムアウト (Socket Timeout) |
MCMP コマンドに対する httpd プロキシからの応答を待機する時間 (ミリ秒単位)。この時間が経過すると、タイムアウトになり、プロキシでエラーが発生していると示されます。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=socket-timeout,value=20) |
停止コンテキストタイムアウト (Stop Context Timeout) |
コンテキストがクリーンにシャットアウトされるまでの、stopContextTimeoutUnit で指定された単位の時間 (配布可能なコンテキストに対する保留中の要求の完了、または配布可能でないコンテキストに対するアクティブなセッションの破棄/期限切れ)。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=stop-context-timeout,value=10) |
セッション排出ストラテジ (Session Draining Strategy) |
Web アプリケーションをアンデプロイする前にセッションを排出 (drain) するかどうか。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=session-draining-strategy,value=DEFAULT) |
最大試行回数 (Max Attempts) |
httpd プロキシが該当する要求を送信しようとする回数。最小値は、
1 であり、試行回数は 1 回だけです。mod_proxy のデフォルト値も 1 であり、再試行は行われません。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=max-attempts,value=1) |
パケットのフラッシュ (Flush Packets) |
Web サーバーへのパケットのフラッシュを有効にするかどうかを指定します。デフォルト値は
false です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=flush-packets,value=false) |
フラッシュの待機 (Flush Wait) |
Web サーバーにパケットをフラッシュするまでの時間 (秒単位)。デフォルト値は
-1 です。値が -1 の場合は、パケットをフラッシュするまで永遠に待機します。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=flush-wait,value=-1) |
Ping |
ping に対するクラスターノードからの応答を待つ時間 (秒数単位)。デフォルト値は
10 秒です。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=ping,value=10) |
SMAX |
ソフトリミットのアイドル接続最大数 (ワーカー mod_proxy ドキュメントの
smax と同じ)。httpd スレッド設定により最大値が異なり、ThreadsPerChild または 1 になります。
|
profile=full-ha/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=smax,value=ThreadsPerChild) |
TTL |
smax より上のアイドル接続の残存時間 (秒数単位)。デフォルト値は 60 です。
nodeTimeout が定義されていない場合は、ProxyTimeout ディレクティブの Proxy が使用されます。ProxyTimeout が定義されていない場合は、サーバータイムアウト Timeout が使用されます。このデフォルト値は 300 秒です。nodeTimeout 、ProxyTimeout 、および Timeout はソケットレベルで設定されます。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=ttl,value=-1) |
ノードタイムアウト (Node Timeout) |
外部 Web サーバーの利用可能なワーカープロセスが要求を処理するまで待機する時間 (秒数単位)。デフォルト値は
-1 で、mod_cluster は httpd ワーカーが要求を処理するまで永遠に待機します。
|
/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=node-timeout,value=-1) |
mod_cluster
ロードプロバイダー設定オプション
以下の mod_cluster
設定オプションは管理コンソールで利用できません。管理 CLI を使用した場合のみ設定できます。
1
を割り当て、負荷分散アルゴリズムを適用せずにワークを均等に分散します。これを追加するには、以下の管理 CLI コマンドを使用します。
/subsystem=modcluster/mod-cluster-config=configuration/simple-load-provider:add
busyness
を使用します。以下に、動的ロードプロバイダーのオプションや可能な負荷メトリックを示します。
表19.10 mod_cluster
動的ロードプロバイダーオプション
オプション | 説明 | CLI コマンド |
---|---|---|
衰退 (Decay) |
履歴メトリックの重要性が衰退すべき要因。
|
/subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/:write-attribute(name=decay,value=2) |
履歴 (History) |
負荷を決定するときに考慮する、負荷メトリックの履歴記録数。
|
/subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/:write-attribute(name=history,value=9) |
負荷メトリック (Load Metric) |
JBoss EAP 6 の動的ロードプロバイダーに含まれるデフォルトの負荷メトリックは
busyness で、リクエストに対応するスレッドプールのスレッド数からワーカーノードの負荷を計算します。このメトリックの容量を設定できます (実際の負荷をこの容量で割ります: 計算された負荷/容量)。動的ロードプロバイダー内に複数の負荷メトリックを設定できます。
|
/subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/load-metric=busyness/:write-attribute(name=capacity,value=1.0) /subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/load-metric=busyness/:write-attribute(name=type,value=busyness) /subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/load-metric=busyness/:write-attribute(name=weight,value=1) |
負荷メトリックアルゴリズム
- cpu
cpu
負荷メトリックは、CPU 負荷の平均を使用して次のワークロードを取得するクラスターノードを決定します。- mem
mem
負荷メトリックはネイティブメモリーの空き容量を負荷係数として使用します。このメトリックの使用は推奨されません。これは、バッファーとキャッシュを含む値が提供され、メモリー管理が優れたシステムでは値が常に非常に小さくなるためです。- heap
heap
負荷メトリックは、ヒープ使用率を使用して次のワークロードを取得するクラスターを決定します。- sessions
session
負荷メトリックは、アクティブなセッションの数をメトリックとして使用します。- requests
requests
負荷メトリックは、クライアント要求の数を使用して次のワークロードを取得するクラスターノードを決定します。たとえば、容量 1000 の場合、 1000 要求数/秒はフルロードと見なされます。- send-traffic
send-traffic
負荷メトリックは、ワーカーノードからクライアントに送信されるトラフィックの量を使用します。たとえば、デフォルト容量が 512 の場合は、平均送信トラフィックが 512 KB/秒以上のとき、ノードがフルロードであると見なされます。- receive-traffic
- receive-traffic 負荷メトリックは、クライアントからワーカーノードに送信されるトラフィックの量を使用します。たとえば、デフォルト容量が 1024 の場合は、平均受信トラフィックが 1024 KB/秒以上のとき、ノードがフルロードであると見なされます。
- busyness
- このメトリックは、要求の処理で負荷が大きいスレッドプールからのスレッドの量を表します。
例19.1 負荷メトリックの追加
add-metric
コマンドを使用します。
/subsystem=modcluster/mod-cluster-config=configuration/:add-metric(type=sessions)
例19.2 既存メトリックの値設定
write-attribute
コマンドを使用します。
/subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/load-metric=cpu/:write-attribute(name="weight",value="3")
例19.3 既存メトリックの値変更
write-attribute
コマンドを使用します。
/subsystem=modcluster/mod-cluster-config=configuration/dynamic-load-provider=configuration/load-metric=cpu/:write-attribute(name="type",value="busyness")
例19.4 既存メトリックの削除
remove-metric
コマンドを使用します。
/subsystem=modcluster/mod-cluster-config=configuration/:remove-metric(type=sessions)
19.5.3. Apache HTTP Server または JBoss Enterprise Web Server への mod_cluster モジュールのインストール (Zip)
前提条件
- このタスクを実行するには、Red Hat Enterprise Linux 6 または JBoss Enterprise Web Server にインストールされた Apache HTTP Server を使用するか、JBoss EAP 6 のダウンロード可能な個別コンポーネントとして含まれるスタンドアロン Apache HTTP Server を使用する必要があります。
- Red Hat Enterprise Linux 6 に Apache HTTP Server をインストールする必要がある場合は、『Red Hat Enterprise Linux 6 デプロイメントガイド (Red Hat Enterprise Linux 6 Deployment Guide)』に記載された手順を実行します。
- JBoss EAP 6 の個別のダウンロード可能なコンポーネントとして含まれるスタンドアロンの Apache HTTP Server をインストールする必要がある場合は、「JBoss EAP 6 に含まれる Apache HTTP Server のインストール (Zip)」 を参照してください。
- JBoss Enterprise Web Server をインストールする必要がある場合は『JBoss Enterprise Web Server インストールガイド (JBoss Enterprise Web Server Installation Guide)』 に記載された手順を実行します。
- Red Hat カスタマーポータル (https://access.redhat.com) から、お使いのオペレーティングシステムとアーキテクチャー用の Webserver Connecter Natives パッケージをダウンロードします。このパッケージには、お使いのオペレーティングシステム用に事前にコンパイルされた mod_cluster バイナリー web サーバーモジュールが含まれます。アーカイブの展開後に、モジュールは
EAP_HOME/modules/system/layers/base/native/lib/httpd/modules
ディレクトリーに配置されます。etc/
ディレクトリーには、いくつかのサンプル設定ファイルが含まれ、share/
ディレクトリーには、いくつかの補足ドキュメントが含まれます。 - 管理 (root) 権限を使用してログインする必要があります。
注記
EAP_HOME/modules/system/layers/base/native/lib64/httpd/modules
に配置されます。モジュールにアクセスするときは常にこのパスを使用する必要があります。
手順19.7 mod_cluster モジュールのインストール
Apache HTTP Server の設定場所を判断します。
Apache HTTP Server の設定場所は、Red Hat Enterprise Linux の Apache HTTP Server を使用しているか、JBoss EAP 6 にダウンロード可能な個別コンポーネントとして同梱されているスタンドアロン Apache HTTP Server を使用しているか、または JBoss Enterprise Web Server で利用可能な Apache HTTP Server を使用しているかによって異なります。設定場所は以下の 3 つのオプションの 1 つであり、本タスクでは HTTPD_HOME と表記します。- Apache HTTP Server -
/etc/httpd/
- JBoss EAP 6 Apache HTTP Server - この場所はインフラストラクチャーの要件に基づいてユーザーによって選択されます。
- JBoss Enterprise Web Server Apache HTTP Server -
EWS_HOME/httpd/
モジュールを Apache HTTP Server モジュールディレクトリーにコピーします。
4 つのモジュール (拡張子が.so
のファイル) を、展開された Webserver Natives アーカイブのEAP_HOME/modules/system/layers/base/native/lib/httpd/modules
ディレクトリーからHTTPD_HOME/modules/
ディレクトリーにコピーします。JBoss Enterprise Web Server の場合は
mod_proxy_balancer
モジュールを無効にします。JBoss Enterprise Web Server を使用する場合は、mod_proxy_balancer
モジュールがデフォルトで有効になります。これには mod_cluster との互換性がありません。これを無効にするには、HTTPD_HOME/conf/httpd.conf
を編集し、モジュールをロードする行の前に#
(ハッシュ) 記号を置いて以下の行をコメントアウトします。この行はコメントなしで表示されたり、コメントありで表示されたりします (以下参照)。LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
# LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
ファイルを保存し、閉じます。mod_cluster モジュールを設定します。
Webserver Natives アーカイブには、サンプルmod_cluster.conf
ファイル (EAP_HOME/modules/system/layers/base/native/etc/httpd/conf
) が含まれます。このファイルをコピーおよび編集し、HTTPD_HOME/httpd/conf.d/JBoss_HTTP.conf
ファイルを作成できます。注記
JBoss_HTTP.conf
という名前を使用することは、本書では任意の慣例です。conf.d/
ディレクトリーに保存され、.conf
拡張子を持つ設定ファイルは、名前に関係なくロードされます。以下を設定ファイルに追加します。LoadModule slotmem_module modules/mod_slotmem.so LoadModule manager_module modules/mod_manager.so LoadModule proxy_cluster_module modules/mod_proxy_cluster.so LoadModule advertise_module modules/mod_advertise.so
これにより、Apache HTTP Server は、mod_cluster
が機能するために必要なモジュールを自動的にロードします。プロキシサーバーリスナーを作成します。
HTTPD_HOME/httpd/conf.d/JBoss_HTTP.conf
の編集を続行し、大文字の値を環境に適した値に置き換えて以下の最低限の設定を追加します。Listen IP_ADDRESS:PORT <VirtualHost IP_ADDRESS:PORT> <Location /> Order deny,allow Deny from all Allow from *.MYDOMAIN.COM </Location> KeepAliveTimeout 60 MaxKeepAliveRequests 0 EnableMCPMReceive On ManagerBalancerName mycluster ServerAdvertise On </VirtualHost>
これらのディレクティブにより、IP_ADDRESS:PORT
でリッスンする新しい仮想サーバーが作成され、MYDOMAIN.COM
からの接続が許可され、仮想サーバー自体がmycluster
という名前のバランサーとしてアドバタイズされます。これらのディレクティブの詳細については、Apache Web Server 向けドキュメントに記載されています。ServerAdvertise
およびEnableMCPMReceive
ディレクティブの詳細と、サーバーアドバタイジングの影響については、「mod_cluster が有効な Web サーバーに対するサーバーアドバタイズメントプロパティーの設定」 を参照してください。ファイルを保存し、終了します。Apache HTTP サーバーを再起動します。
Apache HTTP Server の再起動方法は、Red Hat Enterprise Linux の Apache HTTP Server を使用しているか、JBoss Enterprise Web Server に含まれる Apache HTTP Server を使用しているかによって異なります。以下の 2 つのいずれかの方法を選択します。Red Hat Enterprise Linux 6 の Apache HTTP Server
以下のコマンドを実行します。[root@host]#
service httpd restart
JBoss Enterprise Web Server の Apache HTTP Server
JBoss Enterprise Web Server は、Red Hat Enterprise Linux と Microsoft Windows Server の両方で実行されます。Apache HTTP Server の再起動方法はそれぞれ異なります。Red Hat Enterprise Linux
Red Hat Enterprise Linux では、JBoss Enterprise Web Server は Apache HTTP Server をサービスとしてインストールします。Apache HTTP Server を再起動するには、以下の 2 つのコマンドを実行します。[root@host ~]# service httpd stop
[root@host ~]# service httpd start
Microsoft Windows Server
コマンドプロンプトで以下のコマンドを管理権限で実行します。C:\> net stop httpd
C:\> net start httpd
Apache HTTP Server が ロードバランサーとして設定され、JBoss EAP 6 が実行されている mod_cluster
サブシステムと連携できます。JBoss EAP 6 が mod_cluster を認識するよう設定する場合は 「mod_cluster ワーカーノードの設定」 を参照してください。
19.5.4. Apache HTTP Server または JBoss Enterprise Web Server への mod_cluster モジュールのインストール (RPM)
前提条件
- このタスクを実行するには、Red Hat Enterprise Linux 6 または JBoss Enterprise Web Server にインストールされた Apache HTTP Server を使用するか、JBoss EAP 6 のダウンロード可能な個別コンポーネントとして含まれるスタンドアロン Apache HTTP Server を使用する必要があります。
- Red Hat Enterprise Linux 6 に Apache HTTP Server をインストールする必要がある場合は、『Red Hat Enterprise Linux 6 デプロイメントガイド (Red Hat Enterprise Linux 6 Deployment Guide)』に記載された手順を実行します。
- JBoss EAP 6 の個別のダウンロード可能なコンポーネントとして含まれるスタンドアロンの Apache HTTP Server をインストールする必要がある場合は、「JBoss EAP 6 に含まれる Apache HTTP Server のインストール (Zip)」 を参照してください。
- JBoss Enterprise Web Server をインストールする必要がある場合は『JBoss Enterprise Web Server インストールガイド (JBoss Enterprise Web Server Installation Guide)』 に記載された手順を実行します。
- 管理 (root) 権限を使用してログインする必要があります。
jbappplatform-6-ARCH-server-VERS-rpm
RHN チャンネルへの有効なサブスクリプションを持っている必要があります。
- YUM を使用して
mod_cluster-native
パッケージをインストールします。yum install mod_cluster-native
- Apache HTTP Server 2.2.15:
- Apache HTTP Server 2.2.15 の使用を継続する場合は、httpd.conf ファイルの
LoadModule proxy_balancer_module
行をコメントアウトして、デフォルトでロードされるmod_proxy_balancer
モジュールを無効にする必要があります。ファイルを手作業で編集するか、以下のコマンドを使用します。sed -i 's/^LoadModule proxy_balancer_module/#LoadModule proxy_balancer_module/;s/$//' /etc/httpd/conf/httpd.conf
- Apache HTTP Server 2.2.26 へアップグレードする場合は、以下のコマンドを使用して最新バージョンをインストールします。
yum install httpd
- ブート時に Apache HTTP Server サービスが起動するようにするには、以下のコマンドを実行します。
- Red Hat Enterprise Linux 5 および 6 の場合:
service httpd add
- Red Hat Enterprise Linux 7 の場合
systemctl enable httpd22.service
- 以下のコマンドを使用して、mod_cluster バランサーを起動します。
- Red Hat Enterprise Linux 5 および 6 の場合:
service httpd start
- Red Hat Enterprise Linux 7 の場合
systemctl start httpd22.service
19.5.5. mod_cluster が有効な Web サーバーに対するサーバーアドバタイズメントプロパティーの設定
Web サーバーを mod_cluster ロードバランサーと対話させる設定手順については、「Apache HTTP Server または JBoss Enterprise Web Server への mod_cluster モジュールのインストール (Zip)」 を参照してください。設定を行うにはサーバーアドバタイズメントの詳細を知る必要があります。
httpd.conf
に加える必要があります。通常、このファイルは Red Hat Enterprise Linux の /etc/httpd/conf/httpd.conf
にありますが、スタンドアロン Apache HTTP Server インスタンスの etc/
ディレクトリーにあることもあります。
手順19.8 httpd.conf ファイルを編集し、変更を実装する
AdvertiseFrequency
パラメーターを無効にします (存在する場合)。<VirtualHost>
ステートメントに以下のような行がある場合は、最初の文字の前に#
(ハッシュ) 記号を追加して、コメントアウトします。この値は5
ではないことがあります。AdvertiseFrequency 5
サーバーアドバタイズメントを無効にするディレクティブを追加します。
<VirtualHost>
ステートメント内部に以下のディレクティブを追加してサーバーアドバタイズメントを無効にします。ServerAdvertise Off
MCPM メッセージの受信機能を有効にします。
次のディレクティブを追加して、web サーバーがワーカーノードから MCPM メッセージを取得できるようにします。EnableMCPMReceive On
Web サーバーを再起動します。
以下のいずれかを実行して Web サーバーを再起動します。実行するコマンドは、Red Hat Enterprise Linux または Microsoft Windows Server を使用しているかによって異なります。Red Hat Enterprise Linux
[root@host ]# service httpd restart
Microsoft Windows Server
C:\> net service http C:\> net service httpd start
Web サーバーが mod_cluster プロキシの IP アドレスとポートをアドバタイズしなくなります。繰り返すには、ワーカーノードが静的アドレスとポートを使用してプロキシと通信するよう設定する必要があります。詳細については、「mod_cluster ワーカーノードの設定」 を参照してください。
19.5.6. mod_cluster ワーカーノードの設定
mod_cluster ワーカーノードは、JBoss EAP 6 サーバーから構成されます。このサーバーは、管理対象ドメインまたはスタンドアロンサーバーのサーバーグループの一部にすることができます。JBoss EAP 6 内では、クラスターのすべてのノードを管理する別のプロセスが実行されます。これはマスターと呼ばれます。ワーカーノードの概念の詳細については、「ワーカーノード」 を参照してください。Web サーバーのロードバランシングの概要については、「HTTP コネクターの概要」 を参照してください。
mod_cluster
サブシステムより設定されます。mod_cluster
サブシステムを設定する場合は『管理および設定ガイド』の「mod_cluster サブシステムの設定」を参照してください。
ワーカーノード設定
- スタンドアロンサーバーは
standalone-ha
またはstandalone-full-ha
プロファイルで起動する必要があります。 - 管理対象ドメインのサーバーグループは、
ha
またはfull-ha
プロファイルと、ha-sockets
またはfull-ha-sockets
ソケットバインディンググループを使用する必要があります。JBoss EAP 6 には、これらの要件を満たすother-server-group
という名前のクラスター対応サーバーグループが同梱されます。
注記
/profile=full-ha
部分を削除します。
手順19.9 ワーカーノードの設定
ネットワークインターフェースの設定
デフォルトでは、ネットワークインターフェースがすべて127.0.0.1
に設定されます。スタンドアロンサーバーまたはサーバーグループ内の 1 つまたは複数のサーバーをホストする各物理ホストでは、インターフェースが他のサーバーが見つけることができるパブリック IP アドレスを使用するよう設定する必要があります。JBoss EAP 6 ホストの IP アドレスを変更するには、ホストをシャットダウンし、設定ファイルを直接編集する必要があります。これは、管理コンソールと管理 CLI を駆動する管理 API は固定管理アドレスに依存するためです。クラスター内の各サーバーの IP アドレスをマスターのパブリック IP アドレスに変更するには、次の手順を実行します。- 本トピックでこれまでに説明したプロファイルを使用して JBoss EAP サーバーを起動します。
EAP_HOME/bin/jboss-cli.sh
コマンド (Linux の場合) またはEAP_HOME\bin\jboss-cli.bat
コマンド (Microsoft Windows Server の場合) を使用して管理 CLI を起動します。connect
と入力して localhost 上のドメインコントローラーに接続するか、connect IP_ADDRESS
と入力してリモートサーバー上のドメインコントローラーに接続します。- 以下のコマンドを入力し、
management
、public
、およびunsecure
インターフェースの外部 IP アドレスを編集します。必ずコマンドのEXTERNAL_IP_ADDRESS
をホストの実際の外部 IP アドレスと置き換えてください。
各コマンドに対して以下のような結果が表示されるはずです。/interface=management:write-attribute(name=inet-address,value="${jboss.bind.address.management:EXTERNAL_IP_ADDRESS}"
/interface=public:write-attribute(name=inet-address,value="${jboss.bind.address.public:EXTERNAL_IP_ADDRESS}"
/interface=unsecure:write-attribute(name=inet-address,value="${jboss.bind.address.unsecure:EXTERNAL_IP_ADDRESS}"
:reload
"outcome" => "success"
- 管理対象ドメインに参加するマスターでないホストの場合、ホスト名を
master
から一意の名前に変更する必要があります。この名前はスレーブ全体で一意となる必要があり、クラスターに対する識別のために使用されます。そのため、使用する名前を覚えておくようにしてください。- 以下の構文を使用して、JBoss EAP スレーブホストを起動します。
例を以下に示します。bin/domain.sh --host-config=HOST_SLAVE_XML_FILE_NAME
bin/domain.sh --host-config=host-slave01.xml
- 管理 CLI を起動します。
- 以下の構文を使用してホスト名を置き換えます。
例を以下に示します。/host=master:write-attribute(name="name",value=UNIQUE_HOST_SLAVE_NAME)
次の結果が表示されるはずです。/host=master:write-attribute(name="name",value="host-slave01")
"outcome" => "success"
これは、以下のようにhost-slave01.xml
ファイルの XML を変更します。<host name="host-slave01" xmlns="urn:jboss:domain:1.6">
- 管理対象ドメインに参加する必要がある新たに設定されたホストの場合は、
local
要素を削除し、ドメインコントローラーを示すhost
属性のremote
要素を追加する必要があります。この手順はスタンドアロンサーバーには適用されません。- 以下の構文を使用して、JBoss EAP スレーブホストを起動します。
例を以下に示します。bin/domain.sh --host-config=HOST_SLAVE_XML_FILE_NAME
bin/domain.sh --host-config=host-slave01.xml
- 管理 CLI を起動します。
- 次の構文を使用してドメインコントローラーを指定します。
例を以下に示します。/host=UNIQUE_HOST_SLAVE_NAME/:write-remote-domain-controller(host=DOMAIN_CONTROLLER_IP_ADDRESS,port=${jboss.domain.master.port:9999},security-realm="ManagementRealm")
次の結果が表示されるはずです。/host=host-slave01/:write-remote-domain-controller(host="192.168.1.200",port=${jboss.domain.master.port:9999},security-realm="ManagementRealm")
"outcome" => "success"
これは、以下のようにhost-slave01.xml
ファイルの XML を変更します。<domain-controller> <remote host="192.168.1.200" port="${jboss.domain.master.port:9999}" security-realm="ManagementRealm"/> </domain-controller>
各スレーブサーバーの認証を設定します。
各スレーブサーバーでは、ドメインコントローラーまたはスタンドアロンマスターのManagementRealm
で作成されたユーザー名とパスワードが必要です。ドメインコントローラーまたはスタンドアロンマスターで、EAP_HOME/bin/add-user.sh
コマンドを実行します。同じユーザー名を持つユーザーをスレーブとしてManagementRealm
に追加します。このユーザーが外部 JBoss AS インスタンスに対して認証する必要があるかどうか尋ねられた場合は、yes
と回答します。パスワードchangeme
を使用した、slave1
という名前のスレーブに対するコマンドの入出力例は以下のとおりです。user:bin user$ ./add-user.sh What type of user do you wish to add? a) Management User (mgmt-users.properties) b) Application User (application-users.properties) (a):
a
Enter the details of the new user to add. Realm (ManagementRealm) : Username :slave1
Password :changeme
Re-enter Password :changeme
About to add user 'slave1' for realm 'ManagementRealm' Is this correct yes/no?yes
Added user 'slave1' to file '/home/user/jboss-eap-6.0/standalone/configuration/mgmt-users.properties' Added user 'slave1' to file '/home/user/jboss-eap-6.0/domain/configuration/mgmt-users.properties' Is this new user going to be used for one AS process to connect to another AS process e.g. slave domain controller? yes/no? yes To represent the user add the following to the server-identities definition <secret value="Y2hhbmdlbWU=" />add-user.sh
の出力から Base64 でエンコードされた<secret>
要素をコピーします。認証に Base64 でエンコードされたパスワード値を指定したい場合、add-user.sh
の出力の最終行より<secret>
要素値をコピーします。次の手順でこの値が必要になります。新しい認証を使用するようスレーブホストのセキュリティーレルムを変更します。
以下の方法の 1 つを用いて秘密の値を指定できます。管理 CLI を使用して、サーバー設定ファイルに Base64 でエンコードされたパスワード値を指定します。
EAP_HOME/bin/jboss-cli.sh
コマンド (Linux の場合) またはEAP_HOME\bin\jboss-cli.bat
コマンド (Microsoft Windows Server の場合) を使用して管理 CLI を起動します。connect
と入力して localhost 上のドメインコントローラーに接続するか、connect IP_ADDRESS
と入力してリモートサーバー上のドメインコントローラーに接続します。- 以下のコマンドを入力して秘密の値を指定します。必ず
SECRET_VALUE
を前の手順のadd-user
出力から返された秘密の値に置き換えてください。
各コマンドに対して以下のような結果が表示されるはずです。/core-service=management/security-realm=ManagementRealm/server-identity=secret:add(value="SECRET_VALUE")
:reload
"outcome" => "success"
ホストを設定し、vault よりパスワードを取得します。
vault.sh
スクリプトを使用してマスクされたパスワードを生成します。次のような文字列が生成されます:VAULT::secret::password::ODVmYmJjNGMtZDU2ZC00YmNlLWE4ODMtZjQ1NWNmNDU4ZDc1TElORV9CUkVBS3ZhdWx0
。vault に関する詳細は、「機密性の高い文字列のパスワード vault」の項にある 「パスワード vault システム」 を参照してください。EAP_HOME/bin/jboss-cli.sh
コマンド (Linux の場合) またはEAP_HOME\bin\jboss-cli.bat
コマンド (Microsoft Windows Server の場合) を使用して管理 CLI を起動します。connect
と入力して localhost 上のドメインコントローラーに接続するか、connect IP_ADDRESS
と入力してリモートサーバー上のドメインコントローラーに接続します。- 以下のコマンドを入力して秘密の値を指定します。必ず
SECRET_VALUE
を前の手順で生成されたマスクされたパスワードに置き換えてください。
各コマンドに対して以下のような結果が表示されるはずです。/core-service=management/security-realm=ManagementRealm/server-identity=secret:add(value="${VAULT::secret::password::SECRET_VALUE}")
:reload
"outcome" => "success"
注記
vault でパスワードを作成する場合、Base64 エンコードではなくプレーンテキストで指定する必要があります。
システムプロパティーとしてパスワードを指定します。
次の例は、server.identity.password
をパスワードのシステムプロパティー名として使用します。- 管理 CLI を使用してサーバー設定ファイルにパスワードのシステムプロパティーを指定します。
EAP_HOME/bin/jboss-cli.sh
コマンド (Linux の場合) またはEAP_HOME\bin\jboss-cli.bat
コマンド (Microsoft Windows Server の場合) を使用して管理 CLI を起動します。connect
と入力して localhost 上のドメインコントローラーに接続するか、connect IP_ADDRESS
と入力してリモートサーバー上のドメインコントローラーに接続します。- 以下のコマンドを入力し、システムプロパティーを使用する秘密のアイデンティティーを設定します。
各コマンドに対して以下のような結果が表示されるはずです。/core-service=management/security-realm=ManagementRealm/server-identity=secret:add(value="${server.identity.password}")
:reload
"outcome" => "success"
- システムプロパティーとしてパスワードを指定する場合、次の方法のいずれかを用いてホストを設定できます。
- 次の例のように、プレーンテキストのパスワードをコマンドライン引数として入力し、サーバーを起動します。
-Dserver.identity.password=changeme
注記
パスワードはプレーンテキストで入力する必要があります。ps -ef
コマンドを実行すると、このパスワードを確認できます。 - パスワードをプロパティーファイルに格納し、プロパティーファイルの URL をコマンドライン引数として渡します。
- キーと値のペアをプロパティーファイルに追加します。例は次のとおりです。
server.identity.password=changeme
- コマンドライン引数を用いてサーバーを起動します。
--properties=URL_TO_PROPERTIES_FILE
.
サーバーを再起動します。
ホスト名をユーザー名として使用し、暗号化された文字列をパスワードとして使用してスレーブがマスターに対して認証されます。
スタンドアロンサーバーまたは管理対象ドメインのサーバーグループ内のサーバーが mod_cluster ワーカーノードとして設定されます。クラスター化されたアプリケーションをデプロイする場合、セッションはフェイルオーバーのためにすべてのクラスターサーバーに複製され、外部の Web サーバーまたはロードバランサーから要求を受け入れることができます。クラスターの各ノードは、デフォルトで自動検出を使用して他のノードを検出します。自動検出と mod_cluster
サブシステムの他の固有設定値を設定するには、「mod_cluster
サブシステムの設定」 を参照してください。Apache HTTP Server を設定するには、「外部 Web サーバーを JBoss EAP 6 アプリケーションの Web フロントエンドとして使用」 を参照してください。
19.5.7. クラスター間のトラフィックの移行
JBoss EAP 6 を使用して新しいクラスターを作成した後、アップグレード処理の一部として以前のクラスターから新しいクラスターへトラフィックを移行したいことがあります。ここでは、停止時間やダウンライムを最小限に抑えてトラフィックを移行する方法について説明します。
前提条件
- 新しいクラスター設定が必要です。「
mod_cluster
サブシステムの設定」 を参照してください。この新しいクラスターは Cluster New と呼びます。 - 不要となった古いクラスターの設定 (このクラスターを Cluster OLD とします)。
手順19.10 クラスターのアップグレード処理
- 前提条件に従って、新しいクラスターを設定します。
- Cluster NEW および Cluster OLD の両方で、設定オプション
sticky-session
がtrue
に設定されているようにしてください (デフォルト値はtrue
です)。このオプションを有効にすると、どちらかのクラスターのクラスターノードへの新しい要求はすべてそのノードへ送信されます。/profile=full-ha/subsystem=modcluster/mod-cluster-config=configuration/:write-attribute(name=sticky-session,value=true)
- 「mod_cluster ワーカーノードの設定」 のプロセスを使用して、Cluster NEW のノードを mod_cluster 設定に 1 つずつ追加します。
- ロードバランサー (mod_cluster) を設定し、Cluster OLD の各コンテキストを停止します。Cluster OLD のコンテキストを停止 (無効ではなく) すると、各コンテキストが正常にシャットダウンされます (最終的にノード全体がシャットダウンされます)。既存のセッションはノードが対応しますが、新しいセッションはこれらのノードに転送されません。コンテキストの停止に数分から数時間かかることがあります。次の CLI コマンドを使用してコンテキストを停止できます。パラメーターの値をご使用の環境に適した値に置き換えてください。
[standalone@localhost:9999 subsystem=modcluster] :stop-context(context=/myapp, virtualhost=default-host, waittime=50)
JBoss EAP 6 のクラスターが正常にアップグレードされます。
19.6. Apache mod_jk
19.6.1. Apache mod_jk HTTP コネクター
mod_jk
は互換性を維持するために必要となるユーザー向けに提供される HTTP コネクターです。Apache mod_jk
は JBoss Web Container に含まれる jboss-eap-native-webserver-connectors
の一部で、ロードバランシングを提供します。サポートされるプラットフォームについては https://access.redhat.com/site/articles/111663 を参照してください。mod_jk
コネクターは Apache によって維持管理され、ドキュメントは http://tomcat.apache.org/connectors-doc/ にあります。
mod_cluster
HTTP コネクターとは異なり、Apache Apache mod_jk
HTTP コネクターはサーバーまたはサーバーグループ上のデプロイメントの状態を認識しないため、状況に応じてワークを送信する環境に対応できません。
mod_jk
は mod_cluster
と同様に AJP 1.3 プロトコル上で通信します。
注記
mod_cluster
は mod_jk
よりも高度なロードバランサーです。 mod_cluster
は mod_jk
の全機能と追加機能を提供します。mod_cluster
の詳細については、「mod_cluster
HTTP コネクター 」 を参照してください。
次の手順: JBoss EAP 6 インスタンスを設定し mod_jk ロードバランシンググループに参加します。
19.6.2. JBoss EAP 6 が Apache Mod_jk と通信するよう設定
mod_jk HTTP コネクターには、Web サーバーによってロードされる単一のコンポーネント mod_jk.so
モジュールがあります。このモジュールは、クライアント要求を受け取り、コンテナー (この場合は JBoss EAP 6) に転送します。また、これらの要求を許可し、返信を Web サーバーに送信するよう JBoss EAP 6 を設定する必要があります。
- 管理対象ドメインでは、
ha
およびfull-ha
プロファイル、ha
またはfull-ha
ソケットバインディンググループを使用するサーバーグループ。other-server-group
サーバーグループはデフォルトのインストールで正しく設定されます。 - スタンドアロンサーバーでは、クラスター化された設定向けに
standalone-ha
およびstandalone-full-ha
プロファイルが設定されます。どちらかのプロファイルを使用してスタンドアロンサーバーを起動するには、EAP_HOME/
ディレクトリーより以下のコマンドを実行します。プロファイル名は適切な名前に置き換えてください。[user@host bin]$
./bin/standalone.sh --server-config=standalone-ha.xml
19.6.3. Apache HTTP Server への mod_jk モジュールのインストール (ZIP)
前提条件
- このタスクを実行するには、サポートされる環境にインストールされた Apache HTTP Sever を使用するか、JBoss Enterprise Web Server にインストールされた Apache HTTP Sever を使用する必要があります。JBoss Enterprise Web Server にインストールされた Apache HTTP Sever は JBoss EAP 6 ディストリビューションの一部であることに注意してください。
- Apache HTTP Server をインストールする必要がある場合は、『Red Hat Enterprise Linux デプロイメントガイド (Red Hat Enterprise Linux Deployment Guide)』 に記載された手順を実行します。
- JBoss Enterprise Web Server をインストールする必要がある場合は『JBoss Enterprise Web Server インストールガイド (JBoss Enterprise Web Server Installation Guide)』 に記載された手順を実行します。
- Apache HTTP Server を使用する場合は、ご使用のプラットフォーム向けの JBoss EAP 6 ネイティブコンポーネントパッケージを Red Hat カスタマーサービスポータル (https://access.redhat.com) からダウンロードします。このパッケージには、Red Hat Enterprise Linux 向けにプリコンパイルされた
mod_jk
およびmod_cluster
バイナリーが含まれます。JBoss Enterprise Web Server を使用している場合は、すでにmod_jk
のバイナリーは含まれています。 - Red Hat Enterprise Linux (RHEL) 5 と Apache HTTP サーバー (httpd 2.2.3) を使用している場合は、mod_jk モジュールをロードする前に mod_perl モジュールをロードしてください。
- 管理 (root) 権限を使用してログインする必要があります。
手順19.11 mod_jk モジュールのインストール
mod_jk モジュールを設定します。
HTTPD_HOME/conf.d/mod-jk.conf
という名前の新しいファイルを作成し、以下の内容をそのファイルに追加します。注記
JkMount
ディレクティブは、Apache が mod_jk モジュールに転送する必要がある URL を指定します。ディレクティブの設定に基づいて、mod_jk は受け取った URL を正しいサーブレットコンテナーに転送します。静的なコンテンツを直接提供し、Java アプリケーションにのみロードバランサーを使用するには、URL パスが/application/*
である必要があります。mod_jk をロードバランサーとして使用するには、値/*
を使用してすべての URL を mod_jk に転送します。# Load mod_jk module # Specify the filename of the mod_jk lib LoadModule jk_module modules/mod_jk.so # Where to find workers.properties JkWorkersFile conf/workers.properties # Where to put jk logs JkLogFile logs/mod_jk.log # Set the jk log level [debug/error/info] JkLogLevel info # Select the log format JkLogStampFormat "[%a %b %d %H:%M:%S %Y]" # JkOptions indicates to send SSK KEY SIZE JkOptions +ForwardKeySize -ForwardDirectories # JkRequestLogFormat JkRequestLogFormat "%w %V %T" # Mount your applications # The default setting only sends Java application data to mod_jk. # Use the commented-out line to send all URLs through mod_jk. # JkMount /* loadbalancer JkMount /application/* loadbalancer # Add shared memory. # This directive is present with 1.2.10 and # later versions of mod_jk, and is needed for # for load balancing to work properly JkShmFile logs/jk.shm # Add jkstatus for managing runtime data <Location /jkstatus/> JkMount status Order deny,allow Deny from all Allow from 127.0.0.1 </Location>
値を見て、セットアップに適切であることを確認します。適切な場合は、ファイルを保存します。JKMountFile ディレクティブの指定
mod-jk.conf
の JKMount ディレクティブに加えて、mod_jk に転送される複数の URL パターンを含むファイルを指定できます。- 以下の内容を
HTTPD_HOME/conf/mod-jk.conf
ファイルに追加します。# You can use external file for mount points. # It will be checked for updates each 60 seconds. # The format of the file is: /url=worker # /examples/*=loadbalancer JkMountFile conf/uriworkermap.properties
- 照合される各 URL パターンに対する行を含む
HTTPD_HOME/conf/uriworkermap.properties
という名前の新しいファイルを作成します。以下の例は、ファイルの構文の例を示しています。# Simple worker configuration file /*=loadbalancer
httpd のモジュールディレクトリーへの mod_jk.so ファイルのコピー
注記
これは Aache HTTP Server のmodules/
ディレクトリーにmod_jk.so
がない場合のみ必要となります。JBoss EAP 6 のダウンロードとして含まれている Apache HTTP Server を使用している場合はこの手順を省略できます。Native Web Server Connectors Zip パッケージを展開します。オペレーティングシステムが 32 ビットの場合はEAP_HOME/modules/system/layers/base/native/lib/httpd/modules/
ディレクトリー、64 ビットの場合はEAP_HOME/modules/system/layers/base/native/lib64/httpd/modules/
ディレクトリーにあるmod_jk.so
ファイルを見つけます。このファイルをHTTPD_HOME/modules/
ディレクトリーにコピーします。
mod_jk ワーカーノードを設定します。
HTTPD_HOME/conf/workers.properties
という名前の新しいファイルを作成します。以下の例を土台として使用し、必要に応じてファイルを変更します。# Define list of workers that will be used # for mapping requests worker.list=loadbalancer,status # Define Node1 # modify the host as your host IP or DNS name. worker.node1.port=8009 worker.node1.host=node1.mydomain.com worker.node1.type=ajp13 worker.node1.ping_mode=A worker.node1.lbfactor=1 # Define Node2 # modify the host as your host IP or DNS name. worker.node2.port=8009 worker.node2.host=node2.mydomain.com worker.node2.type=ajp13 worker.node2.ping_mode=A worker.node2.lbfactor=1 # Load-balancing behavior worker.loadbalancer.type=lb worker.loadbalancer.balance_workers=node1,node2 worker.loadbalancer.sticky_session=1 # Status worker for managing load balancer worker.status.type=status
workers.properties
ファイルの構文と高度な設定オプションの詳細については、「Apache Mod_jk ワーカーの設定リファレンス」 を参照してください。
Web サーバーを再起動します。
Web サーバーの再起動の方法は、Red Hat Enterprise Linux の Apache HTTP Server を使用しているか、または JBoss Enterprise Web Server に含まれる Apache HTTP Server を使用しているかによって異なります。以下の方法の 1 つを選択します。Red Hat Enterprise Linux の Apache HTTP Server
以下のコマンドを実行します。[root@host]#
service httpd restart
JBoss Enterprise Web Server の Apache HTTP Server
JBoss Enterprise Web Server は、Red Hat Enterprise Linux と Microsoft Windows Server の両方で実行されます。Web サーバーを再起動する方法はそれぞれ異なります。RPM からインストールされた Red Hat Enterprise Linux
Red Hat Enterprise Linux では、JBoss Enterprise Web Server は Web サーバーをサービスとしてインストールします。Web サーバーを再起動するには、以下の 2 つのコマンドを実行します。[root@host ~]# service httpd stop [root@host ~]# service httpd start
Zip からインストールされた Red Hat Enterprise Linux
Zip アーカイブから JBoss Enterprise Web Server Apache HTTP Server をインストールした場合は、apachectl
コマンドを使用して Web サーバーを再起動します。EWS_HOME は、JBoss Enterprise Web Server Apache HTTP Server を展開したディレクトリーに置き換えてください。[root@host ~]# EWS_HOME/httpd/sbin/apachectl restart
Microsoft Windows Server
コマンドプロンプトで以下のコマンドを管理権限で実行します。C:\> net stop Apache2.2 C:\> net start Apache2.2
Solaris
コマンドプロンプトにて、以下のコマンドを管理者権限で実行します。EWS_HOME は、JBoss Enterprise Web Server Apache HTTP Server を展開したディレクトリーに置き換えてください。[root@host ~] EWS_HOME/httpd/sbin/apachectl restart
Apache HTTP サーバーが mod_jk ロードバランサーを使用するよう設定されます。JBoss EAP 6 が mod_jk を認識するよう設定するには「外部 Web サーバーからの要求を許可するよう JBoss EAP 6 を設定」 を参照してください。
19.6.4. Apache HTTP Server への Mod_jk モジュールのインストール (RPM)
前提条件
- このタスクを実行するには、サポートされる環境にインストールされた Apache HTTP Sever を使用するか、JBoss Enterprise Web Server にインストールされた Apache HTTP Sever を使用する必要があります。JBoss Enterprise Web Server にインストールされた Apache HTTP Sever は JBoss EAP 6 ディストリビューションの一部であることに注意してください。
- Apache HTTP Server をインストールする必要がある場合は、https://access.redhat.com/site/documentation/ で入手可能な 『Red Hat Enterprise Linux デプロイメントガイド (Red Hat Enterprise Linux Deployment Guide)』 に記載された手順を実行します。
- JBoss Enterprise Web Server をインストールする必要がある場合は、https://access.redhat.com/site/documentation/ で入手可能な 『JBoss Enterprise Web Server インストールガイド (JBoss Enterprise Web Server Installation Guide)』 に記載された手順を実行します。
- 管理 (root) 権限を使用してログインする必要があります。
手順19.12 Red Hat Enterprise Linux 5: mod_jk と Apache HTTP Server 2.2.3
- mod_jk-ap22 1.2.37 と、依存関係の mod_perl を
jbappplatform-6-*-server-5-rpm
チャンネルよりインストールします。yum install mod_jk
- 任意設定: 使用するサンプル設定ファイルをコピーします。
cp /usr/share/doc/mod_jk-ap22-1.2.37/mod_jk.conf.sample /etc/httpd/conf.d/mod_jk.conf
cp /usr/share/doc/mod_jk-ap22-1.2.37/workers.properties.sample /etc/httpd/conf/workers.properties
これらのファイルは、必要に応じて編集する必要があります。 - サーバーを起動します。
service httpd start
注記
Cannot load /etc/httpd/modules/mod_jk.so into server: /etc/httpd/modules/mod_jk.so: undefined symbol: ap_get_server_description
/etc/httpd/conf.d/mod_jk.conf
に追加します。
<IfModule !perl_module> LoadModule perl_module modules/mod_perl.so </IfModule> LoadModule jk_module modules/mod_jk.so
手順19.13 Red Hat Enterprise Linux 5: mod_jk と JBoss EAP Apache HTTP Server 2.2.26
- 以下のコマンドを実行して、
jbappplatform-6-*-server-5-rpm
チャンネルより mod_jk と最新の Apache HTTP Server 2.2.26 をインストールします。yum install mod_jk httpd
- 任意設定: 使用するサンプル設定ファイルをコピーします。
cp /usr/share/doc/mod_jk-ap22-1.2.37/mod_jk.conf.sample /etc/httpd/conf.d/mod_jk.conf
cp /usr/share/doc/mod_jk-ap22-1.2.37/workers.properties.sample /etc/httpd/conf/workers.properties
これらのファイルは、必要に応じて編集する必要があります。 - サーバーを起動します。
service httpd start
手順19.14 Red Hat Enterprise Linux 6: mod_jk と JBoss EAP Apache HTTP Server 2.2.26
- mod_jk-ap22 1.2.37 および Apache HTTP Server 2.2.26 httpd パッケージを、
jbappplatform-6-*-server-6-rpm
チャンネルよりインストールします (既存のバージョンはすべて更新されます)。yum install mod_jk httpd
- 任意設定: 使用するサンプル設定ファイルをコピーします。
cp /usr/share/doc/mod_jk-ap22-1.2.37/mod_jk.conf.sample /etc/httpd/conf.d/mod_jk.conf
cp /usr/share/doc/mod_jk-ap22-1.2.37/workers.properties.sample /etc/httpd/conf/workers.properties
これらのファイルは、必要に応じて編集する必要があります。 - サーバーを起動します。
service httpd start
手順19.15 Red Hat Enterprise Linux 6: mod_jk と Apache HTTP Server 2.2.15
- 以下のコマンドを実行して、mod_jk と Apache HTTP Server 2.2.15 をインストールします。
yum install mod_jk
- 任意設定: 使用するサンプル設定ファイルをコピーします。
cp /usr/share/doc/mod_jk-ap22-1.2.37/mod_jk.conf.sample /etc/httpd/conf.d/mod_jk.conf
cp /usr/share/doc/mod_jk-ap22-1.2.37/workers.properties.sample /etc/httpd/conf/workers.properties
これらのファイルは、必要に応じて編集する必要があります。 - サーバーを起動します。
service httpd start
手順19.16 Red Hat Enterprise Linux 7: mod_jk と JBoss EAP Apache HTTP Server 2.2.26
- mod_jk-ap22 1.2.37 および Apache HTTP Server 2.2.26 httpd22 パッケージを、
jbappplatform-6-*-server-6-rpm
チャンネルよりインストールします (既存のバージョンはすべて更新されます)。yum install mod_jk
- 任意設定: 使用するサンプル設定ファイルをコピーします。
cp /usr/share/doc/mod_jk-ap22-1.2.37/mod_jk.conf.sample /etc/httpd22/conf.d/mod_jk.conf
cp /usr/share/doc/mod_jk-ap22-1.2.37/workers.properties.sample /etc/httpd22/conf/workers.properties
これらのファイルは、必要に応じて編集する必要があります。 - サーバーを起動します。
systemctl start httpd22.service
19.6.5. Apache Mod_jk ワーカーの設定リファレンス
workers.properties
ファイルは mod_jk がクライアント要求を渡すワーカーノードの動作を定義します。Red Hat Enterprise Linux では、このファイルは /etc/httpd/conf/workers.properties
にあります。workers.properties
ファイルは、異なるサーブレットコンテナーが存在する場所と、負荷をコンテナー全体で分散する方法を定義します。
worker.WORKER_NAME.DIRECTIVE
です。WORKER_NAME はワーカーの一意な名前で、DIRECTIVE はワーカーに適用される設定になります。
ノードテンプレートは、デフォルトの各ノードの設定を指定します。ノード設定内のテンプレート自体を上書きできます。ノードテンプレートの例は、例19.5「workers.properties
ファイルの例」 で参照できます。
表19.11 グローバルプロパティー
プロパティー | 説明 |
---|---|
worker.list | mod_jk で使用されるワーカー名のリスト。これらのワーカーは要求を受信できます。 |
表19.12 各ワーカーのプロパティー
プロパティー | 説明 |
---|---|
type |
ワーカーのタイプ。デフォルトのタイプは
ajp13 です。他の可能な値は ajp14 、lb 、 status です。
これらのディレクティブの詳細については、http://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html の Apache Tomcat Connector AJP Protocol Reference を参照してください。
|
balance_workers |
ロードバランサーが管理する必要があるワーカーノードを指定します。同じロードバランサーに対してディレクティブを複数回使用できます。ディレクティブは、カンマで区切られたワーカー名のリストから構成されます。これはワーカーごとに設定され、ノードごとには設定されません。このワーカータイプにより調整されるすべてのノードが影響を受けます。
|
sticky_session |
同じセッションからの要求を常に同じワーカーにルーティングするかどうかを指定します。デフォルト値は
0 であり、スティッキーセッションが無効になります。スティッキーセッションを有効にするには、1 に設定します。すべての要求が実際にステートレスでない限り、スティッキーセッションは通常有効にする必要があります。これは、ワーカーごとに設定され、ノードごとに設定されません。そのワーカータイプにより調整されるすべてのノードが影響を受けます。
|
表19.13 各ノードのプロパティー
プロパティー | 説明 |
---|---|
host |
ワーカーのホスト名または IP アドレス。ワーカーノードは
ajp プロトコルスタックをサポートする必要があります。デフォルト値は localhost です。
|
port |
定義されたプロトコル要求をリッスンしているリモートサーバーインスタンスのポート番号。デフォルト値は、AJP13 ワーカーのデフォルトリッスンポートである
8009 です。AJP14 ワーカーのデフォルト値は 8011 です。
|
ping_mode |
ネットワークの状態に対して接続がプローブされる条件。プローブは CPing に空の AJP13 パケットを使用し、応答で CPong を想定します。ディレクティブフラグの組み合わせを使用して条件を指定します。フラグはコンマまたはスペースで区切られません。ping_mode は、
C 、P 、I 、および A の任意の組み合わせです。
|
ping_timeout、connect_timeout、prepost_timeout、connection_ping_interval |
上記の接続プローブ設定のタイムアウト値。値はミリ秒単位で指定され、
ping_timeout のデフォルト値は 10000 です。
|
lbfactor |
各ワーカーの負荷分散係数を指定し、ロードバランサーのメンバーワーカーにのみ適用します。これは、より強力なサーバーにより多くの負荷を割り当てる場合に役に立ちます。ワーカーにデフォルトの 3 倍の負荷を割り当てるには、これを
3 に設定します (worker.my_worker.lbfactor=3 )。
|
例19.5 workers.properties
ファイルの例
worker.list=node1, node2, node3 worker.balancer1.sticky_sessions=1 worker.balancer1.balance_workers=node1 worker.balancer2.sticky_session=1 worker.balancer2.balance_workers=node2,node3 worker.nodetemplate.type=ajp13 worker.nodetemplate.port=8009 worker.node1.template=nodetemplate worker.node1.host=localhost worker.node1.ping_mode=CI worker.node1.connection_ping_interval=9000 worker.node1.lbfactor=1 worker.node2.template=nodetemplate worker.node2.host=192.168.1.1 worker.node2.ping_mode=A worker.node3.template=nodetemplate worker.node3.host=192.168.1.2
19.7. Apache mod_proxy
19.7.1. Apache mod_proxy HTTP コネクター
mod_proxy
と mod_jk
の 2 つのプロキシおよびロードバランシングモジュールを提供します。mod_jk
の詳細については、「Apache mod_jk HTTP コネクター 」 を参照してください。JBoss EAP 6 はこれらのいずれかの使用をサポートしますが、JBoss HTTP コネクターである mod_cluster
は JBoss EAP 6 と外部 httpd をより密接に結合するため、推奨される HTTP コネクターになります。利点と欠点を含むサポート対象 HTTP コネクターの概要については、「HTTP コネクターの概要」 を参照してください。
mod_jk
とは異なり、mod_proxy
は、HTTP および HTTPS プロトコルを介して接続をサポートします。これらは AJP プロトコルもサポートします。
mod_proxy
は、スタンドアロンまたは負荷分散設定で指定でき、スティッキーセッションをサポートします。
mod_proxy
モジュールを使用するには、JBoss EAP 6 に HTTP、 HTTPS、または AJP Web コネクターが設定されている必要があります。これは Web サブシステムの一部となります。Web サブシステムの設定については 「Web サブシステムの設定」 を参照してください。
19.7.2. Apache HTTP Server への mod_proxy HTTP コネクターのインストール
mod_proxy
は、Apache により提供される負荷分散モジュールです。このタスクは、基本的な設定を提供します。高度な設定または詳細については、Apache の mod_proxy
ドキュメンテーション (https://httpd.apache.org/docs/2.2/mod/mod_proxy.html) を参照してください。JBoss EAP 6 の観点からの mod_proxy
の詳細については、「Apache mod_proxy HTTP コネクター 」 および 「HTTP コネクターの概要」 を参照してください。
前提条件
- JBoss Enterprise Web Server の httpd または Apache HTTP Server のどちらかをインストールする必要があります。スタンドアロン Apache HTTP Server は、Red Hat カスタマーポータルの JBoss EAP 6 のダウンロードエリアから個別にダウンロードできます。この Apache HTTP Server を使用したい場合は 「JBoss EAP 6 に含まれる Apache HTTP Server のインストール (Zip)」 の詳細情報を参照してください。
mod_proxy
モジュールをインストールする必要があります。Apache HTTP Server は、通常、すでに同梱されているmod_proxy
モジュールで提供されます (Red Hat Enterprise Linux と JBoss Enterprise Web Server に含まれる Apache HTTP Server の場合)。- Apache HTTP Server の設定を変更するには、
root
または管理者権限が必要です。 - ここで使用する例では JBoss EAP 6 が HTTP または HTTPS Web コネクターで設定されていることを仮定しています。Web サブシステムの設定については 「Web サブシステムの設定」 を参照してください。
httpd で
mod_proxy
モジュールを有効にします。HTTPD_HOME/conf/httpd.conf
ファイルで次の行を探します。これらの行が存在しない場合は、行を最下部に追加します。これらの行が存在し、行がコメント (#) 文字始まる場合は、この文字を削除します。編集後、ファイルを保存します。通常、モジュールはすでに存在し、有効になっています。LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_balancer_module modules/mod_proxy_balancer.so LoadModule proxy_http_module modules/mod_proxy_http.so # Uncomment these to proxy FTP or HTTPS #LoadModule proxy_ftp_module modules/mod_proxy_ftp.so #LoadModule proxy_connect_module modules/mod_proxy_connect.so
非負荷分散プロキシーを追加します。
以下の設定を、他の<VirtualHost>
ディレクトリーの直下にあるHTTPD_HOME/conf/httpd.conf
ファイルに追加します。値をセットアップに適切な値に置き換えます。この例では、仮想ホストを使用します。デフォルトの httpd 設定を使用するには、次の手順を参照してください。<VirtualHost *:80> # Your domain name ServerName Domain_NAME_HERE ProxyPreserveHost On # The IP and port of JBoss EAP 6 # These represent the default values, if your httpd is on the same host # as your JBoss EAP 6 managed domain or server ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ # The location of the HTML files, and access control information DocumentRoot /var/www <Directory /var/www> Options -Indexes Order allow,deny Allow from all </Directory> </VirtualHost>
変更後に、ファイルを保存します。負荷分散プロキシーを追加します。
mod_proxy
をロードバランサーとして使用し、複数の JBoss EAP 6 サーバーにワークを送信するには、以下の設定をHTTPD_HOME/conf/httpd.conf
ファイルに追加します。IP アドレスの例には架空の値が使用されています。これらの値を環境に適した値に置き換えてください。<Proxy balancer://mycluster> Order deny,allow Allow from all # Add each JBoss Enterprise Application Server by IP address and port. # If the route values are unique like this, one node will not fail over to the other. BalancerMember http://192.168.1.1:8080 route=node1 BalancerMember http://192.168.1.2:8180 route=node2 </Proxy> <VirtualHost *:80> # Your domain name ServerName YOUR_DOMAIN_NAME ProxyPreserveHost On ProxyPass / balancer://mycluster/ # The location of the HTML files, and access control information DocumentRoot /var/www <Directory /var/www> Options -Indexes Order allow,deny Allow from all </Directory> </VirtualHost>
上記の例では、すべて HTTP プロトコルを使用して通信します。 適切なmod_proxy
モジュールをロードする場合は、AJP または HTTPS プロトコルを代わりに使用できます。詳細については、Apache のmod_proxy
ドキュメンテーション (http://httpd.apache.org/docs/2.2/mod/mod_proxy.html) を参照してください。スティッキーセッションを有効にします。
スティッキーセッションを使用すると、クライアント要求が特定の JBoss EAP 6 ノードに送信された場合に、ノードが利用不可能にならない限り、すべての将来的な要求が同じノードに送信されます。これは、ほとんどの場合で適切な挙動です。mod_proxy
のスティッキーセッションを有効にするには、stickysession
パラメーターをProxyPass
ステートメントに追加します。この例では、使用できる他のいくつかのパラメーターも示されます。詳細については、Apache のmod_proxy
ドキュメンテーション (http://httpd.apache.org/docs/2.2/mod/mod_proxy.html) を参照してください。ProxyPass /MyApp balancer://mycluster stickysession=JSESSIONID lbmethod=bytraffic nofailover=Off
Web サーバーを再起動します。
Web サーバーを再起動して変更を有効にします。
標準またはロードバランシング設定で mod_proxy
を使用してクライアント要求を JBoss EAP 6 サーバーまたはクラスターに送信するよう Apache HTTP Server が設定されます。JBoss EAP 6 がこれらの要求に応答するよう設定するには、「外部 Web サーバーからの要求を許可するよう JBoss EAP 6 を設定」 を参照してください。
19.8. Microsoft ISAPI
19.8.1. インターネットサーバー API (ISAPI) HTTP コネクター
19.8.2. Microsoft IIS の Web サーバーコネクターネイティブのダウンロードおよび展開
- Web ブラウザーで Red Hat カスタマーポータル (https://access.redhat.com) にアクセスします。
- ダウンロード の Red Hat JBoss Middleware をクリックし、Product ドロップダウンリストから Enterprise Application Platform を選択します。
- バージョン ドロップダウンリストから適切なバージョンを選択します。
- サーバーのアーキテクチャーに応じて、Download オプションの Red Hat JBoss Enterprise Application Platform 6.3.0 Webserver Connector Natives for Windows Server 2008 x86_64 または Red Hat JBoss Enterprise Application Platform 6.3.0 Webserver Connector Natives for Windows Server 2008 i686 を選択します。
- zip ファイルを開き、
jboss-eap-6.3/modules/system/layers/base/native/sbin
ディレクトリーの内容をサーバー上の場所にコピーします。ここでは、内容がC:\connectors\
にコピーされたことを前提とします。
19.8.3. Microsoft IIS が ISAPI リダイレクターを使用するよう設定
注記
手順19.17 IIS マネージャー (IIS 7) を使用した IIS リダイレクターの設定
- Start → Run をクリックし、
inetmgr
と入力して、IIS マネージャーを開きます。 - 左側のツリービューペインで、IIS 7 を展開します。
- ISAPI and CGI Registrations をダブルクリックして新しいウィンドウで開きます。
- Actions ペインで、Add をクリックします。Add ISAPI or CGI Restriction ウィンドウが開きます。
- 以下の値を指定します。
- ISAPI or CGI Path:
c:\connectors\isapi_redirect.dll
- Description:
jboss
- Allow extension path to execute: チェックボックスを選択します。
- OK をクリックして Add ISAPI or CGI Restriction ウィンドウを閉じます。
JBoss ネイティブ仮想ディレクトリーの定義
- Default Web Site を右クリックし、Add Virtual Directory をクリックします。Add Virtual Directory ウィンドウが開きます。
- 以下の値を指定して仮想ディレクトリーを追加します。
- Alias:
jboss
- Physical Path:
C:\connectors\
- OK をクリックして値を保存し、Add Virtual Directory ウィンドウを閉じます。
JBoss ネイティブ ISAPI リダイレクトフィルターの定義
- ツリービューペインで、Sites → Default Web Site を展開します。
- ISAPI Filters ダブルクリックします。ISAPI Filters Features ビューが表示されます。
- Actions ペインで、Add をクリックします。Add ISAPI Filter ウィンドウが表示されます。
- Add ISAPI Filter ウィンドウで以下の値を指定します。
- Filter name:
jboss
- Executable:
C:\connectors\isapi_redirect.dll
- OK をクリックして値を保存し、Add ISAPI Filters ウィンドウを閉じます。
ISAPI-dll ハンドラーの有効化
- ツリービューペインで、IIS 7 アイテムをダブルクリックします。IIS 7 Home Features View が開きます。
- Handler Mappings をダブルクリックします。Handler Mappings Features View が表示されます。
- Group by コンボボックスで、State を選択します。Handler Mappings が Enabled and Disabled Groups に表示されます。
- ISAPI-dll を見つけます。Disabled グループにある場合は、右クリックし、Edit Feature Permissions を選択します。
- 以下のパーミッションを有効にします。
- Read
- Script
- Execute
- OK をクリックして値を保存し、Edit Feature Permissions ウィンドウを閉じます。
Microsoft IIS が ISAPI リダイレクターを使用するよう設定されます。次に 「外部 Web サーバーからの要求を許可するよう JBoss EAP 6 を設定」 を行い、「ISAPI リダイレクターがクライアント要求を JBoss EAP 6 に送信するよう設定」 または 「ISAPI がクライアント要求を複数の JBoss EAP 6 サーバーで分散するよう設定」 を行います。
19.8.4. ISAPI リダイレクターがクライアント要求を JBoss EAP 6 に送信するよう設定
このタスクでは、JBoss EAP 6 サーバーのグループが ISAPI リダイレクターから要求を受け入れるよう設定します。負荷分散または高可用性フェイルオーバーの設定は含まれません。これらの機能が必要な場合は、「ISAPI がクライアント要求を複数の JBoss EAP 6 サーバーで分散するよう設定」 を参照してください。
前提条件
- IIS サーバーへの完全な管理者アクセスが必要です。
手順19.18 プロパティーファイルの編集およびリダイレクトの設定
ログ、プロパティーファイル、およびロックファイルを格納するディレクトリーを作成します。
この手順では、ディレクトリーC:\connectors\
の使用を前提としています。異なるディレクトリーを使用する場合は、適切に手順を変更してください。isapi_redirect.properties
ファイルを作成します。C:\connectors\isapi_redirect.properties
という新しいファイルを作成します。このファイルに次の内容をコピーします。# Configuration file for the ISAPI Redirector # Extension uri definition extension_uri=/jboss/isapi_redirect.dll # Full path to the log file for the ISAPI Redirector log_file=c:\connectors\isapi_redirect.log # Log level (debug, info, warn, error or trace) log_level=info # Full path to the workers.properties file worker_file=c:\connectors\workers.properties # Full path to the uriworkermap.properties file worker_mount_file=c:\connectors\uriworkermap.properties #Full path to the rewrite.properties file rewrite_rule_file=c:\connectors\rewrite.properties
uriworkermap.properties
ファイルを作成します。uriworkermap.properties
ファイルには、デプロイされたアプリケーション URL と、それらへの要求を処理するワーカー間のマッピングが含まれます。以下のサンプルファイルはファイルの構文を示しています。uriworkermap.properties
ファイルをC:\connectors\
に格納してください。# images and css files for path /status are provided by worker01 /status=worker01 /images/*=worker01 /css/*=worker01 # Path /web-console is provided by worker02 # IIS (customized) error page is used for http errors with number greater or equal to 400 # css files are provided by worker01 /web-console/*=worker02;use_server_errors=400 /web-console/css/*=worker01 # Example of exclusion from mapping, logo.gif won't be displayed # !/web-console/images/logo.gif=* # Requests to /app-01 or /app-01/something will be routed to worker01 /app-01|/*=worker01 # Requests to /app-02 or /app-02/something will be routed to worker02 /app-02|/*=worker02
workers.properties
ファイルを作成します。workers.properties
ファイルには、ワーカーラベルとサーバーインスタンス間のマッピング定義が含まれます。以下のサンプルファイルはファイルの構文を示しています。このファイルをC:\connectors\
ディレクトリーに格納してください。# An entry that lists all the workers defined worker.list=worker01, worker02 # Entries that define the host and port associated with these workers # First JBoss EAP 6 server definition, port 8009 is standard port for AJP in EAP worker.worker01.host=127.0.0.1 worker.worker01.port=8009 worker.worker01.type=ajp13 # Second JBoss EAP 6 server definition worker.worker02.host=127.0.0.100 worker.worker02.port=8009 worker.worker02.type=ajp13
rewrite.properties
ファイルを作成します。rewrite.properties
ファイルには、特定のアプリケーションの単純な URL 書き換えルールが含まれます。以下の例で示されているように、書き換えられたパスは名前と値のペアを使用して指定されます。このファイルをC:\connectors\
ディレクトリーに格納してください。#Simple example # Images are accessible under abc path /app-01/abc/=/app-01/images/
IIS サーバーを再起動します。
net stop
およびnet start
コマンドを使用して IIS サーバーを再起動します。C:\> net stop was /Y C:\> net start w3svc
アプリケーションごとに、設定した特定の JBoss EAP 6 サーバーにクライアント要求を送信するよう IIS サーバーが設定されます。
19.8.5. ISAPI がクライアント要求を複数の JBoss EAP 6 サーバーで分散するよう設定
この設定により、クライアント要求は指定した JBoss EAP 6 サーバーで分散されます。クライアント要求を、デプロイメントごとに、特定の JBoss EAP 6 サーバーに送信する場合は、「ISAPI リダイレクターがクライアント要求を JBoss EAP 6 に送信するよう設定」 を参照してください。
前提条件
- IIS サーバーへの完全な管理者アクセス。
手順19.19 複数のサーバー間でのクライアント要求の分散
ログ、プロパティーファイル、およびロックファイルを格納するディレクトリーを作成します。
この手順では、ディレクトリーC:\connectors\
の使用を前提としています。異なるディレクトリーを使用する場合は、適切に手順を変更してください。isapi_redirect.properties
ファイルを作成します。C:\connectors\isapi_redirect.properties
という新しいファイルを作成します。このファイルに次の内容をコピーします。# Configuration file for the ISAPI Redirector # Extension uri definition extension_uri=/jboss/isapi_redirect.dll # Full path to the log file for the ISAPI Redirector log_file==c:\connectors\isapi_redirect.log # Log level (debug, info, warn, error or trace) log_level=info # Full path to the workers.properties file worker_file=c:\connectors\workers.properties # Full path to the uriworkermap.properties file worker_mount_file=c:\connectors\uriworkermap.properties #OPTIONAL: Full path to the rewrite.properties file rewrite_rule_file=c:\connectors\rewrite.properties
uriworkermap.properties
ファイルを作成します。uriworkermap.properties
ファイルには、デプロイされたアプリケーション URL と、それらへの要求を処理するワーカー間のマッピングが含まれます。以下のサンプルファイルは負荷分散が設定されたファイルの構文を示しています。ワイルドカード (*
) 文字はさまざまな URL サブディレクトリーのすべての要求をrouter
という名前のロードバランサーに送信します。ロードバランサーの設定については、ステップ 4 を参照してください。uriworkermap.properties
ファイルをC:\connectors\
に格納してください。# images, css files, path /status and /web-console will be # provided by nodes defined in the load-balancer called "router" /css/*=router /images/*=router /status=router /web-console|/*=router # Example of exclusion from mapping, logo.gif won't be displayed !/web-console/images/logo.gif=* # Requests to /app-01 and /app-02 will be routed to nodes defined # in the load-balancer called "router" /app-01|/*=router /app-02|/*=router # mapping for management console, nodes in cluster can be enabled or disabled here /jkmanager|/*=status
workers.properties
ファイルを作成します。workers.properties
ファイルには、ワーカーラベルとサーバーインスタンス間のマッピング定義が含まれます。以下のサンプルファイルはファイルの構文を示しています。ロードバランサーは、ファイルの最後で設定され、ワーカーworker01
およびworker02
から構成されます。workers.properties
ファイルは Apache mod_jk 設定に使用されるのと同じファイルの構文に従います。workers.properties
ファイルの構文の詳細については、「Apache Mod_jk ワーカーの設定リファレンス」 を参照してください。このファイルをC:\connectors\
ディレクトリーに格納してください。# The advanced router LB worker worker.list=router,status # First EAP server definition, port 8009 is standard port for AJP in EAP # # lbfactor defines how much the worker will be used. # The higher the number, the more requests are served # lbfactor is useful when one machine is more powerful # ping_mode=A – all possible probes will be used to determine that # connections are still working worker.worker01.port=8009 worker.worker01.host=127.0.0.1 worker.worker01.type=ajp13 worker.worker01.ping_mode=A worker.worker01.socket_timeout=10 worker.worker01.lbfactor=3 # Second EAP server definition worker.worker02.port=8009 worker.worker02.host=127.0.0.100 worker.worker02.type=ajp13 worker.worker02.ping_mode=A worker.worker02.socket_timeout=10 worker.worker02.lbfactor=1 # Define the LB worker worker.router.type=lb worker.router.balance_workers=worker01,worker02 # Define the status worker for jkmanager worker.status.type=status
rewrite.properties
ファイルを作成します。rewrite.properties
ファイルには、特定のアプリケーションの単純な URL 書き換えルールが含まれます。以下の例で示されているように、書き換えられたパスは名前と値のペアを使用して指定されます。このファイルをC:\connectors\
ディレクトリーに格納してください。#Simple example # Images are accessible under abc path /app-01/abc/=/app-01/images/
IIS サーバーを再起動します。
net stop
およびnet start
コマンドを使用して IIS サーバーを再起動します。C:\> net stop was /Y C:\> net start w3svc
IIS サーバーが、workers.properties
ファイルで参照された JBoss EAP 6 サーバーにクライアント要求を送信し、サーバー間で負荷を 1:3 の比率で分散するよう設定されます。この比率は、各サーバーに割り当てられた負荷分散係数 (lbfactor
) から派生します。
19.9. Oracle NSAPI
19.9.1. Netscape Server API (NSAPI) HTTP コネクター
19.9.2. Oracle Solaris での NSAPI コネクターの設定
NSAPI コネクターは、Oracle iPlanet Web Server 内で実行されるモジュールです。
前提条件
- サーバーが、Intel 32 ビット、Intel 64 ビット、または SPARC64 アーキテクチャーで Oracle Solaris 10 以上を実行している必要があります。
- NSAPI コネクターを除き、Intel アーキテクチャーでは Oracle iPlanet Web Server 7.0.15 以上のバージョン、SPARC アーキテクチャーでは 7.0.14 以上のバージョンがインストールおよび設定されている必要があります。
- JBoss EAP 6 は、ワーカーノードとして機能する各サーバー上でインストールおよび設定されます。「外部 Web サーバーからの要求を許可するよう JBoss EAP 6 を設定」 を参照してください。
- JBoss ネイティブコンポーネント ZIP パッケージをカスタマーサービスポータル (https://access.redhat.com) からダウンロードする必要があります。
手順19.20 NSAPI コネクターの抽出および設定
JBoss ネイティブコンポーネントパッケージを抽出します。
この手順の残りでは、ネイティブコンポーネントパッケージが EAP_HOME ディレクトリーに展開されることを前提とします。この手順の残りでは、/opt/oracle/webserver7/config/
ディレクトリーは IPLANET_CONFIG と示されます。Oracle iPlanet 設定ディレクトリーが異なる場合は、適切に手順を変更してください。サーブレットマッピングを無効にします。
IPLANET_CONFIG/default.web.xml
ファイルを開き、Built In Server Mappings
という見出しのセクションを見つけます。次の 3 つのサーブレットを XML コメント文字 (<!--
および-->
) で囲み、これらのサーブレットへのマッピングを無効にします。- default
- invoker
- jsp
以下の設定例は、無効にされたマッピングを示しています。<!-- ============== Built In Servlet Mappings =============== --> <!-- The servlet mappings for the built in servlets defined above. --> <!-- The mapping for the default servlet --> <!--servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping--> <!-- The mapping for the invoker servlet --> <!--servlet-mapping> <servlet-name>invoker</servlet-name> <url-pattern>/servlet/*</url-pattern> </servlet-mapping--> <!-- The mapping for the JSP servlet --> <!--servlet-mapping> <servlet-name>jsp</servlet-name> <url-pattern>*.jsp</url-pattern> </servlet-mapping-->
ファイルを保存し、終了します。iPlanet Web Server が NSAPI コネクターモジュールをロードするよう設定します。
IPLANET_CONFIG/magnus.conf
ファイルの最後に次の行を追加し、お使いの設定に合うようファイルパスを変更します。これらの行は、nsapi_redirector.so
モジュールと、ワーカーノードとプロパティーがリストされたworkers.properties
ファイルの場所を定義します。Init fn="load-modules" funcs="jk_init,jk_service" shlib="EAP_HOME/modules/system/layers/base/native/lib/nsapi_redirector.so" shlib_flags="(global|now)" Init fn="jk_init" worker_file="IPLANET_CONFIG/connectors/workers.properties" log_level="info" log_file="IPLANET_CONFIG/connectors/nsapi.log" shm_file="IPLANET_CONFIG/connectors/tmp/jk_shm"
上記の設定は 32 ビットアーキテクチャー向けです。64 ビット Solaris を使用している場合は、文字列lib/nsapi_redirector.so
をlib64/nsapi_redirector.so
に変更します。ファイルを保存し、終了します。NSAPI コネクターを設定します。
負荷分散のない基本設定または負荷分散設定向けに NSAPI コネクターを設定できます。以下のいずれかのオプションを選択します。その後、設定が完了します。
19.9.3. NSAPI を基本的な HTTP コネクターとして設定
このタスクでは、NSAPI コネクターが負荷分散またはフェイルオーバーなしでクライアント要求を JBoss EAP 6 サーバーにリダイレクトするよう設定します。リダイレクトは、デプロイメントごとに (つまり、URL ごとに) 行われます。負荷分散設定については 「NSAPI を負荷分散クラスターとして設定」 を参照してください。
前提条件
- 現在のタスクを継続する前に、「Oracle Solaris での NSAPI コネクターの設定」 を完了する必要があります。
手順19.21 基本的な HTTP コネクターの設定
JBoss EAP 6 サーバーにリダイレクトする URL パスを定義します。
注記
IPLANET_CONFIG/obj.conf
では、前の行から継続する行以外は、行の最初にスペースを挿入しないでください。IPLANET_CONFIG/obj.conf
ファイルを編集します。<Object name="default">
で始まるセクションを見つけ、一致する各 URL パターンを次のサンプルファイルで示された形式で追加します。文字列jknsapi
は、次の手順で定義される HTTP コネクターを示します。例は、ワイルドカードを使用したパターン一致を示しています。<Object name="default"> [...] NameTrans fn="assign-name" from="/status" name="jknsapi" NameTrans fn="assign-name" from="/images(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/css(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/nc(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/jmx-console(|/*)" name="jknsapi" </Object>
各パスを提供するワーカーを定義します。
IPLANET_CONFIG/obj.conf
ファイルの編集を続行します。編集したセクションの終了タグのすぐ後に、</Object>
を追加します。<Object name="jknsapi"> ObjectType fn=force-type type=text/plain Service fn="jk_service" worker="worker01" path="/status" Service fn="jk_service" worker="worker02" path="/nc(/*)" Service fn="jk_service" worker="worker01" </Object>
上記の例は、URL パス/status
を、worker01
という名前のワーカーにリダイレクトし、/nc/
以下のすべての URL パスを、worker02
という名前のワーカーにリダイレクトします。3 番目の行は、前の行で一致しないjknsapi
オブジェクトに割り当てられたすべての URL がworker01
に提供されることを示しています。ファイルを保存し、終了します。ワーカーとその属性を定義します。
ディレクトリーに、IPLANET_CONFIG
/connectors/workers.properties
という名前のファイルを作成します。以下の内容をそのファイルに貼り付けし、お使いの環境に合わせて変更します。# An entry that lists all the workers defined worker.list=worker01, worker02 # Entries that define the host and port associated with these workers worker.worker01.host=127.0.0.1 worker.worker01.port=8009 worker.worker01.type=ajp13 worker.worker02.host=127.0.0.100 worker.worker02.port=8009 worker.worker02.type=ajp13
workers.properties
ファイルは、Apache mod_jk と同じ構文を使用します。利用可能なオプションについては、「Apache Mod_jk ワーカーの設定リファレンス」 を参照してください。ファイルを保存し、終了します。iPlanet Web Server を再起動します。
以下のコマンドを実行し、iPlanet Web Server を再起動します。IPLANET_CONFIG/../bin/stopserv IPLANET_CONFIG/../bin/startserv
iPlanet Web Server が、設定した URL へのクライアント要求を JBoss EAP 6 のデプロイメントに送信します。
19.9.4. NSAPI を負荷分散クラスターとして設定
このタスクでは、NSAPI コネクターが負荷分散設定でクライアント要求を JBoss EAP 6 サーバーにリダイレクトするよう設定します。NSAPI を負荷分散のない単純な HTTP コネクターとして使用する場合は、「NSAPI を基本的な HTTP コネクターとして設定」 を参照してください。
前提条件
- 現在のタスクを継続する前に、「Oracle Solaris での NSAPI コネクターの設定」 を完了する必要があります。
手順19.22 負荷分散のためコネクターを設定する
JBoss EAP 6 サーバーにリダイレクトする URL パスを定義します。
注記
IPLANET_CONFIG/obj.conf
では、前の行から継続する行以外は、行の最初にスペースを挿入しないでください。IPLANET_CONFIG/obj.conf
ファイルを編集します。<Object name="default">
で始まるセクションを見つけ、一致する各 URL パターンを次のサンプルファイルで示された形式で追加します。文字列jknsapi
は、次の手順で定義される HTTP コネクターを示します。例は、ワイルドカードを使用したパターン一致を示しています。<Object name="default"> [...] NameTrans fn="assign-name" from="/status" name="jknsapi" NameTrans fn="assign-name" from="/images(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/css(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/nc(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/jmx-console(|/*)" name="jknsapi" NameTrans fn="assign-name" from="/jkmanager/*" name="jknsapi" </Object>
各パスを提供するワーカーを定義します。
IPLANET_CONFIG/obj.conf
ファイルの編集を続行します。前の手順で変更したセクションの終了タグ (</Object>
) のすぐ後に、以下の新しいセクションを追加し、必要に応じて変更します。<Object name="jknsapi"> ObjectType fn=force-type type=text/plain Service fn="jk_service" worker="status" path="/jkmanager(/*)" Service fn="jk_service" worker="router" </Object>
このjksnapi
オブジェクトは、default
オブジェクトのname="jksnapi"
マッピングにマップされた各パスを提供するために使用されるワーカーノードを定義します。/jkmanager/*
に一致する URL 以外のすべてが、router
という名前のワーカーにリダイレクトされます。ワーカーとその属性を定義します。
workers.properties
という名前のファイルを
で作成します。以下の内容をファイルに貼り付け、お使いの環境に合わせて変更します。IPLANET_CONFIG
/connector/# The advanced router LB worker # A list of each worker worker.list=router,status # First JBoss EAP server # (worker node) definition. # Port 8009 is the standard port for AJP # worker.worker01.port=8009 worker.worker01.host=127.0.0.1 worker.worker01.type=ajp13 worker.worker01.ping_mode=A worker.worker01.socket_timeout=10 worker.worker01.lbfactor=3 # Second JBoss EAP server worker.worker02.port=8009 worker.worker02.host=127.0.0.100 worker.worker02.type=ajp13 worker.worker02.ping_mode=A worker.worker02.socket_timeout=10 worker.worker02.lbfactor=1 # Define the load-balancer called "router" worker.router.type=lb worker.router.balance_workers=worker01,worker02 # Define the status worker worker.status.type=status
workers.properties
ファイルは、Apache mod_jk と同じ構文を使用します。利用可能なオプションについては、「Apache Mod_jk ワーカーの設定リファレンス」 を参照してください。ファイルを保存し、終了します。iPlanet Web Server を再起動します。
実行する iPlanet Web Server のバージョンに応じて、以下のいずれかを選択します。iPlanet Web Server 6.1 の場合
IPLANET_CONFIG/../stop IPLANET_CONFIG/../start
iPlanet Web Server 7.0 の場合
IPLANET_CONFIG/../bin/stopserv IPLANET_CONFIG/../bin/startserv
iPlanet Web Server は、設定した URL パターンを負荷分散設定の JBoss EAP 6 サーバーにリダイレクトします。
第20章 メッセージング
20.1. はじめに
20.1.1. HornetQ
Messaging Subsystem
として設定されます。
20.1.2. Java Messaging Service (JMS)
20.1.3. サポートされているメッセージ形式
- Message Queue パターン
- Message Queue パターンでは、メッセージをキューに送信する必要があります。メッセージがキューに入ると、通常は永続化されて、配信が保証されます。キューを通過したメッセージは、メッセージングシステムによりメッセージコンシューマーに配信されます。 メッセージが処理されると、メッセージコンシューマーはメッセージが配信されたことを確認応答します。Message Queue パターンでは、ポイントツーポイントメッセージングと併用すると、複数のコンシューマーをキューに入れることが可能ですが、各メッセージは単一のコンシューマーのみが受信可能となります。
- Publish-Subscribe パターン
- Publish-Subscribe パターンでは、サーバー上の単一のエンティティーに対して複数の送信者がメッセージを送信できます。このエンティティーは、「トピック」と呼ばれます。各トピックには、「サブスクリプション」と呼ばれる複数のコンシューマーが参加できます。各サブスクリプションは、トピックによって送信された全メッセージのコピーを受信します。これは、各メッセージを消費するのが単一のコンシューマーのみである Message Queue パターンとは異なります。永続的なサブスクリプションは、トピックに送信された各メッセージをサブスクライバーが消費するまで、そのコピーを保持します。このようなコピーは、サーバーの再起動時にも維持されます。非永続的なサブスクリプションは、そのサブスクリプションを作成した接続が有効な間のみ継続します。
20.2. トランスポートの設定
20.2.1. アクセプターおよびコネクター
アクセプターおよびコネクター
Acceptor
- アクセプターは、HornetQ サーバーが受け入れる接続タイプを定義します。
Connector
- コネクターは、HornetQ サーバーに接続する方法を定義し、HornetQ クライアントによって使用されます。
Invm および Netty
Invm
- Invm は、Intra Virtual Machine の略語であり、クライアントとサーバーが同じ JVM で実行されているときに使用できます。
Netty
- JBoss プロジェクトの名前。クライアントとサーバーが異なる JVM で実行されている場合に使用する必要があります。
standalone.xml
と domain.xml
で設定されます。これらは、管理コンソールまたは管理 CLI のいずれかを使用して定義できます。
20.2.2. Netty TCP の設定
例20.1 デフォルトの EAP 設定からの Netty TCP の設定例
<connectors> <netty-connector name="netty" socket-binding="messaging"/> <netty-connector name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> </netty-connector> <in-vm-connector name="in-vm" server-id="0"/> </connectors> <acceptors> <netty-acceptor name="netty" socket-binding="messaging"/> <netty-acceptor name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> <param key="direct-deliver" value="false"/> </netty-acceptor> <in-vm-acceptor name="in-vm" server-id="0"/> </acceptors>
表20.1 Netty TCP 設定プロパティー
プロパティー | デフォルト | 説明 |
---|---|---|
batch-delay | 0 ミリ秒 | パケットをトランスポートに書き込む前に、HornetQ を設定すると batch-delay に設定されたミリ秒を上限として書き込みを一括処理できます。メッセージ転送の平均待ち時間が長くなり、大変小さなメッセージのスループットの合計が増加します。 |
direct-deliver | true | メッセージがサーバーに到達し、待機しているコンシューマーに配信されたとき、デフォルトではメッセージが到達したスレッドで配信が実行されます。これにより、メッセージが比較的小さく、コンシューマーの数が少ない環境で適切な待ち時間が発生しますが、スループットや待ち時間が少なくなります。スループットを最大限にする場合はこのプロパティーを false に設定します。 |
local-address | [使用可能なローカルアドレス] | Netty コネクターでは、リモートアドレスへ接続するときにクライアントが使用するローカルアドレスを指定するために使用されます。ローカルアドレスが指定されていない場合は、コネクターは使用できるローカルアドレスを使用します。 |
local-port | 0 | Netty コネクターでは、リモートアドレスへ接続するときにクライアントが使用するローカルポートを指定するために使用されます。local-port のデフォルト (0) が指定された場合、システムが一時的なポートを選択します。有効なポートは 0 から 65535 です。 |
nio-remoting-threads | -1 | NIO を使用するよう設定された場合、デフォルトでは受信パケットの処理に Runtime.getRuntime().availableProcessors() によって報告されたコア (またはハイパースレッド) の数の 3 倍にあたるスレッド数が HornetQ によって使用されます。この値を上書きするには、スレッド数にカスタム値を設定します。 |
tcp-no-delay | true | true の場合、Nagle アルゴリズムが有効になります。このアルゴリズムは、ネットワーク上で送信されるパケットの数を削減し、TCP/IP ネットワークの効率を向上します。 |
tcp-send-buffer-size | 32768 バイト | このパラメーターは TCP が送信するバッファーのサイズ (バイト単位) を決定します。 |
tcp-receive-buffer-size | 32768 バイト | このパラメーターは TCP が受信するバッファーのサイズ (バイト単位) を決定します。 |
use-nio | false | true の場合、ノンブロッキング Java NIO が使用されます。false に設定された場合、旧式のブロッキング Java IO が使用されます。サーバーに多くの同時接続を処理させる必要がある場合はノンブロッキング Java NIO を使用します。これ以外の場合は旧式の (ブロッキング) IO を使用するとよいでしょう。 |
注記
20.2.3. Netty セキュアソケットレイヤー (SSL) の設定
警告
注記
<acceptors> <netty-acceptor name="netty" socket-binding="messaging"/> <param key="ssl-enabled" value="true"/> <param key="key-store-password" value="[keystore password]"/> <param key="key-store-path" value="[path to keystore file]"/> </netty-acceptor> </acceptors>
表20.2 Netty SSL 設定プロパティー
プロパティー名 | デフォルト | 説明 |
---|---|---|
ssl-enabled | true | SSL を有効にします。 |
key-store-password | [キーストアのパスワード] | アクセプターで使用された場合はサーバー側キーストアのパスワードになります。コネクターで使用された場合はクライアント側キーストアのパスワードになります。双方向 SSL (相互認証) を使用する場合はコネクターのみに関係します。この値はサーバー上で設定できますが、クライアントによってダウンロードおよび使用されます。 |
key-store-path | [キーストアファイルへのパス] | アクセプターで使用された場合は、サーバーが信用するすべてのクライアントのキーを保持するサーバー側 SSL キーストアへのパスになります。双方向 SSL (相互認証など) を使用する場合はアクセプターのみが関係します。コネクターで使用された場合は、クライアントが信用するすべてのサーバーの公開鍵を保持するクライアント側 SSL キーストアへのパスになります。このパスはサーバー上で設定されますが、クライアントによってダウンロードおよび使用されます。 |
need-client-auth
: クライアント接続の双方向 (相互認証) の必要性を指定します。trust-store-password
: アクセプターで使用された場合はサーバー側トラストストアのパスワードになります。コネクターで使用された場合はクライアント側トラストストアのパスワードになります。これは、一方向および双方向 SSL のコネクターに関連します。この値はサーバー上で設定できますが、クライアントによってダウンロードおよび使用されます。trust-store-path
: アクセプターで使用された場合は、サーバーが信用するクライアントすべてのキーの証明書を保持するサーバー側 SSL トラストストアへのパスになります。コネクターで使用された場合は、クライアントが信用するサーバーすべての公開鍵の証明書を保持するクライアント側 SSL トラストストアへのパスになります。これは、一方向および双方向 SSL のコネクターに関連します。このパスはサーバー上で設定できますが、クライアントによってダウンロードおよび使用されます。
20.2.4. Netty HTTP の設定
注記
<socket-binding name="messaging-http" port="7080" />
<acceptors> <netty-acceptor name="netty" socket-binding="messaging-http"> <param key="http-enabled" value="false"/> <param key="http-client-idle-time" value="500"/> <param key="http-client-idle-scan-period" value="500"/> <param key="http-response-time" value="10000"/> <param key="http-server-scan-period" value="5000"/> <param key="http-requires-session-id" value="false"/> </netty-acceptor> </acceptors>下表は、Netty HTTP の設定に使用する追加プロパティーの説明になります。
表20.3 Netty HTTP 設定プロパティー
プロパティー名 | デフォルト | 説明 |
---|---|---|
http-enabled | false | true の場合、HTTP が有効になります。 |
http-client-idle-time | 500 ミリ秒 | 接続を維持するために空の HTTP 要求を送信する前にクライアントがアイドル状態でいられる期間。 |
http-client-idle-scan-period | 500 ミリ秒 | アイドル状態のクライアントに対してスキャンを行う頻度 (ミリ秒単位)。 |
http-response-time | 10000 ミリ秒 | 接続を維持するために空の HTTP 応答を送信する前に、サーバーが待機できる期間。 |
http-server-scan-period | 5000 ミリ秒 | 応答が必要なクライアントに対してスキャンを行う頻度 (ミリ秒単位)。 |
http-requires-session-id | false | true の場合、クライアントは最初の呼び出しの後にセッション ID を取得するため待機します。 |
警告
20.2.5. Netty サーブレットの設定
- サーブレットをデプロイします。以下の例はサーブレットを使用する Web アプリケーションを表しています。
<web-app> <servlet> <servlet-name>HornetQServlet</servlet-name> <servlet-class>org.jboss.netty.channel.socket.http.HttpTunnelingServlet</servlet-class> <init-param> <param-name>endpoint</param-name> <param-value>local:org.hornetq</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>HornetQServlet</servlet-name> <url-pattern>/HornetQServlet</url-pattern> </servlet-mapping> </web-app>
初期化パラメーターendpoint
は、サーブレットがパケットを転送する Netty アクセプターのホスト属性を指定します。 - Netty サーブレットアクセプターをサーバー側の設定上で挿入します。以下の例は、サーバー設定ファイル (
standalone.xml
およびdomain.xml
) でのアクセプターの定義を示しています。<acceptors> <acceptor name="netty-servlet"> <factory-class> org.hornetq.core.remoting.impl.netty.NettyAcceptorFactory </factory-class> <param key="use-servlet" value="true"/> <param key="host" value="org.hornetq"/> </acceptor> </acceptors>
- 最後に、サーバー設定ファイル (
standalone.xml
およびdomain.xml
) でクライアントの接続を定義します。<netty-connector name="netty-servlet" socket-binding="http"> <param key="use-servlet" value="true"/> <param key="servlet-path" value="/messaging/HornetQServlet"/> </netty-connector>
- また、以下の設定をコネクターに追加すると、サーブレットトランスポートを SSL 上でも使用できます。
<netty-connector name="netty-servlet" socket-binding="https"> <param key="use-servlet" value="true"/> <param key="servlet-path" value="/messaging/HornetQServlet"/> <param key="ssl-enabled" value="true"/> <param key="key-store-path" value="path to a key-store"/> <param key="key-store-password" value="key-store password"/> </connector>
警告
注記
20.3. Java Naming and Directory Interface (JNDI)
20.4. デッド接続の検出
20.4.1. サーバーでデッド接続リソースを閉じる
finally
ブロックを使用することにより、アプリケーションがリソースを自動的に閉じるよう設定できます。
finally
ブロックでセッションとセッションファクトリーを閉じるコアクライアントアプリケーションを示しています。
ServerLocator locator = null; ClientSessionFactory sf = null; ClientSession session = null; try { locator = HornetQClient.createServerLocatorWithoutHA(..); sf = locator.createClientSessionFactory();; session = sf.createSession(...); ... do some operations with the session... } finally { if (session != null) { session.close(); } if (sf != null) { sf.close(); } if(locator != null) { locator.close(); } }以下の例は、
finally
ブロックでセッションとセッションファクトリーを閉じる JMS クライアントアプリケーションを示しています。
Connection jmsConnection = null; try { ConnectionFactory jmsConnectionFactory = HornetQJMSClient.createConnectionFactoryWithoutHA(...); jmsConnection = jmsConnectionFactory.createConnection(); ... do some operations with the connection... } finally { if (connection != null) { connection.close(); } }
connection-ttl
パラメーターは、クライアントからデータまたは ping パケットを受け取らない場合にサーバーで接続をアライブ状態に維持する期間を決定します。このパラメーターにより、古いセッションなどのデッドサーバーリソースが長く維持され、障害が発生したネットワーク接続が回復した時にクライアントが再接続できるようになります。
HornetQConnectionFactory
インスタンスで connection-ttl
パラメーターを指定することにより、JMS クライアントに対して接続 TTL を定義できます。JMS 接続ファクトリーインスタンスを JNDI に直接デプロイする場合は、standalone.xml
および domain.xml
サーバー設定ファイルで connection-ttl
パラメーターを定義できます。
connection-ttl
パラメーターのデフォルト値は 60000 ミリ秒です。クライアントが独自の接続 TTL を指定する必要がない場合は、サーバー設定ファイルで connection-ttl-override
パラメーターを定義してすべての値をオーバーライドできます。connection-ttl-override
パラメーターはデフォルトで無効になり、値は -1 になります。
HornetQ は、ガベージコレクションを使用して finally
ブロックで明示的に閉じられなかったセッションを検出し、閉じます。HornetQ サーバーはセッションを閉じる前に以下のような警告をログに記録します。
[Finalizer] 20:14:43,244 WARNING [org.hornetq.core.client.impl.DelegatingSession] I'm closing a ClientSession you left open. Please make sure you close all ClientSessions explicitly before let ting them go out of scope! [Finalizer] 20:14:43,244 WARNING [org.hornetq.core.client.impl.DelegatingSession] The session you didn't close was created here: java.lang.Exception at org.hornetq.core.client.impl.DelegatingSession.<init>(DelegatingSession.java:83) at org.acme.yourproject.YourClass (YourClass.java:666)このログメッセージには、JMS 接続またはユーザーセッションが作成され、閉じられなかったコード部分に関する情報が含まれます。
20.4.2. クライアントサイド障害の検出
client-failure-check-period
パラメーターで指定された期間サーバーからデータパケットを受信しない場合、クライアントは通信が失敗したと見なします。次に、クライアントはフェールオーバーを開始するか、FailureListener
インスタンスを呼び出します。
HornetQConnectionFactory
インスタンスで ClientFailureCheckPeriod
属性を使用してクライアント障害チェック期間が設定されます。サーバーサイドで JMS 接続ファクトリーインスタンスを JNDI に直接デプロイする場合は、standalone.xml
および domain.xml
サーバー設定ファイルで client-failure-check-period
パラメーターを指定できます。
デフォルトでは、サーバーサイドで受信されたパケットはリモートスレッドで実行されます。スレッドプールから任意のスレッドで操作を非同期的に処理することにより、リモートスレッドを解放できます。非同期接続実行は、standalone.xml
および domain.xml
サーバー設定ファイルで async-connection-execution-enabled
パラメーターを使用して設定できます。このパラメーターのデフォルト値は "true" です。
注記
20.5. サイズの大きなメッセージの処理
20.5.1. サイズの大きなメッセージの処理
InputStream
を設定すると大きなメッセージを送信できます。メッセージが送信されると HornetQ がこの InputStream
を読み取り、データを断片的にサーバーへ送信します。
OutputStream
を設定して断片的にディスクファイルへストリームします。
20.5.2. HornetQ の大きなメッセージの設定
スタンドアロンモードでは、大きなメッセージは EAP_HOME/standalone/data/largemessages
ディレクトリーに保存されます。ドメインモードでは、大きなメッセージは EAP_HOME/domain/servers/SERVERNAME/data/largemessages
ディレクトリーに保存されます。設定プロパティー large-messages-directory
は大きなメッセージが保存される場所を示します。
重要
20.5.3. パラメーターの設定
- クライアント側での HornetQ Core API の使用
- クライアント側で HornetQ Core API を使用している場合は、
ServerLocator.setMinLargeMessageSize
パラメーターを設定して大きなメッセージの最小サイズを指定する必要があります。デフォルトでは、大きなメッセージの最小サイズ (min-large-message-size) は 100KiB に設定されています。ServerLocator locator = HornetQClient.createServerLocatorWithoutHA(new TransportConfiguration(NettyConnectorFactory.class.getName())) locator.setMinLargeMessageSize(25 * 1024); ClientSessionFactory factory = HornetQClient.createClientSessionFactory();
- Java Messaging Service (JMS) クライアントに対するサーバーの設定
- Java Messaging Service (JMS) を使用している場合は、サーバー設定ファイル (
standalone.xml
およびdomain.xml
) のmin-large-message-size
属性に大きなメッセージの最小サイズを指定する必要があります。デフォルトでは、大きなメッセージの最小サイズ (min-large-message-size) は 100KiB に設定されています。注記
min-large-message-size
属性の値はバイト単位で指定する必要があります。大きなメッセージを迅速および効率的に送信するには、大きなメッセージの圧縮を選択できます。圧縮および展開操作はすべてクライアント側で処理されます。圧縮されたメッセージのサイズがmin-large-message-size
未満であった場合、通常のメッセージとしてサーバーに送信されます。Java Messaging Service (JMS) を使用する場合、サーバーロケーターまたは ConnectionFactory でブール値プロパティーであるcompress-large-messages
を true に設定すると、大きなメッセージを圧縮できます。<connection-factory name="ConnectionFactory"> <connectors> <connector-ref connector-name="netty"/> </connectors> ... <min-large-message-size>204800</min-large-message-size> <compress-large-messages>true</compress-large-messages> </connection-factory>
20.6. ページング
20.6.1. ページング
注記
20.6.2. ページファイル
page-size-bytes
) 以下のメッセージが含まれます。
20.6.3. ページングフォルダーの設定
paging-directory
パラメーターを使用して設定できます。
<hornetq-server> ... <paging-directory>/location/paging-directory</paging-directory> ... </hornetq-server>
paging-directory
パラメーターは、ページファイルを保存する場所/ホルダーを指定するために使用されます。HornetQ は、このページングディレクトリーの各ページングアドレスに対して 1 つのフォルダーを作成します。ページファイルはこれらのフォルダーに保存されます。
EAP_HOME/standalone/data/messagingpaging
、ドメインモードの場合は EAP_HOME/domain/servers/SERVERNAME/data/messagingpaging
になります。
20.6.4. ページングモード
注記
max-size-bytes
を設定すると、一致する各アドレスには指定した最大サイズが適用されます。しかし、一致するすべてのアドレスの合計サイズが max-size-bytes
に限定されるわけではありません。
standalone.xml
および domain.xml
) でアドレスの最大サイズをバイト単位で設定できます (max-size-bytes
)。
<address-settings> <address-setting match="jms.someaddress"> <max-size-bytes>104857600</max-size-bytes> <page-size-bytes>10485760</page-size-bytes> <address-full-policy>PAGE</address-full-policy> </address-setting> </address-settings>下表はアドレス設定のパラメーターについて説明しています。
表20.4 ページングアドレス設定
要素 | デフォルト値 | 説明 |
---|---|---|
max-size-bytes | 10485760 |
ページングモードになる前にアドレスが取得できる最大メモリーサイズを指定します。
|
page-size-bytes | 2097152 |
ページングシステムで使用される各ページファイルのサイズを指定します。
|
address-full-policy | PAGE |
ページングの決定に使用されます。この属性には、以下の値のいずれかを指定できます。
PAGE : ページングが有効になり、設定された制限を越えたメッセージはディスクにページングされます。DROP : 設定された制限を越えたメッセージは通知なしでドロップされます。FAIL : メッセージがドロップされ、クライアントメッセージプロデューサーへ例外が送信されます。BLOCK : クライアントメッセージプロデューサーによって設定された制限を越えるメッセージが送信されると、クライアントメッセージプロデューサーがブロックされます。
|
page-max-cache-size | 5 |
ページング検索中に入出力を最適化するため、
page-max-cache-size 以下のページファイルがメモリーに保持されます。
|
重要
address-full-policy
を DROP
(メッセージをドロップする)、FAIL
(クライアント側で例外を発生してメッセージをドロップする)、または BLOCK
(今後メッセージを送信しないようプロデューサーをブロックする) に設定します。デフォルトの設定では、アドレスが max-size-bytes
に達した後、メッセージをページングするようにすべてのアドレスが設定されています。
複数のキューがバインドされているアドレスにメッセージがルーティングされた場合、メッセージが 1 つのみメモリーに格納されます。各キューは、このメッセージへの参照のみを処理します。そのため、このメッセージを参照するキューすべてがメッセージを送信したときのみメモリーに空きができます。
注記
20.7. 迂回
standalone.xml
および domain.xml
) で設定できます。
- 特別な迂回: メッセージは新しいアドレスにのみ迂回され、古いアドレスには送信されません
- 特別でない迂回: メッセージは古いアドレスに引き続き送信され、メッセージのコピーが新しいアドレスに送信されます。特別でない迂回はメッセージのフローを分割するために使用できます。
Transformer
とオプションのメッセージフィルターを適用するよう設定できます。オプションのメッセージフィルターを使用すると、指定したフィルターに一致するメッセージのみを迂回できます。トランスフォーマーは、メッセージを別の形式に変換するために使用されます。トランスフォーマーが指定された場合は、迂回されたすべてのメッセージが Transformer
によって変換されます。
- メッセージをローカルストアと転送キューに迂回します。そのキューから消費し、メッセージを別のサーバーのアドレスに迂回するブリッジをセットアップします
20.7.1. 特別な迂回
standalone.xml
および domain.xml
サーバー設定ファイルで exclusive
属性を true
に設定することにより有効にできます。
<divert name="prices-divert"> <address>jms.topic.priceUpdates</address> <forwarding-address>jms.queue.priceForwarding</forwarding-address> <filter string="office='New York'"/> <transformer-class-name> org.hornetq.jms.example.AddForwardingTimeTransformer </transformer-class-name> <exclusive>true</exclusive> </divert>以下のリストは、上記の例で使用された属性を示しています。
address
: このアドレスに送信されたメッセージは別のアドレスに迂回されますforwarding-address
: メッセージは古いアドレスからこのアドレスに迂回されますfilter-string
:filter-string
値に一致するメッセージが迂回されます。他のすべてのメッセージは通常のアドレスにルーティングされますtransformer-class-name
: このパラメーターを指定すると、一致する各メッセージの変換が実行されます。これにより、迂回する前にメッセージの本文またはプロパティーを変更できるようになりますexclusive
: 特別な迂回を有効または無効にするために使用されます
20.7.2. 特別でない迂回
standalone.xml
および domain.xml
サーバー設定ファイルで exclusive
プロパティーを false に設定することにより有効にできます。
<divert name="order-divert"> <address>jms.queue.orders</address> <forwarding-address>jms.topic.spyTopic</forwarding-address> <exclusive>false</exclusive> </divert>上記の例では、
jms.queue.orders
アドレスに送信される各メッセージのコピーが作成され、jms.topic.spyTopic
アドレスに送信されます。
20.8. 設定
20.8.1. JMS サーバーの設定
EAP_HOME/domain/configuration/domain.xml
ファイル、またはスタンドアロンの EAP_HOME/standalone/configuration/standalone-full.xml
ファイルに含まれています。
<subsystem xmlns="urn:jboss:domain:messaging:1.4">
要素には、すべての JMS 設定が含まれています。JNDI に必要な JMS の ConnectionFactory
、Queue
、または Topic
インスタンスを追加します。
JBoss EAP 6 で JMS サブシステムを有効にします。
<extensions>
要素内に以下の行が存在し、コメントアウトされていないことを確認します。<extension module="org.jboss.as.messaging"/>
基本の JMS サブシステムを追加します。
メッセージングサブシステムが設定ファイルに存在しない場合は、追加します。- 使用するプロファイルに該当する
<profile>
を探し、<subsystems>
タグを見つけます。 <profile>
タグのすぐ後に以下の XML を追加します。<subsystem xmlns="urn:jboss:domain:messaging:1.4"> <hornetq-server> <!-- ALL XML CONFIGURATION IS ADDED HERE --> </hornetq-server> </subsystem>
その他の設定はすべて、その上の空いている行に追加します。
JMS の基本設定を追加します。
<subsystem xmlns="urn:jboss:domain:messaging:1.4">
<hornetq-server>
タグの後の空行に以下の XML を追加します。<journal-min-files>2</journal-min-files> <journal-type>NIO</journal-type> <persistence-enabled>true</persistence-enabled>
ニーズに合わせて上記の値を変更します。警告
journal-file-size
の値がmin-large-message-size
の値 (デフォルトでは 100KiB) 以上でないと、サーバーはメッセージを保存できません。HornetQ に接続ファクトリーインスタンスを追加します。
クライアントは、JMSConnectionFactory
オブジェクトを使い、サーバーへの接続を確立します。JMS 接続ファクトリーオブジェクトを HornetQ に追加するには、次のように接続ファクトリごとに、単一の<jms-connection-factories>
タグと<connection-factory>
要素が含まれるようにします。<jms-connection-factories> <connection-factory name="InVmConnectionFactory"> <connectors> <connector-ref connector-name="in-vm"/> </connectors> <entries> <entry name="java:/ConnectionFactory"/> </entries> </connection-factory> <connection-factory name="RemoteConnectionFactory"> <connectors> <connector-ref connector-name="netty"/> </connectors> <entries> <entry name="java:jboss/exported/jms/RemoteConnectionFactory"/> </entries> </connection-factory> <pooled-connection-factory name="hornetq-ra"> <transaction mode="xa"/> <connectors> <connector-ref connector-name="in-vm"/> </connectors> <entries> <entry name="java:/JmsXA"/> </entries> </pooled-connection-factory> </jms-connection-factories>
netty
コネクターおよびアクセプターを設定します。この JMS 接続ファクトリーはnetty
アクセプターおよびコネクターを使用します。これらは、サーバー設定ファイルにデプロイされたコネクターおよびアクセプターオブジェクトへの参照です。コネクターオブジェクトは、HornetQ サーバーへ接続するために使用されるトランスポートとパラメーターを定義します。アクセプターオブジェクトは HornetQ サーバーによって許可される接続のタイプを識別します。netty
コネクターを設定するには、以下の設定が含まれるようにします。<connectors> <netty-connector name="netty" socket-binding="messaging"/> <netty-connector name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> </netty-connector> <in-vm-connector name="in-vm" server-id="0"/> </connectors>
netty
アクセプターを設定するには、以下の設定が含まれるようにします。<acceptors> <netty-acceptor name="netty" socket-binding="messaging"/> <netty-acceptor name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> <param key="direct-deliver" value="false"/> </netty-acceptor> <in-vm-acceptor name="in-vm" server-id="0"/> </acceptors>
設定を確認します。
これまでの手順に従った場合、メッセージサブシステムは以下のようになるはずです。<subsystem xmlns="urn:jboss:domain:messaging:1.4"> <hornetq-server> <journal-min-files>2</journal-min-files> <journal-type>NIO</journal-type> <persistence-enabled>true</persistence-enabled> <jms-connection-factories> <connection-factory name="InVmConnectionFactory"> <connectors> <connector-ref connector-name="in-vm"/> </connectors> <entries> <entry name="java:/ConnectionFactory"/> </entries> </connection-factory> <connection-factory name="RemoteConnectionFactory"> <connectors> <connector-ref connector-name="netty"/> </connectors> <entries> <entry name="java:jboss/exported/jms/RemoteConnectionFactory"/> </entries> </connection-factory> <pooled-connection-factory name="hornetq-ra"> <transaction mode="xa"/> <connectors> <connector-ref connector-name="in-vm"/> </connectors> <entries> <entry name="java:/JmsXA"/> </entries> </pooled-connection-factory> </jms-connection-factories> <connectors> <netty-connector name="netty" socket-binding="messaging"/> <netty-connector name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> </netty-connector> <in-vm-connector name="in-vm" server-id="0"/> </connectors> <acceptors> <netty-acceptor name="netty" socket-binding="messaging"/> <netty-acceptor name="netty-throughput" socket-binding="messaging-throughput"> <param key="batch-delay" value="50"/> <param key="direct-deliver" value="false"/> </netty-acceptor> <in-vm-acceptor name="in-vm" server-id="0"/> </acceptors> </hornetq-server> </subsystem>
ソケットバインディンググループを設定します。
Netty コネクターは、messaging
およびmessaging-throughput
ソケットバインディングを参照します。messaging
ソケットバインディングは、ポート 5445 を使用し、messaging-throughput
ソケットバインディングはポート 5455 を使用します。<socket-binding-group>
タグはサーバー設定ファイルの別のセクションにあります。以下のソケットバインディングが<socket-binding-groups>
要素に存在するようにしてください。<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"> ... <socket-binding name="messaging" port="5445"/> <socket-binding name="messaging-throughput" port="5455"/> ... </socket-binding-group>
キューインスタンスを HornetQ への追加します。
HornetQ 向けにキューインスタンス (または JMS 宛先) を設定する方法は 4 つあります。- 管理コンソールの使用管理コンソールを使用するには、サーバーを
Message-Enabled
モードで起動する必要があります。これには、-c
オプションを使用し、standalone-full.xml
(スタンドアロンサーバー向け) 設定ファイルの使用を強制します。たとえば、スタンドアロンモードでは以下を使用するとサーバーをメッセージ有効モードで起動できます。./standalone.sh -c standalone-full.xml
サーバーが起動したら、管理コンソールにログインし、Configuration タブを選択します。Subsystems メニューを展開した後、Messaging メニューを展開し、Destinations をクリックします。JMS Messaging Provider テーブルの Default の横にある View をクリックし、Add をクリックして JMS 宛先の詳細を入力します。 - 管理 CLI の使用:最初に、管理 CLI へ接続します。
bin/jboss-cli.sh --connect
次に、メッセージングサブシステムに移動します。cd /subsystem=messaging/hornetq-server=default
最後に、add 操作を実行します。以下の例の値は独自の値に置き換えてください。./jms-queue=testQueue:add(durable=false,entries=["java:jboss/exported/jms/queue/test"])
- JMS 設定ファイルの作成および deployments フォルダーへの追加最初に、JMS 設定ファイル example-jms.xml を作成します。以下のエントリーを追加し、値は独自の値に置き換えます。
<?xml version="1.0" encoding="UTF-8"?> <messaging-deployment xmlns="urn:jboss:messaging-deployment:1.0"> <hornetq-server> <jms-destinations> <jms-queue name="testQueue"> <entry name="queue/test"/> <entry name="java:jboss/exported/jms/queue/test"/> </jms-queue> <jms-topic name="testTopic"> <entry name="topic/test"/> <entry name="java:jboss/exported/jms/topic/test"/> </jms-topic> </jms-destinations> </hornetq-server> </messaging-deployment>
このファイルを deployments フォルダーに保存し、デプロイメントを実行します。 - JBoss EAP 6 の設定ファイルにエントリーを追加します。standalone-full.xml を例として使用し、このファイルでメッセージングサブシステムを見つけます。
<subsystem xmlns="urn:jboss:domain:messaging:1.4">
再度、以下のエントリーを追加し、例の値は独自の値に置き換えます。これらのエントリーは </jms-connection-factories> 終了タグと </hornetq-server> 要素の間に追加する必要があります。<jms-destinations> <jms-queue name="testQueue"> <entry name="queue/test"/> <entry name="java:jboss/exported/jms/queue/test"/> </jms-queue> <jms-topic name="testTopic"> <entry name="topic/test"/> <entry name="java:jboss/exported/jms/topic/test"/> </jms-topic> </jms-destinations>
追加の設定を実行します。
追加の設定が必要な場合はEAP_HOME/docs/schema/jboss-as-messaging_1_4.xsd
DTD を確認します。
20.8.2. JMS アドレスの設定
<address-settings>
設定要素内に存在します。
アドレスワイルドカードを使用すると単一のステートメントで複数の似たアドレスを一致させることができます。これは、システムがアスタリスク ( * ) 文字を使用して 1 回の検索で複数のファイルや文字列を一致させることと似ています。以下の文字はワイルドカードステートメントでは特別な意味を持っています。
表20.5 JMX のワイルドカード構文
文字 | 説明 |
---|---|
. (ピリオド 1 つ) | ワイルドカード表現で単語の間のスペースを意味します。 |
# (シャープまたはハッシュマーク) | ゼロ以上の単語シーケンスと一致します。 |
* (アスタリスク) | 1 つの単語と一致します。 |
表20.6 JMS ワイルドカードの例
例 | 説明 |
---|---|
news.europe.# | news.europe 、 news.europe.sport 、 news.europe.politic と一致しますが、 news.usa や europe とは一致しません。
|
news.* | news.europe と一致しますが news.europe.sport とは一致しません。
|
news.*.sport | news.europe.sport と news.usa.sport とは一致しますが、news.europe.politics とは一致しません。
|
例20.2 デフォルトアドレス設定
<address-settings> <!--default for catch all--> <address-setting match="#"> <dead-letter-address>jms.queue.DLQ</dead-letter-address> <expiry-address>jms.queue.ExpiryQueue</expiry-address> <redelivery-delay>0</redelivery-delay> <max-size-bytes>10485760</max-size-bytes> <address-full-policy>BLOCK</address-full-policy> <message-counter-history-day-limit>10</message-counter-history-day-limit> </address-setting> </address-settings>
表20.7 JMS アドレス設定の説明
要素 | 説明 | デフォルト値 | タイプ |
---|---|---|---|
address-full-policy
|
max-size-bytes が指定されたアドレスが満杯の場合に何が起こるかを決定します。
|
PAGE
|
STRING
|
dead-letter-address
|
無効なレターアドレスが指定された場合、
max-delivery-attempts 配信試行が失敗すると、メッセージが無効なレターアドレスに移動されます。それ以外の場合、未配達のメッセージは破棄されます。ワイルドカードは許可されます。
|
jms.queue.DLQ
|
STRING
|
expiry-address
|
期限切れのアドレスが存在する場合、期限切れのメッセージは破棄されずに、一致するアドレスに送信されます。ワイルドカードは許可されます。
|
jms.queue.ExpiryQueue
|
STRING
|
last-value-queue
|
キューで最後の値のみを使用するかどうかを定義します。
|
false
|
BOOLEAN
|
max-delivery-attempts
| dead-letter-address に送信する前、または破棄する前にメッセージを再配信する最大試行回数。
|
10
|
INT
|
max-size-bytes
|
最大バイトサイズ。
|
10485760L
|
LONG
|
message-counter-history-day-limit
|
メッセージカウンター履歴の日数制限。
|
10
|
INT
|
page-max-cache-size
|
ページングナビゲーション中に IO を最適化するためにメモリー内に保持するページファイルの数。
|
5
|
INT
|
page-size-bytes
|
ページングサイズ。
|
5
|
INT
|
redelivery-delay
|
メッセージの再配信試行間の遅延時間 (ミリ秒単位)。
0 に設定された場合は、再配信が無限に試行されます。
|
0L
|
LONG
|
redistribution-delay
|
メッセージを再配信する前に最後のコンシューマーがキューで閉じられたときの待機時間を定義します。
|
-1L
|
LONG
|
send-to-dla-on-no-route
|
キューにルーティングされず、そのアドレスに指定された無効なレターアドレス (DLA) に送信されたメッセージの条件を設定するアドレスのパラメーター。
|
false
|
BOOLEAN
|
アドレス設定とパターン属性の設定
管理 CLI または管理コンソールを選択して、必要に応じてパターン属性を設定します。管理 CLI を使用したアドレス設定
管理 CLI を使用してアドレスを設定します。新しいパターンの追加
add
操作を使用して、新しいアドレス設定を作成します (必要な場合)。このコマンドは、管理 CLI セッションのルートから実行できます。この場合、以下の例では、 patternname というタイトルの新しいパターンが作成され、max-delivery-attempts
属性が 5 として宣言されます。full
プロファイルのスタンドアロンおよび管理対象ドメインの編集例を以下に示します。[standalone@localhost:9999 /] /subsystem=messaging/hornetq-server=default/address-setting=patternname/:add(max-delivery-attempts=5)
[domain@localhost:9999 /] /profile=full/subsystem=messaging/hornetq-server=default/address-setting=patternname/:add(max-delivery-attempts=5)
パターン属性の編集
write
操作を使用して新しい値を属性に書き込みます。タブ補完を使用して、入力するコマンド文字列を補完したり、利用可能な属性を公開したりできます。以下の例は、max-delivery-attempts
値を 10 に更新します。[standalone@localhost:9999 /] /subsystem=messaging/hornetq-server=default/address-setting=patternname/:write-attribute(name=max-delivery-attempts,value=10)
[domain@localhost:9999 /] /profile=full/subsystem=messaging/hornetq-server=default/address-setting=patternname/:write-attribute(name=max-delivery-attempts,value=10)
パターン属性の確認
include-runtime=true
パラメーターを用いてread-resource
操作を実行し、値の変更を確認します。サーバーモデルでアクティブな現在の値をすべて表示します。[standalone@localhost:9999 /] /subsystem=messaging/hornetq-server=default/address-setting=patternname/:read-resource
[domain@localhost:9999 /] /profile=full/subsystem=messaging/hornetq-server=default/address-setting=patternname/:read-resource
管理コンソールを使用したアドレスの設定
管理コンソールを使用してアドレスを設定します。- 管理対象ドメインまたはスタンドアロンサーバーの管理コンソールにログインします。
- 画面上部の Configuration タブを選択します。ドメインモードでは、左上の Profile メニューからプロファイルを選択します。
full
およびfull-ha
プロファイルのみmessaging
サブシステムが有効になっています。 - Messaging メニューを展開し、Destinations を選択します。
- JMS プロバイダーのリストが表示されます。デフォルトの設定では、
default
という名前の 1 つのプロバイダーだけが表示されます。View をクリックして、このプロバイダーの詳細な設定を表示します。 - Address Settings タブをクリックします。Add をクリックして新しいパターンを追加するか、既存のパターンを選択して Edit をクリックし、設定を更新します。
- 新しいパターンを追加する場合、Pattern フィールドは
address-setting
要素のmatch
パラメーターを参照します。また、Dead Letter Address、Expiry Address、Redelivery Delay、および Max Delivery Attempts を編集することもできます。他のオプションは、管理 CLI を使用して設定する必要があります。
20.8.3. HornetQ でのメッセージングの設定
standalone.xml
や domain.xml
設定ファイルを手作業で編集せずに永続的な変更を行うことができますが、デフォルト設定ファイルのメッセージングコンポーネントについて理解できると便利です。デフォルトの設定ファイルでは、管理ツールを使用するドキュメントサンプルによって参考用の設定ファイルスニペットが提供されます。
20.8.4. HornetQ のロギングの有効化
- サーバー設定ファイル (
standalone-full.xml
およびstandalone-full-ha.xml
) を手作業で編集します。 - CLI を使用してサーバー設定ファイルを編集します。
手順20.1 サーバー設定ファイルを手作業で編集して HornetQ ロギングを設定する
- 編集するサーバー設定ファイルを開きます (例:
standalone-full.xml
およびstandalone-full-ha.xml
)。 - ファイルのロギングサブシステム設定を見つけます。デフォルトの設定は次のようになります。
<logger category="com.arjuna"> <level name="TRACE"/> </logger> ... <logger category="org.apache.tomcat.util.modeler"> <level name="WARN"/> </logger> ....
- 下例のように、
org.hornetq
ロガーカテゴリーと指定するロギングレベルを追加します。<logger category="com.arjuna"> <level name="TRACE"/> </logger> ... <logger category="org.hornetq"> <level name="INFO"/> </logger> ....
HornetQ ロギングが有効になり、設定されたログレベルを基にログメッセージが処理されます。
CLI を使用して、サーバー設定ファイルに org.hornetq
ロガーカテゴリーと指定するロギングレベルを追加することもできます。詳細については、「CLI でのログカテゴリー設定」 を参照してください。
20.8.5. HornetQ Core Bridge の設定
例20.3 HornetQ Core Bridge の設定例
<bridges> <bridge name="myBridge"> <queue-name>jms.queue.InQueue</queue-name> <forwarding-address>jms.queue.OutQueue</forwarding-address> <ha>true</ha> <reconnect-attempts>-1</reconnect-attempts> <use-duplicate-detection>true</use-duplicate-detection> <static-connectors> <connector-ref> bridge-connector </connector-ref> </static-connectors> </bridge> </bridges>
表20.8 HornetQ Core Bridge の属性
属性 | 説明 |
---|---|
name |
ブリッジの名前はすべてサーバー上で一意となる必要があります。
|
queue-name |
これは必須のパラメーターで、ブリッジが消費するローカルキューの一意名になります。ブリッジのインスタンスが起動時に作成されるまでにキューがすでに存在する必要があります。
|
forwarding-address |
メッセージが転送されるターゲットサーバーのアドレスです。転送先のアドレスが指定されないと、メッセージの元のアドレスが保持されます。
|
ha |
任意のパラメーターで、このブリッジが高可用性をサポートするべきかどうかを決定します。
true の場合は、クラスターの利用可能なサーバーへ接続し、フェイルオーバーをサポートします。デフォルト値は false です。
|
reconnect-attempts |
任意のパラメーターで、試行を停止してシャットダウンする前にブリッジが再接続を試みる合計回数を決定します。値が -1 の場合は、試行回数が無制限になります。デフォルト値は -1 です。
|
use-duplicate-detection |
任意のパラメーターで、ブリッジが転送する各メッセージに複製の ID プロパティーを自動的に挿入するかどうかを決定します。
|
static-connectors |
static-connectors は 別の場所に定義されたコネクター要素を示す connector-ref 要素のリストです。コネクターは使用するトランスポート (TCP、SSL、HTTP など) や、サーバー接続パラメーター (ホスト、ポートなど) の知識をカプセル化します。
|
20.8.6. JMS ブリッジの設定
例20.4 JMS ブリッジの設定例
<subsystem> <subsystem xmlns="urn:jboss:domain:messaging:1.3"> <hornetq-server> ... </hornetq-server> <jms-bridge name="myBridge"> <source> <connection-factory name="ConnectionFactory"/> <destination name="jms/queue/InQueue"/> </source> <target> <connection-factory name="jms/RemoteConnectionFactory"/> <destination name="jms/queue/OutQueue"/> <context> <property key="java.naming.factory.initial" value="org.jboss.naming.remote.client.InitialContextFactory"/> <property key="java.naming.provider.url" value="remote://192.168.40.1:4447"/> </context> </target> <quality-of-service>AT_MOST_ONCE</quality-of-service> <failure-retry-interval>1000</failure-retry-interval> <max-retries>-1</max-retries> <max-batch-size>10</max-batch-size> <max-batch-time>100</max-batch-time> <add-messageID-in-header>true</add-messageID-in-header> </jms-bridge> ... </subsystem>
表20.9 HornetQ Core JMS 属性
属性 | 説明 |
---|---|
name |
ブリッジの名前はすべてサーバー上で一意となる必要があります。
|
source connection-factory |
SourceCFF bean (beans ファイルにも定義されます) をインジェクトします。この bean はソースの ConnectionFactory を作成します。
|
source destination name |
SourceDestinationFactory bean (beans ファイルにも定義されます) をインジェクトします。この bean はソースの Destination を作成します。
|
target connection-factory |
TargetCFF bean (beans ファイルにも定義されます) をインジェクトします。この bean はターゲットの ConnectionFactory を作成します。
|
target destination name |
TargetDestinationFactory bean (beans ファイルにも定義されます) をインジェクトします。この bean はターゲットの Destination を作成します。
|
quality-of-service |
このパラメーターはサービスモードの必要なクオリティーを表します。可能な値は AT_MOST_ONCE、DUPLICATES_OK、および ONCE_AND_ONLY_ONCE です。
|
failure-retry-interval |
ブリッジによって接続の失敗が検出されたときに、ソースまたはターゲットサーバーへの接続を再試行する前に待機する期間 (ミリ秒単位) を表します。
|
max-retries |
ブリッジによって接続の失敗が検出されたときに、ソースまたはターゲットサーバーへ再接続を試行する回数を表します。この回数接続を試行した後、ブリッジは接続を断念します。-1 を指定すると永久に接続を試行します。
|
max-batch-size |
メッセージを一括してターゲットの宛先に送る前にソースの宛先から消費するメッセージの最大数を表します。値は 1 以上である必要があります。
|
max-batch-time |
消費されたメッセージの数が MaxBatchSize に到達しない場合でも、ターゲットへバッチを送信する前に待機する最大期間 (ミリ秒単位) を表します。-1 (永久に待機) または 1 以上 (実際の時間) を値として指定する必要があります。
|
add-messageID-in-header |
true の場合、元メッセージのメッセージ ID が宛先に送信されたメッセージのヘッダー HORNETQ_BRIDGE_MSG_ID_LIST に追加されます。メッセージが 2 回以上ブリッジングされる場合は、各メッセージ ID が追加されます。これは、分散された要求/応答パターンが使用されるようにします。
メッセージを受信するとき、最初のメッセージ ID の相関 IDを使用して応答を送信できます。そのため、元の送信側がメッセージを受信すると簡単に関連付けできます。
|
20.8.7. 遅延再配信の設定
遅延再配信は、Java Messaging Service (JMS) のサブシステム設定の <address-setting>
設定要素の子要素である <redelivery-delay>
要素に定義されます。
<!-- delay redelivery of messages for 5s --> <address-setting match="jms.queue.exampleQueue"> <redelivery-delay>5000</redelivery-delay> </address-setting>
<redelivery-delay>
を 0
に設定すると、再配信の遅延はありません。<address-match>
要素の match
属性にアドレスワイルドカードを使用すると、ワイルドカードに一致するアドレスに対して再配信の遅延を設定することができます。
20.8.8. デッドレターアドレスの設定
デッドレターアドレスは Java Messaging Service (JMS) の サブシステム設定の <address-setting>
要素で定義されます。
<!-- undelivered messages in exampleQueue will be sent to the dead letter address deadLetterQueue after 3 unsuccessful delivery attempts --> <address-setting match="jms.queue.exampleQueue"> <dead-letter-address>jms.queue.deadLetterQueue</dead-letter-address> <max-delivery-attempts>3</max-delivery-attempts> </address-setting>
<dead-letter-address>
が指定されていないと、 <max-delivery-attempts>
で指定される回数配信を試みた後、メッセージが削除されます。 デフォルトでは 10 回メッセージの配信を試みます。<max-delivery-attempts>
を -1
に設定すると、再配信が無限に試行されます。たとえば、一致するアドレスのセットに対してグローバルにデッドレターを設定することができ、特定アドレスの <max-delivery-attempts>
を -1
に設定し、このアドレスのみ再配信が無限に行われるようにすることが可能です。アドレスワイルドカードを使用してアドレスのセットにデッドレターを設定することも可能です。
20.8.9. メッセージ期限切れアドレス
メッセージ期限切れアドレスは Java Messaging Service (JMS) の address-setting 設定に定義されています。例は次のとおりです。
<!-- expired messages in exampleQueue will be sent to the expiry address expiryQueue --> <address-setting match="jms.queue.exampleQueue"> <expiry-address>jms.queue.expiryQueue</expiry-address> </address-setting>
20.8.10. HornetQ 設定属性のリファレンス
read-resource
操作で設定可能または表示可能な属性を公開できます。
例20.5 例
[standalone@localhost:9999 /] /subsystem=messaging/hornetq-server=default:read-resource
表20.10 HornetQ 属性
属性 | デフォルト値 | タイプ | 説明 |
---|---|---|---|
allow-failback | true | BOOLEAN | 元のライブサーバーが復旧したときにこのサーバーを自動的にシャットダウンするかどうか。 |
async-connection-execution-enabled | true | BOOLEAN | サーバーの受信パケットをスレッドプールからのスレッドに渡して処理するかどうか。 |
address-setting | 特定のキューでなく、アドレスワイルドカードに対して定義された一部の属性を定義するアドレス設定。 | ||
acceptor | アクセプターは HornetQ サーバーへ接続を確立する方法を定義します。 | ||
backup-group-name | STRING | お互いをレプリケートする必要があるライブ/バックアップのセットの名前。 | |
backup | false | BOOLEAN | このサーバーがバックアップサーバーであるかどうか。 |
check-for-live-server | false | BOOLEAN | 同じノード ID を持つライブサーバーがすでに存在するかを確認するため、レプリケートされたライブサーバーが現在のクラスターをチェックするかどうか。 |
clustered | false | BOOLEAN | [廃止済み] サーバーがクラスター化されているかどうか。 |
cluster-password | CHANGE ME!! | STRING | クラスター化されたノードの間で通信するためにクラスター接続によって使用されるパスワード。 |
cluster-user | HORNETQ.CLUSTER.ADMIN.USER | STRING | クラスター化されたノードの間で通信するためにクラスター接続によって使用されるユーザー。 |
cluster-connection | クラスター接続はサーバーをクラスターにグループ化し、クラスターのノード間でメッセージの負荷を分散します。 | ||
create-bindings-dir | true | BOOLEAN | 起動時にサーバーが bindings ディレクトリーを作成するかどうか。 |
create-journal-dir | true | BOOLEAN | 起動時にサーバーが journal ディレクトリーを作成するかどうか。 |
connection-ttl-override | -1L | LONG | 設定された場合、ping を受信せずに接続を維持する期間 (ミリ秒単位) を上書きします。 |
connection-factory | 接続ファクトリーを定義します。 | ||
connector | サーバーへの接続方法を定義するためクライアントはコネクターを使用できます。 | ||
connector-service | |||
divert | クライアントアプリケーションロジックを変更せずに、あるアドレスから別のアドレスにルーティングされたメッセージを透過的に迂回できるようにするメッセージングリソースです。 | ||
discovery-group | コネクターをアナウンスする他のサーバーからブロードキャストを受信するためリッスンするマルチキャストグループ。 | ||
failback-delay | 5000 | LONG | ライブサーバーの再起動でフェイルバックが発生する前に待機する期間。 |
failover-on-shutdown | false | BOOLEAN | このバックアップサーバー (バックアップサーバーである場合) が通常のサーバーのシャットダウン時に稼働されるかどうか。 |
grouping-handler | クラスターのどのノードがグループ ID が割り当てられたメッセージを処理するかを決定します。 | ||
id-cache-size | 20000 | INT | メッセージ ID を事前作成するためのキャッシュのサイズ。 |
in-vm-acceptor | HornetQ サーバーへ VM 内 (in-VM) 接続を確立する方法を定義します。 | ||
in-vm-connector | サーバーへの接続方法を定義するため、VM 内のクライアントによって使用されます。 | ||
jmx-domain | org.hornetq | STRING | MBeanServer で内部 HornetQ MBean を登録するために使用される JMX ドメイン。 |
jmx-management-enabled | false | BOOLEAN | HornetQ が内部管理 API を JMX より公開するかどうか。これらの MBean にアクセスすると設定の一貫性が失われることがあるため、この設定は推奨されません。 |
journal-buffer-size | 501760 (490KiB) | LONG | ジャーナルの内部バッファーのサイズ。 |
journal-buffer-timeout | ASYNCIO ジャーナルは 500000 (0.5 ミリ秒)、NIO ジャーナルは 3333333 (3.33 ミリ秒)。 | LONG | ジャーナルで内部バッファーをフラッシュするのに使用されるタイムアウト (ナノ秒単位)。 |
journal-compact-min-files | 10 | INT | 圧縮開始前のジャーナルデータファイルの最小数。 |
journal-compact-percentage | 30 | INT | ジャーナルの圧縮を考慮するライブデータの比率 (パーセント)。 |
journal-file-size | 10485760 | LONG | 各ジャーナルファイルのサイズ (バイト単位)。 |
journal-max-io | 1 | INT | 一度に AIO キューに置ける最大書き込み要求数。ASYNCIO ジャーナルが使用されると、デフォルト値が 500 に変更されます。 |
journal-min-files | 2 | INT | 事前作成するジャーナルファイルの数。 |
journal-sync-non-transactional | true | BOOLEAN | クライアントに応答を返す前に、非トランザクションデータがジャーナルに同期化されるのを待つかどうか。 |
journal-sync-transactional | true | BOOLEAN | クライアントに応答を返す前に、トランザクションデータがジャーナルに同期化されるのを待つかどうか。 |
journal-type | ASYNCIO | 文字列 | 使用するジャーナルのタイプ。この属性は ASYNCIO または NIO を値として取ります。 |
jms-topic | JMS トピックを定義します。 | ||
live-connector-ref | reference | STRING | [廃止済み] ライブコネクターへ接続するために使用されるコネクターの名前。このサーバーがシェアードナッシング HA を使用するバックアップではない場合、値は undefined になります。 |
log-journal-write-rate | false | BOOLEAN | ジャーナルの書き込み率およびフラッシュ率を周期的にログに記録するかどうか。 |
mask-password | true | BOOLEAN | |
management-address | jms.queue.hornetq.management | STRING | 管理メッセージを送信する先のアドレス。 |
management-notification-address | hornetq.notifications | STRING | 管理通知を受け取るためにコンシューマーがバインドするアドレスの名前。 |
max-saved-replicated-journal-size | 2 | INT | フェイルバック発生後に保持するバックアップジャーナルの最大数。 |
memory-measure-interval | -1 | LONG | JVM メモリーのサンプリング頻度 (ミリ秒単位)。-1 を指定するとメモリーのサンプリングが無効になります。 |
memory-warning-threshold | 25 | INT | この値を越えると警告ログが記録される使用可能なメモリーの比率 (パーセント)。 |
message-counter-enabled | false | BOOLEAN | メッセージカウンターが有効であるかどうか。 |
message-counter-max-day-history | 10 | INT | メッセージカウンターの履歴を保持する日数。 |
message-counter-sample-period | 10000 | LONG | メッセージカウンターに使用するサンプル周期 (ミリ秒単位)。 |
message-expiry-scan-period | 30000 | LONG | 期限切れメッセージをスキャンする頻度 (ミリ秒単位)。 |
message-expiry-thread-priority | 3 | INT | メッセージを期限切れにするスレッドの優先度 |
page-max-concurrent-io | 5 | INT | ページングで許可される同時読み取りの最大数。 |
perf-blast-pages | -1 | INT | |
persist-delivery-count-before-delivery | false | BOOLEAN | 配信前に配信数が永続化されるかどうか。false に指定すると、メッセージがキャンセルされた後のみ発生します。 |
persist-id-cache | true | BOOLEAN | ID がジャーナルへ永続化されるかどうか。 |
persistence-enabled | true | BOOLEAN | サーバーがファイルベースのジャーナルを永続化に使用するかどうか。 |
pooled-connection-factory | 管理対象接続ファクトリーを定義します。 | ||
remoting-interceptors | undefined | LIST | [廃止済み] このサーバーによって使用されるインターセプタークラスのリスト。 |
remoting-incoming-interceptors | undefined | LIST | このサーバーによって使用される受信インターセプタークラスのリスト。 |
remoting-outgoing-interceptors | undefined | LIST | このサーバーによって使用される送信インターセプタークラスのリスト。 |
run-sync-speed-test | false | BOOLEAN | 起動時にディスクが同期化する速さに対して診断テストを実行するかどうか。パフォーマンスの問題を判断するのに便利です。 |
replication-clustername | STRING | レプリケート元のクラスター接続の名前 (2 つ以上のクラスターが設定されている場合)。 | |
runtime-queue | ランタイムキュー | ||
remote-connector | サーバーへの接続方法を定義するためにリモートクライアントによって使用されます。 | ||
remote-acceptor | HornetQ サーバーへリモート接続が確立される方法を定義します。 | ||
scheduled-thread-pool-max-size | 5 | INT | メインのスケジュールされたスレッドプールが持つスレッドの数。 |
security-domain | other | STRING | ユーザーおよびロールの情報を検証するために使用するセキュリティードメイン。 |
security-enabled | true | BOOLEAN | セキュリティーが有効かどうか。 |
security-setting | セキュリティー設定は、アドレスを基にキューに対してパーミッションのセットを定義できるようにします。 | ||
security-invalidation-interval | 10000 | LONG | セキュリティーキャッシュを無効にする前に待機する時間 (ミリ秒単位)。 |
server-dump-interval | -1 | LONG | 基本のランタイム情報をサーバーログにダンプする頻度。1 未満の数字を指定するとこの機能は無効になります。 |
shared store | true | BOOLEAN | このサーバーがフェイルオーバーに共有ストアを使用しているかどうか。 |
thread-pool-max-size | 30 | INT | メインのスレッドプールが持つスレッドの数。-1 は無制限を意味します。 |
transaction-timeout | 300000 | LONG | 作成時の後、トランザクションをリソースマネージャーから削除できるまでの時間 (ミリ秒単位)。 |
transaction-timeout-scan-period | 1000 | LONG | タイムアウトトランザクションをスキャンする頻度 (ミリ秒単位)。 |
wild-card-routing-enabled | true | BOOLEAN | サーバーがワイルドカードルーティングをサポートするかどうか。 |
警告
journal-file-size
の値が、サーバーへ送信されたメッセージのサイズよりも大きくないと、サーバーはメッセージを格納できません。
20.8.11. メッセージの有効期限の設定
送信されたメッセージが指定期間 (ミリ秒単位) 後にコンシューマーへ配達されなかった場合、サーバー側で期限切れになるように設定できます。Java Messaging Service (JMS) または HornetQ Core API を使用して、期限切れの時間を直接メッセージに設定できます。例は次のとおりです。
// message will expire in 5000ms from now message.setExpiration(System.currentTimeMillis() + 5000);
MessageProducer
には送信するメッセージの有効期限を制御する TimeToLive
パラメーターが含まれています。
// messages sent by this producer will be retained for 5s (5000ms) before expiration producer.setTimeToLive(5000);
- _HQ_ORIG_ADDRESS
- _HQ_ACTUAL_EXPIRY
producer.send(message, DeliveryMode.PERSISTENT, 0, 5000)
期限切れアドレスは address-setting 設定で定義されます。
<!-- expired messages in exampleQueue will be sent to the expiry address expiryQueue --> <address-setting match="jms.queue.exampleQueue"> <expiry-address>jms.queue.expiryQueue</expiry-address> </address-setting>
リーパー (reaper) スレッドは、メッセージの期限切れを検証するためにキューを定期的に検査します。
- message-expiry-scan-period
- message-expiry-thread-priority
20.9. メッセージのグループ化
20.9.1. メッセージのグループ化
- メッセージグループのすべてのメッセージは、共通のグループ ID でグループ化されます。そのため、これらのメッセージは共通のグループプロパティーで特定できます。
- メッセージグループのすべてのメッセージは、キューのカスタマーの数に関係なく同じコンシューマーによって順次処理され、消費されます。そのため、一意のグループ ID を持つ特定のメッセージグループは常にそのメッセージグループを開く 1 つのコンシューマーによって処理されます。コンシューマーがメッセージグループを閉じると、メッセージグループ全体がキューの別のコンシューマーに移動されます。
重要
20.9.2. クライアント側での HornetQ Core API の使用
_HQ_GROUP_ID
は、クライアント側で HornetQ Core API のメッセージグループを特定するために使用されます。無作為で一意のメッセージグループ ID を選択するには、autogroup
プロパティーを SessionFactory で true に設定します。
20.9.3. Java Messaging Service (JMS) クライアントのサーバー設定
JMSXGroupID
は、Java Messaging Service (JMS) クライアントのメッセージグループを特定するために使用されます。複数のメッセージを持つメッセージグループを 1 つのコンシューマーに送信するには、これらのメッセージに同じ JMSXGroupID
を設定します。
Message message = ... message.setStringProperty("JMSXGroupID", "Group-0"); producer.send(message); message = ... message.setStringProperty("JMSXGroupID", "Group-0"); producer.send(message);
autogroup
プロパティーを HornetQConnectonFactory で true に設定する方法もあります。設定後、HornetQConnectionFactory は一意なメッセージグループ ID を無作為に選出します。以下のように autogroup
プロパティーをサーバー設定ファイル (standalone.xml
および domain.xml
) で設定できます。
<connection-factory name="ConnectionFactory"> <connectors> <connector-ref connector-name="netty-connector"/> </connectors> <entries> <entry name="ConnectionFactory"/> </entries> <autogroup>true</autogroup> </connection-factory>前述の 2 つの方法の他に、接続ファクトリーを介して特定のメッセージグループ ID を設定する方法もあります。この接続ファクトリーを介して送信されたすべてのメッセージで、
JMSXGroupID
プロパティーが指定の値に設定されます。この設定ファクトリーで特定のメッセージグループ ID を設定するには、サーバー設定ファイル (standalone.xml
および domain.xml
) の group-id
プロパティーを次のように編集します。
<connection-factory name="ConnectionFactory"> <connectors> <connector-ref connector-name="netty-connector"/> </connectors> <entries> <entry name="ConnectionFactory"/> </entries> <group-id>Group-0</group-id> </connection-factory>
20.9.4. クラスター化されたグルーピング
local
と remote
の 2 つがあります。
standalone.xml
および domain.xml
) で設定できます。
<grouping-handler name="my-grouping-handler"> <type>LOCAL</type> <address>jms</address> <timeout>5000</timeout> </grouping-handler> <grouping-handler name="my-grouping-handler"> <type>REMOTE</type> <address>jms</address> <timeout>5000</timeout> </grouping-handler>timeout 属性は、指定時間内にルーティングが決定されるようにします。この時間内にルーティングが決定しないと、例外が発生します。
20.9.5. クラスター化されたグルーピングのベストプラクティス
- 頻繁にコンシューマーを作成および閉じる場合は、コンシューマーが異なるノードで均等に分散されるようにします。キューが固定されると、カスタマーの削除に関係なく、メッセージは自動的にそのキューへ転送されます。
- メッセージグループがバインドされているキューを削除する場合は、メッセージを送信しているセッションによってキューが削除されるようにします。これにより、キューの削除後に別のノードがこのキューにメッセージをルーティングしないようにします。
- フェイルオーバーメカニズムとして、ローカルグルーピングハンドラーを持つノードを常にレプリケートします。
20.10. 複製メッセージの検出
20.10.1. 複製メッセージの検出
20.10.2. メッセージ送信への複製メッセージ検出の使用
org.hornetq.api.core.HDR_DUPLICATE_DETECTION_ID
の値によって付与され、その値は _HQ_DUPL_ID
になります。このプロパティーの値は、コア API のタイプ byte[]
または SimpleString
になります。JMS (Java Messaging Service) クライアントでは、一意の値を持つタイプ String
である必要があります。簡単に一意の ID を生成するには、UUID を生成します。
... ClientMessage message = session.createMessage(true); SimpleString myUniqueID = "This is my unique id"; // Can use a UUID for this message.setStringProperty(HDR_DUPLICATE_DETECTION_ID, myUniqueID); ...下例は JMS クライアントのプロパティーを設定する方法を示しています。
... Message jmsMessage = session.createMessage(); String myUniqueID = "This is my unique id"; // Could use a UUID for this message.setStringProperty(HDR_DUPLICATE_DETECTION_ID.toString(), myUniqueID); ...
20.10.3. 複製 ID キャッシュの設定
org.hornetq.core.message.impl.HDR_DUPLICATE_DETECTION_ID
プロパティーの受信値のキャッシュを維持します。各アドレスは独自のアドレスキャッシュを維持します。
standalone.xml
および domain.xml
) の id-cache-size
パラメーターを使用して設定されます。このパラメーターのデフォルト値は 2000 要素です。キャッシュの最大サイズが n 要素である場合、キャッシュに保存された (n + 1) 個目の ID が 0 個目の要素を上書きします。
standalone.xml
および domain.xml
) で persist-id-cache
パラメーターを使用して設定します。この値を true に設定すると、受信時に各 ID が永久ストレージに永続化されます。このパラメーターのデフォルト値は true です。
注記
20.10.4. ブリッジおよびクラスター接続での複製検出の使用
standalone.xml
および domain.xml
) で use-duplicate-detection
プロパティーを true に設定します。このパラメーターのデフォルト値は true です。
standalone.xml
および domain.xml
) で use-duplicate-detection
プロパティーを true に設定します。このパラメーターのデフォルト値は true です。
20.11. JMS ブリッジ
20.11.1. ブリッジ
重要
20.11.2. JMS ブリッジの作成
JMS ブリッジはソースの JMS キューまたはトピックからメッセージを消費し、通常は異なるサーバーにあるターゲット JMS キューまたはトピックへ送信します。JMS 1.1 に準拠する JMS サーバーの間でメッセージをブリッジするために使用できます。送信元および宛先の JMS リソースは、JNDI を使用してルックアップされ、JNDI ルックアップのクライアントクラスはモジュールでバンドルされる必要があります。モジュール名は JMS ブリッジ設定で宣言されます。
手順20.2 JMS ブリッジの作成
ソース JMS メッセージングサーバーでのブリッジの設定
サーバータイプに見合った手順を使用して、JMS ブリッジをソースサーバーに設定します。JBoss EAP 5.x サーバーに JMS ブリッジを設定する方法の例は、JBoss EAP 6『移行ガイド』のトピック「JMS ブリッジの作成」を参照してください。宛先 JBoss EAP 6 サーバー上のブリッジの設定
JBoss EAP 6.1 およびそれ以降のバージョンでは、JMS ブリッジを使用して JMS 1.1 に準拠するサーバーからメッセージをブリッジできます。ソースおよびターゲットの JMS リソースは JNDI を使用してルックアップされるため、ソースメッセージングプロバイダーの JNDI ルックアップクラスまたはメッセージブローカーは JBoss モジュールでバンドルされる必要があります。次の手順では、例として架空の「MyCustomMQ」メッセージブローカーが使用されています。- メッセージプロバイダーの JBoss モジュールを作成します。
- 新しいモジュール向けに
EAP_HOME/modules/system/layers/base/
下にディレクトリー構造を作成します。main/
サブディレクトリーには、クライアント JAR とmodule.xml
ファイルを格納します。EAP_HOME/modules/system/layers/base/org/mycustommq/main/
は MyCustomMQ メッセージングプロバイダー用に作成されたディレクトリー構造の例になります。 main/
サブディレクトリー内に、メッセージングプロバイダーのモジュール定義が含まれるmodule.xml
ファイルを作成します。MyCustomMQ メッセージプロバイダー用に作成されたmodule.xml
の例は次のとおりです。<?xml version="1.0" encoding="UTF-8"?> <module xmlns="urn:jboss:module:1.1" name="org.mycustommq"> <properties> <property name="jboss.api" value="private"/> </properties> <resources> <!-- Insert resources required to connect to the source or target --> <resource-root path="mycustommq-1.2.3.jar" /> <resource-root path="mylogapi-0.0.1.jar" /> </resources> <dependencies> <!-- Add the dependencies required by JMS Bridge code --> <module name="javax.api" /> <module name="javax.jms.api" /> <module name="javax.transaction.api"/> <!-- Add a dependency on the org.hornetq module since we send --> <!-- messages tothe HornetQ server embedded in the local EAP instance --> <module name="org.hornetq" /> </dependencies> </module>
- ソースリソースの JNDI ルックアップに必要なメッセージングプロバイダー JAR をモジュールの
main/
サブディレクトリーへコピーします。MyCustomMQ モジュールのディレクトリー構造は次のようになるはずです。modules/ `-- system `-- layers `-- base `-- org `-- mycustommq `-- main |-- mycustommq-1.2.3.jar |-- mylogapi-0.0.1.jar |-- module.xml
- JBoss EAP 6 サーバーの
messaging
サブシステムに JMS ブリッジを設定します。- 設定を行う前に、サーバーを停止し、現在のサーバー設定ファイルをバックアップしてください。スタンドアロンサーバーを実行している場合は、
EAP_HOME/standalone/configuration/standalone-full-ha.xml
ファイルをバックアップします。管理対象ドメインを実行している場合は、EAP_HOME/domain/configuration/domain.xml
ファイルおよびEAP_HOME/domain/configuration/host.xml
ファイルを両方バックアップします。 jms-bridge
要素を、サーバー設定ファイルのmessaging
サブシステムへ追加します。source
およびtarget
要素は、JNDI ルックアップに使用される JMS リソースの名前を提供します。user
およびpassword
クレデンシャルが指定されいると、JMS 接続の作成時に引数として渡されます。MyCustomMQ メッセージングプロバイダー用に設定されたjms-bridge
要素の例は次のとおりです。<subsystem xmlns="urn:jboss:domain:messaging:1.3"> ... <jms-bridge name="myBridge" module="org.mycustommq"> <source> <connection-factory name="ConnectionFactory"/> <destination name="sourceQ"/> <user>user1</user> <password>pwd1</password> <context> <property key="java.naming.factory.initial" value="org.mycustommq.jndi.MyCustomMQInitialContextFactory"/> <property key="java.naming.provider.url" value="tcp://127.0.0.1:9292"/> </context> </source> <target> <connection-factory name="java:/ConnectionFactory"/> <destination name="/jms/targetQ"/> </target> <quality-of-service>DUPLICATES_OK</quality-of-service> <failure-retry-interval>500</failure-retry-interval> <max-retries>1</max-retries> <max-batch-size>500</max-batch-size> <max-batch-time>500</max-batch-time> <add-messageID-in-header>true</add-messageID-in-header> </jms-bridge> </subsystem>
上記の例では、JNDI プロパティーはsource
のcontext
要素に定義されています。上記のtarget
の例のように、context
要素が省略されると、JMS リソースはローカルインスタンスでルックアップされます。
20.12. 永続性
20.12.1. HornetQ の永続性
- Java New I/O (NIO)ファイルシステムとのインターフェースに標準の Java NIO を使用します。大変優れたパフォーマンスを実現し、Java 6 またはそれ以降のランタイムのプラットフォーム上で稼働します。
- Linux 非同期 IO (AIO)ネイティブコードラッパーを使用し、Linux 非同期 IO ライブラリー (AIO) と対話します。データが永続化されると、HornetQ は AIO を用いてメッセージを受信します。これにより、明示的な同期化の必要がなくなります。通常、AIO のパフォーマンスは Java NIO よりも優れていますが、Linux カーネル 2.6 (またはそれ以降) と libaio パッケージが必要になります。また、AIO には ext2、ext3、ext4、jfs、または xfs タイプのファイルシステムも必要になります。
- bindings journalサーバーおよび属性にデプロイされたキューのセットを含む、バインディング関連のデータを格納します。また、ID シーケンスカウンターなどのデータも格納します。メッセージジャーナルよりもスループットが低くなるため、バインディングジャーナルは常に NIO ジャーナルになります。このジャーナル上のファイルには、hornetq-bindings という接頭辞が付けられます。各ファイルには bindings 拡張子が付けられます。ファイルサイズは 1048576 バイトで、bindings フォルダーに格納されます。
- JMS journalJMS キュー、トピックスまたは接続ファクトリー、これらリソースの JNDI バインディングなど、JMS 関連のデータをすべて格納します。管理 API で作成された JMS リソースはすべてこのジャーナルで永続化されますが、設定ファイルで設定されたリソースは永続化されません。このジャーナルは JMS が使用される場合のみ作成されます。
- message journalメッセージ自体および duplicate-id キャッシュを含む、メッセージ関連のデータをすべて格納します。デフォルトでは、HornetQ はこのジャーナルに AIO を使用します。AIO が使用できない場合は、自動的に NIO へフォールバックします。
20.13. HornetQ クラスタリング
standalone.xml
および domain.xml
) で設定パラメーターを使用して他のノードへのクラスター設定を宣言します。
standalone.xml
および domain.xml
) で設定できます。
重要
standalone.xml
および domain.xml
) でノードを設定し、この設定を別のノードにコピーして対称のクラスターを作成できます。しかし、サーバー設定ファイルをコピーするときに注意する必要があります。HornetQ データ (バインディング、ジャーナル、大きなメッセージのディレクトリーなど) をあるノードから別のノードへコピーしてはなりません。ノードが初めて開始されると、クラスターを適切に形成するために必要となる一意な識別子をジャーナルディレクトリーへ永続化します。
20.13.1. サーバーディスカバリー
- サーバーの接続詳細をメッセージングクライアントへ転送します。メッセージングクライアントは、指定の時点で稼働しているサーバーの特定の詳細を持たずにクラスターのサーバーへ接続しようとします。
- 他のサーバーへ接続します。クラスターのサーバーは、クラスターにある他のすべてのサーバーに関する特定の詳細を持たずに他のサーバーとクラスター接続を確立しようとします。
20.13.2. ブロードキャストグループ
standalone.xml
および domain.xml
) の broadcast-groups
要素で指定できます。1 つの HornetQ サーバーは複数のブロードキャストグループを持つことができます。UDP (ユーザーデータグラムプロトコル) または JGroups のブロードキャストグループを定義できます。
20.13.2.1. UDP (ユーザーデータグラムプロトコル) ブロードキャストグループ
<broadcast-groups> <broadcast-group name="my-broadcast-group"> <local-bind-address>172.16.9.3</local-bind-address> <local-bind-port>5432</local-bind-port> <group-address>231.7.7.7</group-address> <group-port>9876</group-port> <broadcast-period>2000</broadcast-period> <connector-ref>netty</connector-ref> </broadcast-group> </broadcast-groups>
注記
<broadcast-groups> <broadcast-group name="my-broadcast-group"> <socket-binding>messaging-group</socket-binding> <broadcast-period>2000</broadcast-period> <connector-ref>netty</connector-ref> </broadcast-group> </broadcast-groups>
表20.11 UDP ブロードキャストグループパラメーター
属性 | 説明 |
---|---|
name attribute |
サーバーの各ブロードキャストグループの名前を表します。ブロードキャストグループの名前は一意名である必要があります。
|
local-bind-address |
[廃止済み] データグラムパケットのバインド先となるローカルバインドアドレスを指定する UDP 固有の属性です。ブロードキャストに使用するインターフェースを定義するためにこのプロパティーを設定する必要があります。このプロパティーが指定されていない場合、ソケットはワイルドカードアドレス (カーネルによって無作為に生成されたアドレス) へバインドします。
|
local-bind-port |
[廃止済み] データグラムソケットのバインド先となるローカルポートを指定するために使用される UDP 固有の属性です。デフォルト値は -1 で、匿名ポートの使用が指定されます。
|
group-address |
[廃止済み] メッセージがブロードキャストされる UDP 固有のマルチキャストアドレスです。この IP アドレスの範囲は 224.0.0.0 から 239.255.255.255 までになります。IP アドレス 224.0.0 は予約済みで使用できません。
|
group-port |
[廃止済み] ブロードキャスト用の UDP ポート番号を表します。
|
socket-binding |
ブロードキャストグループのソケットバインディングを表します。
|
broadcast-period |
このパラメーターは 2 つのブロードキャスト間の時間 (ミリ秒単位) を指定します。設定は任意です。
|
connector-ref |
ブロードキャストされるコネクターを参照します。
|
20.13.2.2. JGroups ブロードキャストグループ
jgroups-stack
と jgroups-channel
の 2 つの属性を指定します。以下は JGroups ブロードキャストグループの定義例になります。
<broadcast-groups> <broadcast-group name="bg-group1"> <jgroups-stack>udp</jgroups-stack> <jgroups-channel>udp</jgroups-channel> <broadcast-period>2000</broadcast-period> <connector-ref>netty</connector-ref> </broadcast-group> </broadcast-groups>JGroups ブロードキャストグループの定義には主に 2 つの属性が使用されます。
jgroups-stack
属性: この属性は、org.jboss.as.clustering.jgroups
サブシステムに定義されたスタックの名前を表します。jgroups-channel
属性: JGroups チャネルがブロードキャストするために接続するチャネルを表します。
20.13.3. ディスカバリーグループ
注記
20.13.3.1. サーバー上での UDP (ユーザーデータグラムプロトコル) ディスカバリーグループの設定
<discovery-groups> <discovery-group name="my-discovery-group"> <local-bind-address>172.16.9.7</local-bind-address> <group-address>231.7.7.7</group-address> <group-port>9876</group-port> <refresh-timeout>10000</refresh-timeout> </discovery-group> </discovery-groups>
注記
<discovery-groups> <discovery-group name="my-discovery-group"> <socket-binding>messaging-group</socket-binding> <refresh-timeout>10000</refresh-timeout> </discovery-group> </discovery-groups>
表20.12 UDP ディスカバリーグループパラメーター
属性 | 説明 |
---|---|
name attribute |
この属性はディスカバリーグループの名前を表します。ディスカバリー名はサーバーごとに一意の名前となる必要があります。
|
local-bind-address |
[廃止済み] 任意の UDP 固有の属性です。同じマシンで複数のインターフェースを使用する場合に特定のインターフェースでリッスンするディスカバリーグループを設定するために使用されます。
|
group-address |
[廃止済み] 必須の UDP 固有の属性です。グループのマルチキャスト IP アドレスでリッスンするディスカバリーグループを設定するために使用されます。この属性の値は、リッスンするブロードキャストグループの
group-address 属性と一致する必要があります。
|
group-port |
[廃止済み] 必須の UDP 固有の属性です。マルチキャストグループの UDP ポートを設定するために使用されます。この属性の値は、リッスンするマルチキャストグループの
group-port 属性と一致する必要があります。
|
socket-binding |
ディスカバリーグループのソケットバインディングを表します。
|
refresh-timeout |
任意の UDP 固有の属性です。最後のブロードキャストをサーバーから受信した後、削除する前にディスカバリーグループが待機する期間 (ミリ秒単位) を設定するために使用されます。ブロードキャスト処理が続行されているときにサーバーが即座にリストから削除されないように、
refresh-timeout の値を broadcast-period の値よりもはるかに大きくする必要があります。この属性のデフォルト値は 10000 秒です。
|
20.13.3.2. サーバー上での JGroups ディスカバリーグループの設定
<discovery-groups> <discovery-group name="dg-group1"> <jgroups-stack>udp</jgroups-stack> <jgroups-channel>udp</jgroups-channel> <refresh-timeout>10000</refresh-timeout> </discovery-group> </discovery-groups>JGroups ディスカバリーグループの定義には主に 2 つの属性が使用されます。
jgroups-stack
属性: この属性は、org.jboss.as.clustering.jgroups
サブシステムに定義されたスタックの名前を表します。jgroups-channel
属性: この属性は、ブロードキャストを受信するために JGroups チャネルが接続するチャネルを表します。
注記
20.13.3.3. Java Messaging Service (JMS) クライアントに対するディスカバリーグループの設定
standalone.xml
および domain.xml
) で指定できます。
<connection-factory name="ConnectionFactory"> <discovery-group-ref discovery-group-name="my-discovery-group"/> <entries> <entry name="ConnectionFactory"/> </entries> </connection-factory>
discovery-group-ref
要素を使用してディスカバリーグループの名前を指定します。クライアントアプリケーションがこの接続ファクトリーを JNDI (Java Naming and Directory Interface) からダウンロードし、JMS 接続を作成すると、ディスカバリーグループ設定で指定されたマルチキャストアドレスでディスカバリーグループがリッスンし維持されるすべてのサーバー全体でこれらの接続の負荷が分散されます。
final String groupAddress = "231.7.7.7"; final int groupPort = 9876; ConnectionFactory jmsConnectionFactory = HornetQJMSClient.createConnectionFactory(new DiscoveryGroupConfiguration(groupAddress, groupPort, new UDPBroadcastGroupConfiguration(groupAddress, groupPort, null, -1)), JMSFactoryType.CF); Connection jmsConnection1 = jmsConnectionFactory.createConnection(); Connection jmsConnection2 = jmsConnectionFactory.createConnection();
setDiscoveryRefreshTimeout()
を使用して refresh-timeout
属性のデフォルト値を DiscoveryGroupConfiguration に設定できます。最初の接続を確立する前に接続ファクトリーが特定期間待機するようにするには、DiscoveryGroupConfiguration でセッターメソッド setDiscoveryInitialWaitTimeout()
を使用します。
20.13.3.4. コア API のディスカバリー設定
ClientSessionFactory
インスタンスをインスタンス化する場合は、セッションファクトリーの作成時に直接ディスカバリーグループパラメーターを指定できます。
final String groupAddress = "231.7.7.7"; final int groupPort = 9876; ServerLocator factory = HornetQClient.createServerLocatorWithHA(new DiscoveryGroupConfiguration(groupAddress, groupPort, new UDPBroadcastGroupConfiguration(groupAddress, groupPort, null, -1)))); ClientSessionFactory factory = locator.createSessionFactory(); ClientSession session1 = factory.createSession(); ClientSession session2 = factory.createSession();セッターメソッド
setDiscoveryRefreshTimeout()
を使用して refresh-timeout
属性のデフォルト値を DiscoveryGroupConfiguration に設定できます。セッションの作成前にセッションファクトリーが特定期間待機するようにするには、DiscoveryGroupConfiguration でセッターメソッド setDiscoveryInitialWaitTimeout()
を使用します。
20.13.4. サーバー側の負荷分散
- 対称クラスター: 対称クラスターでは、各クラスターノードがクラスターにある他のすべてのノードへ直接接続されます。対称クラスターを作成するには、
max-hops
属性を 1 に設定して、クラスターのすべてのノードがクラスター接続を定義するようにします。注記
対称クラスターでは、各ノードは他のすべてのノード上に存在するキューと、それらのコンシューマーを認識します。そのため、各ノードはメッセージの負荷を分散する方法と再配布する方法を決定できます。
20.13.4.1. クラスター接続の設定
standalone.xml
および domain.xml
) の cluster-connection
要素に設定されます。HornetQ サーバーごとに 0 個以上のクラスター接続を定義できます。
<cluster-connections> <cluster-connection name="my-cluster"> <address>jms</address> <connector-ref>netty-connector</connector-ref> <check-period>1000</check-period> <connection-ttl>5000</connection-ttl> <min-large-message-size>50000</min-large-message-size> <call-timeout>5000</call-timeout> <retry-interval>500</retry-interval> <retry-interval-multiplier>1.0</retry-interval-multiplier> <max-retry-interval>5000</max-retry-interval> <reconnect-attempts>-1</reconnect-attempts> <use-duplicate-detection>true</use-duplicate-detection> <forward-when-no-consumers>false</forward-when-no-consumers> <max-hops>1</max-hops> <confirmation-window-size>32000</confirmation-window-size> <call-failover-timeout>30000</call-failover-timeout> <notification-interval>1000</notification-interval> <notification-attempts>2</notification-attempts> <discovery-group-ref discovery-group-name="my-discovery-group"/> </cluster-connection> </cluster-connections>下表は設定可能な属性の説明になります。
表20.13 クラスター接続の設定可能な属性
属性 | 説明 | デフォルト |
---|---|---|
address | 各クラスター接続は、この値で始まるアドレスへ送信されたメッセージへのみ適用されます。アドレスはどの値でもよく、異なるアドレスの値を持つ多くのクラスター接続を維持し、同時にこれらのアドレスのメッセージをサーバーの異なるクラスターへ分散します。ワイルドカードの一致は使用されません。 | |
connector-ref | 適切なクラスタートポロジーを持つようにするため、クラスターの他のノードへ送信されるコネクターを参照する必須の属性です。 | |
check-period | クラスター接続が別のサーバーからの ping を受信しなかったことを検証するために使用される期間 (ミリ秒単位) を表します。 | 30,000 ミリ秒 |
connection-ttl | クラスターの特定のノードからメッセージを受信しなくなった場合に、クラスター接続が有効でなければならない期間を指定します。 | 60,000 ミリ秒 |
min-large-message-size | メッセージのサイズ (バイト単位) がこの値を越える場合、ネットワーク上で他のクラスターメンバーへ送信されるときに複数のセグメントに分割されます。 | 102400 バイト |
call-timeout | 例外が発生する前にクラスター接続上で送信されたパケットが応答を待つ期間 (ミリ秒単位) を指定します。 | 30,000 ミリ秒 |
retry-interval | クラスターのノード間でクラスター接続が作成され、ターゲットノードが起動されていない、または再起動された場合、他のノードからのクラスター接続はターゲットノードが稼働するまで接続を再試行します。retry-interval パラメーターは再試行の間隔 (ミリ秒単位) を定義します。 | 500 ミリ秒 |
retry-interval-multiplier | 再試行が行われるたびに retry-interval をインクリメントするために使用されます。 | 1 |
max-retry-interval | 再試行の最大遅延 (ミリ秒単位) を表します。 | 2000 ミリ秒 |
reconnect-attempts | クラスターでシステムがノードへの接続を試行する回数を定義します。 | -1 (無限) |
use-duplicate-detection | クラスター接続はブリッジを使用してノードをリンクします。ブリッジを設定して転送された各メッセージに複製 ID プロパティーを追加できます。ブリッジのターゲットノードがクラッシュした後にリカバリーすると、メッセージがソースノードから再送信されることがあります。複製検出を有効にすると、複製されたメッセージはフィルターされ、ターゲットノードが受信すると無視されます。 | True |
forward-when-no-consumers | 他のノードにコンシューマーが存在するかどうかに関わらず、クラスターの他のノードの間でメッセージがラウンドロビン方式で配布されるかどうかを決定するパラメーターです。 | False |
max-hops | このサーバーに接続された他の HornetQ サーバーへメッセージを負荷分散する方法を決定します。 | -1 |
confirmation-window-size | 接続しているサーバーから確認を送信するために使用されるウインドウのサイズ (バイト単位)。 | 1048576 |
call-failover-timeout | フェールオーバーの試行中に呼び出しが行われるときに使用されます。 | -1 (タイムアウトなし) |
notification-interval | クラスターにアタッチするときにクラスター接続自体をブロードキャストする頻度 (ミリ秒単位) を決定します。 | 1000 ミリ秒 |
notification-attempts | クラスターに接続するときにクラスター接続自体をブロードキャストする回数を定義します。 | 2 |
discovery-group-ref | 現在のクラスター接続が接続するクラスターにある、他のサーバーのリストを取得するために使用されるディスカバリーグループを決定します。 |
standalone.xml
および domain.xml
) で定義されるクラスターユーザーおよびクラスターパスワードを使用します。
<cluster-user>HORNETQ.CLUSTER.ADMIN.USER</cluster-user> <cluster-password>NEW USER</cluster-password>
警告
20.14. 高可用性
20.14.1. 高可用性とは
- 専用トポロジー: このトポロジーは 2 つの EAP サーバーで構成されます。最初のサーバーでは HornetQ はライブサーバーとして設定されます。 2 つ目のサーバーでは、HornetQ はバックアップサーバーとして設定されます。HornetQ がバックアップサーバーとして設定されている EAP サーバーは、HornetQ のコンテナとしてのみ動作します。このサーバーはアクティブではなく、EJB、MDB、サーブレットなどのデプロイメントをホストできません。
- 配置トポロジー: このトポロジーには 2 つの EAP サーバーが含まれます。各 EAP サーバーには 2 つの HornetQ サーバー (ライブサーバーとバックアップサーバー) が含まれます。最初の EAP サーバーの HornetQ ライブサーバーと、2 つ目の EAP サーバーの HornetQ バックアップサーバーはライブ/バックアップのペアを形成します。2 つ目の EAP サーバーの HornetQ ライブサーバーと最初の EAP サーバーの HornetQ バックアップサーバーは別のライブ/バックアップのペアを形成します。
重要
注記
standalone-full-ha.xml
を参照します。設定の変更は、standalone-full-ha.xml
やこのファイルから派生する設定ファイルに適用できます。
20.14.2. HornetQ Shared の共有ストア
20.14.3. HornetQ ストレージの設定
- SAN 上の GFS2、ASYNCIO ジャーナルタイプを使用。
- NFSv4、ASYNCIO または NIO ジャーナルタイプを使用。
重要
- Red Hat Enterprise Linux NFS クライアントのキャッシュは無効にする必要があります。
注記
20.14.4. HornetQ のジャーナルタイプ
- ASYNCIO
- NIO
libaio
および Native Components パッケージをインストールする必要があります。Native Components パッケージのインストール手順については『インストールガイド』を参照してください。
重要
<journal-type>
パラメーターを Messaging
サブシステムに設定します。
20.14.5. 共有ストアを持つ専用トポロジー向けの HornetQ の設定
standalone-X.xml
ファイルに以下が含まれるように設定します。
<shared-store>true</shared-store> <paging-directory path="${shared.directory}/journal"/> <bindings-directory path="${shared.directory}/bindings"/> <journal-directory path="${shared.directory}/journal"/> <large-messages-directory path="${shared.directory}/large-messages"/> . . . <cluster-connections> <cluster-connection name="my-cluster"> ... </cluster-connection> </cluster-connections>
表20.14 HornetQ サーバーの設定属性 (ライブおよびバックアップサーバー用)
属性 | 説明 |
---|---|
shared-store |
このサーバーが共有ストアを使用しているかどうか。デフォルト値は false です。
|
paging-directory path |
ページングディレクトリーへのパスを示します。ライブサーバーとバックアップサーバーはこのディレクトリーを共有するため、パスは同じになります。
|
bindings-directory path |
バインディングジャーナルへのパスを示します。ライブサーバーとバックアップサーバーはこのジャーナルを共有するため、パスは同じになります。
|
journal-directory path |
ジャーナルディレクトリーへのパスを示します。ライブサーバーとバックアップサーバーはこのディレクトリーを共有するため、パスは同じになります。
|
large-messages-directory path |
大型メッセージのディレクトリーへのパスを示します。ライブサーバーとバックアップサーバーはこのディレクトリーを共有するため、パスは同じになります。
|
failover-on-shutdown |
ライブサーバーまたは現在アクティブなバックアップサーバーがシャットダウンすると、このサーバーがアクティブになるかどうか。
|
<backup>true</backup>HornetQ バックアップサーバー独自の設定属性は
allow-failback
です。これは、元のライブサーバーが復旧した場合にバックアップサーバーを自動的にシャットダウンするかどうかを指定します。
20.14.6. HornetQ のメッセージレプリケーション
警告
standalone-full-ha.xml
ファイルでサーバー間のリンクを定義する必要があります。バックアップサーバーは、同じグループ名を持つライブサーバーのみとレプリケートします。グループ名は、各サーバーの standalone-full-ha.xml
ファイルにある backup-group-name
パラメーターに定義する必要があります。
allow-failback
属性が true に設定されていると、これが自動的に行われます。
20.14.7. レプリケーションに対する HornetQ サーバーの設定
standalone-full-ha.xml
ファイルに以下が含まれるように設定します。
<shared-store>false</shared-store> <backup-group-name>NameOfLiveBackupPair</backup-group-name> <check-for-live-server>true</check-for-live-server> . . . <cluster-connections> <cluster-connection name="my-cluster"> ... </cluster-connection> </cluster-connections>
表20.15 HornetQ レプリケーション設定属性
属性 | 説明 |
---|---|
shared-store |
このサーバーが共有ストアを使用しているかどうか。デフォルト値は false です。
|
backup-group-name |
お互いをレプリケートするライブ/バックアップペアを識別する一意名です。
|
check-for-live-server |
同じノード ID を持つライブサーバーがすでに存在するかチェックするため、レプリケートされたライブサーバーが現在のクラスターを確認するかどうか。
|
failover-on-shutdown |
このバックアップサーバー (バックアップサーバーである場合) が通常のサーバーのシャットダウン時にライブサーバーになるかどうか。デフォルト値は false です。
|
<backup>true</backup>
表20.16 HornetQ バックアップサーバー設定属性
属性 | 説明 |
---|---|
allow-failback |
元のライブサーバーが復旧したときにこのサーバーを自動的にシャットダウンするかどうか。デフォルト値は true です。
|
max-saved-replicated-journal-size |
フェイルバック発生後に保持するバックアップジャーナルの最大数。allow-failback が true である場合のみこの属性が必要となります。デフォルト値は 2 で、ライブサーバーからジャーナルをレプリケートし、再度バックアップとなるようにするため、2 回目のフェイルバック後にバックアップサーバーが再起動されます。
|
20.14.8. 高可用性 (HA) フェールオーバー
allow-failback
属性が true に設定されている場合、ライブサーバーは再起動した後に再度ライブサーバーとして稼働します。元のライブサーバーが引き継ぎすると、バックアップサーバーはライブサーバーのバックアップに戻ります。
重要
standalone.xml
設定ファイルで failover-on-shutdown
プロパティーを true に設定すると、通常のサーバーのシャットダウンでフェールオーバーが発生するようになります。
<failover-on-shutdown>true</failover-on-shutdown>
failover-on-shutdown
プロパティーは false に設定されています。
standalone.xml
設定ファイルで allow-failback
プロパティーを true に設定すると、元のライブサーバーが復旧したときに新しいライブサーバーのシャットダウンが強制され、元のライブサーバーへ自動的に引き継ぎされます。
<allow-failback>true</allow-failback>
standalone.xml
設定ファイルで check-for-live-server
プロパティーを true に設定します。
<check-for-live-server>true</check-for-live-server>
20.14.9. HornetQ バックアップサーバー上のデプロイメント
第21章 transaction サブシステム
21.1. トランザクションサブシステムの設定
21.1.1. トランザクション設定の概要
次の手順は、JBoss EAP 6 のトランザクションサブシステムを設定する方法を示しています。
21.1.2. トランザクションマネージャーの設定
default
以外のプロファイルを修正したい場合は、以下の方法で手順とコマンドを修正する必要があることがあります。
例のコマンドに関する注意点
- 管理コンソールの場合、
default
プロファイルは最初のコンソールログイン時に選択されるものです。異なるプロファイルでトランザクションマネージャーの設定を修正する必要がある場合は、default
の代わりに使用しているプロファイルを選択してください。同様に、例の CLI コマンドのdefault
プロファイルを使用しているプロファイルに置き換えてください。 - スタンドアロンサーバーを使用する場合、存在するプロファイルは 1 つのみです。特定のプロファイルを選択する手順は無視してください。CLI コマンドでは、例のコマンドの
/profile=default
部分を削除してください。
注記
transactions
サブシステムが有効でなくてはなりません。これは、デフォルトで有効になっており、他の多くのサブシステムが適切に機能するために必要なため、無効にする可能性は大変低くなります。
Web ベースの管理コンソールを使用して TM を設定するには、画面上部の Configuration タブを選択します。管理対象ドメインを使用する場合、左上にある Profile 選択ボックスから適切なプロファイルを選択します。Container メニューを展開して、Transactions を選択します。
管理 CLI では、一連のコマンドを使用して TM を設定できます。プロファイル default
の管理対象ドメインの場合、コマンドはすべて /profile=default/subsystem=transactions/
で始まり、スタンドアロンサーバーの場合は /subsystem=transactions
で始まります。
重要
表21.1 TM 設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
統計の有効化 (Enable Statistics)
|
トランザクションの統計を有効にするかどうかを指定します。統計は Runtime タブの Subsystem Metrics セクションにある管理コンソールで閲覧できます。
| /profile=default/subsystem=transactions/:write-attribute(name=enable-statistics,value=true)
|
デフォルトのタイムアウト (Default Timeout)
|
デフォルトのトランザクションタイムアウトです。デフォルトでは
300 秒に設定されています。トランザクションごとにプログラムで上書きできます。
| /profile=default/subsystem=transactions/:write-attribute(name=default-timeout,value=300)
|
オブジェクトストアパス (Object Store Path)
|
TM オブジェクトストアがデータを格納するファイルシステムの相対または絶対パスです。デフォルトでは、
object-store-relative-to パラメーターの値に相対的です。
| /profile=default/subsystem=transactions/:write-attribute(name=object-store-path,value=tx-object-store)
|
オブジェクトストアパスに相対的 (Object Store Path Relative To)
|
ドメインモデルのグローバルなパス設定を参照します。デフォルト値は、JBoss EAP 6 のデータディレクトリーで、
jboss.server.data.dir プロパティーの値です。デフォルト値は、管理対象ドメインの場合は EAP_HOME/domain/data/ 、スタンドアロンサーバーインスタンスの場合は EAP_HOME/standalone/data/ です。オブジェクトストアの object-store-path TM 属性の値はこのパスに相対的です。
| /profile=default/subsystem=transactions/:write-attribute(name=object-store-relative-to,value=jboss.server.data.dir)
|
ソケットバインディング
|
ソケットベースのメカニズムを使用する場合に、トランザクションマネージャーの回復およびトランザクション識別子の生成に使用するソケットバインディングの名前を指定します。一意の識別子を生成する詳しい情報は、
process-id-socket-max-ports を参照してください。ソケットバインディングは、管理コンソールの Server タブでサーバーグループごとに指定されます。
| /profile=default/subsystem=transactions/:write-attribute(name=socket-binding,value=txn-recovery-environment)
|
リカバリーリスナー (Recovery Listener)
|
トランザクションリカバリのプロセスがネットワークソケットをリッスンするかどうかを指定します。デフォルトは
false です。
| /profile=default/subsystem=transactions/:write-attribute(name=recovery-listener,value=false)
|
表21.2 高度な TM 設定オプション
オプション | 説明 | CLI コマンド |
---|---|---|
jts
|
Java Transaction Service (JTS) トランザクションを使用するかどうかを指定します。デフォルト値は
false で、JTA トランザクションのみを使用します。
| /profile=default/subsystem=transactions/:write-attribute(name=jts,value=false)
|
node-identifier
|
トランザクションマネージャーのノード識別子です。このオプションは以下の場合に必要です。
node-identifier は一意である必要があります。複数のノードが同じリソースマネージャーと対話したり、トランザクションオブジェクトストアを共有したりするため、node-identifier は JTA に対しても一意である必要があります。
| /profile=default/subsystem=transactions/:write-attribute(name=node-identifier,value=1)
|
process-id-socket-max-ports
|
トランザクションマネージャーは、各トランザクションログに対し一意の識別子を作成します。一意の識別子を生成するメカニズムは 2 種類あります。ソケットベースのメカニズムとプロセスのプロセス識別子をベースにしたメカニズムです。
ソケットベースの識別子の場合、あるソケットを開くと、そのポート番号が識別子用に使用されます。ポートがすでに使用されている場合は、空きのポートが見つかるまで次のポートがプローブされます。
process-id-socket-max-ports は、TM が失敗するまでに試行するソケットの最大値を意味します。デフォルト値は 10 です。
| /profile=default/subsystem=transactions/:write-attribute(name=process-id-socket-max-ports,value=10)
|
process-id-uuid
| true に設定すると、プロセス識別子を使用して各トランザクションに一意の識別子を作成します。そうでない場合は、ソケットベースのメカニズムが使用されます。デフォルトは true です。詳細は process-id-socket-max-ports を参照してください。
| /profile=default/subsystem=transactions/:write-attribute(name=process-id-uuid,value=true)
|
use-hornetq-store
|
トランザクションログ用に、ファイルベースのストレージの代わりに HornetQ のジャーナルストレージメカニズムを使用します。デフォルトでは無効になっていますが、I/O パフォーマンスが向上します。別々のトランザクションマネージャーで JTS トランザクションを使用することは推奨されません。このオプションの変更を反映するには
shutdown コマンドを使用してサーバーを再起動する必要があります。
| /profile=default/subsystem=transactions/:write-attribute(name=use-hornetq-store,value=false)
|
21.1.3. JTA Transaction API を使用するようデータソースを設定
ここでは、データソースで Java Transaction API (JTA) を有効にする方法を説明します。
このタスクを続行するには、次の条件を満たしている必要があります。
- データベースまたはその他のリソースが Java Transaction API をサポートする必要があります。不明な場合は、データソースまたはリソースの文書を参照してください。
- データソースを作成します。「管理インターフェースによる非 XA データソースの作成」 を参照してください。
- JBoss EAP 6 を停止します。
- テキストエディターで設定ファイルを直接編集できる権限を持たなければなりません。
手順21.1 Java Transaction API を使用するようデータソースを設定
テキストエディターで設定ファイルを開きます。
JBoss EAP 6 を管理対象ドメインまたはスタンドアロンサーバーで実行するかによって、設定ファイルの場所は異なります。管理対象ドメイン
管理対象ドメインのデフォルトの設定ファイルは、Red Hat Enterprise Linux の場合はEAP_HOME/domain/configuration/domain.xml
にあります。Microsoft Windows サーバーの場合はEAP_HOME\domain\configuration\domain.xml
にあります。スタンドアロンサーバー
スタンドアロンサーバーのデフォルトの設定ファイルは、Red Hat Enterprise Linux の場合はEAP_HOME/standalone/configuration/standalone.xml
にあります。Microsoft Windows サーバーの場合はEAP_HOME\standalone\configuration\standalone.xml
にあります。
お使いのデータソースに対応する
<datasource>
タグを探します。データソースのjndi-name
属性には作成時に指定した属性が設定されます。たとえば、 ExampleDS データソースは次のようになります。<datasource jndi-name="java:jboss/datasources/ExampleDS" pool-name="H2DS" enabled="true" jta="true" use-java-context="true" use-ccm="true">
jta
属性をtrue
に設定します。上記のように、jta="true"
を<datasource>
タグの内容に追加します。設定ファイルを保存します。
設定ファイルを保存しテキストエディターを終了します。JBoss EAP 6 を起動します。
JBoss EAP 6 サーバーを再起動します。
JBoss EAP 6 が起動し、データソースが Java Transaction API を使用するように設定されます。
21.1.4. XA Datasource の設定
XA Datasource を追加するには、管理コンソールにログインする必要があります。詳細については、「管理コンソールへのログイン」 を参照してください。
新しいデータソースを追加します。
新しいデータソースを JBoss EAP 6 に追加します。「管理インターフェースによる非 XA データソースの作成」 の手順に従いますが、上部の XA Datasource タブをクリックしてください。必要に応じて他のプロパティーを設定します。
すべてのデータソースパラメーターは 「データソースのパラメーター」 にリストされています。
XA Datasource が設定され、使用する準備ができます。
21.1.5. トランザクションログメッセージ
DEBUG
ログレベルを使用します。詳細なデバッグでは TRACE
ログレベルを使用します。トランザクションロガーの設定に関する詳細については、「トランザクションサブシステムのログ設定」 を参照してください。
TRACE
ログレベルに設定すると、トランザクションマネージャーは多くのロギング情報を生成できます。一般的に表示されるメッセージの一部は次のとおりです。他のメッセージが表示されることもあります。
表21.3 トランザクション状態の変更
トランザクションの開始 |
トランザクションが開始されると、次のコードが実行されます。
com.arjuna.ats.arjuna.coordinator.BasicAction::Begin:1342 tsLogger.logger.trace("BasicAction::Begin() for action-id "+ get_uid()); |
トランザクションのコミット |
トランザクションがコミットすると、次のコードが実行されます。
com.arjuna.ats.arjuna.coordinator.BasicAction::End:1342 tsLogger.logger.trace("BasicAction::End() for action-id "+ get_uid()); |
トランザクションのロールバック |
トランザクションがロールバックすると、次のコードが実行されます。
com.arjuna.ats.arjuna.coordinator.BasicAction::Abort:1575 tsLogger.logger.trace("BasicAction::Abort() for action-id "+ get_uid()); |
トランザクションのタイムアウト |
トランザクションがタイムアウトすると、次のコードが実行されます。
com.arjuna.ats.arjuna.coordinator.TransactionReaper::doCancellations:349 tsLogger.logger.trace("Reaper Worker " + Thread.currentThread() + " attempting to cancel " + e._control.get_uid());
その後、上記のように同じスレッドがトランザクションをロールバックすることが確認できます。
|
21.1.6. トランザクションサブシステムのログ設定
JBoss EAP 6 の他のログ設定に依存せずにトランザクションログの情報量を制御する手順を説明します。主に Web ベースの管理コンソールを用いた手順を説明し、管理 CLI コマンドはその後で説明します。
手順21.2 管理コンソールを使用したトランザクションロガーの設定
ログ設定領域に移動します。
管理コンソールで Configuration タブをクリックします。管理対象ドメインを使用する場合は、左上の Profile 選択ボックスから設定したいサーバープロファイルを選択します。Core メニューを展開して、Logging を選択します。com.arjuna
属性を編集します。Log Categories タブを選択します。com.arjuna
を選択し、Details セクションの Edit をクリックします。ここにクラス固有のログ情報を追加できます。com.arjuna
クラスはすでに存在します。ログレベルや、親ハンドラーを使用するかどうかを変更できます。- ログのレベル
- デフォルトのログレベルは
WARN
です。トランザクションはログを大量に出力できるため、標準的なログレベルの意味は、トランザクションロガーでは若干異なります。通常、選択したレベルより重要度が低いレベルでタグ付けされたメッセージは破棄されます。トランザクションログのレベル (詳細度の高い順)
- TRACE
- DEBUG
- INFO
- WARN
- ERROR
- FAILURE
- 親ハンドラーの使用
- ロガーがログ出力を親ロガーに送信するかどうかを指定します。デフォルトの動作は
true
です。
- 変更は直ちに反映されます。
21.2. トランザクション管理
21.2.1. トランザクションの参照と管理
log-store
と呼ばれるリソースとして公開します。probe
と呼ばれる API 操作はトランザクションログを読み取り、各ログに対してノードを作成します。probe
コマンドは、log-store
を更新する必要があるときに、いつでも手動で呼び出すことができます。トランザクションログが表示された後すぐに消去されるのは普通です。
例21.1 ログストアの更新
default
を使用するサーバーグループに対してログストアを更新します。スタンドアローンサーバーの場合は、コマンドから profile=default
を削除します。
/profile=default/subsystem=transactions/log-store=log-store/:probe
例21.2 準備済みトランザクションすべての表示
ls
コマンドに似た機能を持つ次のコマンドを実行します。
ls /profile=default/subsystem=transactions/log-store=log-store/transactions
トランザクションの管理
- トランザクションの属性を表示します。
- JNDI 名、EIS 製品名およびバージョン、ステータスなどのトランザクションに関する情報を表示するには、
:read-resource
CLIコマンドを使用します。/profile=default/subsystem=transactions/log-store=log-store/transactions=0\:ffff7f000001\:-b66efc2\:4f9e6f8f\:9:read-resource
- トランザクションの参加者を表示します。
- 各トランザクションログには、
participants
(参加者) と呼ばれる子要素が含まれます。トランザクションの参加者を確認するには、この要素に対してread-resource
CLI コマンドを使用します。参加者は、JNDI 名によって識別されます。/profile=default/subsystem=transactions/log-store=log-store/transactions=0\:ffff7f000001\:-b66efc2\:4f9e6f8f\:9/participants=java\:\/JmsXA:read-resource
結果は以下のようになります。{ "outcome" => "success", "result" => { "eis-product-name" => "HornetQ", "eis-product-version" => "2.0", "jndi-name" => "java:/JmsXA", "status" => "HEURISTIC", "type" => "/StateManager/AbstractRecord/XAResourceRecord" } }
ここで示された結果ステータスはHEURISTIC
であり、復元可能です。詳細については、トランザクションをリカバリーします。 を参照してください。 - トランザクションを削除します。
- 各トランザクションログは、トランザクションを表すトランザクションログを削除するために、
:delete
操作をサポートします。/profile=default/subsystem=transactions/log-store=log-store/transactions=0\:ffff7f000001\:-b66efc2\:4f9e6f8f\:9:delete
- トランザクションをリカバリーします。
- 各トランザクションログは、
:recover
CLI コマンドを使用したリカバリーをサポートします。ヒューリスティックなトランザクションと参加者のリカバリー
- トランザクションの状態が
HEURISTIC
である場合は、リカバリー操作によって、状態がPREPARE
に変わり、リカバリーがトリガーされます。 - トランザクションの参加者の 1 つがヒューリスティックな場合、リカバリー操作は
commit
操作を再実行しようとします。成功した場合、トランザクションログから参加者が削除されます。これを確認するには、log-store
上で:probe
操作を再実行し、参加者がリストされていないことを確認します。これが最後の参加者の場合は、トランザクションも削除されます。
- リカバリーが必要なトランザクションの状態を更新します。
- トランザクションをリカバリーする必要がある場合は、リカバリーを試行する前に
:refresh
CLI コマンドを使用して、トランザクションのリカバリーが必要であるかを確認できます。/profile=default/subsystem=transactions/log-store=log-store/transactions=0\:ffff7f000001\:-b66efc2\:4f9e6f8f\:9/participants=2:refresh
トランザクションマネージャーの統計が有効になっていると、トランザクションマネージャーおよびトランザクションサブシステムに関する統計を表示できます。トランザクションマネージャーの統計を有効にする方法は 「トランザクションマネージャーの設定」 を参照してください。
表21.4 トランザクションサブシステム統計情報
統計 | 説明 | CLI コマンド |
---|---|---|
合計 |
このサーバー上でトランザクションマネージャーにより処理されるトランザクションの合計数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-transactions,include-defaults=true) |
Committed |
このサーバー上でトランザクションマネージャーにより処理されるコミット済みトランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-committed-transactions,include-defaults=true) |
Aborted |
このサーバー上でトランザクションマネージャーにより処理されるアボートされたトランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-aborted-transactions,include-defaults=true) |
Timed Out |
このサーバー上でトランザクションマネージャーにより処理されるタイムアウトのトランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-timed-out-transactions,include-defaults=true) |
Heuristics |
管理コンソールでは利用できません。ヒューリスティック状態のトランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-heuristics,include-defaults=true) |
フライト状態のトランザクション |
管理コンソールでは使用できません。開始した未終了のトランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-inflight-transactions,include-defaults=true) |
障害の原因 - アプリケーション |
障害の原因がアプリケーションであった失敗トランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-application-rollbacks,include-defaults=true) |
障害の原因 - リソース |
障害の原因がリソースであった失敗トランザクションの数。
|
/host=master/server=server-one/subsystem=transactions/:read-attribute(name=number-of-resource-rollbacks,include-defaults=true) |
参加者 ID |
参加者の ID。
|
/host=master/server=server-one/subsystem=transactions/log-store=log-store/transactions=0\:ffff7f000001\:-b66efc2\:4f9e6f8f\:9:read-children-names(child-type=participants) |
トランザクションすべてのリスト |
トランザクションの完全リスト。
|
/host=master/server=server-one/subsystem=transactions/log-store=log-store:read-children-names(child-type=transactions) |
21.3. トランザクションに関するリファレンス
21.3.1. JBoss Transactions エラーと例外
UserTransaction
クラスのメソッドによって発生する例外に関する詳細については、http://docs.oracle.com/javaee/6/api/javax/transaction/UserTransaction.html の 『UserTransaction API』 の仕様を参照してください。
21.3.2. JTA トラザクションの制限
21.4. ORB 設定
21.4.1. Common Object Request Broker Architecture (CORBA)
21.4.2. JTS トランザクション用 ORB の設定
注記
full
および full-ha
プロファイルでのみ利用可能です。スタンドアロンサーバーでは、standalone-full.xml
または standalone-full-ha.xml
設定で利用可能です。
手順21.3 管理コンソールを使用した ORB の設定
プロファイル設定の表示
管理コンソールの上部から Configuration を選択します。管理対象ドメインを使用する場合は、左上にある選択ボックスから full または full-ha プロファイルを選択します。Initializers 設定の変更
Subsystems を展開します。Container メニューを展開し、JacORB を選択します。メイン画面に表示されるフォームで、Initializers タブを選択し、Edit ボタンをクリックします。Security の値をon
に設定して、セキュリティーインターセプターを有効にします。JTS 用 ORB を有効にするには、Transaction Interceptors 値をデフォルトのspec
ではなくon
に設定します。これらの値に関する詳細な説明については、フォームの Need Help? リンクを参照してください。値の編集が完了したら、Save をクリックします。高度な ORB 設定
高度な設定オプションについては、フォームの他のセクションを参照してください。各セクションには、パラメーターに関する詳細な情報とともに Need Help? リンクが含まれます。
管理 CLI を使用して ORB を設定できます。以下のコマンドは、管理コンソールに対するイニシャライザーに上記の手順と同じ値を設定します。これは、JTS と使用する ORB の最小設定です。
/profile=full
部分を省略します。
例21.3 セキュリティーインターセプターの有効化
/profile=full/subsystem=jacorb/:write-attribute(name=security,value=on)
例21.4 JacORB サブシステムでのトラザクションの有効化
/profile=full/subsystem=jacorb/:write-attribute(name=transactions,value=on)
例21.5 トランザクションサブシステムでの JTS の有効化
/profile=full/subsystem=transactions:write-attribute(name=jts,value=true)
注記
21.5. JDBC オブジェクトストアのサポート
21.5.1. トランザクションの JDBC ストア
必読トピック:
注記
datasource
セクションに jta="false"
を指定する必要があります。
手順21.4 JDBC データソースをトランザクションオブジェクトストアとして使用
use-jdbc-store
をtrue
に設定します。/subsystem=transactions:write-attribute(name=use-jdbc-store, value=true)
jdbc-store-datasource
を、使用するデータの JNDI 名に設定します。/subsystem=transactions:write-attribute(name=jdbc-store-datasource, value=java:jboss/datasources/TransDS)
- JBoss EAP サーバーを再起動し、変更を反映します。
shutdown --restart=true
表21.5 トランザクション JDBC ストアのプロパティー
プロパティー | 説明 |
---|---|
use-jdbc-store
|
true に設定すると、トランザクションの JDBC ストアが有効になります。
|
jdbc-store-datasource
|
ストレージに使用される JDBC データソースの JNDI 名。
|
jdbc-action-store-drop-table
|
起動時にアクションストアテーブルがドロップおよび再作成されます。任意のプロパティーで、デフォルト値は false です。
|
jdbc-action-store-table-prefix
|
アクションストアテーブル名の接頭辞。任意のプロパティーです。
|
jdbc-communication-store-drop-table
|
起動時にコミュニケーションストアテーブルがドロップおよび再作成されます。任意のプロパティーで、デフォルト値は false です。
|
jdbc-communication-store-table-prefix
|
コミュニケーションストアテーブル名の接頭辞。任意のプロパティーです。
|
jdbc-state-store-drop-table
|
起動時にステートストアテーブルがドロップおよび再作成されます。任意のプロパティーで、デフォルト値は false です。
|
jdbc-state-store-table-prefix
|
ステートストアテーブル名の接頭辞。任意のプロパティーです。
|
第22章 メールサブシステム
22.1. メールサブシステムでのカスタムトランスポートの使用
outbound-socket-binding-ref
です。この属性は、アウトバウンドメールソケットバインディングへの参照で、ホストアドレスとポート番号で定義されます。
outbound-socket-binding-ref
を必要とせず、カスタムのホストプロパティー形式を使用できます。
手順22.1
- 新しいメールセッションを追加します。以下のコマンドは、mySession という新しいセッションを作成し、JNDI を
java:jboss/mail/MySession
に設定します。/subsystem=mail/mail-session=mySession:add(jndi-name=java:jboss/mail/MySession)
- アウトバウンドソケットバインディングを追加します。以下のコマンドは、
localhost:25
を示すmy-smtp-binding
という名前のソケットバインディングを追加します。/socket-binding-group=standard-sockets/remote-destination-outbound-socket-binding=my-smtp-binding:add(host=localhost, port=25)
outbind-socket-binding-ref
を用いて、SMTP サーバーを追加します。以下のコマンドは、my-smtp-binding
という SMTP を追加し、ユーザー名、パスワード、および TLS 設定を定義します。/subsystem=mail/mail-session=mySession/server=smtp:add(outbound-socket-binding-ref= my-smtp-binding, username=user, password=pass, tls=true)
- POP3 と IMAP に対して、同じ処理を行います。
/socket-binding-group=standard-sockets/remote-destination-outbound-socket-binding=my-pop3-binding:add(host=localhost, port=110)
/subsystem=mail/mail-session=mySession/server=pop3:add(outbound-socket-binding-ref=my-pop3-binding, username=user, password=pass)
/socket-binding-group=standard-sockets/remote-destination-outbound-socket-binding=my-imap-binding:add(host=localhost, port=143)
/subsystem=mail/mail-session=mySession/server=imap:add(outbound-socket-binding-ref=my-imap-binding, username=user, password=pass)
- カスタムサーバーを使用するには、アウトバウンドソケットバインディングのないカスタムメールサーバーを新規作成し (アウトバウンドソケットバインディングは任意であるため)、代わりにホスト情報をプロパティーの一部として指定します。
/subsystem=mail/mail-session=mySession/custom=myCustomServer:add(username=user,password=pass, properties={"host" => "myhost", "my-property" =>"value"})
カスタムプロトコルを定義する際、ピリオド (.) が含まれるプロパティー名は完全修飾名とみなされ、指定どおりに渡されます。他の形式 (my-property など) は、mail.server-name.my-property
の形式に変換されます。
<subsystem xmlns="urn:jboss:domain:mail:1.1"> <mail-session jndi-name="java:/Mail" from="user.name@domain.org"> <smtp-server outbound-socket-binding-ref="mail-smtp" tls="true"> <login name="user" password="password"/> </smtp-server> <pop3-server outbound-socket-binding-ref="mail-pop3"/> <imap-server outbound-socket-binding-ref="mail-imap"> <login name="nobody" password="password"/> </imap-server> </mail-session> <mail-session debug="true" jndi-name="java:jboss/mail/Default"> <smtp-server outbound-socket-binding-ref="mail-smtp"/> </mail-session> <mail-session debug="true" jndi-name="java:jboss/mail/Custom"> <custom-server name="smtp"> <login name="username" password="password"/> <property name="host" value="mail.example.com"/> </custom-server> <custom-server name="pop3" outbound-socket-binding-ref="mail-pop3"> <property name="custom_prop" value="some-custom-prop-value"/> <property name="some.fully.qualified.property" value="fully-qualified-prop-name"/> </custom-server> </mail-session> <mail-session debug="true" jndi-name="java:jboss/mail/Custom2"> <custom-server name="pop3" outbound-socket-binding-ref="mail-pop3"> <property name="custom_prop" value="some-custom-prop-value"/> </custom-server> </mail-session> </subsystem>
第23章 Enterprise JavaBeans
23.1. はじめに
23.1.1. Enterprise JavaBeans の概要
23.1.2. 管理者向け Enterprise JavaBeans の概要
- 管理コンソールの上部にある Configuration タブをクリックします。
- ドメインモードで稼働している場合は、左上の Profiles ドロップダウンメニューからプロファイルを選択します。
- Subsystems メニューを展開します。
- Container メニューを展開し、EJB 3 を選択します。
23.1.3. エンタープライズ Bean
重要
23.1.4. セッション Bean
23.1.5. メッセージ駆動型 Bean
23.2. Bean プールの設定
23.2.1. Bean プール
23.2.2. Bean プールの作成
手順23.1 管理コンソールを使用した Bean プールの作成
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Bean Pools タブを選択します。
- Add をクリックします。Add EJB3 Bean Pools ダイアログが表示されます。
- 必要な詳細、Name、Max Pool Size、Timeout の値、および Timeout の単位を指定します。
- Save ボタンをクリックして終了します。
手順23.2 CLI を使用した Bean プールの作成
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
add
操作を使用します。/subsystem=ejb3/strict-max-bean-instance-pool=BEANPOOLNAME:add(max-pool-size=MAXSIZE, timeout=TIMEOUT, timeout-unit="UNIT")
- BEANPOOLNAME を Bean プールの必要な名前に置き換えます。
- MAXSIZE を Bean プールの最大サイズに置き換えます。
- TIMEOUT を置き換えます。
- UNIT を必要な時間単位に置き換えます。使用可能な値は
NANOSECONDS
、MICROSECONDS
、MILLISECONDS
、SECONDS
、MINUTES
,HOURS
、DAYS
です。
read-resource
操作を使用して Bean プールの作成を確認します。/subsystem=ejb3/strict-max-bean-instance-pool=BEANPOOLNAME:read-resource
例23.1 CLI を使用した Bean プールの作成
[standalone@localhost:9999 /] /subsystem=ejb3/strict-max-bean-instance-pool=ACCTS_BEAN_POOL:add(max-pool-size=500, timeout=5000, timeout-unit="SECONDS") {"outcome" => "success"} [standalone@localhost:9999 /]
例23.2 XML 設定の例
<subsystem xmlns="urn:jboss:domain:ejb3:1.2"> <pools> <bean-instance-pools> <strict-max-pool name="slsb-strict-max-pool" max-pool-size="20" instance-acquisition-timeout="5" instance-acquisition-timeout-unit="MINUTES" /> <strict-max-pool name="mdb-strict-max-pool" max-pool-size="20" instance-acquisition-timeout="5" instance-acquisition-timeout-unit="MINUTES" /> </bean-instance-pools> </pools> </subsystem>
23.2.3. Bean プールの削除
前提条件:
- 使用中の Bean プールを削除することはできません。「セッションおよびメッセージ駆動型 Bean に対する Bean プールの割り当て」 を参照して、Bean プールが使用されていないことを確認してください。
手順23.3 管理コンソールを使用した Bean プールの削除
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Bean Pools タブを選択します。
- 一覧より削除する Bean プールを選択します。
- Remove をクリックします。Remove Item ダイアログが表示されます。
- Confirm をクリックして確認します。
手順23.4 CLI を使用した Bean プールの削除
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
remove
操作を使用します。/subsystem=ejb3/strict-max-bean-instance-pool=BEANPOOLNAME:remove
- BEANPOOLNAME を Bean プールの必要な名前に置き換えます。
例23.3 CLI を使用した Bean プールの削除
[standalone@localhost:9999 /] /subsystem=ejb3/strict-max-bean-instance-pool=ACCTS_BEAN_POOL:remove {"outcome" => "success"} [standalone@localhost:9999 /]
23.2.4. Bean プールの編集
手順23.5 管理コンソールを使用した Bean プールの編集
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Bean Pools タブを選択します。
- 編集する Bean プールを選択します。
- 編集 をクリックします。
- 変更する詳細を編集します。Max Pool Size、Timeout の値、および Timeout Unit が変更可能です。
- Save をクリックして終了します。
手順23.6 CLI を使用した Bean プールの編集
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- Bean プールの各属性を変更するために、次の構文で
write-attribute
操作を使用します。/subsystem=ejb3/strict-max-bean-instance-pool=BEANPOOLNAME:write-attribute(name="ATTRIBUTE", value="VALUE")
- BEANPOOLNAME を Bean プールの必要な名前に置き換えます。
- ATTRIBUTE を、編集する属性の名前に置き換えます。このように編集できる属性は、
max-pool-size
、timeout
、およびtimeout-unit
です。 - VALUE を属性の必要な値に置き換えます。
read-resource
操作を使用して Bean プールの変更を確認します。/subsystem=ejb3/strict-max-bean-instance-pool=BEANPOOLNAME:read-resource
例23.4 CLI を使用した Bean プールのタイムアウト値の設定
[standalone@localhost:9999 /] /subsystem=ejb3/strict-max-bean-instance-pool=HSBeanPool:write-attribute(name="timeout", value="1500") {"outcome" => "success"} [standalone@localhost:9999 /]
23.2.5. セッションおよびメッセージ駆動型 Bean に対する Bean プールの割り当て
slsb-strict-max-pool
とメッセージ駆動型 Bean に対する mdb-strict-max-pool
の 2 つの Bean プールが提供されます。
手順23.7 管理コンソールを使用したセッションおよびメッセージ駆動型 Bean に対する Bean プールの割り当て
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Container タブを選択します。
- 編集 をクリックします。
- 適切なコンボボックスから、Bean の各タイプに使用する Bean プールを選択します。
- Save をクリックして終了します。
手順23.8 CLI を使用したセッションおよびメッセージ駆動型 Bean に対する Bean プールの割り当て
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
write-attribute
操作を使用します。/subsystem=ejb3:write-attribute(name="BEANTYPE", value="BEANPOOL")
- BEANTYPE は、メッセージ駆動型 Bean の
default-mdb-instance-pool
またはステートレスセッション Bean のdefault-slsb-instance-pool
に置き換えます。 - BEANPOOL を割り当てる Bean プールの名前に置き換えます。
read-resource
操作を使用して変更を確認します。/subsystem=ejb3:read-resource
例23.5 CLI を使用したセッション Bean に対する Bean プールの割り当て
[standalone@localhost:9999 /] /subsystem=ejb3:write-attribute(name="default-slsb-instance-pool", value="LV_SLSB_POOL") {"outcome" => "success"} [standalone@localhost:9999 /]
例23.6 XML 設定の例
<subsystem xmlns="urn:jboss:domain:ejb3:1.2"> <session-bean> <stateless> <bean-instance-pool-ref pool-name="slsb-strict-max-pool"/> </stateless> <stateful default-access-timeout="5000" cache-ref="simple"/> <singleton default-access-timeout="5000"/> </session-bean> <mdb> <resource-adapter-ref resource-adapter-name="hornetq-ra"/> <bean-instance-pool-ref pool-name="mdb-strict-max-pool"/> </mdb> </subsystem>
23.3. EJB スレッドプールの設定
23.3.1. エンタープライズ Bean スレッドプール
23.3.2. スレッドプールの作成
手順23.9 管理コンソールを使用した EJB スレッドプールの作成
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Thread Pools タブを選択します。
- Add クリックします。Add EJB3 Thread Pools ダイアログが表示されます。
- 必要な詳細、Name、Max. Threads、Keep-Alive Timeout の値を指定します。
- Save をクリックして終了します。
手順23.10 CLI を使用したスレッドプールの作成
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
add
操作を使用します。/subsystem=ejb3/thread-pool=THREADPOOLNAME:add(max-threads=MAXSIZE, keepalive-time={"time"=>"TIME", "unit"=>UNIT"})
- THREADPOOLNAME をスレッドプールの必要な名前に置き換えます。
- MAXSIZE を スレッドプールの最大サイズに置き換えます。
- UNIT を必要な keep-alive 時間に使用される時間単位に置き換えます。使用可能な値は
NANOSECONDS
、MICROSECONDS
、MILLISECONDS
、SECONDS
、MINUTES
,HOURS
、DAYS
です。 - TIME を必要な keep-alive 時間の整数値に置き換えます。この値は UNIT の数になります。
read-resource
操作を使用して Bean プールの作成を確認します。/subsystem=ejb3/strict-max-bean-instance-pool=THREADPOOLNAME:read-resource
例23.7 CLI を使用したスレッドプールの作成
[standalone@localhost:9999 /] /subsystem=ejb3/thread-pool=testmepool:add(max-threads=50, keepalive-time={"time"=>"150", "unit"=>"SECONDS"}) {"outcome" => "success"} [standalone@localhost:9999 /]
例23.8 XML 設定の例
<subsystem xmlns="urn:jboss:domain:ejb3:1.2"> <thread-pools> <thread-pool name="default" max-threads="20" keepalive-time="150"/> </thread-pools> </subsystem>
23.3.3. スレッドプールの削除
前提条件
- 使用されているスレッドプールは削除できません。次のタスクを参照して、スレッドプールが使用されていないことを確認してください。
手順23.11 管理コンソールを使用した EJB スレッドプールの削除
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Thread Pools タブを選択します。
- 削除するスレッドプールを選択します。
- Remove をクリックします。Remove Item ダイアログが表示されます。
- OK をクリックして確定します。
手順23.12 CLI を使用したスレッドプールの削除
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
remove
操作を使用します。/subsystem=ejb3/thread-pool=THREADPOOLNAME:remove
- THREADPOOLNAME をスレッドプールの名前に置き換えます。
例23.9 CLI を使用したスレッドプールの削除
[standalone@localhost:9999 /] /subsystem=ejb3/thread-pool=ACCTS_THREADS:remove {"outcome" => "success"} [standalone@localhost:9999 /]
23.3.4. スレッドプールの編集
手順23.13 管理コンソールを使用したスレッドプールの編集
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Thread Pools タブを選択します。
- 編集するスレッドプールを選択します。
- 編集 をクリックします。
- 変更したい詳細を編集します。
Thread Factory
、Max Threads
、Keepalive Timeout
、Keepalive Timeout Unit
の値のみが編集可能です。 - Save をクリックして終了します。
手順23.14 CLI を使用したスレッドプールの編集
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- スレッドプールの各属性を変更するために、次の構文で
write-attribute
操作を使用します。/subsystem=ejb3/thread-pool=THREADPOOLNAME:write-attribute(name="ATTRIBUTE", value="VALUE")
- THREADPOOLNAME をスレッドプールの名前に置き換えます。
- ATTRIBUTE を、編集する属性の名前に置き換えます。このように編集できる属性は、
keepalive-time
、max-threads
、およびthread-factory
です。 - VALUE を属性の必要な値に置き換えます。
read-resource
操作を使用して、スレッドプールへの変更を確認します。/subsystem=ejb3/thread-pool=THREADPOOLNAME:read-resource
重要
keepalive-time
属性の値を CLI で変更する場合、必要な値はオブジェクト表現です。構文は次のとおりです。
/subsystem=ejb3/thread-pool=THREADPOOLNAME:write-attribute(name="keepalive-time", value={"time" => "VALUE","unit" => "UNIT"}
例23.10 CLI を使用したスレッドプールの最大値の設定
[standalone@localhost:9999 /] /subsystem=ejb3/thread-pool=HSThreads:write-attribute(name="max-threads", value="50") {"outcome" => "success"} [standalone@localhost:9999 /]
例23.11 CLI を使用したスレッドプールの keepalive-time
時間値の設定
[standalone@localhost:9999 /] /subsystem=ejb3/thread-pool=HSThreads:write-attribute(name="keepalive-time", value={"time"=>"150"}) {"outcome" => "success"} [standalone@localhost:9999 /]
23.4. セッション Bean の設定
23.4.1. セッション Bean のアクセスタイムアウト
@javax.ejb.AccessTimeout
アノテーションを用いて、使用するタイムアウトの値と時間の単位を指定できます。セッション Bean (すべての Bean のメソッドに適用) や特定のメソッドに指定し、Bean の設定を上書きできます。
23.4.2. デフォルトセッション Bean アクセスタイムアウト値の設定
手順23.15 管理コンソールを使用してデフォルトのセッション Bean アクセスタイムアウト値を設定
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Container タブを選択します。
- Edit をクリックします。Details のフィールドが編集可能になります。
- Stateful Access Timeout または Singleton Access Timeout テキストボックスに必要な値を入力します。
- Save をクリックして終了します。
手順23.16 CLI を使用したセッション Bean のアクセスタイムアウト値の設定
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
write-attribute
操作を使用します。/subsystem=ejb3:write-attribute(name="BEANTYPE", value=TIME)
- BEANTYPE は、ステートフルセッション Bean の
default-stateful-bean-access-timeout
またはシングルトンセッション Bean のdefault-singleton-bean-access-timeout
に置き換えます。 - TIME を必要なタイムアウト値に置き換えます。
read-resource
操作を使用して変更を確認します。/subsystem=ejb3:read-resource
例23.12 CLI を使用してデフォルトのステートフル Bean のアクセスタイムアウト値を 9000 に設定する
[standalone@localhost:9999 /] /subsystem=ejb3:write-attribute(name="default-stateful-bean-access-timeout", value=9000) {"outcome" => "success"} [standalone@localhost:9999 /]
例23.13 XML 設定の例
<subsystem xmlns="urn:jboss:domain:ejb3:1.2"> <session-bean> <stateless> <bean-instance-pool-ref pool-name="slsb-strict-max-pool"/> </stateless> <stateful default-access-timeout="5000" cache-ref="simple"/> <singleton default-access-timeout="5000"/> </session-bean> </subsystem>
23.5. メッセージ駆動型 Bean の設定
23.5.1. メッセージ駆動型 Bean のデフォルトリソースアダプターの設定
hornetq-ra
です。
手順23.17 管理コンソールを使用したメッセージ駆動型 Bean のデフォルトリソースアダプターの設定
- 管理コンソールにログインします (「管理コンソールへのログイン」)。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Container タブを選択します。
- Edit をクリックします。Details のフィールドが編集可能になります。
- Default Resource Adapter テキストボックスに使用するリソースアダプターの名前を入力します。
- Save をクリックして終了します。
手順23.18 CLI を使用したメッセージ駆動型 Bean のデフォルトリソースアダプターの設定
- CLI ツールを起動して、サーバーに接続します。「管理 CLI を使用した管理対象サーバーインスタンスへの接続」 を参照してください。
- 次の構文で
write-attribute
操作を使用します。/subsystem=ejb3:write-attribute(name="default-resource-adapter-name", value="RESOURCE-ADAPTER")
RESOURCE-ADAPTER を使用されるリソースアダプターの名前に置き換えます。 read-resource
操作を使用して変更を確認します。/subsystem=ejb3:read-resource
例23.14 CLI を使用したメッセージ駆動型 Bean のデフォルトリソースアダプターの設定
[standalone@localhost:9999 subsystem=ejb3] /subsystem=ejb3:write-attribute(name="default-resource-adapter-name", value="EDIS-RA") {"outcome" => "success"} [standalone@localhost:9999 subsystem=ejb3]
例23.15 XML 設定の例
<subsystem xmlns="urn:jboss:domain:ejb3:1.2"> <mdb> <resource-adapter-ref resource-adapter-name="hornetq-ra"/> <bean-instance-pool-ref pool-name="mdb-strict-max-pool"/> </mdb> </subsystem>
23.6. EJB3 タイマーサービスの設定
23.6.1. EJB3 タイマーサービス
23.6.2. EJB3 タイマーサービスの設定
手順23.19 EJB3 タイマーサービスの設定
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Services タブを選択し、Timer Services をクリックします。
- Edit をクリックします。Details のフィールドが編集可能になります。
- 追加のスレッドプールが設定されている場合はタイマーサービスに使用される別の EJB3 スレッドプールを選択し、タイマーサービスデータの保存に使用されるディレクトリーを変更することができます。タイマーサービスデータディレクトリーの設定は、データが保存されるディレクトリーである
Path
と、Path
が含まれるディレクトリーであるRelative To
の 2 つの値で構成されます。デフォルトではRelative To
はファイルシステムの Path 変数に設定されています。 - Save をクリックして終了します。
23.7. EJB3 非同期呼び出しサービスの設定
23.7.1. EJB3 非同期呼び出しサービス
23.7.2. EJB3 非同期呼び出しサービスのスレッドプールの設定
手順23.20 EJB3 非同期呼び出しサービスのスレッドプールの設定
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Services タブを選択し、Async Service をクリックします。
- 編集 をクリックします。
- 使用する EJB3 スレッドプールを一覧より選択します。スレッドプールがすでに作成済みである必要があります。
- Save をクリックして終了します。
23.8. EJB3 リモート呼び出しサービスの設定
23.8.2. EJB3 リモートサービスの設定
手順23.21 EJB3 リモートサービスの設定
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Container メニューを展開し、EJB 3 を選択します。Services タブを選択し、Remote Service をクリックします。
- 編集 をクリックします。
- 追加のスレッドプールが設定されている場合はリモートサービスに使用される別の EJB3 スレッドプールを選択することができます。EJB リモーティングチャネルの登録に使用されるコネクターを変更できます。
- Save をクリックして終了します。
23.9. EJB 2.x エンティティー Bean の設定
23.9.1. EJB エンティティー Bean
23.9.2. コンテナ管理による永続性
23.9.3. EJB 2.x のコンテナ管理による永続性の有効化
org.jboss.as.cmp
拡張によって処理されます。CMP は管理対象ドメインや standalone-full.xml
などのスタンドアロンサーバーの完全設定ではデフォルトで有効になっています。
org.jboss.as.cmp
モジュールをサーバー設定ファイルの有効な拡張の一覧に追加します。
<extensions> <extension module="org.jboss.as.cmp"/> </extensions>
<subsystem xmlns="urn:jboss:domain:cmp:1.1"/>
org.jboss.as.cmp
モジュールの拡張エントリーを削除します。
23.9.4. EJB 2.x のコンテナ管理による永続性の設定
- UUID ベースのキージェネレーター
- UUID ベースのキージェネレーターは、UUID を使用してキーを生成します。UUID キージェネレーターは、一意の名前のみを持つ必要があり、他の設定は持ちません。UUID ベースのキージェネレーターは、以下のコマンド構文を使用して CLI で追加できます。
/subsystem=cmp/uuid-keygenerator=UNIQUE_NAME:add
例23.16 UUID キージェネレーターの追加
名前がuuid_identities
の UUID ベースのキージェネレーターを追加するには、以下の CLI コマンドを使用します。/subsystem=cmp/uuid-keygenerator=uuid_identities:add
このコマンドで作成される XML 設定は以下のとおりです。<subsystem xmlns="urn:jboss:domain:cmp:1.0"> <key-generators> <uuid name="uuid_identities" /> </key-generators> </subsystem>
- HiLo キージェネレーター
- HiLo キージェネレーターは、データベースを使用してエンティティー ID キーを作成および格納します。HiLo キージェネレーターは、一意の名前を持つ必要があり、データと、キーを格納するテーブルおよび列の名前を格納するために使用されるデータソースを指定するプロパティーで設定されます。HiLo キージェネレーターは、以下のコマンド構文を使用して CLI で追加できます。
/subsystem=cmp/hilo-keygenerator=UNIQUE_NAME/:add(property=value, property=value, ...)
例23.17 HiLo キージェネレーターの追加
/subsystem=cmp/hilo-keygenerator=HiLoKeyGeneratorFactory:add(create-table=true,create-table-ddl="create table HILOSEQUENCES (SEQUENCENAME varchar(50) not null, HIGHVALUES integer not null, constraint hilo_pk primary key (SEQUENCENAME))",data-source=java:jboss/datasources/ExampleDS, id-column=HIGHVALUES,sequence-column=SEQUENCENAME,table-name=HILOSEQUENCES,sequence-name=general,block-size=10)
このコマンドで作成される XML 設定は以下のとおりです。<subsystem xmlns="urn:jboss:domain:cmp:1.1"> <key-generators> <hilo name="HiLoKeyGeneratorFactory"> <block-size>10</block-size> <create-table>true</create-table> <create-table-ddl>create table HILOSEQUENCES (SEQUENCENAME varchar(50) not null, HIGHVALUES integer not null, constraint hilo_pk primary key (SEQUENCENAME))</create-table-ddl> <data-source>java:jboss/datasources/ExampleDS</data-source> <id-column>HIGHVALUES</id-column> <sequence-column>SEQUENCENAME</sequence-column> <sequence-name>general</sequence-name> <table-name>HILOSEQUENCES</table-name> </hilo> </key-generators> </subsystem>
注記
block-size を !=0 の値に設定しないと、生成された PKey がインクリメントされないため、DuplicateKeyException が発生し、エンティティーの作成に失敗します。注記
一貫性を保つため、クラスターの場合は select-hi-ddl を FOR UPDATE として設定する必要があります。すべてのデーターベースはロッキング機能をサポートしません。
23.9.5. HiLo キージェネレーター用の CMP サブシステムプロパティー
表23.1 HiLo キージェネレーター用の CMP サブシステムプロパティー
プロパティー | データ型 | 説明 |
---|---|---|
block-size | long |
ブロックサイズ。
|
create-table | boolean | TRUE に設定すると、table-name というテーブルが見つからない場合に create-table-ddl の内容を使用して table-name テーブルが作成されます。
|
create-table-ddl | 文字列 | table-name で指定されたテーブルが見つからず、かつ create-table が TRUE に設定されている場合に、そのテーブルを作成するために使用される DDL コマンド。
|
data-source | token |
データベースへの接続に使用するデータソース。
|
drop-table | boolean |
テーブルをドロップするかどうかを決定します。
|
id-column | token |
ID カラム名。
|
select-hi-ddl | 文字列 | 現在保管されている中で最も大きなキーを返す SQL コマンド。 |
sequence-column | token |
シーケンスカラム名。
|
sequence-name | token |
シーケンスの名前。
|
table-name | token |
キー情報の格納に使用されるテーブルの名前。
|
第24章 Java Connector Architecture (JCA)
24.1. はじめに
24.1.1. Java EE Connector API (JCA)
24.1.2. Java Connector Architecture (JCA)
- connections
- transactions
- security
- life-cycle
- work instances
- transaction inflow
- message inflow
24.1.3. リソースアダプター
24.2. Java Connector Architecture (JCA) サブシステムの設定
- アーカイブの検証
- この設定はデプロイメントユニット上でアーカイブの検証が実行されるかどうかを決定します。
- アーカイブの検証に設定できる属性は下表のとおりです。
表24.1 アーカイブ検証の属性
属性 デフォルト値 説明 enabled
true アーカイブバリデーションが有効であるかどうかを指定します。fail-on-error
true アーカイブバリデーションのエラーレポートによってデプロイメントが失敗するかどうかを指定しますfail-on-warn
false アーカイブバリデーションの警告レポートによってデプロイメントが失敗するかどうかを指定します。 - アーカイブ検証が有効な状態で、アーカイブが Java EE Connector Architecture 仕様を正しく実装しない場合、デプロイメント中に問題を説明するエラーメッセージが表示されます。例は次のとおりです。
Severity: ERROR Section: 19.4.2 Description: A ResourceAdapter must implement a "public int hashCode()" method. Code: com.mycompany.myproject.ResourceAdapterImpl Severity: ERROR Section: 19.4.2 Description: A ResourceAdapter must implement a "public boolean equals(Object)" method. Code: com.mycompany.myproject.ResourceAdapterImpl
- アーカイブ検証が指定されていない場合は、アーカイブ検証が指定されているとみなされ、
enabled
属性のデフォルトが true に設定されます。
- Bean の検証
- この設定はデプロイメントユニット上で Bean の検証 (JSR-303) が実行されるかどうかを決定します。
- Bean の検証に設定できる属性は下表のとおりです。
表24.2 Bean 検証の属性
属性 デフォルト値 説明 enabled
true Bean バリデーションが有効であるかどうかを指定します。 - Bean 検証が指定されていない場合は、Bean 検証が指定されているとみなされ、
enabled
属性のデフォルトが true に設定されます。
- ワークマネージャー
- ワークマネージャーには次の 2 種類があります。
- デフォルトワークマネージャー
- デフォルトのワークマネージャーおよびそのスレッドプール。
- カスタムワークマネージャー
- カスタムワークマネージャーの定義およびそのスレッドプール。
- ワークマネージャーに設定できる属性は下表のとおりです。
表24.3 ワークマネージャーの属性
属性 説明 name
ワークマネージャーの名前を指定します。カスタムワークマネージャーは必須になります。short-running-threads
標準の Work インスタンスのスレッドプール。ワークマネージャーごとに短時間実行されるスレッドプールが 1 つあります。long-running-threads
LONG_RUNNING
ヒントを設定する JCA 1.6 Work インスタンスのスレッドプール。各ワークマネージャーはオプションの長期スレッドプールを 1 つ持てます。 - ワークマネージャーのスレッドプールに設定できる属性は下表のとおりです。
表24.4 スレッドプールの属性
属性 説明 allow-core-timeout
コアスレッドがタイムアウトするかどうかを決定するブール値の設定。デフォルト値は false です。core-threads
コアスレッドプールのサイズ。スレッドプールの最大サイズより小さくなければなりません。queue-length
キューの最大長。max-thread
スレッドプールの最大サイズ。keepalive-time
ワーク実行後にスレッドプールが保持される期間を指定します。thread-factory
スレッドファクトリーへの参照。
- ブートストラップコンテキスト
- カスタムのブートストラップコンテキストを定義するために使用されます。
- ブートストラップコンテキストに設定できる属性は下表のとおりです。
表24.5 ブートストラップコンテキストの属性
属性 説明 name
ブートストラップコンテキストの名前を指定します。workmanager
このコンテキストに使用するワークマネージャーの名前を指定します。
- キャッシュ済み接続マネージャー
- 接続のデバッグ、およびトランザクションにおける接続の lazy enlistment のサポートに使用されます。また、接続がアプリケーションによって適切に使用およびリリースされるかどうかを追跡します。
- キャッシュ済みの接続マネージャーに設定できる属性は下表のとおりです。
表24.6 キャッシュ済み接続マネージャーの属性
属性 デフォルト値 説明 debug
false 接続を明示的に閉じるため、障害時に警告を出力します。error
false 接続を明示的に閉じるため、障害時に例外が発生します。
手順24.1 管理コンソールを使用した JCA サブシステムの設定
- 画面上部にある Configuration タブをクリックします。Connector メニューを展開し、JCA を選択します。
- サーバーがドメインモードで稼働している場合は、左上の Profiles ドロップダウンメニューからプロファイルを選択します。
- 3 つのタブを使用して JCA サブシステムを設定します。
共通設定
Common Config タブには、キャッシュ済み接続マネージャー、アーカイブ検証、および Bean 検証 (JSR-303) の設定が含まれます。また、これらの各設定は独自のタブに含まれます。これらの設定を変更するには、適切なタブを開き、編集ボタンをクリックして必要な変更を行い、保存ボタンをクリックします。図24.1 JCA 共通設定
ワークマネージャー
Work Manager タブには、設定されたワークマネージャーのリストが含まれます。新しいワークマネージャーを追加および削除でき、スレッドプールをここで設定できます。各ワークマネージャーは短時間実行されるスレッドプールを 1 つ持つことができ、任意で長時間実行されるスレッドプールを 1 つ持つことができます。図24.2 ワークマネージャー
選択したリソースアダプターで View をクリックすると、スレッドプール属性を設定できます。図24.3 ワークマネージャースレッドプール
ブートストラップコンテキスト
Bootstrap Contexts タブには、設定されたブートストラップコンテキストのリストが含まれます。新しいブートストラップコンテキストオブジェクトを追加、削除、および設定できます。各ブートストラップコンテキストをワークマネージャーに割り当てる必要があります。図24.4 ブートストラップコンテキスト
24.3. リソースアダプターのデプロイ
手順24.2 管理 CLI を使用したリソースアダプターのデプロイ
- オペレーティングシステムのコマンドプロンプトを開きます。
- 管理 CLI へ接続します。
- Linux の場合は、コマンドラインで以下を入力します。
$ EAP_HOME/bin/jboss-cli.sh --connect $ Connected to standalone controller at localhost:9999
- Windows の場合は、コマンドラインで以下を入力します。
C:\>EAP_HOME\bin\jboss-cli.bat --connect C:\> Connected to standalone controller at localhost:9999
- リソースアダプターをデプロイします。
- リソースアダプターをスタンドアロンサーバーへデプロイするには、次のコマンドラインを入力します。
$ deploy path/to/resource-adapter-name.rar
- リソースアダプターを管理対象ドメインのすべてのサーバーグループにデプロイするには、次のコマンドラインを入力します。
$ deploy path/to/resource-adapter-name.rar --all-server-groups
手順24.3 管理コンソールを使用したリソースアダプターのデプロイ
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部の Runtime タブをクリックします。Manage Deployments を選択し、Add をクリックします。
- リソースアダプターアーカイブを閲覧して選択した後、Next をクリックします。
- デプロイ名を検証した後、Save をクリックします。
- この時点で、リソースアダプターアーカイブが無効の状態でリストに表示されるはずです。
- リソースアダプターを有効にします。
- ドメインモードでは Assign をクリックします。リソースアダプターを割り当てるサーバーグループを選択します。Save をクリックして終了します。
- スタンドアロンモードでは、リストからアプリケーションコンポーネントを選択します。En/Disable をクリックします。Are You Sure? ダイアログの Confirm をクリックし、コンポーネントを有効にします。
手順24.4 手作業によるリソースアダプターのデプロイ
- リソースアダプターアーカイブをサーバーデプロイメントディレクトリーへコピーします。
- スタンドアロンサーバーの場合、リソースアダプターアーカイブを
EAP_HOME/standalone/deployments/
ディレクトリーへコピーします。 - 管理対象ドメインでは、管理コンソールまたは管理 CLI を使用してリソースアダプターアーカイブをサーバーグループにデプロイする必要があります。
24.4. デプロイされたリソースアダプターの設定
注記
[standalone@localhost:9999 /]
プロンプトの後にコマンドラインを入力する必要があります。波括弧の間にテキストを入力しないでください。コマンドを入力すると、{"outcome" => "success"}
(出力例) のような出力が生成されます。
手順24.5 管理 CLI を使用したリソースアダプターの設定
- オペレーティングシステムのコマンドプロンプトを開きます。
- 管理 CLI へ接続します。
- Linux の場合は、コマンドラインで以下を入力します。
$ EAP_HOME/bin/jboss-cli.sh --connect
次のような出力が表示されるはずです。$ Connected to standalone controller at localhost:9999
- Windows の場合は、コマンドラインで以下を入力します。
C:\>EAP_HOME\bin\jboss-cli.bat --connect
次のような出力が表示されるはずです。C:\> Connected to standalone controller at localhost:9999
- リソースアダプター設定を追加します。
[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar:add(archive=eis.rar, transaction-support=XATransaction) {"outcome" => "success"}
server
リソースアダプターレベル <config-property> を設定します。[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/config-properties=server/:add(value=localhost) {"outcome" => "success"}
port
リソースアダプターレベル <config-property> を設定します。[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/config-properties=port/:add(value=9000) {"outcome" => "success"}
- 管理接続ファクトリーの接続定義を追加します。
[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/connection-definitions=cfName:add(class-name=com.acme.eis.ra.EISManagedConnectionFactory, jndi-name=java:/eis/AcmeConnectionFactory) {"outcome" => "success"}
name
管理対象接続ファクトリーレベル <config-property> を設定します。[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/connection-definitions=cfName/config-properties=name/:add(value=Acme Inc) {"outcome" => "success"}
- 管理オブジェクトを追加します。
[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/admin-objects=aoName:add(class-name=com.acme.eis.ra.EISAdminObjectImpl, jndi-name=java:/eis/AcmeAdminObject) {"outcome" => "success"}
threshold
管理オブジェクトプロパティーを設定します。[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar/admin-objects=aoName/config-properties=threshold/:add(value=10) {"outcome" => "success"}
- リソースアダプターをアクティベートします。
[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar:activate {"outcome" => "success"}
- 新しく設定されアクティベートされたリソースアダプターを表示します。
[standalone@localhost:9999 /] /subsystem=resource-adapters/resource-adapter=eis.rar:read-resource(recursive=true) { "outcome" => "success", "result" => { "archive" => "eis.rar", "beanvalidationgroups" => undefined, "bootstrap-context" => undefined, "transaction-support" => "XATransaction", "admin-objects" => {"aoName" => { "class-name" => "com.acme.eis.ra.EISAdminObjectImpl", "enabled" => true, "jndi-name" => "java:/eis/AcmeAdminObject", "use-java-context" => true, "config-properties" => {"threshold" => {"value" => 10}} }}, "config-properties" => { "server" => {"value" => "localhost"}, "port" => {"value" => 9000} }, "connection-definitions" => {"cfName" => { "allocation-retry" => undefined, "allocation-retry-wait-millis" => undefined, "background-validation" => false, "background-validation-millis" => undefined, "blocking-timeout-wait-millis" => undefined, "class-name" => "com.acme.eis.ra.EISManagedConnectionFactory", "enabled" => true, "flush-strategy" => "FailingConnectionOnly", "idle-timeout-minutes" => undefined, "interleaving" => false, "jndi-name" => "java:/eis/AcmeConnectionFactory", "max-pool-size" => 20, "min-pool-size" => 0, "no-recovery" => undefined, "no-tx-separate-pool" => false, "pad-xid" => false, "pool-prefill" => false, "pool-use-strict-min" => false, "recovery-password" => undefined, "recovery-plugin-class-name" => undefined, "recovery-plugin-properties" => undefined, "recovery-security-domain" => undefined, "recovery-username" => undefined, "same-rm-override" => undefined, "security-application" => undefined, "security-domain" => undefined, "security-domain-and-application" => undefined, "use-ccm" => true, "use-fast-fail" => false, "use-java-context" => true, "use-try-lock" => undefined, "wrap-xa-resource" => true, "xa-resource-timeout" => undefined, "config-properties" => {"name" => {"value" => "Acme Inc"}} }} } }
手順24.6 Web ベースの管理コンソールを使用したリソースアダプターの設定
- 管理コンソールにログインします。「管理コンソールへのログイン」 を参照してください。
- 画面上部にある Configuration タブをクリックします。Connectors メニューを展開し、Resource Adapters を選択します。
- ドメインモードでは、左上のドロップダウンメニューから Profile を選択します。
追加 をクリックします。 - アーカイブ名を入力し、TX: ドロップダウンボックスよりトランザクションタイプ
XATransaction
を選択した後、Save をクリックします。 - Properties タブを選択します。Add をクリックします。
- Name に
server
を入力し、Value にホスト名 (例:localhost
) を入力します。Save をクリックして終了します。 - Add を再度クリックします。Name に
port
を入力し、Value にポート番号 (例:9000
) を入力します。Save をクリックして終了します。 - この時点で
server
およびport
プロパティーが Properties パネルに表示されます。一覧表示されたリソースアダプターの Option カラム下にある View リンクをクリックし、Connection Definitions を表示します。 - Available Connection Definitions の表の上にある Add をクリックし、接続定義を追加します。
- JNDI Name と Connection Class の完全修飾クラス名を入力します。Save をクリックして終了します。
- 新しい接続定義を選択し、Properties タブを選択します。Add をクリックし、この接続定義の Key および Value データを入力します。Save をクリックして終了します。
- これで接続の定義は終わりましたが、無効の状態になっています。接続定義を選択し、Enable をクリックして接続定義を有効にします。
- JNDI 名に対し、
Really modify Connection Definition?
(本当に接続定義を編集しますか) という内容のダイアログが表示されます。Confirm をクリックします。この時点で 接続定義の状態がEnabled
と表示されるはずです。 - ページ上部にある Admin Objects をクリックし、管理オブジェクトを作成および設定します。その後、Add をクリックします。
- 管理オブジェクトの JNDI Name と完全修飾 Class Name を入力します。入力後、Save をクリックします。
- Properties タブを選択した後、Add をクリックして管理オブジェクトプロパティーを追加します。
- Name フィールドに管理オブジェクト設定プロパティー (例:
threshold
) を入力します。Value フィールドに設定プロパティー値 (例:10
) を入力します。すべて入力後、Save をクリックしてプロパティーを保存します。 - これで管理オブジェクトは完了しましたが、無効の状態になっています。Enable をクリックして管理オブジェクトを有効にします。
- JNDI 名に対し
Really modify Admin Object?
(本当に管理オブジェクトを編集しますか) という内容のダイアログが表示されます。Confirm をクリックします。この時点で管理オブジェクトの状態がEnabled
と表示されるはずです。 - この処理を完了するにはサーバー設定をリロードする必要があります。Runtime タブをクリックします。Server メニューを展開し、左側のナビゲーションパネルにある Overview を選択します。
- サーバーをリロードします。
- ドメインモードでは、サーバーグループにマウスオーバーします。Restart Group を選択します。
- スタンドアロンモードでは Reload ボタンを使用できます。Reload をクリックします。
- 指定のサーバーに対し
Do you want to reload the server configuration?
(サーバー設定をリロードしますか) という内容のダイアログが表示されます。Confirm をクリックします。これでサーバー設定が最新の状態になります。
手順24.7 手作業によるリソースサーバーの設定
- JBoss EAP 6 サーバーを停止します。
重要
サーバーの再起動後に変更が維持されるようにするには、サーバーを停止してからサーバー設定ファイルを編集する必要があります。 - 編集するため、サーバー設定ファイルを開きます。
- スタンドアロンサーバーの場合は
EAP_HOME/standalone/configuration/standalone.xml
ファイルになります。 - 管理対象ドメインの場合は
EAP_HOME/domain/configuration/domain.xml
ファイルになります。
- 設定ファイルで
urn:jboss:domain:resource-adapters
サブシステムを探します。 - このサブシステムに対して定義されているリソースアダプターがない場合、最初に以下を置き換えます。
<subsystem xmlns="urn:jboss:domain:resource-adapters:1.1"/>
以下のように置き換えます。<subsystem xmlns="urn:jboss:domain:resource-adapters:1.1"> <resource-adapters> <!-- <resource-adapter> configuration listed below --> </resource-adapters> </subsystem>
<!-- <resource-adapter> configuration listed below -->
をリソースアダプターの XML 定義に置き換えます。前述の管理 CLI および Web ベース管理コンソールを使用して作成されたリソースアダプター設定の XML は次のとおりです。<resource-adapter> <archive> eis.rar </archive> <transaction-support>XATransaction</transaction-support> <config-property name="server"> localhost </config-property> <config-property name="port"> 9000 </config-property> <connection-definitions> <connection-definition class-name="com.acme.eis.ra.EISManagedConnectionFactory" jndi-name="java:/eis/AcmeConnectionFactory" pool-name="java:/eis/AcmeConnectionFactory"> <config-property name="name"> Acme Inc </config-property> </connection-definition> </connection-definitions> <admin-objects> <admin-object class-name="com.acme.eis.ra.EISAdminObjectImpl" jndi-name="java:/eis/AcmeAdminObject" pool-name="java:/eis/AcmeAdminObject"> <config-property name="threshold"> 10 </config-property> </admin-object> </admin-objects> </resource-adapter>
サーバーの起動
新しい設定で実行されるよう JBoss EAP 6 サーバーを再起動します。
24.5. リソースアダプター記述子リファレンス
表24.7 主要な要素
要素 | 説明 |
---|---|
bean-validation-groups | 使用する必要がある Bean 検証グループを指定します。 |
bootstrap-context | 使用する必要があるブートストラップコンテキストの一意な名前を指定します。 |
config-property | config-property は、リソースアダプター設定プロパティーを指定します。 |
transaction-support | このリソースアダプターによりサポートされたトランザクションのタイプを定義します。有効な値は NoTransaction 、LocalTransaction 、および XATransaction です。 |
connection-definitions | 接続定義を指定します。 |
admin-objects | 管理オブジェクトを指定します。 |
表24.8 Bean 有効グループ要素
要素 | 説明 |
---|---|
bean-validation-group | 検証に使用する Bean 検証グループの完全修飾クラス名を指定します。 |
表24.9 接続定義/管理オブジェクト属性
属性 | 説明 |
---|---|
class-name | 管理対象接続ファクトリーまたは管理オブジェクトの完全修飾クラス名を指定します。 |
jndi-name | JNDI 名を指定します。 |
enabled | オブジェクトをアクティベートするかどうか。 |
use-java-context | java:/ JNDI コンテキストが使用されるかどうかを指定します。 |
pool-name | オブジェクトのプール名を指定します。 |
use-ccm | キャッシュ済み接続マネージャーを有効にします。 |
表24.10 接続定義要素
要素 | 説明 |
---|---|
config-property | config-property は、管理対象接続ファクトリー設定プロパティーを指定します。 |
pool | プール設定を指定します。 |
xa-pool | XA プール設定を指定します。 |
security | セキュリティー設定を指定します。 |
timeout | タイムアウト設定を指定します。 |
validation | 検証設定を指定します。 |
recovery | XA リカバリー設定を指定します。 |
表24.11 プール要素
要素 | 説明 |
---|---|
min-pool-size | min-pool-size 要素は、プールが保持する最小接続数を指定します。これらは、接続の要求からサブジェクトが既知になるまで作成されません。このデフォルト値は 0 です。 |
max-pool-size | max-pool-size 要素は、プールの最大接続数を指定します。各サブプールで作成できる最大接続数は、max-pool-size の接続数です。このデフォルト値は 20 です。 |
prefill | 接続プールを事前に満たすかどうかを指定します。デフォルトでは false です。 |
use-strict-min | min-pool-size を厳密と見なすかどうかを指定します。デフォルト値は false です。 |
flush-strategy | エラー発生時にプールをどのようにフラッシュするかを指定します。有効な値は FailingConnectionOnly (デフォルト)、IdleConnections 、および EntirePool です。 |
表24.12 XA プール要素
要素 | 説明 |
---|---|
min-pool-size | min-pool-size 要素は、プールが保持する最小接続数を指定します。これらは、接続の要求からサブジェクトが既知になるまで作成されません。このデフォルト値は 0 です。 |
max-pool-size | max-pool-size 要素は、プールの最大接続数を指定します。各サブプールで作成できる最大接続数は、max-pool-size の接続数です。このデフォルト値は 20 です。 |
prefill | 接続プールを事前に満たすかどうかを指定します。デフォルトでは false です。 |
use-strict-min | min-pool-size を厳密と見なすかどうかを指定します。デフォルト値は false です。 |
flush-strategy | エラー発生時にプールをどのようにフラッシュするかを指定します。有効な値は FailingConnectionOnly (デフォルト)、IdleConnections 、および EntirePool です。 |
is-same-rm-override | is-same-rm-override 要素を使用すると、javax.transaction.xa.XAResource.isSameRM(XAResource) が true または false を返すかを無条件に設定できます。 |
interleaving | XA 接続ファクトリのインターリービングを有効にする要素 |
no-tx-separate-pools | Oracle では、XA 接続を JTA トランザクションの内部と外部の両方で使用することが推奨されません。この問題を回避するには、さまざまなコンテキストに個別のサブプールを作成します。 |
pad-xid | Xid をパディングするかどうか |
wrap-xa-resource | XAResource インスタンスを org.jboss.tm.XAResourceWrapper インスタンスにラップするかどうか |
表24.13 セキュリティー要素
要素 | 説明 |
---|---|
application | プール内の接続を区別するために、アプリケーションにより提供されたパラメーター (getConnection(user, pw) からなど) を使用することを指定します。 |
security-domain | プール内の接続を区別するために (セキュリティードメインからの) サブジェクトを使用することを指定します。security-domain の内容は認証を処理する JAAS セキュリティーマネージャーの名前です。この名前は、JAAS login-config.xml 記述子の application-policy/name 属性に相関します。 |
security-domain-and-application | プール内の接続を区別するために、アプリケーションにより提供されたパラメーター (getConnection(user, pw) からなど) または (セキュリティードメインからの) サブジェクトを使用することを指定します。security-domain の内容は認証を処理する JAAS セキュリティーマネージャーの名前です。この名前は、JAAS login-config.xml 記述子の application-policy/name 属性に相関します。 |
表24.14 タイムアウト要素
要素 | 説明 |
---|---|
blocking-timeout-millis | blocking-timeout-millis 要素は、接続待機中にブロックする最大時間数 (ミリ秒単位) を指定します。この時間を超過すると、例外が発生します。これは、接続許可の待機中にブロックするだけで、新規接続の作成に長時間要している場合は例外は発生しません。デフォルト値は 30000 (30 秒) です。 |
idle-timeout-minutes | idle-timeout-minutes 要素は、接続が閉じられるまでのアイドル最大時間 (分単位) を指定します。実際の最大時間は、IdleRemover スキャン時間 (プールの最小 idle-timeout-minutes の 1/2) に基づきます。 |
allocation-retry | allocation-retry 要素は、接続の割り当てを再試行する回数を指定します。その回数を超えると、例外が発生します。デフォルト値は 0 です。 |
allocation-retry-wait-millis | allocation-retry-wait-millis 要素は、接続割り当ての再試行間の時間 (ミリ秒単位) を指定します。デフォルト値は 5000 (5 秒) です。 |
xa-resource-timeout | XAResource.setTransactionTimeout() に渡されます。デフォルト値はゼロで、セッターは呼び出されません。秒単位で指定されます。 |
表24.15 検証要素
要素 | 説明 |
---|---|
background-validation | 接続をバックグラウンドで検証するか、使用する前に検証するかを指定する要素 |
background-validation-minutes | background-validation-minutes 要素は、バックグラウンド検証が実行される時間を分単位で指定します。 |
use-fast-fail | 無効な場合に最初の接続で接続割り当てを失敗させるか (true)、プールですべての接続が使用されるまで試行を続けるか (false) を指定します。デフォルト値は false です。 |
表24.16 管理オブジェクト要素
要素 | 説明 |
---|---|
config-property | 管理オブジェクト設定プロパティーを指定します。 |
表24.17 復元要素
要素 | 説明 |
---|---|
recover-credential | 復元に使用する名前とパスワードのペアまたはセキュリティードメインを指定します。 |
recover-plugin | org.jboss.jca.core.spi.recovery.RecoveryPlugin クラスの実装を指定します。 |
jboss-as-resource-adapters_1_0.xsd
と http://www.ironjacamar.org/doc/schema/ironjacamar_1_0.xsd に定義されています。
24.6. 定義された接続統計の表示
deployment=name.rar
サブツリーより確認できます。
/subsystem
レベルでは定義されていません。これは、standalone.xml
または domain.xml
ファイルの設定に定義されていない rar
に対してアクセス可能にするためです。
例24.1
/deployment=example.rar/subsystem=resource-adapters/statistics=statistics/connection-definitions=java\:\/testMe:read-resource(include-runtime=true)
注記
false
であるため、必ず include-runtime=true
引数を指定するようにしてください。
24.7. リソースアダプターの統計
サポートされるリソースアダプターの主要統計は下表のとおりです。
表24.18 主要統計
名前 | 説明 |
---|---|
ActiveCount |
アクティブな接続の数。各接続はアプリケーションによって使用されているか、プールで使用可能な状態であるかのいずれかになります。
|
AvailableCount |
プールの使用可能な接続の数。
|
AverageBlockingTime |
プールの排他ロックの取得をブロックするために費やされた平均時間。値はミリ秒単位です。
|
AverageCreationTime |
接続の作成に費やされた平均時間。値はミリ秒単位です。
|
CreatedCount |
作成された接続の数。
|
DestroyedCount |
破棄された接続の数。
|
InUseCount |
現在使用中の接続の数。
|
MaxCreationTime |
接続の作成にかかった最大時間。値はミリ秒単位です。
|
MaxUsedCount |
使用される接続の最大数。
|
MaxWaitCount |
同時に接続を待機する要求の最大数。
|
MaxWaitTime |
プールの排他ロックの待機に費やされた最大時間。
|
TimedOut |
タイムアウトした接続の数。
|
TotalBlockingTime |
プールの排他ロックの待機に費やされた合計時間。値はミリ秒単位です。
|
TotalCreationTime |
接続の作成に費やされた合計時間。値はミリ秒単位です。
|
WaitCount |
接続を待機する必要がある要求の数。
|
24.8. WebSphere MQ リソースアダプターのデプロイ
WebSphere MQ は、分散型システム上のアプリケーションの相互通信を可能にする、IBM の Messaging Oriented Middleware (MOM) ソフトウェアです。この機能は、メッセージとメッセージキューを使用することによって実現されます。WebSphere MQ はメッセージキューへのメッセージ配信と、メッセージチャネルを使用したその他のキューマネージャーへのデータ転送を行います。WebSphere MQ の詳細については、WebSphere MQ を参照してください。
本トピックでは、Red Hat JBoss Enterprise Application Platform 6 における WebSphere MQ Resource Adapter のデプロイと設定の手順について説明します。この作業は、設定ファイルを手動で編集する方法もしくは管理 CLI ツールや Web ベースの管理コンソールを使用する方法で行うことができます。
注記
WARN [com.arjuna.ats.jta] (Periodic Recovery) ARJUNA016027: Local XARecoveryModule.xaRecovery got XA exception XAException.XAER_INVAL: javax.transaction.xa.XAException: The method 'xa_recover' has failed with errorCode '-5'.そのため、バージョン 7.5.0.4 以上を使用することが推奨されます。この問題の詳細については、http://www-01.ibm.com/support/docview.wss?uid=swg1IC97579 を参照してください。
作業を開始する前に、WebSphere MQ リソースアダプターのバージョンを確認して、一部の WebSphere MQ 設定プロパティーについて理解しておく必要があります。
- WebSphere MQ リソースアダプターは、
wmq.jmsra-VERSION.rar
と呼ばれる Resource Archive (RAR) ファイルとして提供されます。7.5.0.0
およびそれ以降のバージョンを使用する必要があります。 - 以下の WebSphere MQ 設定プロパティーの値を知っておく必要があります。これらのプロパティーに関する詳細については、WebSphere MQ 製品ドキュメントを参照してください。
- MQ.QUEUE.MANAGER: WebSphere MQ キューマネージャーの名前
- MQ.HOST.NAME: WebSphere MQ キューマネージャーへの接続に使用するホストの名前
- MQ.CHANNEL.NAME: WebSphere MQ キューマネージャーへの接続に使用するサーバーチャネル
- MQ.QUEUE.NAME: 宛先キューの名前
- MQ.TOPIC.NAME: 宛先トピックの名前
- MQ.PORT: WebSphere MQ キューマネージャーへの接続に使用するポート
- MQ.CLIENT: トランスポートタイプ
- 送信接続には、以下の設定プロパティーに精通している必要があります。
- :MQ.CONNECTIONFACTORY.NAME: リモートシステムへの接続を提供する接続ファクトリーインスタンスの名前
注記
手順24.8 リソースアダプターの手動でのデプロイ
- WebSphereMQ リソースアダプターにトランザクションサポートが必要な場合は、
wmq.jmsra-VERSION.rar
アーカイブを再パッケージ化し、mqetclient.jar
が含まれるようにします。これには次のコマンドを使用できます。[user@host ~]$
必ず VERSION を正しいバージョン番号に置き換えてください。jar -uf wmq.jmsra-VERSION.rar mqetclient.jar
wmq.jmsra-VERSION.rar
ファイルをEAP_HOME/standalone/deployments/
ディレクトリーにコピーします。- サーバー設定ファイルにリソースアダプターを追加します。
- エディターで
EAP_HOME/standalone/configuration/standalone-full.xml
ファイルを開きます。 - 設定ファイルで
urn:jboss:domain:resource-adapters
サブシステムを探します。 - このサブシステムに対して定義されているリソースアダプターがない場合、最初に以下を置き換えます。
<subsystem xmlns="urn:jboss:domain:resource-adapters:1.1"/>
以下のように置き換えます。<subsystem xmlns="urn:jboss:domain:resource-adapters:1.1"> <resource-adapters> <!-- <resource-adapter> configuration listed below --> </resource-adapters> </subsystem>
- リソースアダプターの設定は、トランザクションサポートとリカバリーが必要であるかどうかによって異なります。トランザクションサポートが必要でない場合は以下の最初の設定手順を選択します。トランザクションサポートが必要な場合は 2 番目の設定手順を選択します。
- 非トランザクションデプロイメントの場合、
<!-- <resource-adapter> configuration listed below -->
を以下に置き換えます。<resource-adapter> <archive> wmq.jmsra-VERSION.rar </archive> <transaction-support>NoTransaction</transaction-support> <connection-definitions> <connection-definition class-name="com.ibm.mq.connector.outbound.ManagedConnectionFactoryImpl" jndi-name="java:jboss/MQ.CONNECTIONFACTORY.NAME" pool-name="MQ.CONNECTIONFACTORY.NAME"> <config-property name="hostName"> MQ.HOST.NAME </config-property> <config-property name="port"> MQ.PORT </config-property> <config-property name="channel"> MQ.CHANNEL.NAME </config-property> <config-property name="transportType"> MQ.CLIENT </config-property> <config-property name="queueManager"> MQ.QUEUE.MANAGER </config-property> <security> <security-domain>MySecurityDomain</security-domain> </security> </connection-definition> </connection-definitions> <admin-objects> <admin-object class-name="com.ibm.mq.connector.outbound.MQQueueProxy" jndi-name="java:jboss/MQ.QUEUE.NAME" pool-name="MQ.QUEUE.NAME"> <config-property name="baseQueueName"> MQ.QUEUE.NAME </config-property> <config-property name="baseQueueManagerName"> MQ.QUEUE.MANAGER </config-property> <admin-object class-name="com.ibm.mq.connector.outbound.MQTopicProxy" jndi-name="java:jboss/MQ.TOPIC.NAME" pool-name="MQ.TOPIC.NAME"> <config-property name="baseTopicName"> MQ.TOPIC.NAME </config-property> <config-property name="brokerPubQueueManager"> MQ.QUEUE.MANAGER </config-property> </admin-object> </admin-object> </admin-objects> </resource-adapter>
必ず VERSION を RAR 名の実際のバージョンに置き換えてください。 - トランザクションデプロイメントの場合、
<!-- <resource-adapter> configuration listed below -->
を以下に置き換えます。<resource-adapter> <archive> wmq.jmsra-VERSION.rar </archive> <transaction-support>XATransaction</transaction-support> <connection-definitions> <connection-definition class-name="com.ibm.mq.connector.outbound.ManagedConnectionFactoryImpl" jndi-name="java:jboss/MQ.CONNECTIONFACTORY.NAME" pool-name="MQ.CONNECTIONFACTORY.NAME"> <config-property name="hostName"> MQ.HOST.NAME </config-property> <config-property name="port"> MQ.PORT </config-property> <config-property name="channel"> MQ.CHANNEL.NAME </config-property> <config-property name="transportType"> MQ.CLIENT </config-property> <config-property name="queueManager"> MQ.QUEUE.MANAGER </config-property> <security> <security-domain>MySecurityDomain</security-domain> </security> <recovery> <recover-credential> <user-name>USER_NAME</user-name> <password>PASSWORD</password> </recover-credential> </recovery> </connection-definition> </connection-definitions> <admin-objects> <admin-object class-name="com.ibm.mq.connector.outbound.MQQueueProxy" jndi-name="java:jboss/MQ.QUEUE.NAME" pool-name="MQ.QUEUE.NAME"> <config-property name="baseQueueName"> MQ.QUEUE.NAME </config-property> <config-property name="baseQueueManagerName"> MQ.QUEUE.MANAGER </config-property> </admin-object> <admin-object class-name="com.ibm.mq.connector.outbound.MQTopicProxy" jndi-name="java:jboss/MQ.TOPIC.NAME" pool-name="MQ.TOPIC.NAME"> <config-property name="baseTopicName"> MQ.TOPIC.NAME </config-property> <config-property name="brokerPubQueueManager"> MQ.QUEUE.MANAGER </config-property> </admin-object> </admin-objects> </resource-adapter>
必ず VERSION を RAR 名の実際のバージョンに置き換えてください。さらに、USER_NAME と PASSWORD も有効なユーザー名とパスワードに置き換える必要があります。注記
トランザクションをサポートするため、<transaction-support> 要素がXATransaction
に設定されました。XA リカバリーをサポートするするため、<recovery> 要素が接続定義に追加されました。
- JBoss EAP 6 で EJB3 メッセージングシステムのデフォルトプロバイダーを HornetQ から WebSphere MQ に変更するには、
urn:jboss:domain:ejb3:1.2
サブシステムを以下のように変更します。以下を置き換えます。<mdb> <resource-adapter-ref resource-adapter-name="hornetq-ra"/> <bean-instance-pool-ref pool-name="mdb-strict-max-pool"/> </mdb>
以下のように置き換えます。<mdb> <resource-adapter-ref resource-adapter-name="wmq.jmsra-VERSION.rar"/> <bean-instance-pool-ref pool-name="mdb-strict-max-pool"/> </mdb>
必ず VERSION を RAR 名の実際のバージョンに置き換えてください。
手順24.9 リソースアダプターを使用するように MDB コードを変更します。
- 次のように、MDB コードの ActivationConfigProperty および ResourceAdapter を設定します。
@MessageDriven( name="WebSphereMQMDB", activationConfig = { @ActivationConfigProperty(propertyName = "destinationType",propertyValue = "javax.jms.Queue"), @ActivationConfigProperty(propertyName = "useJNDI", propertyValue = "false"), @ActivationConfigProperty(propertyName = "hostName", propertyValue = "MQ.HOST.NAME"), @ActivationConfigProperty(propertyName = "port", propertyValue = "MQ.PORT"), @ActivationConfigProperty(propertyName = "channel", propertyValue = "MQ.CHANNEL.NAME"), @ActivationConfigProperty(propertyName = "queueManager", propertyValue = "MQ.QUEUE.MANAGER"), @ActivationConfigProperty(propertyName = "destination", propertyValue = "MQ.QUEUE.NAME"), @ActivationConfigProperty(propertyName = "transportType", propertyValue = "MQ.CLIENT") }) @ResourceAdapter(value = "wmq.jmsra-VERSION.rar") @TransactionAttribute(TransactionAttributeType.NOT_SUPPORTED) public class WebSphereMQMDB implements MessageListener { }
必ず VERSION を RAR 名の実際のバージョンに置き換えてください。
24.9. WebSphere MQ リソースアダプターのインストール
24.10. サードパーティー JMS プロバイダーを使用するよう汎用 JMS リソースアダプターを設定
サードパーティー JMS プロバイダーを使用するよう JBoss EAP 6 を設定できますが、すべての JMS プロバイダーが Java アプリケーションプラットフォームと統合するための JMS JCA リソースアダプターを作成するわけではありません。ここでは、JBoss EAP 6 に含まれる汎用 JMS リソースアダプターを設定して JMS プロバイダーに接続するための手順について取り上げます。この手順では、Tibco EMS 6.3 が JMS プロバイダーの例として使用されていますが、他の JMS プロバイダーを使用する場合は、必要な設定が異なる場合があります。
重要
この手順では、JMS プロバイダーサーバーは設定済みで、使用できる状態であることを前提としています。プロバイダーの JMS 実装に必要なバイナリーがすべて必要になります。また、以下の JMS プロバイダープロパティーの値を知っている必要があります。
- PROVIDER_HOST:PROVIDER_PORT: JMS プロバイダーサーバーのホスト名およびポート番号。
- PROVIDER_CONNECTION_FACTORY: JMS プロバイダーサーバーにデプロイされた接続ファクトリーの名前。XA である必要があります。
- PROVIDER_QUEUE、 PROVIDER_TOPIC: 使用される JMS プロバイダーサーバーのキューおよびトピックの名前。
手順24.10 汎用 JMS リソースアダプターの設定
- キューおよびトピックの JNDI バインディング向けに
ObjectFactory
実装を作成します。- 以下のコードをテンプレートとして使用し、サーバーの詳細を実際の JMS プロバイダーサーバーの値に置き換えます。
import java.util.Hashtable; import java.util.Properties; public class RemoteJMSObjectFactory implements ObjectFactory { private Context context = null; public RemoteJMSObjectFactory() { } public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception { try { String jndi = (String) obj; final Properties env = new Properties(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.tibco.tibjms.naming.TibjmsInitialContextFactory"); env.put(Context.URL_PKG_PREFIXES, "com.tibco.tibjms.naming"); env.put(Context.PROVIDER_URL, "tcp://TIBCO_HOST:TIBCO_PORT"); context = new InitialContext(env); Object o = context.lookup(jndi); return o; } catch (NamingException e) { e.printStackTrace(); throw e; } } }
- 上記のコードをコンパイルし、結果となるクラスファイルを
remoteJMSObjectFactory.jar
という名前の JAR ファイルに保存します。
- JBoss EAP 6 インスタンスの
genericjms
モジュールを作成します。EAP_HOME/modules/system/layers/base/org/jboss/genericjms/provider/main
というディレクトリー構造を作成します。remoteJMSObjectFactory.jar
ファイルをEAP_HOME/modules/system/layers/base/org/jboss/genericjms/provider/main
にコピーします。- プロバイダーの JMS 実装に必要なバイナリーを
EAP_HOME/modules/system/layers/base/org/jboss/genericjms/provider/main
にコピーします。Tibco EMS では、必要なバイナリーは Tibco インストールの/lib
ディレクトリーにあるtibjms.jar
およびtibcrypt.jar
になります。 - 下記のように
module.xml
ファイルをEAP_HOME/modules/system/layers/base/org/jboss/genericjms/provider/main
に作成し、以前の手順の JAR ファイルをリソースとしてリストします。<module xmlns="urn:jboss:module:1.1" name="org.jboss.genericjms.provider"> <resources> <resource-root path="tibjms.jar"/> <resource-root path="tibcrypt.jar"/> <resource-root path="remoteJMSObjectFactory.jar"/> </resources> <dependencies> <module name="javax.api"/> <module name="javax.jms.api"/> </dependencies> </module>
- グローバルモジュールとするすべてのデプロイメントに対し、汎用 JMS モジュールを依存関係として追加します。
注記
この手順では、EAP_HOME/standalone/configuration/standalone-full.xml
が JBoss EAP 6 設定ファイルとして使用されます。EAP_HOME/standalone/configuration/standalone-full.xml
にて、<subsystem xmlns="urn:jboss:domain:ee:1.1">
の下に以下を追加します。<global-modules> <module name="org.jboss.genericjms.provider" slot="main"/> <module name="org.jboss.common-core" slot="main"/> </global-modules>
- デフォルトの HornetQ リソースアダプターを汎用リソースアダプターに置き換えます。
EAP_HOME/standalone/configuration/standalone-full.xml
の<subsystem xmlns="urn:jboss:domain:ejb3:1.4"> <mdb>
を以下に置き換えます。<mdb> <resource-adapter-ref resource-adapter-name="org.jboss.genericjms"/> <bean-instance-pool-ref pool-name="mdb-strict-max-pool"/> </mdb>
- 必要に応じて、JMS トピックおよびキューのバインディングをリモートオブジェクトとして追加します。
EAP_HOME/standalone/configuration/standalone-full.xml
にて、<subsystem xmlns="urn:jboss:domain:naming:1.3">
の下にバインディングを追加し、必要に応じて PROVIDER_QUEUE および PROVIDER_TOPIC を置き換えます。<bindings> <object-factory name="PROVIDER_QUEUE" module="org.jboss.genericjms.provider" class="org.jboss.qa.RemoteJMSObjectFactory"/> <object-factory name="PROVIDER_TOPIC" module="org.jboss.genericjms.provider" class="org.jboss.qa.RemoteJMSObjectFactory"/> </bindings>
EAP_HOME/standalone/configuration/standalone-full.xml
にて、汎用リソースアダプターを<subsystem xmlns="urn:jboss:domain:resource-adapters:1.1">
に追加します。PROVIDER_CONNECTION_FACTORY、PROVIDER_HOST、および PROVIDER_PORT を JMS プロバイダーの値に置き換えます。<resource-adapters> <resource-adapter id="org.jboss.genericjms"> <module slot="main" id="org.jboss.genericjms"/> <transaction-support>NoTransaction</transaction-support> <connection-definitions> <connection-definition class-name="org.jboss.resource.adapter.jms.JmsManagedConnectionFactory" jndi-name="java:/jms/PROVIDER_CONNECTION_FACTORY" pool-name="PROVIDER_CONNECTION_FACTORY"> <config-property name="JndiParameters"> java.naming.factory.initial=com.tibco.tibjms.naming.TibjmsInitialContextFactory;java.naming.provider.url=tcp://PROVIDER_HOST:PROVIDER_PORT </config-property> <config-property name="ConnectionFactory"> PROVIDER_CONNECTION_FACTORY </config-property> <security> <application/> </security> </connection-definition> </connection-definitions> </resource-adapter> </resource-adapters>
汎用 JMS リソースアダプターが設定され、使用できる状態になりました。
user
および password
プロパティーを指定して (必要に応じてプロパティーの値を置き換えます) Tibco EMS のセキュアな接続を設定することもできます。
@MessageDriven(activationConfig = { @ActivationConfigProperty(propertyName = "destinationType", propertyValue = "javax.jms.Queue"), @ActivationConfigProperty(propertyName = "jndiParameters", propertyValue = "java.naming.factory.initial=com.tibco.tibjms.naming.TibjmsInitialContextFactory;java.naming.provider.url=tcp://PROVIDER_HOST:PROVIDER_PORT") @ActivationConfigProperty(propertyName = "destination", propertyValue = "PROVIDER_QUEUE"), @ActivationConfigProperty(propertyName = "connectionFactory", propertyValue = "PROVIDER_CONNECTION_FACTORY"), @ActivationConfigProperty(propertyName = "user", propertyValue = "USER"), @ActivationConfigProperty(propertyName = "password", propertyValue = "PASSWORD"), }) @ResourceAdapter("org.jboss.genericjms") public class SampleMdb implements MessageListener { @Override public void onMessage(Message message) { } }
第25章 Amazon EC2 での JBoss EAP 6 のデプロイ
25.1. はじめに
25.1.1. Amazon EC2
25.1.2. Amazon Machine Instance (AMI)
25.1.3. JBoss Cloud Access
25.1.4. JBoss Cloud Access 機能
- Red Hat Enterprise Linux 6
- JBoss EAP 6
- JBoss Operations Network (JON) 3 エージェント
- Red Hat Update Infrastructure を使用した RPM による製品アップデート
重要
25.1.5. サポートされる Amazon EC2 インスタンスタイプ
表25.1 サポートされる Amazon EC2 インスタンスタイプ
インスタンスタイプ | 説明 |
---|---|
標準インスタンス |
標準インスタンスは、メモリーと CPU の比率が調整された汎用的な環境です。
|
高メモリーインスタンス |
高メモリーインスタンスでは、標準インスタンスよりも多いメモリーが割り当てられます。高メモリーインスタンスは、データベースやメモリーキャッシングアプリケーションなどの高スループットアプリケーションに適しています。
|
高 CPU インスタンス |
高 CPU インスタンスでは、メモリーよりも多い CPU リソースが割り当てられるため、これはスループットが比較的低く、CPU リソースを大量に消費するアプリケーションに適しています。
|
重要
Micro (t1.micro)
は、JBoss EAP 6 のデプロイメントに適していません。
25.1.6. サポート対象 Red Hat AMI
RHEL-osversion-JBEAP-version-arch-creationdate
6.3
など)。
6.2
など)。
x86_64
または i386
です。
20120501
など)。
RHEL-6.2-JBEAP-6.0.0-x86_64-20120501
。
25.2. Amazon EC2 での JBoss EAP 6 のデプロイ
25.2.1. Amazon EC2 での JBoss EAP 6 のデプロイ (概要)
- JBoss EAP 6
- Red Hat Enterprise Linux 6
- Amazon Web サービス
25.2.2. 非クラスター化の JBoss EAP 6
25.2.2.1. 非クラスターインスタンス
25.2.2.2. 非クラスターインスタンス
25.2.2.2.1. 非クラスター化の JBoss EAP 6 インスタンスの起動
このトピックでは、Red Hat AMI (Amazon Machine Image) 上の JBoss EAP 6 の非クラスターインスタンスを起動するために必要な手順について説明します。
前提条件
- 適切な Red Hat AMI。「サポート対象 Red Hat AMI」 を参照してください。
- 少なくともポート 22、8080、および 9990 で受信要求を許可する事前設定済みセキュリティーグループ。
手順25.1 Red Hat AMI (Amazon Machine Image) 上の JBoss EAP 6 の非クラスターインスタンスを起動する
例25.1 User Data フィールドの例
この例は、非クラスター JBoss EAP 6 インスタンス用の User Data フィールドを示します。ユーザーadmin
のパスワードはadminpwd
に設定されます。JBOSSAS_ADMIN_PASSWORD=adminpwd JBOSS_IP=0.0.0.0 #listen on all IPs and interfaces # In production, access to these ports needs to be restricted for security reasons PORTS_ALLOWED="9990 9443" cat> $USER_SCRIPT << "EOF" # Get the application to be deployed from an Internet URL # mkdir -p /usr/share/java/jboss-ec2-eap-applications # wget https://<your secure storage hostname>/<path>/<app name>.war -O /usr/share/java/jboss-ec2-eap-applications/<app name>.war # Create a file of CLI commands to be executed after starting the server cat> $USER_CLI_COMMANDS << "EOC" # deploy /usr/share/java/jboss-ec2-eap-applications/<app name>.war EOC EOF
本番稼働インスタンスの場合
本番環境インスタンスの場合は、次の行をUser Data
フィールドのUSER_SCRIPT
行の下に追加してセキュリティーアップデートが起動時に適用されるようにします。yum -y update
注記
yum -y update
を定期的に実行して、セキュリティー修正と拡張を適用する必要があります。- Red Hat AMI インスタンスを起動します。
JBoss EAP 6 の非クラスターインスタンスが設定され、Red Hat AMI で起動されます。
25.2.2.2.2. 非クラスター化 JBoss EAP 6 インスタンスでのアプリケーションのデプロイ
このトピックでは、Red Hat AMI 上の非クラスター JBoss EAP 6 インスタンスへのアプリケーションのデプロイについて説明します。
サンプルアプリケーションのデプロイ
次の行をUser Data
フィールドに追加します。# Deploy the sample application from the local filesystem deploy --force /usr/share/java/jboss-ec2-eap-samples/hello.war
例25.2 サンプルアプリケーションの User Data フィールドの例
この例では、Red Hat AMI で提供されたサンプルアプリケーションを使用します。また、非クラスター JBoss EAP 6 インスタンスの基本的な設定も含まれます。ユーザーadmin
のパスワードがadminpwd
に設定されています。JBOSSAS_ADMIN_PASSWORD=adminpwd JBOSS_IP=0.0.0.0 #listen on all IPs and interfaces # In production, access to these ports needs to be restricted for security reasons PORTS_ALLOWED="9990 9443" cat> $USER_SCRIPT << "EOF" # Create a file of CLI commands to be executed after starting the server cat> $USER_CLI_COMMANDS << "EOC" # Deploy the sample application from the local filesystem deploy --force /usr/share/java/jboss-ec2-eap-samples/hello.war EOC EOF
カスタムアプリケーションのデプロイ
次の行をUser Data
フィールドに追加し、アプリケーション名と URL を設定します。# Get the application to be deployed from an Internet URL mkdir -p /usr/share/java/jboss-ec2-eap-applications wget https://<your secure storage hostname>/<path>/<app name>.war -O /usr/share/java/jboss-ec2-eap-applications/<app name>.war
例25.3 カスタムアプリケーションの User Data フィールドの例
この例では、MyApp
と呼ばれるアプリケーションが使用され、非クラスター JBoss EAP 6 インスタンスの基本的な設定が含まれます。ユーザーadmin
のパスワードがadminpwd
に設定されます。JBOSSAS_ADMIN_PASSWORD=adminpwd JBOSS_IP=0.0.0.0 #listen on all IPs and interfaces # In production, access to these ports needs to be restricted for security reasons PORTS_ALLOWED="9990 9443" cat> $USER_SCRIPT << "EOF" # Get the application to be deployed from an Internet URL mkdir -p /usr/share/java/jboss-ec2-eap-applications wget https://PATH_TO_MYAPP/MyApp.war -O /usr/share/java/jboss-ec2-eap-applications/MyApp.war # Create a file of CLI commands to be executed after starting the server cat> $USER_CLI_COMMANDS << "EOC" deploy /usr/share/java/jboss-ec2-eap-applications/MyApp.war EOC EOF
- Red Hat AMI インスタンスを起動します。
アプリケーションが JBoss EAP 6 に正常にデプロイされます。
25.2.2.2.3. 非クラスター化 JBoss EAP 6 インスタンスのテスト
このトピックでは、非クラスター JBoss EAP 6 が正常に実行されていることをテストするために必要な手順について説明します。
手順25.2 非クラスター JBoss EAP 6 インスタンスが正常に実行されていることをテストする
- インスタンスの詳細ペインにあるインスタンスの
Public DNS
を調べます。 http://<public-DNS>:8080
に移動します。- 管理コンソールへのリンクを含む JBoss EAP のホームページが表示されることを確認します。ホームページが表示されない場合は 「Amazon EC2 のトラブルシューティング」 を参照してください。
- Admin Console ハイパーリンクをクリックします。
- ログイン:
- ユーザー名:
admin
- パスワード: 「非クラスター化の JBoss EAP 6 インスタンスの起動」 の
User Data
フィールドに指定します。
サンプルアプリケーションのテスト
http://<public-DNS>:8080/hello
に移動して、サンプルアプリケーションが正常に実行されていることをテストします。Hello World!
というテキストがブラウザーに表示されます。このテキストが表示されない場合は 「Amazon EC2 のトラブルシューティング」 を参照してください。- JBoss EAP 6 の 管理コンソールからログアウトします。
JBoss EAP 6 インスタンスが正常に実行されます。
25.2.2.3. 非クラスター化管理対象ドメイン
25.2.2.3.1. ドメインコントローラーとして機能するインスタンスの起動
このトピックでは、Red Hat AMI (Amazon Machine Image) 上の非クラスター化された JBoss EAP 6 管理対象ドメインを起動するために必要な手順について説明します。
前提条件
- 適切な Red Hat AMI。「サポート対象 Red Hat AMI」 を参照してください。
手順25.3 Red Hat AMI 上での非クラスター化 JBoss EAP 6 の管理対象ドメインの起動
- Security Group タブですべてのトラフィックが許可されていることを確認します。アクセスを制限したい場合は、Red Hat Enterprise Linux のビルトインファイアウォール機能を使用できます。
- VPC のパブリックサブネットを running に設定します。
- 静的 IP を選択します。
User Data
フィールドを設定します。設定可能なパラメーターは 「永続的な設定パラメーター」 および 「カスタムスクリプトパラメーター」 を参照してください。Amazon EC2 でのドメインコントローラー検出の詳細については、「ドメインコントローラー検索およびフェールオーバーの Amazon EC2 での設定」 を参照してください。例25.4 User Data フィールドの例
この例は、非クラスター化 JBoss EAP 6 管理対象ドメイン用の User Data フィールドを示しています。ユーザーadmin
のパスワードはadmin
に設定されます。## password that will be used by slave host controllers to connect to the domain controller JBOSSAS_ADMIN_PASSWORD=admin ## subnet prefix this machine is connected to SUBNET=10.0.0. ## S3 domain controller discovery setup # JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY=<your secret key> # JBOSS_DOMAIN_S3_ACCESS_KEY=<your access key> # JBOSS_DOMAIN_S3_BUCKET=<your bucket name> #### to run the example no modifications below should be needed #### JBOSS_DOMAIN_CONTROLLER=true PORTS_ALLOWED="9999 9990 9443" JBOSS_IP=`hostname | sed -e 's/ip-//' -e 'y/-/./'` #listen on public/private EC2 IP address cat > $USER_SCRIPT << "EOF" ## Get the application to be deployed from an Internet URL # mkdir -p /usr/share/java/jboss-ec2-eap-applications # wget https://<your secure storage hostname>/<path>/<app name>.war -O /usr/share/java/jboss-ec2-eap-applications/<app name>.war ## Create a file of CLI commands to be executed after starting the server cat> $USER_CLI_COMMANDS << "EOC" # Add the modcluster subsystem to the default profile to set up a proxy /profile=default/subsystem=web/connector=ajp:add(name=ajp,protocol=AJP/1.3,scheme=http,socket-binding=ajp) /:composite(steps=[ {"operation" => "add", "address" => [ ("profile" => "default"), ("subsystem" => "modcluster") ] },{ "operation" => "add", "address" => [ ("profile" => "default"), ("subsystem" => "modcluster"), ("mod-cluster-config" => "configuration") ], "advertise" => "false", "proxy-list" => "${jboss.modcluster.proxyList}", "connector" => "ajp"}, { "operation" => "add", "address" => [ ("profile" => "default"), ("subsystem" => "modcluster"), ("mod-cluster-config" => "configuration"), ("dynamic-load-provider" => "configuration") ]}, { "operation" => "add", "address" => [ ("profile" => "default"), ("subsystem" => "modcluster"), ("mod-cluster-config" => "configuration"), ("dynamic-load-provider" => "configuration"), ("load-metric" => "busyness")], "type" => "busyness"} ]) # Deploy the sample application from the local filesystem deploy /usr/share/java/jboss-ec2-eap-samples/hello.war --server-groups=main-server-group EOC ## this will workaround the problem that in a VPC, instance hostnames are not resolvable echo -e "127.0.0.1\tlocalhost.localdomain localhost" > /etc/hosts echo -e "::1\tlocalhost6.localdomain6 localhost6" >> /etc/hosts for (( i=1 ; i<255 ; i++ )); do echo -e "$SUBNET$i\tip-${SUBNET//./-}$i" ; done >> /etc/hosts EOF
本番稼働インスタンスの場合
本番環境インスタンスの場合は、次の行をUser Data
フィールドのUSER_SCRIPT
行の下に追加してセキュリティーアップデートが起動時に適用されるようにします。yum -y update
注記
yum -y update
を定期的に実行して、セキュリティー修正と拡張を適用する必要があります。- Red Hat AMI インスタンスを起動します。
非クラスター化された JBoss EAP 6 管理対象ドメインが設定され、Red Hat AMI で起動されます。
25.2.2.3.2. ホストコントローラーとして機能する 1 つまたは複数のインスタンスの起動
このトピックでは、Red Hat AMI (Amazon Machine Image) 上の非クラスターホストコントローラーとして機能する JBoss EAP 6 の 1 つまたは複数のインスタンスを起動するために必要な手順について説明します。
前提条件
- 非クラスタードメインコントローラーを設定および起動します。「ドメインコントローラーとして機能するインスタンスの起動」 を参照してください。
手順25.4 ホストコントローラーの起動
- AMI を選択します。
- インスタンスの必要な数 (スレーブホストコントローラーの数) を定義します。
- VPC およびインスタンスタイプを選択します。
- Security Group をクリックします。
- JBoss EAP 6 サブネットからのすべてのトラフィックが許可されることを確認します。
- 必要に応じて他の制限を定義します。
- 以下の内容を User Data: フィールドに追加します。
## mod cluster proxy addresses MOD_CLUSTER_PROXY_LIST=10.0.0.4:7654 ## host controller setup ### static domain controller discovery setup JBOSS_DOMAIN_MASTER_ADDRESS=10.0.0.5 ### S3 domain controller discovery setup # JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY=<your secret key> # JBOSS_DOMAIN_S3_ACCESS_KEY=<your access key> # JBOSS_DOMAIN_S3_BUCKET=<your bucket name> JBOSS_HOST_PASSWORD=<password for slave host controllers> ## subnet prefix this machine is connected to SUBNET=10.0.1. #### to run the example no modifications below should be needed #### JBOSS_HOST_USERNAME=admin PORTS_ALLOWED="1024:65535" JBOSS_IP=`hostname | sed -e 's/ip-//' -e 'y/-/./'` #listen on public/private EC2 IP address cat > $USER_SCRIPT << "EOF" ## Server instance configuration sed -i "s/other-server-group/main-server-group/" $JBOSS_CONFIG_DIR/$JBOSS_HOST_CONFIG ## this will workaround the problem that in a VPC, instance hostnames are not resolvable echo -e "127.0.0.1\tlocalhost.localdomain localhost" > /etc/hosts echo -e "::1\tlocalhost6.localdomain6 localhost6" >> /etc/hosts for (( i=1 ; i<255 ; i++ )); do echo -e "$SUBNET$i\tip-${SUBNET//./-}$i" ; done >> /etc/hosts EOF
Amazon EC2 でのドメインコントローラー検出の詳細については、「ドメインコントローラー検索およびフェールオーバーの Amazon EC2 での設定」 を参照してください。 本番稼働インスタンスの場合
本番環境インスタンスの場合は、次の行をUser Data
フィールドのUSER_SCRIPT
行の下に追加してセキュリティーアップデートが起動時に適用されるようにします。yum -y update
注記
yum -y update
を定期的に実行して、セキュリティー修正と拡張を適用する必要があります。- Red Hat AMI インスタンスを起動します。
JBoss EAP 6 の非クラスターホストコントローラーが設定され、Red Hat AMI で起動されます。
25.2.2.3.3. 非クラスター化 JBoss EAP 6 の管理対象ドメインのテスト
このトピックでは、Red Hat AMI (Amazon Machine Image) 上の非クラスター化 JBoss EAP 6 管理対象ドメインをテストするために必要な手順について説明します。
前提条件
- ドメインコントローラーを設定および起動する必要があります。「ドメインコントローラーとして機能するインスタンスの起動」 を参照してください。
- ホストコントローラーを設定および起動する必要があります。「ホストコントローラーとして機能する 1 つまたは複数のインスタンスの起動」 を参照してください。
手順25.5 Web サーバーのテスト
- ブラウザーで
http://ELASTIC_IP_OF_APACHE_HTTPD
に移動し、Web サーバーが正常に実行されていることを確認します。
手順25.6 ドメインコントローラーのテスト
http://ELASTIC_IP_OF_DOMAIN_CONTROLLER:9990/console
へ移動します。- ドメインコントローラーの User Data フィールドで指定されたユーザー名
admin
とパスワードを使用してログインします。管理対象ドメインに対する管理コンソールランディングページ (http://ELASTIC_IP_OF_DOMAIN_CONTROLLER:9990/console/App.html#server-instances
) が表示されるはずです。 - 画面の右上にある Server ラベルをクリックし、画面の左上にある Host ドロップダウンメニューでホストコントローラーを選択します。
- 各ホストコントローラーに
server-one
とserver-two
の 2 つのサーバー構成があることを確認し、これら両方がmain-server-group
に属することを確認します。 - JBoss EAP 6 の 管理コンソールからログアウトします。
手順25.7 ホストコントローラーのテスト
http://ELASTIC_IP_OF_APACHE_HTTPD/hello
に移動して、サンプルアプリケーションが正常に実行されていることをテストします。テキストHello World!
がブラウザーで表示されるはずです。テキストが表示されない場合は、18.5.1 の「Amazon EC2 のトラブルシューティングについて」を参照してください。- Apache HTTP サーバーインスタンスに接続します:
$ ssh -L7654:localhost:7654 ELASTIC_IP_OF_APACHE_HTTPD
http://localhost:7654/mod_cluster-manager
に移動して、すべてのインスタンスが正常に実行されていることを確認します。
JBoss EAP 6 Web サーバー、ドメインコントローラー、およびホストコントローラーが Red Hat AMI で正常に実行されています。
25.2.2.3.4. ドメインコントローラー検索およびフェールオーバーの Amazon EC2 での設定
JBOSS_DOMAIN_S3_ACCESS_KEY
、JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY
、および JBOSS_DOMAIN_S3_BUCKET
パラメーターを起動時に JBoss EAP 6 インスタンスへ渡すと自動的にドメインコントローラー検索を有効にできます。設定可能なパラメーターについては 「永続的な設定パラメーター」 を参照してください。この代わりに、以下の設定を使用してドメイン検索を手動で設定することもできます。
- access-key
- Amazon AWS ユーザーアカウントのアクセスキー。
- secret-access-key
- Amazon AWS ユーザーアカウントの秘密アクセスキー。
- location
- 使用される Amazon S3 バケット。
例25.5 ホストコントローラーの設定
<domain-controller> <remote security-realm="ManagementRealm"> <discovery-options> <discovery-option name="s3-discovery" code="org.jboss.as.host.controller.discovery.S3Discovery" module="org.jboss.as.host-controller"> <property name="access-key" value="S3_ACCESS_KEY"/> <property name="secret-access-key" value="S3_SECRET_ACCESS_KEY"/> <property name="location" value="S3_BUCKET_NAME"/> </discovery-option> </discovery-options> </remote> </domain-controller>
例25.6 ドメインコントローラーの設定
<domain-controller> <local> <discovery-options> <discovery-option name="s3-discovery" code="org.jboss.as.host.controller.discovery.S3Discovery" module="org.jboss.as.host-controller"> <property name="access-key" value="S3_ACCESS_KEY"/> <property name="secret-access-key" value="S3_SECRET_ACCESS_KEY"/> <property name="location" value="S3_BUCKET_NAME"/> </discovery-option> </discovery-options> </local> </domain-controller>
25.2.3. クラスター化された JBoss EAP 6
25.2.3.1. クラスターインスタンスについて
standalone-ec2-ha.xml
と standalone-mod_cluster-ec2-ha.xml
) が含まれます。Amazon EC2 はマルチキャストをサポートしないため、これらの各設定ファイルは、マルチキャストを使用せずにクラスタリングを提供します。これは、クラスター通信用 TCP ユニキャストと S3_PING を検出プロトコルとして使用して行われます。また、standalone-mod_cluster-ec2-ha.xml
設定は、mod_cluster プロキシを使用して簡単な登録を提供します。
domain-ec2.xml
設定ファイルはクラスター化された管理対象ドメインで使用される ec2-ha と mod_cluster-ec2-ha の 2 つのプロファイルを提供します。
25.2.3.2. リレーショナルデータベースサービスデータベースインスタンスの作成
このトピックでは、MySQL を例として使用して、リレーショナルデータベースサービスデータベースインスタンスを作成する手順について説明します。
警告
重要
手順25.8 リレーショナルデータベースサービスデータベースインスタンスの作成
- AWS コンソールの RDS をクリックします。
- 必要な場合は、サービスをサブスクライブします。
- Launch DB instance をクリックします。
- MySQL をクリックします。
- バージョンを選択します (
5.5.12
など)。 - small instance を選択します。
- Multi-AZ Deployment と Auto upgrade が
off
であることを確認します。 - Storage を
5GB
に設定します。 - データベース管理者のユーザー名とパスワードを定義し、Next をクリックします。
- インスタンスで作成するデータベース名を選択し、Next をクリックします。
- 必要な場合は、バックアップおよび保守を無効にします。
- 設定を確認します。
データベースが作成されます。数分後に、データベースは初期化され、使用できるようになります。
25.2.3.3. Virtual Private Cloud
25.2.3.4. Virtual Private Cloud (VPC) の作成
このトピックでは、VPC に対して外部のデータベースを例として使用して Virtual Private Cloud を作成するのに必要な手順について説明します。セキュリティーポリシーでは、データベースに対する接続を暗号化する必要がある場合があります。データベース接続の暗号化の詳細については、Amazon の「RDS FAQ」を参照してください。
重要
- AWS コンソールの VPC タブに移動します。
- 必要な場合は、サービスをサブスクライブします。
- Create new VPC をクリックします。
- 1 つのパブリックサブネットと 1 つのプライベートサブネットがある VPC を選択します。
- パブリックサブネットを
10.0.0.0/24
に設定します。 - プライベートサブネットを
10.0.1.0/24
に設定します。
- Elastic IPs に移動します。
- mod_cluster プロキシ/NAT インスタンスが使用するエラスティック IP を作成します。
- Security groups に移動し、すべての送受信トラフィックを許可するセキュリティーグループを作成します。
- ネットワーク ACL に移動します。
- すべての送受信トラフィックを許可する ACL を作成します。
- TCP ポート
22
、8009
、8080
、8443
、9443
、9990
、および16163
でのみすべての送受信トラフィックを許可する ACL を作成します。
Virtual Private Cloud が正常に作成されます。
25.2.3.5. mod_cluster プロキシとして使用する Apache HTTP サーバーインスタンスと VPC 用 NAT インスタンスの起動
このトピックでは、mod_cluster プロキシとして使用する Apache HTTP サーバーインスタンスと Virtual Private Cloud 用 NAT インスタンスを起動するために必要な手順について説明します。
手順25.9 mod_cluster プロキシとして使用する Apache HTTP サーバーインスタンスと VPC 用 NAT インスタンスの起動
- このインスタンスに対してエラスティック IP を作成します。
- AMI を選択します。
- Security Group に移動し、すべてのトラフィックを許可します (必要な場合は、アクセスを制限する Red Hat Enterprise Linux の組み込みファイアウォール機能を使用)。
- VPC のパブリックサブネットで
running
を選択します。 - 静的な IP (
10.0.0.4
など) を選択します。 - 以下の内容を User Data: フィールドに指定します。
JBOSSCONF=disabled cat > $USER_SCRIPT << "EOS" echo 1 > /proc/sys/net/ipv4/ip_forward echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter iptables -I INPUT 4 -s 10.0.1.0/24 -p tcp --dport 7654 -j ACCEPT iptables -I INPUT 4 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I FORWARD -s 10.0.1.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 ! -s 10.0.0.4 -j MASQUERADE # balancer module incompatible with mod_cluster sed -i -e 's/LoadModule proxy_balancer_module/#\0/' /etc/httpd/conf/httpd.conf cat > /etc/httpd/conf.d/mod_cluster.conf << "EOF" #LoadModule proxy_module modules/mod_proxy.so #LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule slotmem_module modules/mod_slotmem.so LoadModule manager_module modules/mod_manager.so LoadModule proxy_cluster_module modules/mod_proxy_cluster.so LoadModule advertise_module modules/mod_advertise.so Listen 7654 # workaround JBPAPP-4557 MemManagerFile /var/cache/mod_proxy/manager <VirtualHost *:7654> <Location /mod_cluster-manager> SetHandler mod_cluster-manager Order deny,allow Deny from all Allow from 127.0.0.1 </Location> <Location /> Order deny,allow Deny from all Allow from 10. Allow from 127.0.0.1 </Location> KeepAliveTimeout 60 MaxKeepAliveRequests 0 ManagerBalancerName mycluster ServerAdvertise Off EnableMCPMReceive On </VirtualHost> EOF echo "`hostname | sed -e 's/ip-//' -e 'y/-/./'` `hostname`" >> /etc/hosts semanage port -a -t http_port_t -p tcp 7654 #add port in the apache port list for the below to work setsebool -P httpd_can_network_relay 1 #for mod_proxy_cluster to work chcon -t httpd_config_t -u system_u /etc/httpd/conf.d/mod_cluster.conf #### Uncomment the following line when launching a managed domain #### # setsebool -P httpd_can_network_connect 1 service httpd start EOS
- このインスタンスに対する Amazon EC2 クラウド送信元/送信先チェックを無効にして、ルーターとして動作できるようにします。
- 稼働している Apache HTTP サーバーインスタンスを右クリックし、Change Source/Dest check を選択します。
- Yes, Disable をクリックします。
- このインスタンスにエラスティック IP を割り当てます。
Apache HTTP サーバーインスタンスが正常に起動されます。
25.2.3.6. VPC プライベートサブネットデフォルトルートの設定
このトピックでは、VPC プライベートサブネットデフォルトルートを設定するために必要な手順について説明します。JBoss EAP 6 クラスターノードは VPC のプライベートサブネットで実行されますが、クラスターノードでは S3 接続のインターネットアクセスが必要です。NAT インスタンスを通過するためにデフォルトルートを設定する必要があります。
手順25.10 VPC プライベートサブネットデフォルトルートの設定
- Amazon AWS コンソールで Apache HTTP サーバーインスタンスに移動します。
- VPC → route tables に移動します。
- プライベートサブネットで使用されたルーティングテーブルをクリックします。
- 新しいルートのフィールドに、
0.0.0.0/0
を入力します。 - Select a target をクリックします。
Enter Instance ID
を選択します。- 稼働している Apache HTTP サーバーインスタンスの ID を選択します。
デフォルトルートが、VPC サブネットに対して正常に設定されます。
25.2.3.7. Identity and Access Management (IAM)
25.2.3.8. IAM セットアップの設定
このトピックでは、クラスター JBoss EAP 6 インスタンス用の IAM をセットアップするのに必要な設定手順について説明します。S3_PING
プロトコルは S3 バケットを使用して他のクラスターメンバーを検出します。JGroups バージョン 3.0.x では、S3 サービスに対して認証するために Amazon AWS アカウントアクセスとシークレットキーが必要です。
S3_PING
プロトコルと似ている) に対して認証するために Amazon AWS アカウントへのアクセスとシークレットキーが必要になります。S3 検索に使用される IAM ユーザーと S3 バケットは、クラスタリングに使用される IAM ユーザーと S3 検索とは別でなければなりません。
手順25.11 IAM セットアップの設定
- AWS コンソールの IAM タブに移動します。
- users をクリックします。
- Create New Users を選択します。
- 名前を選択し、Generate an access key for each User オプションがチェックされていることを確認します。
- Download credentials を選択し、セキュアな場所に保存します。
- ウィンドウを閉じます。
- 新しく作成されたユーザーをクリックします。
User ARM
値を書き留めます。この値は、S3 バケットをセットアップするために必要です (「S3 バケットセットアップの設定」 を参照)。
IAM ユーザーアカウントが正常に作成されます。
25.2.3.9. S3 バケット
25.2.3.10. S3 バケットセットアップの設定
このトピックでは、新しい S3 バケットを設定するのに必要な手順について説明します。
前提条件
手順25.12 S3 バケットセットアップの設定
- AWS コンソールで S3 タブを開きます。
- Create Bucket をクリックします。
- バケットの名前を選択し、Create をクリックします。
注記
バケット名は S3 全体で一意です。名前は再使用できません。 - 新しいバケットを右クリックし、Properties を選択します。
- パーミッションタブの Add bucket policy をクリックします。
- New policy をクリックして、ポリシー作成ウィザードを開きます。
- 以下の内容を新しいポリシーにコピーし、
arn:aws:iam::05555555555:user/jbosscluster*
を 「IAM セットアップの設定」 で定義された値に置き換えます。clusterbucket123
の両方のインスタンスをこの手順 3 で定義されたバケットの名前に変更します。{ "Version": "2008-10-17", "Id": "Policy1312228794320", "Statement": [ { "Sid": "Stmt1312228781799", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::055555555555:user/jbosscluster" ] }, "Action": [ "s3:ListBucketVersions", "s3:GetObjectVersion", "s3:ListBucket", "s3:PutBucketVersioning", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:GetBucketVersioning" ], "Resource": [ "arn:aws:s3:::clusterbucket123/*", "arn:aws:s3:::clusterbucket123" ] } ] }
新しい S3 バケットが正常に作成および設定されます。
25.2.3.11. クラスターインスタンス
25.2.3.11.1. クラスター化された JBoss EAP 6 AMI の起動
このトピックでは、クラスター JBoss EAP 6 AMI を起動するのに必要な手順について説明します。
前提条件
警告
JBOSS_CLUSTER_ID
変数を参照してください (「永続的な設定パラメーター」)。
重要
警告
手順25.13 クラスター化された JBoss EAP 6 AMI の起動
- AMI を選択します。
- 必要な数のインスタンス (クラスターサイズ) を定義します。
- VPC およびインスタンスタイプを選択します。
- Security Group をクリックします。
- JBoss EAP 6 クラスターサブネットからのすべてのトラフィックが許可されることを確認します。
- 必要に応じて他の制限を定義します。
- 以下の内容を User Data フィールドに追加します。
例25.7 User Data フィールドの例
## mod cluster proxy addresses MOD_CLUSTER_PROXY_LIST=10.0.0.4:7654 ## clustering setup JBOSS_JGROUPS_S3_PING_SECRET_ACCESS_KEY=<your secret key> JBOSS_JGROUPS_S3_PING_ACCESS_KEY=<your access key> JBOSS_JGROUPS_S3_PING_BUCKET=<your bucket name> ## password to access admin console JBOSSAS_ADMIN_PASSWORD=<your password for opening admin console> ## database credentials configuration JAVA_OPTS="$JAVA_OPTS -Ddb.host=instancename.something.rds.amazonaws.com -Ddb.database=mydatabase -Ddb.user=<user> -Ddb.passwd=<pass>" ## subnet prefix this machine is connected to SUBNET=10.0.1. #### to run the example no modifications below should be needed #### PORTS_ALLOWED="1024:65535" JBOSS_IP=`hostname | sed -e 's/ip-//' -e 'y/-/./'` #listen on public/private EC2 IP address cat > $USER_SCRIPT << "EOF" ## Get the application to be deployed from an Internet URL # mkdir -p /usr/share/java/jboss-ec2-eap-applications # wget https://<your secure storage hostname>/<path>/<app name>.war -O /usr/share/java/jboss-ec2-eap-applications/<app name>.war ## install the JDBC driver as a core module yum -y install mysql-connector-java mkdir -p /usr/share/jbossas/modules/com/mysql/main cp -v /usr/share/java/mysql-connector-java-*.jar /usr/share/jbossas/modules/com/mysql/main/mysql-connector-java.jar cat > /usr/share/jbossas/modules/com/mysql/main/module.xml <<"EOM" <?xml version="1.0" encoding="UTF-8"?> <module xmlns="urn:jboss:module:1.0" name="com.mysql"> <resources> <resource-root path="mysql-connector-java.jar"/> </resources> <dependencies> <module name="javax.api"/> </dependencies> </module> EOM cat > $USER_CLI_COMMANDS << "EOC" ## Deploy sample application from local filesystem deploy --force /usr/share/java/jboss-ec2-eap-samples/cluster-demo.war ## ExampleDS configuration for MySQL database data-source remove --name=ExampleDS /subsystem=datasources/jdbc-driver=mysql:add(driver-name="mysql",driver-module-name="com.mysql") data-source add --name=ExampleDS --connection-url="jdbc:mysql://${db.host}:3306/${db.database}" --jndi-name=java:jboss/datasources/ExampleDS --driver-name=mysql --user-name="${db.user}" --password="${db.passwd}" /subsystem=datasources/data-source=ExampleDS:enable /subsystem=datasources/data-source=ExampleDS:test-connection-in-pool EOC ## this will workaround the problem that in a VPC, instance hostnames are not resolvable echo -e "127.0.0.1\tlocalhost.localdomain localhost" > /etc/hosts echo -e "::1\tlocalhost6.localdomain6 localhost6" >> /etc/hosts for (( i=1 ; i<255 ; i++ )); do echo -e "$SUBNET$i\tip-${SUBNET//./-}$i" ; done >> /etc/hosts EOF
クラスター JBoss EAP 6 AMI が正常に設定および起動されます。
25.2.3.11.2. クラスター化 JBoss EAP 6 インスタンスのテスト
このトピックでは、クラスター化された JBoss EAP 6 インスタンスが正常に実行されていることを確認する手順について説明します。
手順25.14 クラスター化されたインスタンスのテスト
- ブラウザーで http://ELASTIC_IP_OF_APACHE_HTTPD に移動し、Web サーバーが正常に実行されていることを確認します。
クラスター化されたノードのテスト
- ブラウザーで http://ELASTIC_IP_OF_APACHE_HTTPD/cluster-demo/put.jsp にアクセスします。
- いずれかのクラスターノードが次のメッセージをログに記録することを確認します。
Putting date now
- 前の手順でメッセージをログに記録したクラスターノードを停止します。
- ブラウザーで http://ELASTIC_IP_OF_APACHE_HTTPD/cluster-demo/get.jsp にアクセスします。
- 示された時間が、手順 2-a で
put.jsp
を使用して示された時間と同じであることを確認します。 - いずれかの稼働クラスターノードが次のメッセージをログに記録することを確認します。
Getting date now
- 停止されたクラスターノードを再起動します。
- Apache HTTP サーバーインスタンスに接続します:
ssh -L7654:localhost:7654 <ELASTIC_IP_OF_APACHE_HTTPD>
- http://localhost:7654/mod_cluster-manager に移動して、すべてのインスタンスが正常に実行されていることを確認します。
クラスター化された JBoss EAP 6 インスタンスがテストされ、正常に稼働していることが確認されます。
25.2.3.12. クラスター化管理対象ドメイン
25.2.3.12.1. クラスタードメインコントローラーとして機能するインスタンスの起動
このトピックでは、Red Hat AMI (Amazon Machine Image) 上のクラスター化された JBoss EAP 6 管理対象ドメインを起動するために必要な手順について説明します。
前提条件
- 適切な Red Hat AMI。「サポート対象 Red Hat AMI」 を参照してください。
手順25.15 クラスタードメインコントローラーの起動
- このインスタンスに対してエラスティック IP を作成します。
- AMI を選択します。
- Security Group に移動し、すべてのトラフィックを許可します (必要な場合は、アクセスを制限する Red Hat Enterprise Linux の組み込みファイアウォール機能を使用)。
- VPC のパブリックサブネットで running を選択します。
- 静的な IP (例:
10.0.0.5
) を選択します。 - 以下の内容を User Data: フィールドに指定します。
## mod cluster proxy addresses MOD_CLUSTER_PROXY_LIST=10.0.0.4:7654 ## password that will be used by slave host controllers to connect to the domain controller JBOSSAS_ADMIN_PASSWORD=<password for slave host controllers> ## subnet prefix this machine is connected to SUBNET=10.0.0. ## S3 domain controller discovery setup # JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY=<your secret key> # JBOSS_DOMAIN_S3_ACCESS_KEY=<your access key> # JBOSS_DOMAIN_S3_BUCKET=<your bucket name> #### to run the example no modifications below should be needed #### JBOSS_DOMAIN_CONTROLLER=true PORTS_ALLOWED="9999 9990 9443" JBOSS_IP=`hostname | sed -e 's/ip-//' -e 'y/-/./'` #listen on public/private EC2 IP address cat > $USER_SCRIPT << "EOF" ## Get the application to be deployed from an Internet URL # mkdir -p /usr/share/java/jboss-ec2-eap-applications # wget https://<your secure storage hostname>/<path>/<app name>.war -O /usr/share/java/jboss-ec2-eap-applications/<app name>.war ## Install the JDBC driver as a core module yum -y install mysql-connector-java mkdir -p /usr/share/jbossas/modules/com/mysql/main cp -v /usr/share/java/mysql-connector-java-*.jar /usr/share/jbossas/modules/com/mysql/main/mysql-connector-java.jar cat > /usr/share/jbossas/modules/com/mysql/main/module.xml <<"EOM" <?xml version="1.0" encoding="UTF-8"?> <module xmlns="urn:jboss:module:1.0" name="com.mysql"> <resources> <resource-root path="mysql-connector-java.jar"/> </resources> <dependencies> <module name="javax.api"/> </dependencies> </module> EOM cat > $USER_CLI_COMMANDS << "EOC" ## Deploy the sample application from the local filesystem deploy /usr/share/java/jboss-ec2-eap-samples/cluster-demo.war --server-groups=other-server-group ## ExampleDS configuration for MySQL database data-source --profile=mod_cluster-ec2-ha remove --name=ExampleDS /profile=mod_cluster-ec2-ha/subsystem=datasources/jdbc-driver=mysql:add(driver-name="mysql",driver-module-name="com.mysql") data-source --profile=mod_cluster-ec2-ha add --name=ExampleDS --connection-url="jdbc:mysql://${db.host}:3306/${db.database}" --jndi-name=java:jboss/datasources/ExampleDS --driver-name=mysql --user-name="${db.user}" --password="${db.passwd}" /profile=mod_cluster-ec2-ha/subsystem=datasources/data-source=ExampleDS:enable EOC ## this will workaround the problem that in a VPC, instance hostnames are not resolvable echo -e "127.0.0.1\tlocalhost.localdomain localhost" > /etc/hosts echo -e "::1\tlocalhost6.localdomain6 localhost6" >> /etc/hosts for (( i=1 ; i<255 ; i++ )); do echo -e "$SUBNET$i\tip-${SUBNET//./-}$i" ; done >> /etc/hosts EOF
本番稼働インスタンスの場合
本番環境インスタンスの場合は、次の行をUser Data
フィールドのUSER_SCRIPT
行の下に追加してセキュリティーアップデートが起動時に適用されるようにします。yum -y update
注記
yum -y update
を定期的に実行して、セキュリティー修正と拡張を適用する必要があります。- Red Hat AMI インスタンスを起動します。
クラスター化された JBoss EAP 6 管理対象ドメインが設定され、Red Hat AMI で起動されます。
25.2.3.12.2. クラスターホストコントローラーとして機能する 1 つまたは複数のインスタンスの起動
このトピックでは、Red Hat AMI (Amazon Machine Image) 上のクラスターホストコントローラーとして機能する JBoss EAP 6 の 1 つまたは複数のインスタンスを起動するために必要な手順について説明します。
前提条件
- クラスタードメインコントローラーを設定および起動する必要があります。「クラスタードメインコントローラーとして機能するインスタンスの起動」 を参照してください。
手順25.16 ホストコントローラーの起動
- AMI を選択します。
- インスタンスの必要な数 (スレーブホストコントローラーの数) を定義します。
- VPC およびインスタンスタイプを選択します。
- Security Group をクリックします。
- JBoss EAP 6 クラスターサブネットからのすべてのトラフィックが許可されることを確認します。
- 必要に応じて他の制限を定義します。
- 以下の内容を User Data: フィールドに追加します。
## mod cluster proxy addresses MOD_CLUSTER_PROXY_LIST=10.0.0.4:7654 ## clustering setup JBOSS_JGROUPS_S3_PING_SECRET_ACCESS_KEY=<your secret key> JBOSS_JGROUPS_S3_PING_ACCESS_KEY=<your access key> JBOSS_JGROUPS_S3_PING_BUCKET=<your bucket name> ## host controller setup ### static domain controller discovery setup JBOSS_DOMAIN_MASTER_ADDRESS=10.0.0.5 ### S3 domain controller discovery setup # JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY=<your secret key> # JBOSS_DOMAIN_S3_ACCESS_KEY=<your access key> # JBOSS_DOMAIN_S3_BUCKET=<your bucket name> JBOSS_HOST_PASSWORD=<password for slave host controllers> ## database credentials configuration JAVA_OPTS="$JAVA_OPTS -Ddb.host=instancename.something.rds.amazonaws.com -Ddb.database=mydatabase -Ddb.user=<user> -Ddb.passwd=<pass>" ## subnet prefix this machine is connected to SUBNET=10.0.1. #### to run the example no modifications below should be needed #### JBOSS_HOST_USERNAME=admin PORTS_ALLOWED="1024:65535" JBOSS_IP=`hostname | sed -e 's/ip-//' -e 'y/-/./'` #listen on public/private EC2 IP address cat > $USER_SCRIPT << "EOF" ## Server instance configuration sed -i "s/main-server-group/other-server-group/" $JBOSS_CONFIG_DIR/$JBOSS_HOST_CONFIG ## install the JDBC driver as a core module yum -y install mysql-connector-java mkdir -p /usr/share/jbossas/modules/com/mysql/main cp -v /usr/share/java/mysql-connector-java-*.jar /usr/share/jbossas/modules/com/mysql/main/mysql-connector-java.jar cat > /usr/share/jbossas/modules/com/mysql/main/module.xml <<"EOM" <?xml version="1.0" encoding="UTF-8"?> <module xmlns="urn:jboss:module:1.0" name="com.mysql"> <resources> <resource-root path="mysql-connector-java.jar"/> </resources> <dependencies> <module name="javax.api"/> </dependencies> </module> EOM ## this will workaround the problem that in a VPC, instance hostnames are not resolvable echo -e "127.0.0.1\tlocalhost.localdomain localhost" > /etc/hosts echo -e "::1\tlocalhost6.localdomain6 localhost6" >> /etc/hosts for (( i=1 ; i<255 ; i++ )); do echo -e "$SUBNET$i\tip-${SUBNET//./-}$i" ; done >> /etc/hosts EOF
本番稼働インスタンスの場合
本番環境インスタンスの場合は、次の行をUser Data
フィールドのUSER_SCRIPT
行の下に追加してセキュリティーアップデートが起動時に適用されるようにします。yum -y update
注記
yum -y update
を定期的に実行して、セキュリティー修正と拡張を適用する必要があります。- Red Hat AMI インスタンスを起動します。
JBoss EAP 6 のクラスターホストコントローラーが設定され、Red Hat AMI で起動されます。
25.2.3.12.3. クラスター化された JBoss EAP 6 管理対象ドメインのテスト
このトピックでは、Red Hat AMI (Amazon Machine Image) 上のクラスター化された JBoss EAP 6 管理対象ドメインをテストするために必要な手順について説明します。
前提条件
- クラスタードメインコントローラーを設定および起動する必要があります。「クラスタードメインコントローラーとして機能するインスタンスの起動」 を参照してください。
- クラスターホストコントローラーを設定および起動する必要があります。「クラスターホストコントローラーとして機能する 1 つまたは複数のインスタンスの起動」 を参照してください。
手順25.17 Apache HTTP サーバーインスタンスのテスト
- ブラウザーで
http://ELASTIC_IP_OF_APACHE_HTTP_SERVER
にアクセスし、Web サーバーが正常に実行されていることを確認します。
手順25.18 ドメインコントローラーのテスト
http://ELASTIC_IP_OF_DOMAIN_CONTROLLER:9990/console
にアクセスします。- ドメインコントローラーの User Data フィールドで指定されたユーザー名
admin
とパスワードを使用してログインします。ログイン後に、管理対象ドメインの管理コンソールランディングページ (http://ELASTIC_IP_OF_DOMAIN_CONTROLLER:9990/console/App.html#server-instances
) が表示されるはずです。 - 画面の右上にある Serverラベルをクリックします。画面の左上にある Host ドロップダウンメニューでホストコントローラーを選択します。
- このホストコントローラーに
server-one
とserver-two
の 2 つのサーバー構成があることを確認し、これら両方がother-server-group
に属することを確認します。
手順25.19 ホストコントローラーのテスト
- ブラウザーで
http://ELASTIC_IP_OF_APACHE_HTTP_SERVER/cluster-demo/put.jsp
にアクセスします。 - いずれかのホストコントローラーで次のメッセージがログに記録されていることを確認します。
Putting date now.
- 前の手順でメッセージをログに記録したサーバーインスタンスを停止します (「管理コンソールを使用したサーバーの停止」を参照)。
- ブラウザーで
http://ELASTIC_IP_OF_APACHE_HTTP_SERVER/cluster-demo/get.jsp
にアクセスします。 - 示された時間が、手順 2 で
put.jsp
を使用してPUT
であった時間と同じであることを確認します。 - 稼働しているサーバーインスタンスの 1 つが
Getting date now.
というメッセージをログに記録することを確認します。 - 停止したサーバーインスタンスを再起動します (セクション 2.2.2「管理コンソールを使用したサーバーの起動」を参照)。
- Apache HTTP サーバーインスタンスに接続します。
$ ssh -L7654:localhost:7654 ELASTIC_IP_OF_APACHE_HTTP_SERVER
http://localhost:7654/mod_cluster-manager
に移動して、すべてのインスタンスが正常に実行されていることを確認します。
JBoss EAP 6 Web サーバー、ドメインコントローラー、およびホストコントローラーが Red Hat AMI で正常に実行されています。
25.3. JBoss Operations Network (JON) での監視の確立
25.3.1. AMI 監視
図25.1 JON サーバーの接続性
25.3.2. 接続要件
7080
にアクセスする必要があります (ただし、ポート 7443
が使用された SSL の場合を除く)。各 JON サーバーは、一意のホストとポートのペアで接続された各エージェントにアクセスできる必要があります。エージェントのポートは通常 16163
です。
25.3.3. Network Address Translation (NAT)
agent-configuration.xml
設定ファイルの rhq.communications.connector.*
の説明を参照してください。
25.3.4. Amazon EC2 および DNS
25.3.5. EC2 でのルーティング
source/destination checking
ルーティング機能がアクティベートされます。この機能はマシンの IP アドレスとは異なる送信先を持つサーバーに送信されるすべてのパケットを破棄します。JON サーバーにエージェントを接続するために選択された VPN ソリューションにルーターが含まれる場合は、サーバーをルーターまたは VPN ゲートウェイとして動作するためにこの機能を無効にする必要があります。この設定は、Amazon AWS コンソールを介してアクセスできます。また、source/destination checking
は、Virtual Private Cloud (VPC) でも無効にする必要があります。
10.0.0.0/8
ネットワークから IP アドレスを割り当てます。通常、インスタンスはパブリック IP アドレスを持ちますが、同じ利用可能なゾーン内の内部 IP アドレスでのネットワークトラフィックのみが使用可能になります。プライベートアドレス指定で 10.0.0.0/8
ネットワークの使用しないようにするには、以下を考慮する必要があります。
- VPC の作成時に、プライベートネットワークですでに使用されているアドレスの割り当てを回避し、接続の問題を回避します。
- インスタンスが利用可能なゾーンのローカルリソースにアクセスする必要がある場合は、Amazon EC2 プライベートアドレスが使用され、トラフィックが VPN を介してルーティングされないことを確認します。
- Amazon EC2 インスタンスが企業プライベートネットワークアドレスの小さいサブネット (JON サーバーのみなど) にアクセスする場合は、これらのアドレスのみを VPN を介してルーティングする必要があります。これにより、セキュリティーが強化され、Amazon EC2 またはプライベートネットワークアドレス空間の競合の可能性が低くなります。
25.3.6. JON での終了と再起動
/etc/sysconfig/jon-agent-ec2
の JON_AGENT_ADDR
を更新し、エージェントを再起動します。
25.3.7. JBoss Operations Network で登録するインスタンスの設定
- JBoss EAP 6 の場合は、以下を User Data フィールドに追加します。
JON_SERVER_ADDR=jon2.it.example.com ## if instance not already configured to resolve its hostname JON_AGENT_ADDR=`ip addr show dev eth0 primary to 0/0 | sed -n 's#.*inet \([0-9.]\+\)/.*#\1#p'` PORTS_ALLOWED=16163 # insert other JON options when necessary.
JON オプションの形式は、「永続的な設定パラメーター」 のJON_
で始まるパラメーターを参照してください。
25.4. ユーザースクリプト設定
25.4.1. 永続的な設定パラメーター
次のパラメーターを使用して、JBoss EAP 6 の設定と操作に影響を与えることができます。この内容は、/etc/sysconfig/jbossas
と /etc/sysconfig/jon-agent-ec2
に書き込まれます。
表25.2 設定可能なパラメーター
名前 | 説明 | デフォルト |
---|---|---|
JBOSS_JGROUPS_S3_PING_ACCESS_KEY | S3_PING 検出用 Amazon AWS ユーザーアカウントアクセスキー (クラスタリングが使用される場合)。 | 該当なし |
JBOSS_JGROUPS_S3_PING_SECRET_ACCESS_KEY | Amazon AWS ユーザーアカウント秘密アクセスキー。 | 該当なし |
JBOSS_JGROUPS_S3_PING_BUCKET | S3_PING 検出に使用する Amazon S3 バケット。 | 該当なし |
JBOSS_CLUSTER_ID |
クラスターメンバーノードの ID。クラスタリングの場合のみ使用されます。許可される値は次のとおりです (順番どおり)。
| eth0 の IP アドレスの最後のオクテット |
MOD_CLUSTER_PROXY_LIST | mod_cluster プロキシーの IP/ホスト名のコンマ区切りリスト (mod_cluster を使用する場合)。 | 該当なし |
PORTS_ALLOWED | デフォルトのもの以外に、ファイアウォールで許可される受信ポートのリスト。 | 該当なし |
JBOSSAS_ADMIN_PASSWORD | admin ユーザーのパスワード。 | 該当なし |
JON_SERVER_ADDR | 登録するのに使用する JON サーバーのホスト名または IP。これは登録のためにのみ使用され、登録後、エージェントは JON クラスター内の他のサーバーと通信できます。 | 該当なし |
JON_SERVER_PORT | サーバーと通信するためにエージェントが使用するポート。 | 7080 |
JON_AGENT_NAME | JON エージェントの名前 (一意である必要があります)。 | インスタンスの ID |
JON_AGENT_PORT | エージェントがリッスンするポート。 | 16163 |
JON_AGENT_ADDR | JON エージェントがバインドされる IP アドレス。これは、サーバーが複数のパブリックアドレス (VPN など) を持つ場合に使用されます。 | JON エージェントは、デフォルトでローカルホスト名の IP を選択します。 |
JON_AGENT_OPTS | SSL、NAT、および他の高度な設定を指定するために使用できる追加の JON エージェントシステムプロパティー。 | 該当なし |
JBOSS_SERVER_CONFIG |
使用する JBoss EAP 6 サーバー設定ファイルの名前。JBOSS_DOMAIN_CONTROLLER=true の場合は、
domain-ec2.xml が使用されます。それ以外の場合は、次のようになります。
| standalone.xml 、standalone-full.xml 、standalone-ec2-ha.xml 、standalone-mod_cluser-ec2-ha.xml 、domain-ec2.xml (他のパラメーターに依存します)。 |
JAVA_OPTS | JBoss EAP 6 が起動する前に変数に追加するカスタム値。 | JAVA_OPTS は、他のパラメーターの値から構築されます。 |
JBOSS_IP | サーバーがバインドされる IP アドレス。 | 127.0.0.1 |
JBOSSCONF | 起動する JBoss EAP 6 プロファイルの名前。JBoss EAP 6 が起動しないようにするには、JBOSSCONF を disabled に設定します。 | standalone |
JBOSS_DOMAIN_CONTROLLER
|
このインスタンスをドメインコントローラーとして実行するかどうかを設定します。
| false
|
JBOSS_DOMAIN_MASTER_ADDRESS
|
リモートドメインコントローラーの IP アドレス。
|
該当なし
|
JBOSS_HOST_NAME
|
論理ホスト名 (ドメイン内)。これは一意である必要があります。
|
HOSTNAME 環境変数の値。
|
JBOSS_HOST_USERNAME
|
ドメインコントローラーでの登録時にホストコントローラーが使用する必要があるユーザー名。これが提供されない場合は、JBOSS_HOST_NAME が代わりに使用されます。
|
JBOSS_HOST_NAME
|
JBOSS_HOST_PASSWORD
|
ドメインコントローラーでの登録時にホストコントローラーが使用する必要があるパスワード。
|
該当なし
|
JBOSS_HOST_CONFIG
|
JBOSS_DOMAIN_CONTROLLER=true の場合は、
host-master.xml が使用されます。JBOSS_DOMAIN_MASTER_ADDRESS が存在する場合は、host-slave.xml が使用されます。
| host-master.xml または host-slave.xml (他のパラメーターに依存します)。
|
JBOSS_DOMAIN_S3_ACCESS_KEY | S3 ドメインコントローラー検索用の Amazon AWS ユーザーアカウントのアクセスキー。 | 該当なし |
JBOSS_DOMAIN_S3_SECRET_ACCESS_KEY | S3 ドメインコントローラー検索用の Amazon AWS ユーザーアカウントの秘密アクセスキー。 | 該当なし |
JBOSS_DOMAIN_S3_BUCKET | S3 ドメインコントローラー検索に使用される Amazon S3 バケット。 | 該当なし |
25.4.2. カスタムスクリプトパラメーター
User Data: フィールドのユーザーカスタマイズセクションでは、次のパラメーターを使用できます。
表25.3 設定可能なパラメーター
名前 | 説明 |
---|---|
JBOSS_DEPLOY_DIR
|
アクティブプロファイルのデプロイディレクトリー (
/var/lib/jbossas/standalone/deployments/ など)。このディレクトリーに置かれたデプロイ可能なアーカイブがデプロイされます。Red Hat は、デプロイディレクトリーの代わりに管理コンソールまたは CLI ツールを使用してデプロイメントを管理することをお勧めします。
|
JBOSS_CONFIG_DIR
|
アクティブプロファイルの設定ディレクトリー (
/var/lib/jbossas/standalone/configuration など)。
|
JBOSS_HOST_CONFIG
|
アクティブホスト設定ファイルの名前 (
host-master.xml など)。Red Hat は、設定ファイルを編集する代わりに、管理コンソールまたは CLI ツールを使用してサーバーを設定することをお勧めします。
|
JBOSS_SERVER_CONFIG
|
アクティブサーバー設定ファイルの名前 (
standalone-ec2-ha.xml など)。Red Hat は、設定ファイルを編集する代わりに、管理コンソールまたは CLI ツールを使用してサーバーを設定することをお勧めします。
|
USER_SCRIPT
|
カスタム設定スクリプトへのパス (ソースユーザーデータ設定の前に利用可能)。
|
USER_CLI_COMMANDS
|
CLI コマンドのカスタムファイルへのパス (ソースユーザーデータ設定の前に利用可能)。
|
25.5. トラブルシューティング
25.5.1. Amazon EC2 のトラブルシューティング
25.5.2. 診断情報
/var/log/jboss_user-data.out
は、jboss-ec2-eap 初期化スクリプトとユーザーカスタム設定スクリプトの出力です。/var/cache/jboss-ec2-eap/
には、インスタンス起動時に使用される実際のユーザーデータ、カスタムスクリプト、およびカスタム CLI コマンドが含まれます。- また、
/var/log
には、マシンの起動時に収集され、JBoss EAP、httpd、および他のほとんどサービスから収集されたすべてのログが含まれます。
付録A 補足リファレンス
A.1. Red Hat カスタマーポータルからのファイルのダウンロード
前提条件
- このタスクを始める前に、カスタマーポータルのアカウントを作成する必要があります。https://access.redhat.com へ移動し、右上端にある 登録 リンクをクリックしアカウントを作成してください。
手順A.1 Red Hat カスタマーポータルにログインしファイルをダウンロード
- 結果
RHN へログインし、https://access.redhat.com のメイン Web ページに戻ります。
ダウンロード ページへ移動します。
以下のオプションのいずれかを使い、ダウンロード ページへ移動します。- 上部のナビゲーションバーのダウンロード リンクをクリックします。
- https://access.redhat.com/downloads/ へ直接アクセスします。
ダウンロードする製品とバージョンを選択します。
以下の方法を使い、正しい製品とバージョンを選びダウンロードしてください。- ナビゲーションを使って1つずつ進めていきます。
- 画面の右上端にある検索エリアを使い製品を検索します。
お使いのオペレーティングシステムやインストール方法にあったファイルをダウンロードします。
選択した製品に従い、オペレーティングシステムやアーキテクチャー別に ZIP アーカイブ、RPM、ネーティブインストーラーを選んでいただけます。ファイル名あるいは、ダウンロードしたいファイルの右側にある ダウンロード リンクをクリックします。
お使いのコンピューターにファイルをダウンロードします。
A.2. Red Hat Enterprise Linux でのデフォルト JDK の設定
alternatives
コマンドを使用します。
重要
注記
前提条件
- このタスクの実行には、スーパーユーザー権限が必要です。スーパーユーザー権限を取得するには、直接ログインするか、
sudo
コマンドを使用します。
手順A.2 デフォルト JDK の設定
希望の
java
およびjavac
バイナリのパスを決定します。rpm -ql packagename |grep bin
コマンドを使い、RPM からインストールしたバイナリの場所を検索します。Red Hat Enterprise Linux 32 ビットシステムでは、java
およびjavac
バイナリのデフォルトの場所は以下のとおりです。表A.1
java
およびjavac
バイナリのデフォルトの場所JDK パス (Path) OpenJDK 1.6 /usr/lib/jvm/jre-1.6.0-openjdk/bin/java
/usr/lib/jvm/java-1.6.0-openjdk/bin/javac
Oracle JDK 1.6 /usr/lib/jvm/jre-1.6.0-sun/bin/java
/usr/lib/jvm/java-1.6.0-sun/bin/javac
個別に代替の JDK を設定します。
/usr/sbin/alternatives --config java
または/usr/sbin/alternatives --config javac
コマンドを実行し、特定のjava
およびjavac
を使用するようシステムを設定します。 画面の指示に従います。任意の設定:
java_sdk_1.6.0
の代替を設定します。Oracle JDK を使用する場合、java_sdk_1.6.0.
の代替を設定する必要もあります。コマンド/usr/sbin/alternatives --config java_sdk_1.6.0
を使用します。通常、正しいパスは/usr/lib/jvm/java-1.6.0-sun
となります。ファイルを一覧表示すると検証できます。
代替の JDK が選択され、有効になります。
付録B 改訂履歴
改訂履歴 | |||
---|---|---|---|
改訂 6.3.0-51.2 | Tue Aug 20 2019 | Ludek Janda | |
| |||
改訂 6.3.0-51.1 | Wed Jul 31 2019 | Ludek Janda | |
| |||
改訂 6.3.0-51 | Tuesday November 18 2014 | Russell Dickenson | |
| |||
改訂 6.3.0-38 | Monday August 4 2014 | Sande Gilda | |
|