8.7. クラスタリング

8.7.1. JGroups 検索メカニズムの設定

OpenShift で JBoss EAP クラスタリングを有効にするには、JBoss EAP 設定の JGroups プロトコルスタックを設定し、kubernetes.KUBE_PING または openshift.DNS_PING 検索メカニズムのいずれかを使用するようにします。

カスタムの standalone-openshift.xml 設定ファイルを使用することもできますが、環境変数を使用 してイメージビルドで JGroups を設定することが推奨されます。

以下の手順は、環境変数を使用して JBoss EAP for OpenShift イメージの検出メカニズムを設定します。

重要

利用可能なアプリケーションテンプレートの 1 つを使用して、JBoss EAP for OpenShift イメージの上にアプリケーションをデプロイする場合、デフォルトの検索メカニズムは openshift.DNS_PING になります。

openshift.DNS_PING および kubernetes.KUBE_PING 検索メカニズムは互換性がありません。検索に openshift.DNS_PING メカニズムを使用する 1 つの独立した子クラスターと、kubernetes.KUBE_PING メカニズムを使用するもう 1 つの独立した子クラスターを使用して、スーパークラスターを構成することは不可能です。同様に、ローリングアップグレードを実行する場合は、ソースクラスターとターゲットクラスターの両方で同じ検索メカニズムを使用する必要があります。

8.7.1.1. KUBE_PING の設定

KUBE_PING JGroups 検索メカニズムを使用するには、以下を行います。

  1. KUBE_PING を検索メカニズムとして使用するよう JGroups プロトコルスタックを設定する必要があります。

    これには、JGROUPS_PING_PROTOCOL 環境変数を kubernetes.KUBE_PING に設定します。 

    JGROUPS_PING_PROTOCOL=kubernetes.KUBE_PING

  2. KUBERNETES_NAMESPACE 環境変数を OpenShift プロジェクト名に設定する必要があります。設定がないと、サーバーは単一ノードのクラスター (「1 つのクラスター」) として動作します。例を以下に示します。 

    KUBERNETES_NAMESPACE=PROJECT_NAME

  3. KUBERNETES_LABELS 環境変数を設定する必要があります。これは サービスレベルで設定したラベルと一致する必要があります。設定がないと、アプリケーション外部の Pod (namespace にあっても) は参加を試みます。例を以下に示します。 

    KUBERNETES_LABELS=application=APP_NAME

  4. Pod が実行しているサービスアカウントを承認し、Kubernetes の REST API アカウントへのアクセスを許可する必要があります。これは OpenShift CLI を使用して行われます。以下は、現在のプロジェクトの namespace で default サービスアカウントを使用した例になります。 

    oc policy add-role-to-user view system:serviceaccount:$(oc project -q):default -n $(oc project -q)

    プロジェクトの namespace で eap-service-account を使用した例は次のとおりです。 

    oc policy add-role-to-user view system:serviceaccount:$(oc project -q):eap-service-account -n $(oc project -q)
    注記

    サービスアカウントへのポリシーの追加に関する詳細は、「アプリケーションのデプロイメントに向けた OpenShift の準備」を参照してください。

8.7.1.2. DNS_PING の設定

DNS_PING JGroups 検索メカニズムを使用するには、以下を行います。

  1. DNS_PING を検索メカニズムとして使用するよう JGroups プロトコルスタックを設定する必要があります。

    これには、JGROUPS_PING_PROTOCOL 環境変数を openshift.DNS_PING に設定します。 

    JGROUPS_PING_PROTOCOL=openshift.DNS_PING

  2. OPENSHIFT_DNS_PING_SERVICE_NAME 環境変数を、クラスターの ping サービスの名前に設定する必要があります。設定のない場合、サーバーは単一ノードのクラスター (「1 つのクラスター」) のように動作します。 

    OPENSHIFT_DNS_PING_SERVICE_NAME=PING_SERVICE_NAME

  3. OPENSHIFT_DNS_PING_SERVICE_PORT 環境変数を、ping サービスが公開されるポート番号に設定する必要があります。DNS_PING プロトコルは SRV レコードからポートを識別しようとします。 識別できない場合はデフォルトの 8888 になります。 

    OPENSHIFT_DNS_PING_SERVICE_PORT=PING_PORT

  4. ping ポートを公開する ping サービスを定義する必要があります。このサービスはヘッドレスである必要があり (ClusterIP=None)、以下が必要になります。

    1. ポートに名前を付ける必要があります。

    2. "true" に設定された service.alpha.kubernetes.io/tolerate-unready-endpoints アノテーションをサービスに付ける必要があります。

      注記

      このアノテーションを省略すると、起動時に各ノードが独自の「1 つのクラスター」を構成することになり、他のノードは起動後まで検出されないため、起動後に他のノードのクラスターとマージすることになります。 

      kind: Service
apiVersion: v1
spec:
    clusterIP: None
    ports:
    - name: ping
      port: 8888
    selector:
        deploymentConfig: eap-app
metadata:
    name: eap-app-ping
    annotations:
        service.alpha.kubernetes.io/tolerate-unready-endpoints: "true"
        description: "The JGroups ping port for clustering."
注記

DNS_PING はサービスアカウントへの変更が必要なく、デフォルトのパーミッションを使用して動作します。

8.7.2. クラスタートラフィックを暗号化するため JGroups を設定

OpenShift でJBoss EAP のクラスタートラフィックを暗号化するには、SYM_ENCRYPT または ASYM_ENCRYPT プロトコルのいずれかを使用するよう、JBoss EAP 設定の JGroups プロトコルスタックを設定する必要があります。

カスタムの standalone-openshift.xml 設定ファイルを使用することもできますが、環境変数を使用 してイメージビルドで JGroups を設定することが推奨されます。

以下の手順は、環境変数を使用して、JBoss EAP for OpenShift イメージのクラスタートラフィックの暗号化にプロトコルを設定します。

重要

SYM_ENCRYPT および ASYM_ENCRYPT プロトコルは互換性がありません。クラスタートラフィックの暗号化に SYM_ENCRYPT を使用する 1 つの独立した子クラスターと、ASYM_ENCRYPT プロトコルを使用する別の独立した子クラスターの 2 つを使用してスーパークラスターを構成するのは不可能です。同様に、ローリングアップグレードを実行する場合は、ソースおよびターゲットクラスターの両方で同じプロトコルを使用する必要があります。

8.7.2.1. SYM_ENCRYPT の設定

SYM_ENCRYPT プロトコルを使用して JGroups クラスタートラフィックを暗号化するには、以下を行います。

  1. SYM_ENCRYPT を暗号化プロトコルをして使用するよう、JGroups プロトコルスタックを設定する必要があります。

    これには、JGROUPS_ENCRYPT_PROTOCOL 環境変数を SYM_ENCRYPT に設定します。 

    JGROUPS_ENCRYPT_PROTOCOL=SYM_ENCRYPT

  2. JGROUPS_ENCRYPT_SECRET 環境変数を、JGroups の通信をセキュアにするために使用される JGroups キーストアファイルが含まれるシークレットの名前に設定する必要があります。設定しないと、クラスター通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_ENCRYPT_SECRET=eap7-app-secret

  3. JGROUPS_ENCRYPT_KEYSTORE_DIR 環境変数を、JGROUPS_ENCRYPT_SECRET 変数を介して指定されるシークレット内にあるキーストアファイルのディレクトリーパスに設定する必要があります。設定しないと、クラスター通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_ENCRYPT_KEYSTORE_DIR=/etc/jgroups-encrypt-secret-volume

  4. JGROUPS_ENCRYPT_KEYSTORE 環境変数を、JGROUPS_ENCRYPT_SECRET 変数を介して指定されるシークレット内にあるキーストアファイルの名前に設定する必要があります。設定しないと、クラスター通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_ENCRYPT_KEYSTORE=jgroups.jceks

  5. JGROUPS_ENCRYPT_NAME 環境変数を、サーバーの証明書に関連する名前に設定する必要があります。設定しないと、クラスター通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_ENCRYPT_NAME=jgroups

  6. JGROUPS_ENCRYPT_PASSWORD 環境変数を、キーストアおよび証明書にアクセスするために使用されるパスワードに設定する必要があります。設定しないと、クラスター通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_ENCRYPT_PASSWORD=mypassword

8.7.2.2. ASYM_ENCRYPT の設定

ASYM_ENCRYPT プロトコルを使用して JGroups クラスタートラフィックを暗号化するには、以下を行います。

  1. ASYM_ENCRYPT を暗号化プロトコルをして使用するよう、JGroups プロトコルスタックを設定する必要があります。

    これには、JGROUPS_ENCRYPT_PROTOCOL 環境変数を ASYM_ENCRYPT に設定します。 

    JGROUPS_ENCRYPT_PROTOCOL=ASYM_ENCRYPT

  2. JGROUPS_CLUSTER_PASSWORD 環境変数を、ノードの認証に使用されるパスワードに設定し、JGroups クラスターに参加できるようにする必要があります。設定がないと、認証は無効になり、クラスターの通信は暗号化されず、警告が発生します。例を以下に示します。 

    JGROUPS_CLUSTER_PASSWORD=mypassword
注記

ASYM_ENCRYPT を設定し、SYM_ENCRYPT に必要な環境変数も定義した場合、SYM_ENCRYPT 環境変数は無視され、警告が発生します。このような場合でも、クラスターの通信は ASYM_ENCRYPT を使用して暗号化されます。