Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Decision Manager

Red Hat OpenShift Container Platform への Red Hat Decision Manager オーサリングまたは管理サーバー環境のデプロイメント

Red Hat Decision Manager 7.3

Red Hat Customer Content Services

概要

本書は、Red Hat OpenShift Container Platform に Red Hat Decision Manager 7.3 オーサリングまたは管理サーバー環境をデプロイする方法を説明します。

前書き

システムエンジニアは、Red Hat OpenShift Container Platform に Red Hat Decision Manager オーサリングまたは管理環境をデプロイして、サービスおよびその他のビジネスアセットを開発するプラットフォームを提供します。

前提条件

  • OpenShift クラスター/名前空間で 4 ギガバイト以上のメモリーが利用できる。
  • デプロイメント用の OpenShift プロジェクトが作成されている。
  • プロジェクトにログインするには、oc コマンドを使用します。oc コマンドランツールに関する詳細は、『OpenShift CLI リファレンス』を参照してください。OpenShift Web コンソールを使用してテンプレートを使用するには、Web コンソールでログインしておく必要もあります。
  • 動的永続ボリューム (PV) のプロビジョニングを有効にする必要があります。または、動的 PV プロビジョニングが有効でない場合には、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、Business Central は 1 Gi 分の PV が必要です。テンプレートパラメーターで、Business Central 永続ストレージの PV サイズを変更できます。
  • Authoring High Availability テンプレートを使用してBusiness Central Pod をスケーリングする予定の場合には、お使いの OpenShift 環境で ReadWriteMany モードを使用した永続ボリュームをサポートする必要があります。OpenShift Online ボリュームプラグインでのアクセスモードのサポートに関する情報は、「アクセスモード」を参照してください。
重要

ReadWriteMany モードは、OpenShift Online および OpenShift Dedicated ではサポートされません。

第1章 Red Hat OpenShift Container Platform における Red Hat Decision Manager の概要

Red Hat Decision Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。

この場合、Red Hat Decision Manager のコンポーネントは、別の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。標準の OpenShift 方法を使用して Pod を管理し、負荷を分散できます。

以下の Red Hat Decision Manager の主要コンポーネントが OpenShift で利用できます。

  • Decision Server (実行サーバー (Execution Server) または KIE Server とも呼ばれる) は、インフラストラクチャーの要素でデシジョンサービスやその他のデプロイ可能なアセットを実行します (これらすべて総称で サービス と呼ぶ)。サービスの全ロジックは実行サーバーで実行されます。

    Decision Server Pod は自由にスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じプロセスで実行します。OpenShift には負荷分散機能があり、要求はどの Pod でも処理できます。

    個別の Decision Server Pod をデプロイして、異なるサービスグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。個別の複製 Decision Server Pod を必要な数だけ設定することができます。

  • Business Central は、オーサリングサービス用の Web ベースの対話環境で、Business Central では管理コンソールが提供されています。Business Central を使用して、サービスを開発して Decision Server にデプロイできます。

    Business Central は一元化アプリケーションですが、同じデータを共有し、複数の Pod が実行できる、高可用性用に設定できます。

    Business Central には開発するサービスののソースを保管する Git リポジトリーと、ビルドインの Maven リポジトリーが含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。

    重要

    現在のバージョンでは、高可用性の Business Central 機能はテクノロジープレビュー機能となっています。Red Hat のテクノロジープレビュー機能についての詳細は、「テクノロジプレビュー機能のサポート範囲」を参照してください。

OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。

以下の環境タイプが一般的です。

  • オーサリングまたは管理対象の環境: Business Central 経由でサービスの作成や変更、Decision Server でのサービスの実行に使用可能な環境のアーキテクチャー。この環境は、オーサリング作業用のBusiness Central を提供する Pod と、サービス実行用の Decision Server 1 つまたは複数を提供する Pod で構成されます。Decision Server それぞれが 1 つの Pod となっており、必要に応じてスケールアップやスケールダウンすることで複製が可能です。Business Central を使用して、各 Decision Server にサービスをデプロイしたり、デプロイ解除したりすることができます。この環境をデプロイする方法については、『Deploying a Red Hat Decision Manager authoring or managed server environment on Red Hat OpenShift Container Platform』を参照してください。
  • イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行する代替環境。この環境では、Process Server の Pod のデプロイ時に、サービスまたはサービスグループをロードおよび起動するイメージをビルドします。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する場合は、新しいサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、Decision Server は OpenShift 環境の他の Pod のように実行されるので、コンテナーベースの統合ワークフローはどれでも使用でき、別のツールを使用して Pod を管理する必要はありません。このような環境のデプロイメント手順は『Deploying a Red Hat Decision Manager immutable server environment on Red Hat OpenShift Container Platform』を参照してください。

試用 または評価環境をデプロイすることも可能です。この環境には、Business Central と Decision Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、当環境での作業は保存されません。この環境のデプロイ方法については、『Deploying a Red Hat Decision Manager trial environment on Red Hat OpenShift Container Platform』を参照してください。

OpenShift に Red Hat Decision Manager 環境をデプロイするには、Red Hat Decision Manager で用意した OpenShift テンプレートを使用します。

第2章 OpenShift 環境に Red Hat Decision Manager をデプロイする準備

OpenShift 環境に Red Hat Decision Manager をデプロイする前に、準備タスクをいくつか完了する必要があります。追加イメージ (たとえば、デシジョンサービスの新しいバージョン、または別のデシジョンサービス) をデプロイする場合は、このタスクを繰り返す必要はありません。

2.1. イメージストリームとイメージレジストリーの可用性確認

Red Hat OpenShift Container Platform で Red Hat Decision Manager コンポーネントをデプロイするには、OpenShift が Red Hat レジストリーから正しいイメージをダウンロードできるようにする必要があります。これらのイメージをダウンロードするには、OpenShift ではイメージの場所情報 (イメージストリーム と呼ばれる) が必要です。また、OpenShift は、お使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーへの認証が行われるように設定する必要があります。

OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合には、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。

それ以外の場合には、独自のプロジェクトでレジストリーの認証を設定して、その同じプロジェクト内にイメージストリームをインストールすることができます。

手順

  1. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用に、ユーザー名とパスワードで設定されているかを判断します。必須の設定に関する詳細は、「レジストリーの場所の設定」を参照してください。OpenShift オンラインサブスクリプションを使用する場合には、Red Hat レジストリー用のアクセスはすでに設定されています。
  2. Red Hat OpenShift Container Platform は、Red Hat のレジストリーアクセス用にユーザー名とパスワードで設定する場合には、以下のコマンドを使用します。

    $ oc get imagestreamtag -n openshift | grep rhdm73-decisioncentral-openshift
    $ oc get imagestreamtag -n openshift | grep rhdm73-kieserver-openshift

    両コマンドの出力が空でない場合は、必要なイメージストリームが openshift の名前空間にあるので、これ以外の操作は必要ありません。

  3. コマンドの 1 つまたは複数の出力が空白の場合や、Red Hat レジストリーにアクセスするために、OpenShift をユーザー名およびパスワードで設定していない場合には、以下の手順を実行してください。

    1. oc コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。
    2. 「Registry Service Accounts for Shared Environments」 で説明されている手順を実行します。Red Hat カスタマーポータルにログインして、このドキュメントにアクセスし、レジストリーサービスアカウントを作成する手順を実行します。
    3. OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
    4. ダウンロードしたファイルを確認して、name: エントリーに記載の名前をメモします。
    5. 以下のコマンドを実行します。

      oc create -f <file_name>.yaml
      oc secrets link default <secret_name> --for=pull
      oc secrets link builder <secret_name> --for=pull

      <file_name> はダウンロードしたファイルに、<secret_name> はファイルの name: のエントリーに記載の名前に置き換えてください。

    6. Software Downloads ページから rhdm-7.3.0-openshift-templates.zip 製品の配信可能ファイルをダウンロードし、rhdm73-image-streams.yaml ファイルを展開してください。
    7. 以下のアクションの 1 つを完了します。

      • 以下のコマンドを実行します。

        $ oc create -f rhdm73-image-streams.yaml
      • OpenShift Web UI で Add to Project → Import YAML / JSON を選択し、ファイルを選択するか、ファイルの内容を貼り付けます。
  4. 高可用性の Business Central (テクノロジープレビュー機能) をデプロイする場合には、以下の手順を追加で実行してください。

    1. AMQ スケールダウンコントローラーのイメージストリームが存在するかを確認します。以下のコマンドを入力します。

      $ oc get imagestreamtag -n openshift | grep amq-broker-72-scaledown-controller-openshift

      コマンドの出力が空白でない場合には、必要なイメージストリームが openshift の名前空間にあるので、これ以外の操作は必要ありません。

    2. コマンドの出力が空の場合は、以下の手順を実行してください。

      1. 次のファイル (https://raw.githubusercontent.com/jboss-container-images/jboss-amq-7-broker-openshift-image/amq-broker-72/amq-broker-7-scaledown-controller-image-streams.yaml) をダウンロードします。
      2. 以下のアクションの 1 つを完了します。

        • 以下のコマンドを実行します。

          $ oc create -f amq-broker-7-scaledown-controller-image-streams.yaml
        • OpenShift Web UI で Add to Project → Import YAML / JSON を選択し、amq-broker-7-scaledown-controller-image-streams.yaml ファイルを選択するか、このファイルの内容を貼り付けます。

          注記

          上記の手順を完了したら、イメージストリームを独自のプロジェクトの名前空間にインストールします。この手順を使用してイメージストリームをインストールした場合には、テンプレートのデプロイ時に、IMAGE_STREAM_NAMESPACE パラメーターをこのプロジェクトの名前に設定する必要があります。

2.2. Decision Server にシークレットの作成

OpenShift は、シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、OpenShift ドキュメントの「シークレット」の章を参照してください。

Decision Server では HTTPS アクセスに SSL 証明書を使用します。このデプロイメントでは自動的にサンプルのシークレットが作成されますが、実稼働環境では、Decision Server に SSL 証明書を作成し、それをシークレットとして OpenShift 環境に提供します。

手順

  1. Decision Server の SSL 暗号化の秘密鍵および公開鍵を使用して SSL キーストアを生成します。プロダクション環境で、期待する Decision Server の URL に一致する有効な署名付き証明書を生成します。キーストアを keystore.jks ファイルに保存します。証明書の名前と、キーストアファイルのパスワードを記録します。

    自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

  2. oc コマンドを使用して、新しいキーストアファイルからシークレット kieserver-app-secret を生成します。

    $ oc create secret generic kieserver-app-secret --from-file=keystore.jks

2.3. Business Central へのシークレットの作成

OpenShift 環境に Business Central をデプロイする場合は、このコンポーネントは SSL 証明書を使用して HTTPS アクセスができるようにする点を注意してください。Business Central に SSL 証明書を作成し、OpenShift 環境にシークレットとして提供します。Business Central と Decision Server には、同じ証明書とキーストアを使用しないでください。

手順

  1. Business Central の SSL 暗号化の秘密鍵および公開鍵を使用して、SSL キーストアを生成します。実稼働環境で、想定する Business Central の URL に一致する有効な署名付き証明書を生成します。キーストアを keystore.jks ファイルに保存します。証明書の名前と、キーストアファイルのパスワードを登録します。

    自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

  2. oc コマンドを使用して、新しいキーストアファイルからシークレット decisioncentral-app-secret を生成します。

    $ oc create secret generic decisioncentral-app-secret --from-file=keystore.jks

2.4. GlusterFS 設定の変更

OpenShift 環境が GlusterFS を使用して永続的なストレージボリュームを提供するかどうかを確認します。GlusterFS を使用している場合は最適なパフォーマンスを確保するために、ストレージクラスの設定を変更して GlusterFS ストレージをチューニングします。

手順

  1. お使いの環境で GlusterFS が使用されているかどうかを確認するには、以下のコマンドを実行します。

    oc get storageclass

    結果で、(default) マーカーが、glusterfs をリストするストレージクラスにあるかどうかを確認します。たとえば、以下の結果では、デフォルトのストレージクラスが gluster-container であり、glusterfs をリストします。

    NAME              PROVISIONER                       AGE
    gluster-block     gluster.org/glusterblock          8d
    gluster-container (default) kubernetes.io/glusterfs 8d

    結果に、glusterfs をリストしないデフォルトストレージクラスが含まれる場合、または結果が空の場合は、変更する必要はありません。変更しない場合は、残りの手順を省略します。

  2. デフォルトストレージクラスの設定を YAML ファイルに保存するには、以下のコマンドを実行します。

    oc get storageclass <class-name> -o yaml >storage_config.yaml

    以下のように、<class-name> はデフォルトのストレージクラス名に置き換えてください。

    oc get storageclass gluster-container -o yaml >storage_config.yaml
  3. storage_config.yaml ファイルを編集します。

    1. 以下のキーがある行を削除します。

      • creationTimestamp
      • resourceVersion
      • selfLink
      • uid
    2. volumeoptions キーのある行に、features.cache-invalidation on および performance.nl-cache on の 2 つのパラメーターを追加します。以下は例になります。

      volumeoptions: client.ssl off, server.ssl off, features.cache-invalidation on, performance.nl-cache on
  4. 既存のデフォルトストレージクラスを削除するには、以下のコマンドを実行します。

    oc delete storageclass <class-name>

    以下のように、<class-name> はデフォルトのストレージクラス名に置き換えてください。

    oc delete storageclass gluster-container
  5. 新しい設定を使用してストレージクラスを再作成するには、以下のコマンドを実行します。

    oc create -f storage_config.yaml

第3章 オーサリングまたは管理サーバー環境

Business Central を使用してサービスの作成や変更を行う環境や、Business Central が管理する Decision Server でサービスを実行するう環境をデプロイできます。この環境には、Business Central と 1 つまたは複数の Decision Server が含まれます。

Business Central を使用して、サービスを開発するだけでなく、このサービスを 1 つまたは複数の Decision Server にもデプロイできます。たとえば、サービスのテスト版を Decision Server 1 台にデプロイして、別の Decision Server に実稼働版をデプロイできます。

実稼働の Decision Server に違うバージョンを誤ってデプロイしないように、サービスをオーサリングする環境 (オーサリング環境) と、実稼働サービスのデプロイメントを管理する環境 (管理サーバー環境) を別個作成できます。オーサリング環境にデプロイしたサービスを管理サーバー環境で利用できるように、これらの環境間を共有する外部 Maven リポジトリーを使用できます。ただし、これらの環境をデプロイする手順は同じです。

ニーズに合わせて、単一または高可用性の Business Central をデプロイできます。単一の Business Central Pod は複製されず、Business Central のコピー 1 つだけが使用されます。HA Business Central のデプロイメントでは、Business Central をスケーリングできます。

HA Business Central では、オーサリングサービスの信頼性や応答性を最大化できますが、メモリーとストレージ要件が高くなり、ReadWriteMany モードのある永続ボリュームのサポートが必要です。

重要

現在のバージョンでは、高可用性機能はテクノロジープレビューです。

オーサリングまたは管理サーバー環境では、必要に応じて Decision Server Pod をスケーリングできます。

オーサリングまたは管理サーバー環境をデプロイするには、まずオーサリングテンプレートを使用して単一または高可用性の Business Central と Decision Server 1 台をデプロイします。

さらに Decision Server を追加するには、同じプロジェクトで Decision Server テンプレートをデプロイできます。

3.1. オーサリングまたは管理サーバー環境での単一の Business Central と Decision Server 1 台のデプロイ

オーサリングまたは管理サーバー環境に単一の Business Central および Decision Server 1 台をデプロイするには、rhdm73-authoring.yaml テンプレートファイルを使用します。製品の配信可能ファイル rhdm-7.3.0-openshift-templates.zip からこのファイルを展開できます。このファイルは、Software Downloads ページからダウンロードできます。

手順

  1. 以下の方法を使用してテンプレートをデプロイします。

    • OpenShift Web UI では、Add to Project → Import YAML / JSON を選択し、rhdm73-authoring.yaml ファイルを選択またはその内容を貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/rhdm73-authoring.yaml -p DECISION_CENTRAL_HTTPS_SECRET=decisioncentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret

      このコマンドラインで以下を行います。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
  2. 必要に応じて以下のパラメーターを設定します。

    • Business Central サーバーキーストアのシークレット名 (DECISION_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」で作成した Business Central のシークレットの名前。
    • KIE Server キーストアのシークレット名 (KIE_SERVER_HTTPS_SECRET): 「Decision Server にシークレットの作成」で作成した Decision Server のシークレットの名前。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。Business Central および Process Server のデフォルト URL で使用されます。また、OpenShift は、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの各セットを作成するためにそのアプリケーション名を使用します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名は同じにすることはできません。また、アプリケーション名で、Decision Server が参加する Business Central でサーバー設定 (サーバーテンプレート) の名前が決まります。
    • Business Central サーバーの証明署名 (DECISION_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」で作成したキーストアの証明書の名前。
    • Business Central サーバーキーストアのパスワード (DECISION_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」で作成したキーストアのパスワード。
    • KIE Server の証明署名 (KIE_SERVER_HTTPS_NAME): 「Decision Server にシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server キーストアのパスワード (KIE_SERVER_HTTPS_PASSWORD): 「Decision Server にシークレットの作成」で作成したキーストアのパスワード。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、名前空間は openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

      以下のユーザー名およびパスワードを設定することもできます。

    • KIE 管理ユーザー (KIE_ADMIN_USER) および KIE 管理者パスワード (KIE_ADMIN_PWD): Business Central の管理ユーザーのユーザー名およびパスワード。
    • KIE Server ユーザー (KIE_SERVER_USER) および KIE Server パスワード (KIE_SERVER_PWD): Decision Server に接続するのにクライアントアプリケーションが使用するユーザー名およびパスワード。
  3. Decision Server を追加でデプロイして、この Business Central に接続するには、以下のパラメーターを設定します。

    • KIE Server コントローラーのユーザーr (KIE_SERVER_CONTROLLER_USER) および KIE Server コントローラーのパスワード (KIE_SERVER_CONTROLLER_PWD): Business Central への接続に Decision Server が使用する必要のあるユーザー名とパスワード。
  4. ビルドした KJAR ファイルを外部の Maven リポジトリーに置く場合は、以下のパラメーターを設定します。

    • Maven リポジトリー URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • Maven リポジトリー ID (MAVEN_REPO_ID): Maven ID。Maven リポジトリーの id 設定と一致する必要があります。

      または、Business Central に組み込まれている Maven リポジトリーを使用し、Business Central に Decision Server を追加で接続する場合には、以下のパラメーターを設定します。

    • Business Central がホストする Maven サービスのユーザー名 (DECISION_CENTRAL_MAVEN_USERNAME): ビルドインの Maven リポジトリーのユーザー名。
    • Business Central がホストする Maven サービスのパスワード (DECISION_CENTRAL_MAVEN_PASSWORD): ビルドインの Maven リポジトリーのパスワード。
  5. Git フックを使用して Business Central 内部の Git リポジトリーと外部の Git リポジトリーの対話を容易化できます。Git フックを設定するには、以下のパラメーターを設定します。

    • Git フックディレクトリー (GIT_HOOKS_DIR): Git フックディレクトリーへの完全修飾パス (例: /opt/eap/standalone/data/kie/git/hooks)。このディレクトリーのコンテンツを渡して、指定のパスにマウントする必要があります。方法は、「Git フックディレクトリーの指定」を参照してください。
  6. RH-SSO または LDAP 認証を使用する場合は、以下の追加設定を実行します。同じデプロイメントに、LDAP 認証と、RH-SSO 認証を設定しないでください。

    1. RH-SSO または LDAP サービスでは、デプロイメントパラメーターで全ユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名でユーザーが作成されます。作成したユーザーには、ロールも割り当てる必要があります。

      • KIE_ADMIN_USER: デフォルトのユーザー名 adminUser、ロール: kie-server,rest-all,admin
      • KIE_SERVER_CONTROLLER_USER: デフォルトのユーザー名 controllerUser、ロール: kie-server,rest-all,guest
      • DECISION_CENTRAL_MAVEN_USERNAME (外部の Maven リポジトリーを使用するように設定している場合には必要なし): デフォルトのユーザー名 mavenUser。ロールは必要ありません。
      • KIE_SERVER_USER: デフォルトのユーザー名 executionUser、ロール kie-server,rest-all,guest
    2. Red Hat Single Sign On (RH-SSO) 認証を設定する場合には、Red Hat Decision Manager を適用する RH-SSO レルムが必要です。クライアントが存在しない場合は、テンプレートを使用してデプロイメント中に作成できます。また、RH-SSO 内のクライアントは、Business Central 用と Decision Server 用が必要です。クライアントが存在しない場合には、デプロイメント時にテンプレートで作成できます。

      RH-SSO で設定可能なユーザールールについては、「ロールおよびユーザー」を参照してください。

      以下の手順の 1 つを使用します。

      1. RH-SSO 内にすでに Red Hat Decision Manager のクライアントが存在する場合には、テンプレートで以下のパラメーターを設定してください。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • Business Central RH-SSO クライアント名 (DECISION_CENTRAL_SSO_CLIENT): Business Central の RH-SSO クライアント名。
        • Business Central RH-SSO クライアントのシークレット (DECISION_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO で設定するシークレット文字列。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server の RH-SSO クライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
      2. RH-SSO に Red Hat Decision Manager のクライアントを作成する場合は、テンプレートで以下のパラメーターを設定します。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • Business Central RH-SSO クライアント名 (DECISION_CENTRAL_SSO_CLIENT): Business Central 向けに RH-SSO に作成するクライアント名。
        • Business Central RH-SSO クライアントのシークレット (DECISION_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO で設定するシークレット文字列。
        • Business Central カスタムの http ルートホスト名 (DECISION_CENTRAL_HOSTNAME_HTTP): Business Central の HTTP エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • Business Central カスタムの https ルートホスト名 (DECISION_CENTRAL_HOSTNAME_HTTPS): Business Central の HTTPS エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server 向けに RH-SSO に作成するクライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • KIE Server カスタムの http ルートホスト名 (KIE_SERVER_HOSTNAME_HTTP): Decision Server の HTTP エンドポイントに使用する完全修飾ホスト名。RH-SSO にクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • KIE Server カスタムの https ルートホスト名 (KIE_SERVER_HOSTNAME_HTTPS): Decision Server の HTTPS エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • RH-SSO レルムの管理者のユーザー名 (SSO_USERNAME) および RH-SSO レルムの管理者のパスワード (SSO_PASSWORD): Red Hat Decision Manager の RH-SSO レルムの管理者ユーザーに指定するユーザー名とパスワード
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
    3. LDAP を設定するには、テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

      LDAP サーバーでデプロイメントに必要な全ロールが定義されていない場合には、Red Hat Decision Manager ロールに LDAP グループをマッピングできます。LDAP マッピングを有効化するには、以下のパラメーターを設定します。

      • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当のデプロイメント設定すべてでこのパスにマウントする必要があります。方法については、「LDAP ロールマッピングファイルの指定」を参照してください。
      • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。
  7. 使用している方法に応じて、環境の作成を終了します。

    • OpenShift Web UI の場合は Create をクリックします。

      • This will create resources that may have security or project behavior implications のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
    • 完了したら、コマンドラインを実行します。

3.2. オーサリングまたは管理サーバー環境での高可用性の Business Central と Decision Server 1 台のデプロイ

高可用性の Business Central と Decision Server 1 台をオーサリングまたは管理サーバー環境にデプロイするには、rhdm73-authoring-ha.yaml テンプレートファイルを使用します。このファイルは、Software Downloads ページからダウンロードできます。

重要

現在のバージョンでは、高可用性機能はテクノロジープレビューです。

手順

  1. 以下の方法を使用してテンプレートをデプロイします。

    • OpenShift Web UI では、Add to Project → Import YAML / JSON を選択し、rhdm73-authoring-ha.yaml ファイルを選択またはその内容を貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/rhdm73-authoring-ha.yaml -p DECISION_CENTRAL_HTTPS_SECRET=decisioncentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret

      このコマンドラインで以下を行います。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
  2. 必要に応じて以下のパラメーターを設定します。

    • Business Central サーバーキーストアのシークレット名 (DECISION_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」で作成した Business Central のシークレットの名前。
    • KIE Server キーストアのシークレット名 (KIE_SERVER_HTTPS_SECRET): 「Decision Server にシークレットの作成」で作成した Decision Server のシークレットの名前。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。Business Central および Process Server のデフォルト URL で使用されます。また、OpenShift は、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの各セットを作成するためにそのアプリケーション名を使用します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名は同じにすることはできません。また、アプリケーション名で、Decision Server が参加する Business Central でサーバー設定 (サーバーテンプレート) の名前が決まります。
    • Business Central サーバーの証明署名 (DECISION_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」で作成したキーストアの証明書の名前。
    • Business Central サーバーキーストアのパスワード (DECISION_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」で作成したキーストアのパスワード。
    • KIE Server の証明署名 (KIE_SERVER_HTTPS_NAME): 「Decision Server にシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server キーストアのパスワード (KIE_SERVER_HTTPS_PASSWORD): 「Decision Server にシークレットの作成」で作成したキーストアのパスワード。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、名前空間は openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

      以下のユーザー名およびパスワードを設定することもできます。

    • KIE 管理ユーザー (KIE_ADMIN_USER) および KIE 管理者パスワード (KIE_ADMIN_PWD): Business Central の管理ユーザーのユーザー名およびパスワード。
    • KIE Server ユーザー (KIE_SERVER_USER) および KIE Server パスワード (KIE_SERVER_PWD): Decision Server に接続するのにクライアントアプリケーションが使用するユーザー名およびパスワード。
  3. Decision Server を追加でデプロイして、この Business Central に接続するには、以下のパラメーターを設定します。

    • KIE Server コントローラーのユーザーr (KIE_SERVER_CONTROLLER_USER) および KIE Server コントローラーのパスワード (KIE_SERVER_CONTROLLER_PWD): Business Central への接続に Decision Server が使用する必要のあるユーザー名とパスワード。
  4. ビルドした KJAR ファイルを外部の Maven リポジトリーに置く場合は、以下のパラメーターを設定します。

    • Maven リポジトリー URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • Maven リポジトリー ID (MAVEN_REPO_ID): Maven ID。Maven リポジトリーの id 設定と一致する必要があります。

      または、Business Central に組み込まれている Maven リポジトリーを使用し、Business Central に Decision Server を追加で接続する場合には、以下のパラメーターを設定します。

    • Business Central がホストする Maven サービスのユーザー名 (DECISION_CENTRAL_MAVEN_USERNAME): ビルドインの Maven リポジトリーのユーザー名。
    • Business Central がホストする Maven サービスのパスワード (DECISION_CENTRAL_MAVEN_PASSWORD): ビルドインの Maven リポジトリーのパスワード。
  5. Git フックを使用して Business Central 内部の Git リポジトリーと外部の Git リポジトリーの対話を容易化できます。Git フックを設定するには、以下のパラメーターを設定します。

    • Git フックディレクトリー (GIT_HOOKS_DIR): Git フックディレクトリーへの完全修飾パス (例: /opt/eap/standalone/data/kie/git/hooks)。このディレクトリーのコンテンツを渡して、指定のパスにマウントする必要があります。方法は、「Git フックディレクトリーの指定」を参照してください。
  6. RH-SSO または LDAP 認証を使用する場合は、以下の追加設定を実行します。同じデプロイメントに、LDAP 認証と、RH-SSO 認証を設定しないでください。

    1. RH-SSO または LDAP サービスでは、デプロイメントパラメーターで全ユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名でユーザーが作成されます。作成したユーザーには、ロールも割り当てる必要があります。

      • KIE_ADMIN_USER: デフォルトのユーザー名 adminUser、ロール: kie-server,rest-all,admin
      • KIE_SERVER_CONTROLLER_USER: デフォルトのユーザー名 controllerUser、ロール: kie-server,rest-all,guest
      • DECISION_CENTRAL_MAVEN_USERNAME (外部の Maven リポジトリーを使用するように設定している場合には必要なし): デフォルトのユーザー名 mavenUser。ロールは必要ありません。
      • KIE_SERVER_USER: デフォルトのユーザー名 executionUser、ロール kie-server,rest-all,guest
    2. Red Hat Single Sign On (RH-SSO) 認証を設定する場合には、Red Hat Decision Manager を適用する RH-SSO レルムが必要です。クライアントが存在しない場合は、テンプレートを使用してデプロイメント中に作成できます。また、RH-SSO 内のクライアントは、Business Central 用と Decision Server 用が必要です。クライアントが存在しない場合には、デプロイメント時にテンプレートで作成できます。

      RH-SSO で設定可能なユーザールールについては、「ロールおよびユーザー」を参照してください。

      以下の手順の 1 つを使用します。

      1. RH-SSO 内にすでに Red Hat Decision Manager のクライアントが存在する場合には、テンプレートで以下のパラメーターを設定してください。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • Business Central RH-SSO クライアント名 (DECISION_CENTRAL_SSO_CLIENT): Business Central の RH-SSO クライアント名。
        • Business Central RH-SSO クライアントのシークレット (DECISION_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO で設定するシークレット文字列。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server の RH-SSO クライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
      2. RH-SSO に Red Hat Decision Manager のクライアントを作成する場合は、テンプレートで以下のパラメーターを設定します。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • Business Central RH-SSO クライアント名 (DECISION_CENTRAL_SSO_CLIENT): Business Central 向けに RH-SSO に作成するクライアント名。
        • Business Central RH-SSO クライアントのシークレット (DECISION_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO で設定するシークレット文字列。
        • Business Central カスタムの http ルートホスト名 (DECISION_CENTRAL_HOSTNAME_HTTP): Business Central の HTTP エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • Business Central カスタムの https ルートホスト名 (DECISION_CENTRAL_HOSTNAME_HTTPS): Business Central の HTTPS エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server 向けに RH-SSO に作成するクライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • KIE Server カスタムの http ルートホスト名 (KIE_SERVER_HOSTNAME_HTTP): Decision Server の HTTP エンドポイントに使用する完全修飾ホスト名。RH-SSO にクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • KIE Server カスタムの https ルートホスト名 (KIE_SERVER_HOSTNAME_HTTPS): Decision Server の HTTPS エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • RH-SSO レルムの管理者のユーザー名 (SSO_USERNAME) および RH-SSO レルムの管理者のパスワード (SSO_PASSWORD): Red Hat Decision Manager の RH-SSO レルムの管理者ユーザーに指定するユーザー名とパスワード
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
    3. LDAP を設定するには、テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

      LDAP サーバーでデプロイメントに必要な全ロールが定義されていない場合には、Red Hat Decision Manager ロールに LDAP グループをマッピングできます。LDAP マッピングを有効化するには、以下のパラメーターを設定します。

      • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当のデプロイメント設定すべてでこのパスにマウントする必要があります。方法については、「LDAP ロールマッピングファイルの指定」を参照してください。
      • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。
  7. AMQ スケールダウンコントローラーイメージが openshift の名前空間になく、スケールダウンコントローラーイメージストリーム (「イメージストリームとイメージレジストリーの可用性確認」参照) がインストールされている場合には、以下のパラメーターを設定します。

    • AMQ スケールダウンコントローラーの ImageStream の名前空間 (AMQ_SCALEDOWN_CONTROLLER_IMAGE_STREAM_NAMESPACE): AMQ スケールダウンコントローラーイメージがインストールのイメージストリームがインストールされている名前空間。デフォルト設定は openshift です。
  8. 使用している方法に応じて、環境の作成を終了します。

    • OpenShift Web UI の場合は Create をクリックします。

      • This will create resources that may have security or project behavior implications のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
    • 完了したら、コマンドラインを実行します。

3.3. Git フックディレクトリーの指定

GIT_HOOKS_DIR パラメーターを設定した場合には、Git フックのディレクトリーを指定して、Business Central デプロイメントにこのディレクトリーをマウントする必要があります。

Git フックは一般的に、アップストリームのリポジトリーとの対話に使用します。Git ˙ウックを使用して、アップストリームのリポジトリーにコミットをプッシュできるようにするには、アップストリームのリポジトリーで設定した公開鍵に対応する秘密鍵を指定する必要があります。

手順

  1. アップストリームのリポジトリーにコミットをプッシュする必要がある場合には、以下の手順を実行して、リポジトリーへのアクセスを有効にします。

    1. id_rsa という名前の秘密鍵と id_rsa.pub という名前の公開鍵のペアを作成します。アップストリームリポジトリーにアクセス可能なメールアドレスを使用します。空のパスフレーズを設定します。方法は、「Generating a new SSH key」を参照してください。
    2. アップストリームのリポジトリーに公開鍵をアップロードします。
    3. 秘密鍵から rhdm-centr-gitkey という名前の OpenShift のシークレットを作成します。

      oc create secret generic --from-file=id_rsa=id_rsa rhdm-centr-gitkey
    4. Business Central デプロイメントの ssh キーパスにこのシークレットをマウントします。

      oc set volume dc/<myapp>-rhdmcentr --add --type secret --secret-name rhdm-centr-gitkey --mount-path=/home/jboss/.ssh --name=ssh-key

      <myapp> は、テンプレート設定時に指定したアプリケーション名に置き換えます。

  2. Git フックディレクトリーを作成します。方法は、「Git hooks reference documentation」を参照してください。

    たとえば、単純な git フックのディレクトリーでは、アップストリームの変更をプッシュするコミット後のフックを提供可能です。プロジェクトがリポジトリーから Business Central にインポートされた場合には、このリポジトリーはアップストリームのリポジトリーとして設定されたままになります。パーミッションを 755 の値に指定し、以下のコンテンツを含めて、post-commit という名前のファイルを作成します。

    git push
  3. Git フックディレクトリーを Business Central デプロイメントに指定します。設定マップまたは永続ボリュームを使用できます。

    1. git フックに 1 つまたは複数の固定スクリプトファイルが含まれる場合には、設定マップを使用します。以下の手順を実行してください。

      1. 作成した git フックディレクトリーに移動します。
      2. そのディレクトリー内のファイルから OpenShift 設定マップを作成し、以下のコマンドを実行します。

        oc create configmap git_hooks --from-file=<file_1>=<file_1> --from-file=<file_2>=<file_2> ...

        file_1file_2 などは、git フックのスクリプトファイルに置き換えます。以下に例を示します。

        oc create configmap git_hooks --from-file=post-commit=post-commit
      3. 設定したパスの Business Central デプロイメントに設定マップをマウントします。

        oc set volume dc/<myapp>-rhdmcentr --add --type configmap --configmap-name git_hooks  --mount-path=<git_hooks_dir> --name=git_hooks

        <myapp> は、テンプレートの設定時に指定したアプリケーション名に、<git_hooks_dir> はテンプレート設定時に指定した GIT_HOOKS_DIR の値に置き換えます。

    2. Git hooks に長いファイルが含まれており、実行可能なファイルや KJAR ファイルなどのバイナリーに依存する場合には、永続ボリュームを使用します。永続ボリュームを作成し、永続ボリューム要求を作成してその要求をボリュームに関連付けてから、そのボリュームにファイルを転送して、myapp-rhdmcentr デプロイメント設定にこのボリュームをマウントしてください (myapp はアプリケーション名に置き換えてください)。永続ボリューム要求の作成およびマウントの方法は、「永続ボリュームの使用」を参照してください。永続ボリュームへのファイルのコピーに関する方法は、「Transferring files in and out of containers」を参照してください。
  4. 数分待ってから、プロジェクト内のリストと Pod のステータスを確認します。Business Central は git フックディレクトリーが指定されるまで開始されないので、Decision Server はまったく起動されない可能性があります。Decision Server が起動しているかどうかを確認するには、以下のコマンドの出力を確認してください。

    oc get pods

    稼働中の Decision Server Pod がない場合には、起動します。

    oc rollout latest dc/<myapp>-kieserver

    <myapp> は、テンプレート設定時に指定したアプリケーション名に置き換えます。

3.4. 追加の Decision Server のデプロイ

追加の Decision Server は、管理対象サーバーのインフラストラクチャーの一部として、OpenShift インフラストラクチャーにデプロイ可能です。デプロイ後は、Business Central を使用して、この Decision Server にサーバーのデプロイ、デプロイ解除および管理が可能です。

追加の Decision Server をデプロイするには、rhdm73-kieserver.yaml テンプレートファイルを使用します。Software Downloads ページからこのファイルをダウンロードできます。

手順

  1. 以下の方法を使用してテンプレートをデプロイします。

    • OpenShift Web UI では、Add to Project → Import YAML / JSON を選択し、rhdm73-kieserver.yaml ファイルを選択またはその内容を貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/rhdm73-kieserver.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret

      このコマンドラインで以下を行います。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
  2. 以下の必須パラメーターを設定します。

    • KIE サーバーコントローラーのサービス (KIE_SERVER_CONTROLLER_SERVICE): この環境にインストールした Business Central に対する OpenShift サービス名。
    • KIE サーバーコントローラーのユーザー (KIE_SERVER_CONTROLLER_USER): 設定した Business Central にログインするコントローラーのユーザー名。
    • KIE サーバーコントローラーのパスワード (KIE_SERVER_CONTROLLER_PWD): 設定した Business Central にログインするコントローラーのパスワード。
    • KIE Server キーストアのシークレット名 (KIE_SERVER_HTTPS_SECRET): 「Decision Server にシークレットの作成」で作成した Decision Server のシークレットの名前。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。Decision Server のデフォルト URL で使用されます。また、OpenShift は、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの各セットを作成するためにそのアプリケーション名を使用します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名は同じにすることはできません。また、アプリケーション名で、Decision Server が参加する Business Central でサーバー設定 (サーバーテンプレート) の名前が決まります。
    • KIE Server の証明署名 (KIE_SERVER_HTTPS_NAME): 「Decision Server にシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server キーストアのパスワード (KIE_SERVER_HTTPS_PASSWORD): 「Decision Server にシークレットの作成」で作成したキーストアのパスワード。
    • KIE サーバーモード (KIE_SERVER_MODE): rhdm73-kieserver.yaml テンプレートでは、デフォルト値は PRODUCTION です。このモードでは、KJAR アーティファクトの SNAPSHOT バージョンをデプロイできず、既存のコンテナーのアーティファクトのバージョンを変更できません (PRODUCTION モードで新規バージョンをデプロイするには、同じ Decision Server で新規コンテナーを作成してください)。SNAPSHOT バージョンをデプロイするか、既存のコンテナーでアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に変更してください。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、名前空間は openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。
  3. Business Central で使用するリポジトリーにビルドインか、外部のリポジトリーのどちらを設定したのかに合わせて、Maven リポジトリーにアクセスするためのパラメーターを設定します。

    1. ビルドインリポジトリーの場合:

      • Business Central がホストする Maven サービス名 (DECISION_CENTRAL_MAVEN_SERVICE): Business Central にビルドインの Maven リポジトリーのサービス名。
      • Business Central がホストする Maven サービスのユーザー名 (DECISION_CENTRAL_MAVEN_USERNAME): Business Central にビルドインの Maven リポジトリーのユーザー名。DECISION_CENTRAL_MAVEN_USERNAME として Business Central に設定したユーザー名を入力してください。
      • Business Central がホストする Maven サービスにアクセスするためのパスワード (DECISION_CENTRAL_MAVEN_PASSWORD): Business Central にビルドインされている Maven リポジトリーのパスワード。Business Central に DECISION_CENTRAL_MAVEN_PASSWORD として設定されているパスワードを入力します。
    2. 外部リポジトリーの場合:

      • Maven リポジトリーの URL (MAVEN_REPO_URL): サービスが含まれている Maven リポジトリーの URL。
      • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
      • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

        注記

        お使いのサービスが Business Central にビルドインされている Maven リポジトリーと、外部 Maven リポジトリーの両方に依存している場合には、両方のリポジトリーに対するアクセスを設定できます。

  4. RH-SSO または LDAP 認証を使用する場合は、以下の追加設定を実行します。同じデプロイメントに、LDAP 認証と、RH-SSO 認証を設定しないでください。

    1. RH-SSO または LDAP サービスでは、デプロイメントパラメーターで全ユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名でユーザーが作成されます。作成したユーザーには、ロールも割り当てる必要があります。

      • KIE_ADMIN_USER: デフォルトのユーザー名 adminUser、ロール: kie-server,rest-all,admin
      • KIE_SERVER_USER: デフォルトのユーザー名 executionUser、ロール kie-server,rest-all,guest
    2. Red Hat Single Sign On (RH-SSO) 認証を設定する場合は、Red Hat Decision Manager に適用する RH-SSO レルムが必要です。また、RH-SSO 内にクライアントが必要です。

      RH-SSO で設定可能なユーザールールについては、「ロールおよびユーザー」を参照してください。

      以下の手順の 1 つを使用します。

      1. RH-SSO 内にすでに Red Hat Decision Manager のクライアントが存在する場合には、テンプレートで以下のパラメーターを設定してください。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server の RH-SSO クライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
      2. RH-SSO に Red Hat Decision Manager のクライアントを作成する場合は、テンプレートで以下のパラメーターを設定します。

        • RH-SSO URL (SSO_URL): RH-SSO の URL。
        • RH-SSO レルム名 (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
        • KIE Server の RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): Decision Server 向けに RH-SSO に作成するクライアント名。
        • KIE Server の RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
        • KIE Server カスタムの http ルートホスト名 (KIE_SERVER_HOSTNAME_HTTP): Decision Server の HTTP エンドポイントに使用する完全修飾ホスト名。RH-SSO にクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • KIE Server カスタムの https ルートホスト名 (KIE_SERVER_HOSTNAME_HTTPS): Decision Server の HTTPS エンドポイントに使用する完全修飾ホスト名。RH-SSO でクライアントを作成する必要がある場合には、このパラメーターを空白のままにしてください。
        • RH-SSO レルムの管理者のユーザー名 (SSO_USERNAME) および RH-SSO レルムの管理者のパスワード (SSO_PASSWORD): Red Hat Decision Manager の RH-SSO レルムの管理者ユーザーに指定するユーザー名とパスワード
        • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
    3. LDAP を設定するには、テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

      LDAP サーバーでデプロイメントに必要な全ロールが定義されていない場合には、Red Hat Decision Manager ロールに LDAP グループをマッピングできます。LDAP マッピングを有効化するには、以下のパラメーターを設定します。

      • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当のデプロイメント設定すべてでこのパスにマウントする必要があります。方法については、「LDAP ロールマッピングファイルの指定」を参照してください。
      • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。
  5. 使用している方法に応じて、環境の作成を終了します。

    • OpenShift Web UI の場合は Create をクリックします。

      • This will create resources that may have security or project behavior implications のポップアップメッセージが表示される可能性があります。このメッセージが表示された場合には、Create Anyway をクリックします。
    • 完了したら、コマンドラインを実行します。

3.5. LDAP ロールマッピングファイルの指定

AUTH_ROLE_MAPPER_ROLES_PROPERTIES パラメーターを設定する場合には、ロールマッピングを定義するファイルを指定する必要があります。影響を受けるデプロイメント設定すべてにこのファイルをマウントしてください。

手順

  1. my-role-map など、ロールマッピングのプロパティーファイルを作成します。このファイルには、以下の形式のエントリーを含める必要があります。

    ldap_role = product_role1, product_role2...

    以下に例を示しています。

    admins = kie-server,rest-all,admin
  2. 以下のコマンドを入力して、このファイルから OpenShift 設定ファイルのマッピングを作成します。

    oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>

    <new_name> は、Pod に指定するファイル名 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES ファイルで指定した名前と同じでなければならない) に、<existing_name> は作成したファイル名に置き換えます。以下に例を示します。

    oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map
  3. ロールマッピング用に指定した全デプロイメント設定に設定マップをマウントします。

    以下のデプロイメント設定は、この環境で影響を受ける可能性があります。

    • myapp-rhdmcentr: Business Central
    • myapp-kieserver: Decision Server

    myapp はアプリケーション名に置き換えます。複数の Decision Server のデプロイメントが異なるアプリケーション名で存在する可能性があります。

    全デプロイメント設定に、以下のコマンドを実行します。

     oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping

    <mapping_dir> は、/opt/eap/standalone/configuration/rolemapping など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES で設定したディレクトリー名 (ファイル名なし) に置き換えます。

第4章 OpenShift テンプレートの参考資料

Red Hat Decision Manager には、以下の OpenShift テンプレートが含まれています。このテンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから、製品の配信可能ファイル rhdm-7.3.0-openshift-templates.zip をダウンロードして展開します。

  • rhdm73-authoring.yaml で、Business Central と、Business Central に接続する Decision Server が設定されます。この環境を使用して、サービスや他のビジネスアセットをオーサリングしたり、ステージングまたは実稼働環境でこれらのサービスを実行できます。このテンプレートに関する詳細は、「rhdm73-authoring.yaml テンプレート」を参照してください。
  • rhdm73-authoring-ha.yaml では高可用性の Business Central と Business Central に接続する Decision Server を設定します。この環境を使用して、サービスや他のビジネスアセットをオーサリングしたり、ステージングまたは実稼働環境でこれらのサービスを実行できます。高可用性の機能は、テクノロジープレビューとなります。このテンプレートに関する詳細は、「rhdm73-authoring-ha.yaml テンプレート」を参照してください。
  • rhdm73-kieserver.yaml は Decision Server を設定します。Decision server を Business Central に接続するように設定できます。この方法で、Business Central が複数の異なる Decision Server を管理するステージングまたは実稼働環境を設定できます。このテンプレートの詳細は、「rhdm73-kieserver.yaml テンプレート」を参照してください。

4.1. rhdm73-authoring.yaml テンプレート

Red Hat Decision Manager 7.3 の HA 以外の永続オーサリング環境向けのアプリケーションテンプレート

4.1.1. パラメーター

テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクトリストフィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザ名

adminUser

False

KIE_ADMIN_PWD

KIE_ADMIN_PWD

KIE 管理者のパスワード

 — 

False

KIE_SERVER_CONTROLLER_USER

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

controllerUser

False

KIE_SERVER_CONTROLLER_PWD

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

 — 

False

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

 — 

False

KIE_SERVER_USER

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

executionUser

False

KIE_SERVER_PWD

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

 — 

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

DEVELOPMENT

False

KIE_MBEANS

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

有効

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

DECISION_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-rhdmcentr-<project>.<default-domain-suffix>

 — 

False

DECISION_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-rhdmcentr-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_USE_SECURE_ROUTE_NAME

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

false

False

DECISION_CENTRAL_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

decisioncentral-app-secret

True

DECISION_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

DECISION_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

DECISION_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Middleware イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の名前空間/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE サーバーに使用するイメージストリームの名前。デフォルトは「rhdm73-kieserver-openshift」です。

rhdm73-kieserver-openshift

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「1.0」です。

1.0

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

 — 

False

MAVEN_REPO_ID

MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

DECISION_CENTRAL_MAVEN_USERNAME

KIE_MAVEN_USER

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

mavenUser

True

DECISION_CENTRAL_MAVEN_PASSWORD

KIE_MAVEN_PWD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

 — 

True

GIT_HOOKS_DIR

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)

/opt/eap/standalone/data/kie/git/hooks

False

DECISION_CENTRAL_VOLUME_CAPACITY

 — 

Decision Central のランタイムデータに向けた永続ストレージのサイズ

1Gi

True

DECISION_CENTRAL_MEMORY_LIMIT

 — 

Decision Central コンテナーのメモリー制限

2Gi

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE サーバーのコンテナーのメモリー制限

1Gi

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

DECISION_CENTRAL_SSO_CLIENT

SSO_CLIENT

Decision Central RH-SSO クライアント名

 — 

False

DECISION_CENTRAL_SSO_SECRET

SSO_SECRET

Decision Central RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=exmample,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

guest

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

4.1.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

4.1.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

ServiceポートName説明

${APPLICATION_NAME}-rhdmcentr

8080

http

全 Decision Central の Web サーバーのポート

8443

https

8001

git-ssh

${APPLICATION_NAME}-kieserver

8080

http

全 KIE サーバーの Web サーバーのポート

8443

https

4.1.2.2. ルート

ルートとは、www.example.com など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

Serviceセキュリティーホスト名

${APPLICATION_NAME}-rhdmcentr-http

なし

${DECISION_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhdmcentr-https

TLS パススルー

${DECISION_CENTRAL_HOSTNAME_HTTPS}

${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

4.1.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメントを参照してください。

4.1.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhdmcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

4.1.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、「コンテナーエンジンのドキュメント」を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhdmcentr

1

${APPLICATION_NAME}-kieserver

1

4.1.2.3.3. Pod テンプレート
4.1.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトで、他の API オブジェクトのように、作成または削除できます。詳細は、「Openshift ドキュメント」を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhdmcentr

${APPLICATION_NAME}-rhdmsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhdmsvc

4.1.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhdmcentr

rhdm73-decisioncentral-openshift

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

4.1.2.3.3.3. Readiness プローブ

${APPLICATION_NAME}-rhdmcentr

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/kie-wb.jsp

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

4.1.2.3.3.4. Liveness プローブ

${APPLICATION_NAME}-rhdmcentr

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/kie-wb.jsp

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

4.1.2.3.3.5. 公開されたポート
デプロイメントNameポートプロトコル

${APPLICATION_NAME}-rhdmcentr

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

git-ssh

8001

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

4.1.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhdmcentr

KIE_ADMIN_USER

KIE 管理者のユーザ名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_USER}

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_PWD}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

${KIE_SERVER_PWD}

WORKBENCH_ROUTE_NAME

 — 

${APPLICATION_NAME}-rhdmcentr

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_MAVEN_USER

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

${DECISION_CENTRAL_MAVEN_USERNAME}

KIE_MAVEN_PWD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)

${GIT_HOOKS_DIR}

HTTPS_KEYSTORE_DIR

 — 

/etc/decisioncentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${DECISION_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${DECISION_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${DECISION_CENTRAL_HTTPS_PASSWORD}

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

Decision Central RH-SSO クライアントシークレット

${DECISION_CENTRAL_SSO_SECRET}

SSO_CLIENT

Decision Central RH-SSO クライアント名

${DECISION_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-rhdmcentr-<project>.<default-domain-suffix>

${DECISION_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-rhdmcentr-<project>.<default-domain-suffix>

${DECISION_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

KIE_ADMIN_USER

KIE 管理者のユーザ名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

${KIE_SERVER_MODE}

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_USER}

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_PWD}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhdmcentr

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

${KIE_SERVER_USE_SECURE_ROUTE_NAME}

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

${KIE_SERVER_PWD}

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

${MAVEN_MIRROR_URL}

MAVEN_REPOS

 — 

RHDMCENTR,EXTERNAL

RHDMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhdmcentr

RHDMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

${DECISION_CENTRAL_MAVEN_USERNAME}

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

4.1.2.3.3.7. ボリューム
デプロイメントNamemountPath目的readOnly

${APPLICATION_NAME}-rhdmcentr

decisioncentral-keystore-volume

/etc/decisioncentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

4.1.2.4. 外部の依存関係

4.1.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。

Nameアクセスモード

${APPLICATION_NAME}-rhdmcentr-claim

ReadWriteMany

4.1.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

decisioncentral-app-secret kieserver-app-secret

4.2. rhdm73-authoring-ha.yaml テンプレート

Red Hat Decision Manager 7.3 の HA の永続オーサリング環境向けのアプリケーションテンプレート

4.2.1. パラメーター

テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクトリストフィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザ名

adminUser

False

KIE_ADMIN_PWD

KIE_ADMIN_PWD

KIE 管理者のパスワード

 — 

False

KIE_SERVER_CONTROLLER_USER

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

controllerUser

False

KIE_SERVER_CONTROLLER_PWD

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

 — 

False

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

 — 

False

KIE_SERVER_USER

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

executionUser

False

KIE_SERVER_PWD

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

 — 

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

DEVELOPMENT

False

KIE_MBEANS

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

有効

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

DECISION_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-rhdmcentr-<project>.<default-domain-suffix>

 — 

False

DECISION_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-rhdmcentr-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_USE_SECURE_ROUTE_NAME

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

false

False

DECISION_CENTRAL_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

decisioncentral-app-secret

True

DECISION_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

DECISION_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

DECISION_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

APPFORMER_ELASTIC_RETRIES

APPFORMER_ELASTIC_RETRIES

接続を中止するまでに appformer が elasticsearch ノードに接続試行する回数

 — 

False

APPFORMER_JMS_BROKER_PORT

APPFORMER_JMS_BROKER_PORT

JMS ブローカーに接続するためのポート。デフォルトは 61616 です。

61616

False

APPFORMER_JMS_BROKER_USER

APPFORMER_JMS_BROKER_USER

JMS ブローカーに接続するためのユーザー名

jmsBrokerUser

True

APPFORMER_JMS_BROKER_PASSWORD

APPFORMER_JMS_BROKER_PASSWORD

JMS ブローカーに接続するためのパスワード

 — 

True

ES_HOSTNAME_HTTP

 — 

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-rhdmindex-<project>.<default-domain-suffix>

 — 

False

APPFORMER_ELASTIC_CLUSTER_NAME

APPFORMER_ELASTIC_CLUSTER_NAME

ES cluster.name を設定して、Decision Central で設定します。デフォルトは、kie-cluster です。

 — 

False

ES_NODE_NAME

ES_NODE_NAME

ES node.name プロパティーを設定します。デフォルトは HOSTNAME env の値です。

 — 

False

ES_TRANSPORT_HOST

ES_TRANSPORT_HOST

ES transport.host プロパティーを設定します。これで、メインの ES クラスターノードのトランスポートアドレスが設定されます。クラスター内のノード間の通信に使用します。デフォルトはコンテナーのアドレスです。

 — 

False

APPFORMER_ELASTIC_PORT

APPFORMER_ELASTIC_PORT

ES http.host プロパティーを設定します。これで、メインの ES クラスターノードの http アドレスが設定されます。クラスター内のノード間の通信と、Decision Central との通信に使用します。

 — 

False

ES_HTTP_HOST

ES_HTTP_HOST

ES http.host プロパティーを設定します。これで、メインの ES クラスターノードの http アドレスが設定されます。クラスターの REST API との対話に使用します。デフォルトは、コンテナーの IP アドレスです。

 — 

False

ES_HTTP_PORT

ES_HTTP_PORT

ES http.port プロパティーを設定します。これで、メインの ES クラスターノードの http ポートが設定されます。クラスターの REST API との対話に使用します。

 — 

False

ES_JAVA_OPTS

ES_JAVA_OPTS

カスタムの jvm 設定/プロパティーを ES jvm.options 設定ファイルに追加します。

-Xms1024m -Xmx1024m

False

AMQ_SCALEDOWN_CONTROLLER_IMAGE_STREAM_NAMESPACE

 — 

AMQ スケールダウンコントローラーイメージの ImageStream がインストールされている名前空間。デフォルトは「openshift」です。

openshift

True

AMQ_SCALEDOWN_CONTROLLER_IMAGE_STREAM_NAME

 — 

AMQ スケールダウンコントローラーに使用するイメージストリーム名。デフォルtは、「amq-broker-72-scaledown-controller-openshift」です。

amq-broker-72-scaledown-controller-openshift

True

AMQ_SCALEDOWN_CONTROLLER_IMAGE_STREAM_TAG

 — 

AMQ イメージストリームのタグ。デフォルトは「1.0」です。

1.0

True

AMQ_BROKER_IMAGE

 — 

AMQ ブローカーイメージ

registry.redhat.io/amq-broker-7/amq-broker-72-openshift:1.1

True

AMQ_ROLE

 — 

標準ブローカーユーザーのユーザーロール

admin

True

AMQ_NAME

 — 

ブローカーの名前

ブローカー

True

AMQ_GLOBAL_MAX_SIZE

 — 

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合には、システムのメモリーの半分が割り当てられます。

10 gb

False

AMQ_VOLUME_CAPACITY

 — 

AMQ ブローカーボリュームの永続ストレージのサイズ

1Gi

True

ES_VOLUME_CAPACITY

 — 

Elasticsearch ボリュームの永続ストレージサイズ

1Gi

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Middleware イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の名前空間/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE サーバーに使用するイメージストリームの名前。デフォルトは「rhdm73-kieserver-openshift」です。

rhdm73-kieserver-openshift

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「1.0」です。

1.0

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

 — 

False

MAVEN_REPO_ID

MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

DECISION_CENTRAL_MAVEN_USERNAME

KIE_MAVEN_USER

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

mavenUser

True

DECISION_CENTRAL_MAVEN_PASSWORD

KIE_MAVEN_PWD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

 — 

True

GIT_HOOKS_DIR

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)

/opt/eap/standalone/data/kie/git/hooks

False

DECISION_CENTRAL_VOLUME_CAPACITY

 — 

Decision Central のランタイムデータに向けた永続ストレージのサイズ

1Gi

True

DECISION_CENTRAL_MEMORY_LIMIT

 — 

Decision Central コンテナーのメモリー制限

2Gi

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE サーバーのコンテナーのメモリー制限

1Gi

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

DECISION_CENTRAL_SSO_CLIENT

SSO_CLIENT

Decision Central RH-SSO クライアント名

 — 

False

DECISION_CENTRAL_SSO_SECRET

SSO_SECRET

Decision Central RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=exmample,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

guest

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

4.2.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

4.2.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

ServiceポートName説明

${APPLICATION_NAME}-rhdmcentr

8080

http

全 Decision Central の Web サーバーのポート

8443

https

8001

git-ssh

${APPLICATION_NAME}-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-kieserver

8080

http

全 KIE サーバーの Web サーバーのポート

8443

https

${APPLICATION_NAME}-rhdmindex

9200

rest

Decision Central がインデックス化する Elasticsearch ポートすべて

9300

transport

${APPLICATION_NAME}-amq-tcp

61616

 — 

ブローカーの OpenWire ポート

ping

8888

 — 

クラスタリング向けの JGroups ping ポート

4.2.2.2. ルート

ルートとは、www.example.com など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

Serviceセキュリティーホスト名

${APPLICATION_NAME}-rhdmcentr-http

なし

${DECISION_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhdmcentr-https

TLS パススルー

${DECISION_CENTRAL_HOSTNAME_HTTPS}

${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

${APPLICATION_NAME}-rhdmindex-http

なし

${ES_HOSTNAME_HTTP}

4.2.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメントを参照してください。

4.2.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhdmcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-rhdmindex

ImageChange

${APPLICATION_NAME}-amq-scaledown-controller

ImageChange

4.2.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、「コンテナーエンジンのドキュメント」を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhdmcentr

2

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-rhdmindex

1

${APPLICATION_NAME}-amq-scaledown-controller

1

4.2.2.3.3. Pod テンプレート
4.2.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトで、他の API オブジェクトのように、作成または削除できます。詳細は、「Openshift ドキュメント」を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhdmcentr

${APPLICATION_NAME}-rhdmsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhdmsvc

${APPLICATION_NAME}-amq-scaledown-controller

${APPLICATION_NAME}-amq-scaledown-controller-sa

4.2.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhdmcentr

rhdm73-decisioncentral-openshift

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-rhdmindex

rhdm73-decisioncentral-indexing-openshift

${APPLICATION_NAME}-amq-scaledown-controller

${AMQ_SCALEDOWN_CONTROLLER_IMAGE_STREAM_NAME}

4.2.2.3.3.3. Readiness プローブ

${APPLICATION_NAME}-rhdmcentr

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/kie-wb.jsp

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-rhdmindex

http://localhost:9200/_cluster/health の Http Get

4.2.2.3.3.4. Liveness プローブ

${APPLICATION_NAME}-rhdmcentr

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/kie-wb.jsp

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

4.2.2.3.3.5. 公開されたポート
デプロイメントNameポートプロトコル

${APPLICATION_NAME}-rhdmcentr

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

git-ssh

8001

TCP

ping

8888

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

${APPLICATION_NAME}-rhdmindex

es

9300

TCP

http

9200

TCP

4.2.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhdmcentr

KIE_ADMIN_USER

KIE 管理者のユーザ名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_USER}

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_PWD}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

${KIE_SERVER_PWD}

WORKBENCH_ROUTE_NAME

 — 

${APPLICATION_NAME}-rhdmcentr

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_MAVEN_USER

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

${DECISION_CENTRAL_MAVEN_USERNAME}

KIE_MAVEN_PWD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)

${GIT_HOOKS_DIR}

HTTPS_KEYSTORE_DIR

 — 

/etc/decisioncentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${DECISION_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${DECISION_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${DECISION_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

APPFORMER_ELASTIC_PORT

ES http.host プロパティーを設定します。これで、メインの ES クラスターノードの http アドレスが設定されます。クラスター内のノード間の通信と、Decision Central との通信に使用します。

${APPFORMER_ELASTIC_PORT}

APPFORMER_ELASTIC_CLUSTER_NAME

ES cluster.name を設定して、Decision Central で設定します。デフォルトは、kie-cluster です。

${APPFORMER_ELASTIC_CLUSTER_NAME}

APPFORMER_ELASTIC_RETRIES

接続を中止するまでに appformer が elasticsearch ノードに接続試行する回数

${APPFORMER_ELASTIC_RETRIES}

APPFORMER_ELASTIC_HOST

 — 

${APPLICATION_NAME}-rhdmindex

APPFORMER_JMS_BROKER_ADDRESS

 — 

${APPLICATION_NAME}-amq-tcp

APPFORMER_JMS_BROKER_PORT

JMS ブローカーに接続するためのポート。デフォルトは 61616 です。

${APPFORMER_JMS_BROKER_PORT}

APPFORMER_JMS_BROKER_USER

JMS ブローカーに接続するためのユーザー名

${APPFORMER_JMS_BROKER_USER}

APPFORMER_JMS_BROKER_PASSWORD

JMS ブローカーに接続するためのパスワード

${APPFORMER_JMS_BROKER_PASSWORD}

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

Decision Central RH-SSO クライアントシークレット

${DECISION_CENTRAL_SSO_SECRET}

SSO_CLIENT

Decision Central RH-SSO クライアント名

${DECISION_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-rhdmcentr-<project>.<default-domain-suffix>

${DECISION_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-rhdmcentr-<project>.<default-domain-suffix>

${DECISION_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

KIE_ADMIN_USER

KIE 管理者のユーザ名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

${KIE_SERVER_MODE}

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_USER}

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_PWD}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhdmcentr

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

${KIE_SERVER_USE_SECURE_ROUTE_NAME}

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

${KIE_SERVER_PWD}

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

MAVEN_MIRROR_URL

Decision Central および KIE サーバーが使用する Maven のミラー

${MAVEN_MIRROR_URL}

MAVEN_REPOS

 — 

RHDMCENTR,EXTERNAL

RHDMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhdmcentr

RHDMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

${DECISION_CENTRAL_MAVEN_USERNAME}

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-rhdmindex

ES_CLUSTER_NAME

ES cluster.name を設定して、Decision Central で設定します。デフォルトは、kie-cluster です。

${APPFORMER_ELASTIC_CLUSTER_NAME}

ES_NODE_NAME

ES node.name プロパティーを設定します。デフォルトは HOSTNAME env の値です。

${ES_NODE_NAME}

ES_TRANSPORT_HOST

ES transport.host プロパティーを設定します。これで、メインの ES クラスターノードのトランスポートアドレスが設定されます。クラスター内のノード間の通信に使用します。デフォルトはコンテナーのアドレスです。

${ES_TRANSPORT_HOST}

ES_TRANSPORT_TCP_PORT

ES http.host プロパティーを設定します。これで、メインの ES クラスターノードの http アドレスが設定されます。クラスター内のノード間の通信と、Decision Central との通信に使用します。

${APPFORMER_ELASTIC_PORT}

ES_HTTP_PORT

ES http.port プロパティーを設定します。これで、メインの ES クラスターノードの http ポートが設定されます。クラスターの REST API との対話に使用します。

${ES_HTTP_PORT}

ES_HTTP_HOST

ES http.host プロパティーを設定します。これで、メインの ES クラスターノードの http アドレスが設定されます。クラスターの REST API との対話に使用します。デフォルトは、コンテナーの IP アドレスです。

${ES_HTTP_HOST}

ES_JAVA_OPTS

カスタムの jvm 設定/プロパティーを ES jvm.options 設定ファイルに追加します。

${ES_JAVA_OPTS}

4.2.2.3.3.7. ボリューム
デプロイメントNamemountPath目的readOnly

${APPLICATION_NAME}-rhdmcentr

decisioncentral-keystore-volume

/etc/decisioncentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-rhdmindex

${APPLICATION_NAME}-rhdmindex-pvol

/opt/elasticsearch/data

rhdmindex

false

4.2.2.4. 外部の依存関係

4.2.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。

Nameアクセスモード

${APPLICATION_NAME}-rhdmcentr-claim

ReadWriteMany

${APPLICATION_NAME}-rhdmindex-claim

ReadWriteOnce

4.2.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

decisioncentral-app-secret kieserver-app-secret

4.2.2.4.3. クラスタリング

OpenShift EAP では、Kubernetes または DNS の検出メカニズム 2 つの内 1 つを使用してクラスタリングを実現できます。 これには、standalone-openshift.xml で <openshift.KUBE_PING/> または <openshift.DNS_PING/> 要素のいずれかを指定して JGroups プロトコルスタックを設定します。テンプレートは、DNS_PING を使用するように設定しますが、イメージで使用するデフォルトは `KUBE_PING` となっています。

使用する検出メカニズムは、JGROUPS_PING_PROTOCOL 環境変数で指定します。この環境変数は openshift.DNS_PING または openshift.KUBE_PING のいずれかに設定できます。JGROUPS_PING_PROTOCOL に何も値が指定されていない場合には、イメージで使用するデフォルト値は、openshift.KUBE_PING となります。

DNS_PING を機能させるには、以下の手順を実行する必要があります。

  1. OPENSHIFT_DNS_PING_SERVICE_NAME 環境変数は、クラスターの ping サービス名に設定する必要があります (上記の表を参照)。設定していない場合には、サーバーは単一ノードのクラスター (ノードが 1 つのクラスター) のように機能します。
  2. OPENSHIFT_DNS_PING_SERVICE_PORT 環境変数は、ping サービスを公開するポート番号に設定する必要があります (上記の表を参照)。DNS_PING プロトコルは可能な場合には SRV レコードからのポートを識別しようとします。デフォルト値は 8888 です。
  3. ping ポートを公開する ping サービスは定義する必要があります。このサービスは「ヘッドレス」(ClusterIP=None) で、以下の条件を満たす必要があります。

    1. ポートは、ポート検出が機能するように、名前を指定する必要があります。
    2. service.alpha.kubernetes.io/tolerate-unready-endpoints"true" に指定してアノテーションを設定する必要があります。このアノテーションを省略すると、起動時にノードごとに独自の「単一ノードのクラスター」が形成され、(起動後でないと他のノードが検出されないので) 起動後にこのクラスターが他のノードのクラスターにマージされます。

DNS_PING で使用する ping サービスの例

kind: Service
apiVersion: v1
spec:
    clusterIP: None
    ports:
    - name: ping
      port: 8888
    selector:
        deploymentConfig: eap-app
metadata:
    name: eap-app-ping
    annotations:
        service.alpha.kubernetes.io/tolerate-unready-endpoints: "true"
        description: "The JGroups ping port for clustering."

KUBE_PING を機能させるには以下の手順を実行する必要があります。

  1. OPENSHIFT_KUBE_PING_NAMESPACE 環境変数を設定する必要があります (上記の表を参照)。設定していない場合には、サーバーは単一ノードのクラスター (ノードが 1 つのクラスター) のように機能します。
  2. OPENSHIFT_KUBE_PING_LABELS 環境変数は設定することが推奨されます (上記の表を参照)。設定されていない場合には、アプリケーション外の Pod (名前空間に関係なく) が参加しようとします。
  3. Kubernetes の REST API にアクセスできるようにするには、Pod が実行されているサービスアカウントに対して承認を行う必要があります。これはコマンドラインで行います。

例4.1 policy コマンド

myproject の名前空間におけるデフォルトのサービスアカウントの使用:

oc policy add-role-to-user view system:serviceaccount:myproject:default -n myproject

myproject の名前空間における eap-service-account の使用:

oc policy add-role-to-user view system:serviceaccount:myproject:eap-service-account -n myproject

4.3. rhdm73-kieserver.yaml テンプレート

Red Hat Decision Manager 7.3 での管理対象 KIE サーバー向けのアプリケーションテンプレート

4.3.1. パラメーター

テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクトリストフィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

True

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

DECISION_CENTRAL_MAVEN_SERVICE

RHDMCENTR_MAVEN_REPO_SERVICE

必要な場合にはオプションの Decision Central (maven リポジトリーの使用向け) で使用する OpenShift サービス名

myapp-rhdmcentr

False

DECISION_CENTRAL_MAVEN_USERNAME

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

mavenUser

False

DECISION_CENTRAL_MAVEN_PASSWORD

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

maven1!

False

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザ名

adminUser

False

KIE_ADMIN_PWD

KIE_ADMIN_PWD

KIE 管理者のパスワード

 — 

False

KIE_SERVER_USER

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

executionUser

False

KIE_SERVER_PWD

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

 — 

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Middleware イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の名前空間/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE サーバーに使用するイメージストリームの名前。デフォルトは「rhdm73-kieserver-openshift」です。

rhdm73-kieserver-openshift

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「1.0」です。

1.0

True

KIE_SERVER_CONTROLLER_USER

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

controllerUser

False

KIE_SERVER_CONTROLLER_PWD

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

 — 

False

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

 — 

False

KIE_SERVER_CONTROLLER_SERVICE

KIE_SERVER_CONTROLLER_SERVICE

オプションのスタンドアロンコントローラーのサービス名。アプリケーションは、このサービス名を使用してコントローラーに登録します (設定されている場合はポストとポートの検出に使用します)。

 — 

False

KIE_SERVER_CONTROLLER_HOST

KIE_SERVER_CONTROLLER_HOST

KIE サーバーコントローラーのホスト (org.kie.server.controller システムプロパティーの設定に使用)

my-app-controller-ocpuser.os.example.com

False

KIE_SERVER_CONTROLLER_PORT

KIE_SERVER_CONTROLLER_PORT

KIE サーバーコントローラーのポート (org.kie.server.controller システムプロパティーの設定に使用)

8080

False

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

有効

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_USE_SECURE_ROUTE_NAME

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

false

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE サーバーのコンテナーのメモリー制限

1Gi

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE サーバーコンテナーのデプロイメント設定。形式: containerId=groupId:artifactId:version|c2=g2:a2:v2

rhdm-kieserver-library=org.openshift.quickstarts:rhdm-kieserver-library:1.4.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

KIE_SERVER_STARTUP_STRATEGY

KIE_SERVER_STARTUP_STRATEGY

LocalContainersStartupStrategy に設定した場合には、コントローラーが設定されていて利用できないときでも KIE サーバーが起動し、ローカルの設定で機能できます。

LocalContainersStartupStrategy

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=exmample,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

guest

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

4.3.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

4.3.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

ServiceポートName説明

${APPLICATION_NAME}-kieserver

8080

http

全 KIE サーバーの Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

4.3.2.2. ルート

ルートとは、www.example.com など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

Serviceセキュリティーホスト名

${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

4.3.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメントを参照してください。

4.3.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

4.3.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、「コンテナーエンジンのドキュメント」を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

4.3.2.3.3. Pod テンプレート
4.3.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトで、他の API オブジェクトのように、作成または削除できます。詳細は、「Openshift ドキュメント」を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

4.3.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

4.3.2.3.3.3. Readiness プローブ

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

4.3.2.3.3.4. Liveness プローブ

${APPLICATION_NAME}-kieserver

/bin/bash -c curl --fail --silent -u '${KIE_ADMIN_USER}:${KIE_ADMIN_PWD}' http://localhost:8080/services/rest/server/readycheck

4.3.2.3.3.5. 公開されたポート
デプロイメントNameポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

4.3.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

KIE_ADMIN_USER

KIE 管理者のユーザ名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_SERVER_MODE

KIE サーバーのモード。有効な値は、'DEVELOPMENT' または 'PRODUCTION' です (org.kie.server.mode のシステムプロパティーを設定します)。

${KIE_SERVER_MODE}

KIE_MBEANS

KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

KIE_SERVER_BYPASS_AUTH_USER

KIE サーバーのバイパス認証ユーザー (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_USER

KIE サーバーのコントローラーのユーザー名 (org.kie.server.controller.user システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_USER}

KIE_SERVER_CONTROLLER_PWD

KIE サーバーのコントローラーのパスワード (org.kie.server.controller.pwd システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_PWD}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

オプションのスタンドアロンコントローラーのサービス名。アプリケーションは、このサービス名を使用してコントローラーに登録します (設定されている場合はポストとポートの検出に使用します)。

${KIE_SERVER_CONTROLLER_SERVICE}

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_CONTROLLER_HOST

KIE サーバーコントローラーのホスト (org.kie.server.controller システムプロパティーの設定に使用)

${KIE_SERVER_CONTROLLER_HOST}

KIE_SERVER_CONTROLLER_PORT

KIE サーバーコントローラーのポート (org.kie.server.controller システムプロパティーの設定に使用)

${KIE_SERVER_CONTROLLER_PORT}

KIE_SERVER_ID

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合は、ルート名として secure-APPLICATION_NAME-kieserver (または APPLICATION_NAME-kieserver) を使用します。

${KIE_SERVER_USE_SECURE_ROUTE_NAME}

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーパスワード (org.kie.server.pwd システムプロパティーを設定します)

${KIE_SERVER_PWD}

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE サーバーコンテナーのデプロイメント設定。形式: containerId=groupId:artifactId:version

c2=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_REPOS

 — 

RHDMCENTR,EXTERNAL

RHDMCENTR_MAVEN_REPO_SERVICE

必要な場合にはオプションの Decision Central (maven リポジトリーの使用向け) で使用する OpenShift サービス名

${DECISION_CENTRAL_MAVEN_SERVICE}

RHDMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのユーザー名

${DECISION_CENTRAL_MAVEN_USERNAME}

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするユーザー名 (必要な場合)

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

LocalContainersStartupStrategy に設定した場合には、コントローラーが設定されていて利用できないときでも KIE サーバーが起動し、ローカルの設定で機能できます。

${KIE_SERVER_STARTUP_STRATEGY}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE サーバーの RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得された userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は、{1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は、(member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

4.3.2.3.3.7. ボリューム
デプロイメントNamemountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

4.3.2.4. 外部の依存関係

4.3.2.4.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret

4.4. OpenShift の使用に関するクイックリファレンス

Red Hat OpenShift Container Platform で Red Hat Decision Manager テンプレートのデプロイ、モニタリング、管理、デプロイ解除するには、OpenShift Web コンソールまたは oc コマンドを使用できます。

Web コンソールの使用に関する説明は、「Web コンソールを使用したイメージの作成およびビルド」を参照してください。

oc コマンドの使用方法に関する詳細は、『CLI リファレンス』を参照してください。以下のコマンドが必要になる可能性が高いです。

  • プロジェクトを作成するには、以下のコマンドを使用します。

    $ oc new-project <project-name>

    詳細は、「CLI を使用したプロジェクトの作成」を参照してください。

  • テンプレートをデプロイするには (またはテンプレートからアプリケーションを作成するには)、以下のコマンドを実行します。

    $ oc new-app -f <template-name> -p <parameter>=<value> -p <parameter>=<value> ...

    詳細は、「CLI を使用したアプリケーションの作成」を参照してください。

  • プロジェクト内のアクティブな Pod の一覧を表示するには、以下のコマンドを使用します。

    $ oc get pods
  • Pod のデプロイメントが完了し、実行中の状態になっているかどうかなど、Pod の現在のステータスを表示するには、以下のコマンドを使用します。

    $ oc describe pod <pod-name>

    oc describe コマンドを使用して、他のオブジェクトの現在のステータスを表示できます。詳細は、「アプリケーションの変更操作」を参照してください。

  • Pod のログを表示するには、以下のコマンドを使用します。

    $ oc logs <pod-name>
  • デプロイメントログを表示するには、テンプレートリファレンスで DeploymentConfig の名前を検索して、以下のコマンドを実行します。

    $ oc logs -f dc/<deployment-config-name>

    詳細は、「デプロイメントログの表示」を参照してください。

  • ビルドログを表示するには、テンプレートリファレンスで BuildConfig の名前を検索して、以下のコマンドを実行します。

    $ oc logs -f bc/<build-config-name>

    詳細は、「ビルドログのアクセス」を参照してください。

  • アプリケーションの Pod をスケーリングするには、テンプレートリファレンスで DeploymentConfig の名前を検索して、以下のコマンドを実行します。

    $ oc scale dc/<deployment-config-name> --replicas=<number>

    詳細は、「手動スケーリング」を参照してください。

  • アプリケーションのデプロイメントを解除するには、以下のコマンドを使用してプロジェクトを削除します。

    $ oc delete project <project-name>

    または、oc delete コマンドを使用して、Pod またはレプリケーションコントローラーなど、アプリケーションの一部を削除できます。詳細は、「アプリケーションの修正操作」を参照してください。

付録A バージョン情報

本書の最終更新日: 2019 年 4 月 15 日 (月)

法律上の通知

Copyright © 2019 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.