Red Hat OpenShift Container Platform への Red Hat Decision Manager イミュータブルサーバー環境のデプロイメント

Red Hat Decision Manager 7.6

Red Hat Customer Content Services

概要

本書は、Red Hat OpenShift Container Platform に Red Hat Decision Manager 7.6 イミュータブルサーバー環境をデプロイする方法を説明します。

前書き

システムエンジニアは、Red Hat OpenShift Container Platform に Red Hat Decision Manager イミュータブルサーバー環境をデプロイして、サービスおよびその他のビジネスアセットを実行するインフラストラクチャーを提供します。イミュータブル Decision Server イメージを管理する標準統合ツールを使用できます。新しいサーバーイメージを作成して、ビジネスアセットを追加および更新します。

前提条件

  • Red Hat OpenShift Container Platform バージョン 3.11 がデプロイされている。
  • OpenShift クラスター/namespace で 2 ギガバイト以上のメモリーが利用可能である。
  • デプロイメントする OpenShift プロジェクトが作成されている。
  • oc コマンドを使用してプロジェクトにログインしている。oc コマンドランツールに関する詳細は、『OpenShift CLI リファレンス』を参照してください。OpenShift Web コンソールを使用してテンプレートをデプロイするには、Web コンソールを使用してログインしている必要もあります。
注記

Red Hat Decision Manager バージョン 7.5 以降、Red Hat OpenShift Container Platform 3.x のサポートは非推奨となっています。これには、Red Hat Decision Manager のインストールに使用するテンプレートも含まれます。この機能は今後のリリースで削除されます。

注記

Red Hat Decision Manager テンプレートを Red Hat OpenShift Container Platform 4.x と共に使用しないでください。Red Hat Decision Manager を Red Hat OpenShift Container Platform 4.x にデプロイするには、『Deploying a Red Hat Decision Manager environment on Red Hat OpenShift Container Platform using Operators』の説明を参照してください。

第1章 Red Hat OpenShift Container Platform における Red Hat Decision Manager の概要

Red Hat Decision Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。

この場合、Red Hat Decision Manager のコンポーネントは、別々の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。OpenShift の標準的な方法を使用して Pod を管理し、負荷を分散できます。

以下の Red Hat Decision Manager の主要コンポーネントが OpenShift で利用できます。

  • Decision Server (実行サーバー (Execution Server) または KIE Server とも呼ばれる) は、デシジョンサービスおよびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスの全ロジックは実行サーバーで実行されます。

    Decision Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じサービスを実行します。OpenShift には負荷分散機能があり、要求はいずれかの Pod で処理されます。

    Decision Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の Decision Server Pod を必要な数だけ設定することができます。

  • Business Central は、オーサリングサービスに使用される Web ベースのインタラクティブな環境です。Business Central は管理コンソールも提供します。Business Central を使用してサービスを開発し、それらを Decision Server にデプロイできます。

    Business Central は一元化されたアプリケーションですが、複数の Pod を実行して同一データを共有する、高可用性の設定が可能です。

    Business Central には開発するサービスののソースを保管する Git リポジトリーと、ビルドインの Maven リポジトリーが含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。

これらのコンポーネントおよびその他のコンポーネントを OpenShift 内の各種の環境設定に配置できます。

以下は、通常の環境タイプです。

  • オーサリングまたは管理環境: Business Central を使用してサービスを作成および変更し、サービスを Decision Server で実行するために使用できる環境アーキテクチャーです。この環境は、オーサリング用の Business Central を提供する Pod と、サービス実行用の 1 つ以上の Decision Server を提供する Pod で構成されます。それぞれの Decision Server が 1 つの Pod となり、Pod はスケールアップまたはスケールダウンを随時実行して複製できます。Business Central を使用して、それぞれの Decision Server でサービスをデプロイしたり、デプロイ解除したりすることができます。この環境をデプロイする方法については、『Deploying a Red Hat Decision Manager authoring or managed server environment on Red Hat OpenShift Container Platform』を参照してください。
  • イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行するための代替の環境です。この環境では、Decision Server Pod のデプロイ時に、サービスまたはサービスのグループをロードし、起動するイメージをビルドします。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する必要がある場合は、新規のサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、Decision Server は OpenShift 環境の Pod のように実行されるので、任意のコンテナーベースの統合ワークフローを使用することができ、他のツールを使用して Pod を管理する必要はありません。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Decision Manager イミュータブルサーバー環境のデプロイメント 』を参照してください。

試用 または評価環境をデプロイすることも可能です。この環境には、Business Central と Decision Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、この環境でのいずれの作業も保存されません。この環境のデプロイ方法については、『Deploying a Red Hat Decision Manager trial environment on Red Hat OpenShift Container Platform』を参照してください。

Red Hat Decision Manager 環境を OpenShift にデプロイするには、Red Hat Decision Manager で提供される OpenShift テンプレートを使用できます。

第2章 OpenShift 環境への Red Hat Decision Manager のデプロイの準備

OpenShift 環境に Red Hat Decision Manager をデプロイする前に、準備タスクをいくつか完了する必要があります。追加イメージ (たとえば、デシジョンサービスの新しいバージョン、または他のデシジョンサービス) をデプロイする場合は、このタスクを繰り返す必要はありません。

2.1. イメージストリームとイメージレジストリーが利用可能であることの確認

Red Hat Decision Manager コンポーネントを Red Hat OpenShift Container Platform にデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認する必要があります。これらのイメージをダウンロードするために、OpenShift ではイメージの場所情報が含まれる イメージストリーム が必要になります。また、OpenShift は、お使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーで認証できるように設定する必要があります。

OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合には、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。

それ以外の方法として、レジストリー認証を独自のプロジェクトで設定し、イメージストリームをそのプロジェクトにインストールすることができます。

手順

  1. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されているかどうかを判別します。必須の設定に関する詳細は、「レジストリーの場所の設定」を参照してください。OpenShift Online サブスクリプションを使用している場合は、Red Hat レジストリーへのアクセス用の設定はすでに行われています。
  2. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されている場合は、以下のコマンドを実行します。

    $ oc get imagestreamtag -n openshift | grep rhdm76-decisioncentral-openshift
    $ oc get imagestreamtag -n openshift | grep rhdm76-kieserver-openshift

    両方のコマンドの出力が空でない場合、必要なイメージストリームは openshift namespace で利用可能な状態であるため、追加の操作は必要ありません。

  3. コマンドのいずれかまたは両方の出力が空の場合や、OpenShift が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されていない場合には、以下の手順を実行してください。

    1. oc コマンドで OpenShift にログインしており、プロジェクトがアクティブであることを確認します。
    2. Registry Service Accounts for Shared Environments」に記載されている手順を実行します。Red Hat カスタマーポータルにログインし、このドキュメントにアクセスし、レジストリーサービスアカウントを作成する手順を実行する必要があります。
    3. OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
    4. ダウンロードしたファイルを確認して、name: エントリーに一覧表示されている名前をメモします。
    5. 以下のコマンドを実行します。

      oc create -f <file_name>.yaml
      oc secrets link default <secret_name> --for=pull
      oc secrets link builder <secret_name> --for=pull

      <file_name> はダウンロードしたファイルの名前に、<secret_name> はファイルの name: のエントリーに記載されている名前に置き換えてください。

    6. Software Downloads ページから rhdm-7.6.0-openshift-templates.zip の製品配信可能ファイルをダウンロードし、rhdm76-image-streams.yaml ファイルを展開します。
    7. 以下のコマンドを入力します。

      $ oc apply -f rhdm76-image-streams.yaml
      注記

      上記の手順を完了したら、イメージストリームをプロジェクトの namespace にインストールします。この場合、テンプレートをデプロイする際に IMAGE_STREAM_NAMESPACE パラメーターをこのプロジェクトの名前に設定する必要があります。

2.2. Decision Server のシークレットの作成

OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、OpenShift ドキュメントの「シークレット」の章を参照してください。

Decision Server への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。

手順

  1. Decision Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

    注記

    実稼働環境で、想定されている Decision Server の URL と一致する、有効な署名済み証明書を生成します。

  2. keystore.jks という名前のファイルにキーストアを保存します。
  3. 証明書の名前をメモします。Red Hat Decision Manager 設定におけるこのデフォルト名は jboss です。
  4. キーストアファイルのパスワードをメモします。Red Hat Decision Manager 設定におけるこのデフォルトの値は mykeystorepass です。
  5. oc コマンドを使用して、新しいキーストアファイルからシークレット kieserver-app-secret を生成します。

    $ oc create secret generic kieserver-app-secret --from-file=keystore.jks

2.3. S2I ビルドに使用する Business Central からのソースコードの展開

オーサリングサービスに Business Central を使用する場合は、サービスのソースコードを展開して、S2I ビルドを使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

手順

  1. 以下のコマンドを使用してソースコードを展開します。

    git clone https://<decision-central-host>:443/git/<MySpace>/<MyProject>

    このコマンドでは、以下の変数を置き換えてください。

    • <decision-central-host>: Business Central を実行しているホスト
    • <MySpace>: プロジェクトが配置された Business Central 領域の名前
    • <MyProject>: プロジェクトの名前
    注記

    Business Central でプロジェクトの完全な URL を表示するには、MenuDesign<MyProject>Settings の順にクリックします。

    注記

    HTTPS 通信に自己署名証明書を使用している場合には、このコマンドは SSL certificate problem というエラーメッセージが表示され、失敗する可能性があります。このような場合には、GIT_SSL_NO_VERIFY 環境変数を使用するなど、git で SSL 証明書の検証を無効にします。

    env GIT_SSL_NO_VERIFY=true git clone https://<decision-central-host>:443/git/<MySpace>/<MyProject>
  2. S2I ビルドの別の Git リポジトリー (GitHub または GitLab など) へのソースコードのアップロード

2.4. オフラインで使用する Maven ミラーリポジトリーの用意

Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。

注記

Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合にはこの手順を実行する必要はありません。

前提条件

  • 公開インターネットへの送信アクセスが設定されているコンピューターが利用できる。

手順

  1. 書き込み可能な Maven リリースリポジトリーを準備します。このリポジトリーは、認証なしに読み込みアクセスを許可する必要があります。OpenShift 環境は、このリポジトリーへのアクセスが必要です。OpenShift 環境に、Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、「Nexus の設定」を参照してください。このリポジトリーをミラーリポジトリーとして使用します。また、KJAR サービスからイミュータブルサーバーを作成する予定の場合は、サービスをこのリポジトリーに配置します。このリポジトリーを外部 Maven リポジトリーとして設定する必要があります。イミュータブル環境に別個のミラーリポジトリーを設定することはできません。
  2. 公開インターネットに送信アクセスができるコンピューターで、以下の手順を実行します。

    1. 最新版の Offliner ツール をダウンロードします。
    2. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhdm-7.6.0-offliner.txt の製品配信可能ファイルをダウンロードします。
    3. 以下のコマンドを入力して Offliner ツールを使用し、必要なアーティファクトをダウンロードします。

      java -jar offliner-<version>.jar -r https://maven.repository.redhat.com/ga/ -r https://repo1.maven.org/maven2/ -d /home/user/temp rhdm-7.6.0-offliner.txt

      /home/user/temp は空の一時ディレクトリーに、<version> はダウンロードした Offliner ツールのバージョンに置き換えます。ダウンロードにはかなり時間がかかる可能性があります。

    4. 一時ディレクトリーから作成した Maven ミラーリポジトリーにすべてのアーティファクトをアップロードします。アーティファクトのアップロードには、Maven Repository Provisioner ユーティリティーを使用できます。
  3. Business Central 外でサービスを開発し、追加の依存関係がある場合には、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして作成している場合には、以下の手順を使用すると、これらの依存関係を自動的に準備できます。公開インターネットへの送信接続のあるコンピューターで、この手順を実行します。

    1. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) のバックアップを作成して、ディレクトリーを削除します。
    2. mvn clean install コマンドを使用してプロジェクトのソースをビルドします。
    3. すべてのプロジェクトについて以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。

      mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true

      /path/to/project/pom.xml は、プロジェクトの pom.xml ファイルへの正しいパスに置き換えます。

    4. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) から作成した Maven ミラーリポジトリーにすべてのアーティファクトをアップロードします。アーティファクトのアップロードには、Maven Repository Provisioner ユーティリティーを使用できます。

第3章 イミュータブルサーバーを使用した環境

事前に読み込んだサービスで イミュータブル Decision Server を実行する 1 つ以上の Pod を含む環境をデプロイできます。必要に応じて、Decision Server Pod は個別にスケーリングすることができます。

イメージの作成時に、イミュータブル Decision Server ですべてのサービスをサーバーに読み込む必要があります。実行中のイミュータブル Decision Server でサービスのデプロイやデプロイ解除を実行することはできません。このアプローチの利点は、サービスが含まれる Decision Server はコンテナー化されたサービスのように実行され、特別な管理を必要としない点にあります。Decision Server は OpenShift 環境の 1 つの Pod として実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

Decision Server イメージを作成する場合は、S2I (Source to Image) を使用してサービスをビルドする必要があります。サービスのソースおよびその他のビジネスアセットを使用して Git リポジトリーを提供します。Business Central でサービスまたはアセットを開発する場合は、S2I ビルドの個別のリポジトリーにソースをコピーします。OpenShift は自動的にソースをビルドし、Decision Server イメージにサービスをインストールして、このサービスでコンテナーを起動します。

オーサリングサービスに Business Central を使用する場合は、プロセスのソースを展開して、S2I ビルドで使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

または、KJAR ファイルとしてすでにビルドされているサービスを使用して同様の Decision Server デプロイメントを作成できます。この場合、サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動されると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスは更新されたり、変更されたりすることはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはファイルをリポジトリーから取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。

イミュータブルのイメージを作成する方法はいずれも、イメージの管理が必要ありません。サービスの新規バージョンを使用する場合には、新規イメージをビルドできます。

3.1. S2I ビルドの使用によるイミュータブル Decision Server のデプロイ

S2I ビルドを使用してイミュータブル Decision Server をデプロイできます。サーバーをデプロイする際、デプロイメント手順ではこのサーバーで実行される必要のあるすべてのサービスのソースコードを取得し、サービスをビルドし、それらをサービスイメージに組み込みます。

実行中のイミュータブル Decision Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central を使用すると、モニター情報を表示できます。Decision Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

イミュータブル Decision Server の JMS 機能を有効にできます。JMS 機能を使用すると、外部 AMQ メッセージブローカーを使用し、JMS API 経由でサーバーと対話できます。

同じ namespace に Business Central をデプロイすると、イミュータブル Decision Server は自動的に検出されます。Business Central を使用してイミュータブル Decision Server でサービスの起動や停止が可能です (ただしデプロイはできません)。

3.1.1. S2I の使用によるイミュータブル Decision Server のテンプレート設定の開始

S2I ビルドを使用してイミュータブル Decision Server をデプロイするには、JMS 機能を有効にする必要がある場合には rhdm76-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用します。そうでない場合には、rhdm76-prod-immutable-kieserver.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhdm-7.6.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  2. 必要なテンプレートファイルを展開します。
  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレートファイルの名前に置き換えます。
      • 必要なパラメーターを設定するために必要な数の -p PARAMETER = value のペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「S2I の使用によるイミュータブル Decision Server に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。

3.1.2. S2I の使用によるイミュータブル Decision Server に必要なパラメーターの設定

テンプレートをイミュータブル Decision Server を S2I ビルドを使用してデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「Decision Server のシークレットの作成」で作成した Decision Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「Decision Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「Decision Server のシークレットの作成」で作成したキーストアのパスワード。
    • Application Name (APPLICATION_NAME): OpenShift アプリケーションの名前。これは Business Central Monitoring および Decision Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用してデプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの個別のセットを作成できます。別々のアプリケーション名を使用する限り、同じテンプレートを使用して複数のアプリケーションを同じプロジェクトにデプロイできます。また、アプリケーション名は、Decision Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の Decision Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • KIE Server Container Deployment (KIE_SERVER_CONTAINER_DEPLOYMENT): ソースのビルド後にデプロイメントでローカルまたは外部リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の ID 情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。または、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> です。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます。

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

      コンテナー ID の重複を防ぐには、アーティファクトビルドごとに、またはプロジェクト内で、一意のアーティファクト ID を指定する必要があります。

    • Git Repository URL (SOURCE_REPOSITORY_URL): サービスのソースを含む Git リポジトリーの URL。
    • Git Reference (SOURCE_REPOSITORY_REF): Git リポジトリーのブランチ。
    • Context Directory (CONTEXT_DIR): Git リポジトリーからダウンロードしたプロジェクト内のソースへのパス。
    • Artifact Directory (ARTIFACT_DIR): Maven の正常なビルド後に必要なバイナリーファイル (KJAR ファイルその他の必要なファイル) を含むプロジェクト内のパス。通常、このディレクトリーはビルドのターゲットディレクトリーですが、Git リポジトリーのこのディレクトリーに事前に設定されたバイナリーを指定できます。
    • ImageStream namespace (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーが利用可能であることの確認」 を参照)、namespace は openshift になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。
  2. 以下のユーザー名とパスワードを設定できます。デフォルトでは、デプロイメントはパスワードを自動的に生成します。

    • KIE Server User (KIE_SERVER_USER) および KIE Server Password (KIE_SERVER_PWD): Decision Server に接続するためにクライアントアプリケーションが使用できるユーザー名およびパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.3. S2I の使用によるイミュータブル Decision Server のイメージストリーム namespace の設定

openshift ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーが利用可能であることの確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

3.1.4. S2I の使用によるイミュータブル Decision Server 用の Business Central インスタンスについての情報の設定

同じ namespace で Business Central インスタンスから Decision Server への接続を有効にする必要がある場合は、Business Central インスタンスについての情報を設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Admin User (KIE_ADMIN_USER) および KIE Admin Password (KIE_ADMIN_PWD): 管理者ユーザーのユーザー名およびパスワード。これらの値は Business Central の KIE_ADMIN_USER および KIE_ADMIN_PWD 設定と同じである必要があります。Business Central で RH-SSO または LDAP 認証を使用する場合には、これらのユーザー名とパスワードの値は、Business Central の管理者ロールを使用して認証システムに設定したユーザー名およびパスワードである必要があります。
    • Name of the Business Central service (DECISION_CENTRAL_SERVICE): Business Central の OpenShift サービス名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.5. S2I の使用によるイミュータブル Decision Server のオプションの Mavenリポジトリーの設定

S2I ビルドを使用してテンプレートをイミュータブル Decision Server をデプロイするように設定する際に、ソースビルドに公開 Maven ツリーで利用可能ではない依存関係が含まれ、別個のカスタム Maven リポジトリーが必要な場合、リポジトリーにアクセスできるようにパラメーターを設定する必要があります。

前提条件

手順

カスタム Maven リポジトリーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven repository URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
  • Maven repository ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
  • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
  • Maven repository password (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.6. S2I の使用によるイミュータブル Decision Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

S2I ビルドを使用してテンプレートをイミュータブル Decision Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven mirror URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は OpenShift 環境の Pod からアクセスできる必要があります。
  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf の値を設定する方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値は external:* です。この値で、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合には、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例" external:*,!repo-rhdmcentr)。
    • 両方のリポジトリーを設定している場合には、ミラーからそれらのリポジトリーを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhdmcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.7. S2I の使用によるイミュータブル Decision Server 用の AMQ サーバーとの通信の設定

rhdm76-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用する場合、Decision Server の JMS 機能が有効にされます。外部の AMQ メッセージブローカーを使用して、JMS API 経由でサーバーと対話できます。

環境に必要な場合は、JMS 設定を変更できます。

前提条件

手順

必要に応じて、お使いの環境に以下のパラメーターのいずれかを設定します。

  • AMQ Username (AMQ_USERNAME) および AMQ Password (AMQ_PASSWORD): ブローカーのユーザー認証が環境で必要な場合の、標準ブローカーユーザーのユーザー名およびパスワード。
  • AMQ Role (AMQ_ROLE): 標準ブローカーユーザーのユーザーロール。デフォルトロールは admin です。
  • AMQ Queues (AMQ_QUEUES): コンマで区切られた AMQ キュー名。これらのキューは、ブローカーが起動し、JBoss EAP サーバーで JNDI リソースとしてアクセス可能になると自動的に作成されます。カスタムのキュー名を使用する場合、同じキュー名を KIE_SERVER_JMS_QUEUE_RESPONSEKIE_SERVER_JMS_QUEUE_REQUESTKIE_SERVER_JMS_QUEUE_SIGNALKIE_SERVER_JMS_QUEUE_AUDIT、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターに設定する必要もあります。
  • AMQ Global Max Size (AMQ_GLOBAL_MAX_SIZE): メッセージデータが消費できるメモリーの最大量。値が指定されない場合は、Pod で利用可能なメモリーの半分が割り当てられます。
  • AMQ Protocols (AMQ_PROTOCOL): コンマで区切られた、Decision Server が AMQ サーバーとの通信に使用できるブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。 openwire のみが JBoss EAP でサポートされます。デフォルト値は openwire です。
  • AMQ Broker Image (AMQ_BROKER_IMAGESTREAM_NAME): AMQ ブローカーイメージのイメージストリーム名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.8. S2I の使用によるイミュータブル Decision Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを S2I ビルドを使用してイミュータブル Decision Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Decision Manager のレルムが RH-SSO 認証システムに作成されていること。
  • Red Hat Decision Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Decision Manager ロールおよびユーザーを参照してください。環境のパラメーターを設定するには、kie-server,rest-all,admin ロールが指定された管理者ユーザーが必要です。このユーザーのデフォルトユーザー名は adminUser です。このユーザーは環境の管理と使用が可能です。
  • クライアントが、デプロイしている Red Hat Decision Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Decision Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「S2I の使用によるイミュータブル Decision Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. テンプレートの KIE_ADMIN_USER および KIE_ADMIN_PASSWORD パラメーターを、RH-SSO 認証システムで作成した管理者ユーザーの名前およびパスワードに設定します。
  2. 以下の必須パラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
    • RH-SSO Disable SSL Certificate Validation (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
  3. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Decision Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central RH-SSO Client name (DECISION_CENTRAL_SSO_CLIENT): Business Central の RH-SSO クライアント名。
      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): Decision Server の RH-SSO クライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
    2. RH-SSO に Red Hat Decision Manager のクライアントを作成する場合は、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): Decision Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Decision Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Decision Manager のコンポーネントの URL が正しいことを確認してください。

3.1.9. S2I の使用によるイミュータブル Decision Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、テンプレートを S2I ビルドを使用してイミュータブル Decision Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • LDAP システムに Red Hat Decision Manager のユーザー名およびパスワードを作成します。利用可能なロールの一覧は、4章Red Hat Decision Manager ロールおよびユーザーを参照してください。この環境のパラメーターを設定するために、最低でも以下のユーザーを作成します。

    • kie-server,rest-all,admin ロールを持つ管理者ユーザー。このユーザーは環境を管理し、これを使用できます。
    • kie-server,rest-all,user ロールを持つサーバーユーザー。このユーザーは Decision Server に対する REST API 呼び出しを実行できます。
  • 「S2I の使用によるイミュータブル Decision Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. LDAP サービスでは、デプロイメントパラメーターですべてのユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名を使用してユーザーを作成します。作成したユーザーにはロールに割り当てる必要もあります。

    • KIE_ADMIN_USER: デフォルトのユーザー名 adminUser、ロール: kie-server,rest-all,admin
    • KIE_SERVER_USER: デフォルトのユーザー名 executionUser、ロール kie-server,rest-all,guest

      LDAP で設定可能なユーザーロールについては、「ロールおよびユーザー」を参照してください。

  2. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended login module」を参照してください。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Decision Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties file path (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole property (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定されている場合には、LDAP サーバーに定義したロールは、マップされたロールに置き換えられます。false に設定されている場合、マップされたロールおよび LDAP サーバーに定義されたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

3.1.10. S2I の使用によるイミュータブル Decision Server の Prometheus メトリクス収集の有効化

Decision Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に Decision Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server Extension Disabled (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始」 の手順に従います。

Prometheus メトリクス収集の方法については、「Managing and monitoring Decision Server」を参照してください。

3.1.11. S2I の使用によるイミュータブル Decision Server テンプレートのデプロイの開始

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI で、Create をクリックします。

    • This will create resources that may have security or project behavior implications」というポップアップメッセージが表示された場合には、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

3.2. KJAR サービスからのイミュータブル Decision Server のデプロイ

KJAR ファイルとしてすでにビルドされているサービスを使用して、イミュータブル Decision Server をデプロイできます。

サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動されると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスは更新されたり、変更されたりすることはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはファイルをリポジトリーから取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。

実行中のイミュータブル Decision Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central を使用すると、モニター情報を表示できます。Decision Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

Business Central が同じ namespace にデプロイされる場合、これはイミュータブル Decision Server を自動的に検出します。Business Central を使用してイミュータブル Decision Server でサービスを起動および停止を実行でき (ただしデプロイはできません)、モニターデータを表示できます。

3.2.1. KJAR サービスでのイミュータブル Decision Server のテンプレート設定の開始

KJAR サービスからイミュータブル Decision Server をデプロイするには、rhdm76-kieserver.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhdm-7.6.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  2. rhdm76-kieserver.yaml テンプレートファイルを展開します。
  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、rhdm76-kieserver.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで、 Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/rhdm76-kieserver.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターを設定するために必要な数の -p PARAMETER = value のペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「KJAR サービスからのイミュータブル Decision Server のパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。

3.2.2. KJAR サービスからのイミュータブル Decision Server のパラメーターの設定

テンプレートをイミュータブル Decision Server を KJAR サービスからデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「Decision Server のシークレットの作成」で作成した Decision Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「Decision Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「Decision Server のシークレットの作成」で作成したキーストアのパスワード。
    • Application Name (APPLICATION_NAME): OpenShift アプリケーションの名前。これは Business Central Monitoring および Decision Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用してデプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの個別のセットを作成できます。別々のアプリケーション名を使用する限り、同じテンプレートを使用して複数のアプリケーションを同じプロジェクトにデプロイできます。また、アプリケーション名は、Decision Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の Decision Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • Maven repository URL (MAVEN_REPO_URL): Maven リポジトリーの URL。Decision Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven repository ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven repository password (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • KIE Server Container Deployment (KIE_SERVER_CONTAINER_DEPLOYMENT): デプロイメントが Maven リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の識別情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。コンテナーのエイリアス名を指定する場合は、 形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> です。以下の例で示されるようにセパレーター | を使用して 2 つ以上の KJAR ファイルを指定できます。

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2
    • KIE Server Mode (KIE_SERVER_MODE): rhdm76-kieserver-*.yaml テンプレートで、デフォルト値は PRODUCTION です。PRODUCTION モードでは、SNAPSHOT バージョンの KJAR アーティファクトは Decision Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION モードで新規バージョンをデプロイするには、同じ Decision Server で新規コンテナーを作成します。SNAPSHOT バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に設定します。
    • ImageStream namespace (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーが利用可能であることの確認」 を参照)、namespace は openshift になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。
  2. 以下のユーザー名とパスワードを設定できます。デフォルトでは、デプロイメントはパスワードを自動的に生成します。

    • KIE Server User (KIE_SERVER_USER) および KIE Server Password (KIE_SERVER_PWD): Decision Server に接続するためにクライアントアプリケーションが使用できるユーザー名およびパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

3.2.3. イミュータブル Decision Server のイメージストリーム namespace の設定

openshift ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーが利用可能であることの確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

3.2.4. KJAR サービスを使用したイミュータブル Decision Server 用の Business Central インスタンスについての情報の設定

同じ namespace で Business Central インスタンスから Decision Server への接続を有効にする必要がある場合は、Business Central インスタンスについての情報を設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Admin User (KIE_ADMIN_USER) および KIE Admin Password (KIE_ADMIN_PWD): 管理者ユーザーのユーザー名およびパスワード。これらの値は Business Central の KIE_ADMIN_USER および KIE_ADMIN_PWD 設定と同じである必要があります。Business Central で RH-SSO または LDAP 認証を使用する場合には、これらのユーザー名とパスワードの値は、Business Central の管理者ロールを使用して認証システムに設定したユーザー名およびパスワードである必要があります。
    • Name of the Business Central service (DECISION_CENTRAL_SERVICE): Business Central の OpenShift サービス名。
  2. 以下の設定が Business Central の同じ設定と同じ値に設定されていることを確認します。

    • Maven repository URL (MAVEN_REPO_URL): サービスのデプロイに使用する必要のある外部 Maven リポジトリーの URL。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven repository password (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

3.2.5. KJAR サービスを使用したイミュータブル Decision Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

KJAR サービスを使用してテンプレートをイミュータブル Decision Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven mirror URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は OpenShift 環境の Pod からアクセスできる必要があります。
  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf の値を設定する方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値は external:* です。この値で、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合には、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例" external:*,!repo-rhdmcentr)。
    • 両方のリポジトリーを設定している場合には、ミラーからそれらのリポジトリーを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhdmcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

3.2.6. KJAR サービスの使用によるイミュータブル Decision Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを KJAR サービスを使用してイミュータブル Decision Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Decision Manager のレルムが RH-SSO 認証システムに作成されていること。
  • Red Hat Decision Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Decision Manager ロールおよびユーザーを参照してください。環境のパラメーターを設定するには、kie-server,rest-all,admin ロールが指定された管理者ユーザーが必要です。このユーザーのデフォルトユーザー名は adminUser です。このユーザーは環境の管理と使用が可能です。
  • クライアントが、デプロイしている Red Hat Decision Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Decision Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「KJAR サービスでのイミュータブル Decision Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. テンプレートの KIE_ADMIN_USER および KIE_ADMIN_PASSWORD パラメーターを、RH-SSO 認証システムで作成した管理者ユーザーの名前およびパスワードに設定します。
  2. 以下の必須パラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Decision Manager の RH-SSO レルム。
    • RH-SSO Disable SSL Certificate Validation (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
  3. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Decision Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central RH-SSO Client name (DECISION_CENTRAL_SSO_CLIENT): Business Central の RH-SSO クライアント名。
      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): Decision Server の RH-SSO クライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
    2. RH-SSO に Red Hat Decision Manager のクライアントを作成する場合は、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): Decision Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): Decision Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Decision Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Decision Manager のコンポーネントの URL が正しいことを確認してください。

3.2.7. KJAR サービスの使用によるイミュータブル Decision Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、テンプレートを KJAR サービスを使用してイミュータブル Decision Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • LDAP システムに Red Hat Decision Manager のユーザー名およびパスワードを作成します。利用可能なロールの一覧は、4章Red Hat Decision Manager ロールおよびユーザーを参照してください。この環境のパラメーターを設定するために、最低でも以下のユーザーを作成します。

    • kie-server,rest-all,admin ロールを持つ管理者ユーザー。このユーザーは環境を管理し、これを使用できます。
    • kie-server,rest-all,user ロールを持つサーバーユーザー。このユーザーは Decision Server に対する REST API 呼び出しを実行できます。
  • 「KJAR サービスでのイミュータブル Decision Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. LDAP サービスでは、デプロイメントパラメーターですべてのユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名を使用してユーザーを作成します。作成したユーザーにはロールに割り当てる必要もあります。

    • KIE_ADMIN_USER: デフォルトのユーザー名 adminUser、ロール: kie-server,rest-all,admin
    • KIE_SERVER_USER: デフォルトのユーザー名 executionUser、ロール kie-server,rest-all,guest

      LDAP で設定可能なユーザーロールについては、「ロールおよびユーザー」を参照してください。

  2. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended login module」を参照してください。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Decision Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties file path (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole property (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定されている場合には、LDAP サーバーに定義したロールは、マップされたロールに置き換えられます。false に設定されている場合、マップされたロールおよび LDAP サーバーに定義されたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

3.2.8. KJAR サービスの使用によるイミュータブル Decision Server からの Prometheus メトリクス収集の有効化

Decision Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に Decision Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server Extension Disabled (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の方法については、「Managing and monitoring Decision Server」を参照してください。

3.2.9. KJAR サービスの使用によるイミュータブル Decision Server テンプレートデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI で、Create をクリックします。

    • This will create resources that may have security or project behavior implications」というポップアップメッセージが表示された場合には、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

3.3. (オプション) LDAP ロールマッピングファイルの指定

AUTH_ROLE_MAPPER_ROLES_PROPERTIES パラメーターを設定する場合には、ロールマッピングを定義するファイルを指定する必要があります。このファイルを影響を受けるすべてのデプロイメント設定にマウントします。

手順

  1. my-role-map などのロールマッピングのプロパティーファイルを作成します。このファイルには、以下の形式のエントリーを含める必要があります。

    ldap_role = product_role1, product_role2...

    以下は例になります。

    admins = kie-server,rest-all,admin
  2. 以下のコマンドを実行して、このファイルから OpenShift 設定ファイルのマップを作成します。

    oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>

    <new_name> は、Pod に指定するファイルの名前 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES ファイルで指定した名前と同じである必要があります) に、<existing_name> は作成したファイル名に置き換えます。以下に例を示します。

    oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map
  3. ロールマッピング用に設定されたすべてのデプロイメント設定に設定マップをマウントします。

    以下のデプロイメント設定は、この環境で影響を受ける可能性があります。

    • myapp-kieserver: Decision Server

    myapp はアプリケーション名に置き換えます。複数の Decision Server デプロイメントが異なるアプリケーション名で存在する場合があります。

    すべてのデプロイメント設定について、以下のコマンドを実行します。

     oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping

    <mapping_dir> は、/opt/eap/standalone/configuration/rolemapping など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES で設定したディレクトリー名 (ファイル名なし) に置き換えます。

第4章 Red Hat Decision Manager ロールおよびユーザー

Business Central または Decision Server にアクセスするには、サーバーを起動する前にユーザーを作成してこれらのユーザーに適切なロールを割り当てる必要があります。本セクションでは、利用可能な Red Hat Decision Manager のユーザーロールについて説明します。

注記

adminanalyst および rest-all ロールは Business Central 用に予約されています。kie-server ロールは Decision Server 用に予約されています。このため、Business Central または Decision Server のいずれか、またはそれら両方がインストールされているかどうかによって、利用可能なロールは異なります。

  • admin: admin ロールを持つユーザーは Business Central 管理者です。これらのユーザーはユーザーの管理や、リポジトリーの作成、クローン作成および管理を実行でき、アプリケーションで必要な変更を行うためのフルアクセスがあります。admin ロールを持つユーザーは、Red Hat Decision Manager 内のすべての領域にアクセスできます。
  • analyst: analyst ロールを持つユーザーにはすべてのハイレベル機能へのアクセスがあり、プロジェクトをモデル化できます。ただし、これらのユーザーは Design → Projects ビューで共同作成者 (contributor) をスペースに追加したり、スペースを削除したりできません。Deploy → Execution Servers ビューへのアクセスは管理者を対象にしており、analyst ロールを持つユーザーは利用できません。ただし、Deploy ボタンは、これらのユーザーが Library パースペクティブにアクセスする際に利用できます。
  • rest-all: rest-all ロールを持つユーザーは、Business Central REST 機能にアクセスできます。
  • kie-server: kie-server ロールが割り当てられたユーザーは、Decision Server (KIE Server) REST のケイパビリティーを使用できます。

第5章 OpenShift テンプレートの参考資料

Red Hat Decision Manager は以下の OpenShift テンプレートを提供します。テンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから、rhdm-7.6.0-openshift-templates.zip の製品配信可能ファイルをダウンロードし、これを展開します。

  • rhdm76-prod-immutable-kieserver.yaml で、イミュータブル Decision Server が設定されます。このテンプレートのデプロイメントには、Decision Server 上で実行予定の 1 つまたは複数サービスの source-to-image (S2I) ビルドが含まれます。このテンプレートに関する詳細は、「rhdm76-prod-immutable-kieserver.yaml テンプレート」を参照してください。
  • rhdm76-prod-immutable-kieserver.yaml で、イミュータブル Decision Server が設定されます。このテンプレートのデプロイメントには、Decision Server 上で実行予定の 1 つまたは複数サービスの source-to-image (S2I) ビルドが含まれます。このバージョンのテンプレートには JMS 統合が含まれます。このテンプレートに関する詳細は、「rhdm76-prod-immutable-kieserver.yaml テンプレート」を参照してください。

5.1. rhdm76-prod-immutable-kieserver.yaml テンプレート

Red Hat Decision Manager 7.6 での実稼働環境におけるイミュータブル KIE サーバー向けのアプリケーションテンプレート (非推奨)

5.1.1. パラメーター

テンプレートを使用すると、値を取るパラメーターを定義できます。この値は、パラメーターが参照される際に置き換えられます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザー名

adminUser

False

KIE_ADMIN_PWD

KIE_ADMIN_PWD

KIE 管理者のパスワード

 — 

False

KIE_SERVER_USER

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

executionUser

False

KIE_SERVER_PWD

KIE_SERVER_PWD

KIE サーバーのパスワード。このパラメーターが設定されていない場合には、パスワードは自動的に生成されます (org.kie.server.pwd システムプロパティーを設定します)。

 — 

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Decision Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhdm-kieserver-rhel8」です。

rhdm-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.6.0」です。

7.6.0

True

KIE_MBEANS

KIE_MBEANS

KIE サーバー mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhdm-kieserver-hellorules=org.openshift.quickstarts:rhdm-kieserver-hellorules:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI。

https://github.com/jboss-container-images/rhdm-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照。

master

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/hello-rules/hellorules

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット

 — 

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE サーバーが使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのビルドおよびデプロイに必要な全アーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE サーバーの Maven ミラー設定

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhdmcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

DECISION_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

myapp-rhdmcentr

False

DECISION_CENTRAL_MAVEN_USERNAME

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

mavenUser

False

DECISION_CENTRAL_MAVEN_PASSWORD

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

maven1!

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合には、全アーカイブまたはターゲットがコピーされます。

 — 

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE サーバーコンテナーのメモリー制限

1Gi

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

True

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE サーバーの RH-SSO クライアント名

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者パスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO Disable SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP 認証情報

Password

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索の開始に使用する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得される userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証されたすべてのユーザーについての組み込まれているロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定されている場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定されている場合には、DN は roleNameATtributeID に対してチェックされます。false に設定されている場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping ログインモジュールが指定したファイルを使用するように設定されます。このパラメーターは、ロールを置換ロールにマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたは名前を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定されている場合は、置き換えられます。

 — 

False

5.1.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.1.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

5.1.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

5.1.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhdm-kieserver-rhel8:7.6.0

rhdm-7/rhdm-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

5.1.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.1.2.4.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

5.1.2.4.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

5.1.2.4.3. Pod テンプレート
5.1.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.1.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.1.2.4.3.3. Readiness プローブ

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

5.1.2.4.3.4. Liveness プローブ

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

5.1.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

5.1.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

${DECISION_CENTRAL_SERVICE}

KIE_ADMIN_USER

KIE 管理者のユーザー名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE サーバー mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーのパスワード。このパラメーターが設定されていない場合には、パスワードは自動的に生成されます (org.kie.server.pwd システムプロパティーを設定します)。

${KIE_SERVER_PWD}

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

KIE サーバーが使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのビルドおよびデプロイに必要な全アーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE サーバーの Maven ミラー設定

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHDMCENTR,EXTERNAL

RHDMCENTR_MAVEN_REPO_ID

 — 

repo-rhdmcentr

RHDMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

${DECISION_CENTRAL_SERVICE}

RHDMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_USERNAME}

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhdmcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者パスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO Disable SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP 認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索の開始に使用する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得される userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証されたすべてのユーザーについての組み込まれているロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定されている場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定されている場合には、DN は roleNameATtributeID に対してチェックされます。false に設定されている場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping ログインモジュールが指定したファイルを使用するように設定されます。このパラメーターは、ロールを置換ロールにマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたは名前を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定されている場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

5.1.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

5.1.2.5. 外部の依存関係

5.1.2.5.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret

5.2. rhdm76-prod-immutable-kieserver-amq.yaml テンプレート

Red Hat Decision Manager 7.6 の ActiveMQ と統合された実稼働環境におけるイミュータブル KIE サーバー向けのアプリケーションテンプレート (非推奨)

5.2.1. パラメーター

テンプレートを使用すると、値を取るパラメーターを定義できます。この値は、パラメーターが参照される際に置き換えられます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザー名

adminUser

False

KIE_ADMIN_PWD

KIE_ADMIN_PWD

KIE 管理者のパスワード

 — 

False

KIE_SERVER_USER

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

executionUser

False

KIE_SERVER_PWD

KIE_SERVER_PWD

KIE サーバーのパスワード。このパラメーターが設定されていない場合には、パスワードは自動的に生成されます (org.kie.server.pwd システムプロパティーを設定します)。

 — 

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Decision Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhdm-kieserver-rhel8」です。

rhdm-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.6.0」です。

7.6.0

True

KIE_MBEANS

KIE_MBEANS

KIE サーバー mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhdm-kieserver-hellorules=org.openshift.quickstarts:rhdm-kieserver-hellorules:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI

https://github.com/jboss-container-images/rhdm-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照

master

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/hello-rules/hellorules

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット

 — 

True

MAVEN_MIRROR_URL

 — 

S2I ビルドに使用する Maven ミラー

 — 

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

DECISION_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

myapp-rhdmcentr

False

DECISION_CENTRAL_MAVEN_USERNAME

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

mavenUser

False

DECISION_CENTRAL_MAVEN_PASSWORD

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

maven1!

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合には、全アーカイブまたはターゲットがコピーされます。

 — 

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE サーバーのコンテナーのメモリー制限

1Gi

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

True

KIE_SERVER_JMS_QUEUE_REQUEST

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

queue/KIE.SERVER.REQUEST

False

KIE_SERVER_JMS_QUEUE_RESPONSE

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

queue/KIE.SERVER.RESPONSE

False

AMQ_USERNAME

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_PASSWORD

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_ROLE

AMQ_ROLE

標準ブローカーユーザーのユーザーロール

admin

True

AMQ_QUEUES

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらは KIE サーバーが必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE および KIE_SERVER_JMS_QUEUE_REQUEST パラメーターと同じ値を使用します。

queue/KIE.SERVER.REQUEST,queue/KIE.SERVER.RESPONSE

False

AMQ_GLOBAL_MAX_SIZE

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合には、システムのメモリーの半分が割り当てられます。

10 gb

False

AMQ_SECRET

 — 

AMQ SSL 関連のファイルが含まれるシークレット名

broker-app-secret

True

AMQ_TRUSTSTORE

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名

broker.ts

False

AMQ_TRUSTSTORE_PASSWORD

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード

changeit

False

AMQ_KEYSTORE

AMQ_KEYSTORE

AMQ キーストアのファイル名

broker.ks

False

AMQ_KEYSTORE_PASSWORD

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード

changeit

False

AMQ_PROTOCOL

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

openwire

False

AMQ_BROKER_IMAGESTREAM_NAME

 — 

AMQ ブローカーイメージストリーム名

amq-broker:7.5

True

AMQ_IMAGE_STREAM_NAMESPACE

 — 

Red Hat AMQ イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

Password

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索の開始に使用する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得される userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定されている場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定されている場合には、DN は roleNameATtributeID に対してチェックされます。false に設定されている場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定されている場合は、置き換えられます。

 — 

False

5.2.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.2.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-amq-jolokia

8161

amq-jolokia-console

ブローカーのコンソールおよび Jolokia ポート

${APPLICATION_NAME}-amq-amqp

5672

amq-amqp

ブローカーの AMQP ポート

${APPLICATION_NAME}-amq-amqp-ssl

5671

amq-amqp-ssl

ブローカーの AMQP SSL ポート

${APPLICATION_NAME}-amq-mqtt

1883

amq-mqtt

ブローカーの MQTT ポート

${APPLICATION_NAME}-amq-mqtt-ssl

8883

amq-mqtt-ssl

ブローカーの MQTT SSL ポート

${APPLICATION_NAME}-amq-stomp

61613

amq-stomp

ブローカーの STOMP ポート

${APPLICATION_NAME}-amq-stomp-ssl

61612

amq-stomp-ssl

ブローカーの STOMP SSL ポート

${APPLICATION_NAME}-amq-tcp

61616

amq-tcp

ブローカーの OpenWire ポート

${APPLICATION_NAME}-amq-tcp-ssl

61617

amq-tcp-ssl

ブローカーの OpenWire (SSL) ポート

5.2.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

${APPLICATION_NAME}-amq-jolokia-console

TLS パススルー

<default>

${APPLICATION_NAME}-amq-tcp-ssl

TLS パススルー

<default>

5.2.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhdm-kieserver-rhel8:7.6.0

rhdm-7/rhdm-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

5.2.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.2.2.4.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-amq

ImageChange

5.2.2.4.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-amq

1

5.2.2.4.3. Pod テンプレート
5.2.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.2.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-amq

${AMQ_BROKER_IMAGESTREAM_NAME}

5.2.2.4.3.3. Readiness プローブ

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-amq

/bin/bash -c /opt/amq/bin/readinessProbe.sh

5.2.2.4.3.4. Liveness プローブ

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

5.2.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-amq

console-jolokia

8161

TCP

amq-amqp

5672

TCP

amqp-ssl

5671

TCP

amq-mqtt

1883

TCP

mqtt-ssl

8883

TCP

amq-stomp

61613

TCP

stomp-ssl

61612

TCP

amq-tcp

61616

TCP

amq-tcp-ssl

61617

TCP

5.2.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

${DECISION_CENTRAL_SERVICE}

KIE_ADMIN_USER

KIE 管理者のユーザー名

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

KIE 管理者のパスワード

${KIE_ADMIN_PWD}

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE サーバー mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_USER

KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します)

${KIE_SERVER_USER}

KIE_SERVER_PWD

KIE サーバーのパスワード。このパラメーターが設定されていない場合には、パスワードは自動的に生成されます (org.kie.server.pwd システムプロパティーを設定します)。

${KIE_SERVER_PWD}

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_REPOS

 — 

RHDMCENTR,EXTERNAL

RHDMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用など)を許可するために使用されるオプションの Decision Central のサービス名

${DECISION_CENTRAL_SERVICE}

RHDMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHDMCENTR_MAVEN_REPO_USERNAME

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_USERNAME}

RHDMCENTR_MAVEN_REPO_PASSWORD

EAP 内の Decision Central がホストする Maven サービスにアクセスするためのパスワード

${DECISION_CENTRAL_MAVEN_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

${KIE_SERVER_JMS_QUEUE_REQUEST}

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

${KIE_SERVER_JMS_QUEUE_RESPONSE}

MQ_SERVICE_PREFIX_MAPPING

 — 

${APPLICATION_NAME}-amq7=AMQ

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

tcp

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらは KIE サーバーが必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE および KIE_SERVER_JMS_QUEUE_REQUEST パラメーターと同じ値を使用します。

${AMQ_QUEUES}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE Server RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE サーバーの RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索の開始に使用する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得される userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定されている場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定されている場合には、DN は roleNameATtributeID に対してチェックされます。false に設定されている場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定されている場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-amq

AMQ_USER

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_ROLE

標準ブローカーユーザーのユーザーロール

${AMQ_ROLE}

AMQ_NAME

 — 

${APPLICATION_NAME}-broker

AMQ_TRANSPORTS

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

${AMQ_PROTOCOL}

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらは KIE サーバーが必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE および KIE_SERVER_JMS_QUEUE_REQUEST パラメーターと同じ値を使用します。

${AMQ_QUEUES}

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合には、システムのメモリーの半分が割り当てられます。

${AMQ_GLOBAL_MAX_SIZE}

AMQ_REQUIRE_LOGIN

 — 

true

AMQ_ANYCAST_PREFIX

 — 

 — 

AMQ_MULTICAST_PREFIX

 — 

 — 

AMQ_KEYSTORE_TRUSTSTORE_DIR

 — 

/etc/amq-secret-volume

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名

${AMQ_TRUSTSTORE}

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード

${AMQ_TRUSTSTORE_PASSWORD}

AMQ_KEYSTORE

AMQ キーストアのファイル名

${AMQ_KEYSTORE}

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード

${AMQ_KEYSTORE_PASSWORD}

5.2.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-amq

broker-secret-volume

/etc/amq-secret-volume

ssl certs

True

5.2.2.5. 外部の依存関係

5.2.2.5.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret broker-app-secret

5.3. OpenShift の使用に関するクイックリファレンス

Red Hat OpenShift Container Platform で Red Hat Decision Manager テンプレートをデプロイし、モニターし、管理し、デプロイ解除するには、OpenShift Web コンソールまたは oc コマンドを使用できます。

Web コンソールの使用に関する説明は、「Web コンソールを使用したイメージの作成およびビルド」を参照してください。

oc コマンドの使用方法に関する詳細は、『CLI リファレンス』を参照してください。以下のコマンドが必要になる可能性があります。

  • プロジェクトを作成するには、以下のコマンドを使用します。

    $ oc new-project <project-name>

    詳細は、「CLI を使用したプロジェクトの作成」を参照してください。

  • テンプレートをデプロイするには (またはテンプレートからアプリケーションを作成するには)、以下のコマンドを実行します。

    $ oc new-app -f <template-name> -p <parameter>=<value> -p <parameter>=<value> ...

    詳細は、「CLI を使用したアプリケーションの作成」を参照してください。

  • プロジェクト内のアクティブな Pod の一覧を表示するには、以下のコマンドを使用します。

    $ oc get pods
  • Pod のデプロイメントが完了し、実行中の状態になっているかどうかなど、Pod の現在のステータスを表示するには、以下のコマンドを使用します。

    $ oc describe pod <pod-name>

    oc describe コマンドを使用して、他のオブジェクトの現在のステータスを表示できます。詳細は、「アプリケーション変更操作」を参照してください。

  • Pod のログを表示するには、以下のコマンドを使用します。

    $ oc logs <pod-name>
  • デプロイメントログを表示するには、テンプレート参照で DeploymentConfig 名を検索し、以下のコマンドを入力します。

    $ oc logs -f dc/<deployment-config-name>

    詳細は、「デプロイメントログの表示」を参照してください。

  • ビルドログを表示するには、テンプレート参照で BuildConfig 名を検索し、以下のコマンドを入力します。

    $ oc logs -f bc/<build-config-name>

    詳細は、「ビルドログへのアクセス」を参照してください。

  • アプリケーションの Pod をスケーリングするには、テンプレート参照で DeploymentConfig 名を検索し、以下のコマンドを入力します。

    $ oc scale dc/<deployment-config-name> --replicas=<number>

    詳細は、「手動のスケーリング」を参照してください。

  • アプリケーションのデプロイメントを解除するには、以下のコマンドを使用してプロジェクトを削除します。

    $ oc delete project <project-name>

    または、oc delete コマンドを使用して、Pod またはレプリケーションコントローラーなど、アプリケーションの一部を削除できます。詳細は、「アプリケーション変更操作」を参照してください。

付録A バージョン情報

本書の最終更新日: 2019 年 10 月 31 日 (木)

法律上の通知

Copyright © 2020 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.