Red Hat OpenShift Container Platform への Red Hat Process Automation Manager のデプロイ

Red Hat Process Automation Manager 7.10

概要

本ガイドでは、オーサリング環境、管理サーバー環境、イミュータブルサーバー環境、その他のサポートされる環境など、Red Hat OpenShift Container Platform でさまざまな Red Hat Process Automation Manager 環境をデプロイする方法を説明します。

はじめに

開発者またはシステム管理者は、オーサリング環境、管理サーバー環境、イミュータブルサーバー環境、その他のサポートされる環境など、Red Hat OpenShift Container Platform でさまざまな Red Hat Process Automation Manager 環境をデプロイできます。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みにより、これらの変更は今後の複数のリリースに対して段階的に実施されます。詳細は、弊社の CTO である Chris Wright のメッセージ を参照してください。

パート I. Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Process Automation Manager 環境のデプロイメント

システムエンジニアは、Red Hat OpenShift Container Platform 4 に Red Hat Process Automation Manager 環境をデプロイして、サービス、プロセスアプリケーション、およびその他のビジネスアセットを開発または実行するインフラストラクチャーを提供します。OpenShift Operator を使用して、構造化された YAML ファイルに定義された環境をデプロイして、必要に応じてこの環境を維持して変更できます。

注記

テンプレートを使用した Red Hat OpenShift Container Platform 3 への Red Hat Process Automation Manager 環境のデプロイに関する説明は、テンプレートを使用した Red Hat OpenShift Container Platform 3 への Red Hat Process Automation Manager 環境のデプロイメント を参照してください。

前提条件

  • Red Hat OpenShift Container Platform 4 の環境を利用できる。現在のリリースがサポートする OpenShift Container Platform の正確なバージョンについては、Red Hat Process Automation Manager 7 でサポートされる設定 を参照してください。
  • デプロイメントする OpenShift プロジェクトが作成されている。
  • OpenShift Web コンソールを使用してプロジェクトにログインしている。

  • 以下のリソースが OpenShift クラスターで利用できる。アプリケーションの負荷によっては、許容可能なパフォーマンスのために、より多くのリソース割り当てが必要になることがあります。

    • オーサリング環境の場合は、Business Central Pod 用に 4 ギガバイトのメモリーと 2 つの仮想 CPU コアが必要です。高可用性のデプロイメントでは、レプリカごとにこれらのリソースが必要で、2 つのレプリカがデフォルトで作成されます。
    • 実稼働環境またはイミュータブルな環境の場合は、Business Central Monitoring Pod の各レプリカに 2 ギガバイトのメモリーと 1 つの仮想 CPU コアが指定されます。
    • 各 KIE Server Pod の各レプリカについて、2 ギガバイトのメモリーと 1 つの仮想 CPU コア。
    • Smart Router Pod の各レプリカについて、1 ギガバイトのメモリーと半分の仮想 CPU コア。

    • 高可用性オーサリングのデプロイメントでは、MySQL、Red Hat AMQ、および Red Hat Data Grid の Pod に、設定されたデフォルトに応じて追加のリソースが必要になります。

      注記

      MaxMetaspaceSize のデフォルト値は以下の通りです。

      • Business Central イメージ: 1024m
      • KIE Server イメージ: 512m
      • その他のイメージ: 256m

  • 動的永続ボリューム (PV) のプロビジョニングが有効になっている。または、動的 PV プロビジョニングが有効でない場合は、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、デプロイされるコンポーネントには以下の PV サイズが必要です。

    • それぞれの KIE Server デプロイメントで、このデータベースに 1 つの 1Gi PV が必要になります。データベース PV のサイズは変更できます。複数の KIE Server をデプロイでき、それぞれに異なるデータベース PV が必要になります。この要件は、外部データベースサーバーを使用する場合には適用されません。
    • デフォルトでは、Business Central は 1 Gi 分の PV が必要です。Business Central 永続ストレージの PV サイズを変更できます。
    • Business Central Monitoring には、1 つの 64Mi PV が必要です。
    • Smart Router には、1 つの 64Mi PV が必要です。
  • 高可用性オーサリング環境は Business Central Monitoring の Pod がある環境をデプロイする場合、OpenShift 環境は ReadWriteMany モードで永続ボリュームをサポートします。ご使用の環境がこのモードに対応していない場合は、NFS を使用してボリュームをプロビジョニングできます。OpenShift のパブリックおよび専用クラウドでのアクセスモードのサポートに関する情報は、Red Hat OpenShift Container Platform ドキュメントの アクセスモード を参照してください。

第1章 Red Hat OpenShift Container Platform における Red Hat Process Automation Manager の概要

Red Hat Process Automation Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。

この場合に、Red Hat Process Automation Manager のコンポーネントは、別の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。標準の OpenShift の手法を使用して Pod を管理し、負荷を分散できます。

以下の Red Hat Process Automation Manager の主要コンポーネントが OpenShift で利用できます。

  • KIE Server (実行サーバー (Execution Server) とも呼ばれる) は、デシジョンサービス、プロセスアプリケーション、およびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスのすべてのロジックは実行サーバーで実行されます。

    通常、KIE Server にはデータベースサーバーが必要です。別の OpenShift Pod にデータベースサーバーを提供したり、別のデータベースサーバーを使用するように OpenShift で実行サーバーを設定したりできます。また、KIE Server では H2 データベースを使用できますが、使用する場合は、Pod をスケーリングできません。

    一部のテンプレートでは、KIE Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じデータベースサーバーを使用し、同じサービスを実行します。OpenShift は負荷分散を提供しているため、要求はどの Pod でも処理できます。

    KIE Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の KIE Server Pod を必要な数だけ設定することができます。

  • Business Central は、オーサリングサービスに対する Web ベースのインタラクティブ環境です。また、管理および監視コンソールも提供します。Business Central を使用してサービスを開発し、それらを KIE Server にデプロイできます。また、Business Central を使用してプロセスの実行を監視することもできます。

    Business Central は一元化アプリケーションです。複数の Pod を実行し、同じデータを共有する高可用性用に設定できます。

    Business Central には開発するサービスのソースを保管する Git リポジトリーが含まれます。また、ビルトインの Maven リポジトリーも含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。

  • Business Central Monitoring は Web ベースの管理および監視コンソールです。KIE Server へのサービスのデプロイメントを管理し、監視情報を提供しますが、オーサリング機能は含まれません。このコンポーネントを使用して、ステージング環境および実稼働環境を管理できます。
  • Smart Router は、KIE Server と、KIE Server と対話するその他のコンポーネントとの間の任意のレイヤーです。環境に、複数の KIE Server で実行するサービスが多数含まれる場合、Smart Router はすべてのクライアントアプリケーションに対応するエンドポイントを 1 つ提供します。クライアントアプリケーションは、サービスを要求する REST API 呼び出しを実行できます。Smart Router は、特定の要求を処理できる KIE Server を自動的に呼び出します。

OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。

1.1. オーサリング環境のアーキテクチャー

Red Hat Process Automation Manager では、Business Central のコンポーネントに、オーサリングサービス用の Web ベースの対話型ユーザーインターフェイスが含まれています。KIE Server のコンポーネントでこれらのサービスを実行します。

KIE Server は、データベースサーバーを使用して、プロセスサービスの状態を保存します。

Business Central を使用して、KIE Server 上でサービスをデプロイすることもできます。複数の KIE Server を使用して異なるサービスを実行して同じ Business Central から複数のサーバーを制御できます。

単一のオーサリング環境

単一のオーサリング環境では、Business Central のインスタンスが 1 つだけ実行されます。複数のユーザーが同時に Web インターフェイスにアクセスできますが、パフォーマンスが制限される可能性があり、フェイルオーバー機能はありません。

Business Central には、開発したサービスの各種ビルドバージョン (KJAR ファイル/アーティファクト) を格納する、ビルトイン Maven リポジトリーが含まれています。継続的インテグレーション/継続的デプロイメント (CICD) ツールを使用して、リポジトリーからこのようなアーティファクトを取得し、必要に応じて移動できます。

Business Central は、ビルトインの Git リポジトリーにソースコードを保存します (.niogit ディレクトリーに保存)。組み込まれたインデックスメカニズムを使用して、サービス内でアセットをインデックス化します。

Business Central では、Maven リポジトリーと Git リポジトリーに永続ストレージを使用します。

単一のオーサリング環境には、デフォルトで KIE Server が 1 台含まれています。この KIE Server は、ビルトインの H2 データベースエンジンを使用して、プロセスサービスの状態を保存します。

単一のオーサリング環境では、コントローラーストラテジー を使用できます。Business Central には、KIE Server を管理できるコンポーネントである コントローラー が含まれています。Business Central に接続するように KIE Server を設定した場合、KIE Server は REST API を使用してコントローラーに接続します。この接続を使用すると、WebSocket が永続的に解放されます。コントローラーストラテジーを使用する OpenShift デプロイメントでは、KIE Server はそれぞれ、Business Central コントローラーに接続するように初期設定されます。

Business Central ユーザーインターフェイスを使用して KIE Server でサービスをデプロイしたり管理したりする場合、KIE Server はコントローラー接続の WebSocket を使用して要求を受け取ります。サービスをデプロイする場合は、KIE Server が Business Central の一部である Maven リポジトリーから必要なアーティファクトを要求します。

クライアントアプリケーションは、REST API 経由で、KIE Server で実行されるサービスを使用します。

図1.1 単一のオーサリング環境のアーキテクチャー図

KIE Server のクラスターリングと複数の KIE Server の使用

KIE Server Pod をスケーリングして、KIE Server のクラスター環境を実行できます。KIE Server をスケーリングするには、ビルトインの H2 データベースエンジンではなく、別の Pod でデータベースサーバーを使用するか、外部のデータベースサーバーを使用する必要があります。

クラスターデプロイメントでは、複数の KIE Server インスタンスが同じサービスを実行します。このようなサーバーは、Business Central コントローラーから同じ要求を受信できるように、同じサーバー ID を使用して Business Central コントローラーに接続します。Red Hat OpenShift Container Platform ではサーバー間の負荷分散が可能です。同じクライアントからの要求が別のインスタンスで処理される可能性があるため、クラスター化された KIE Server で実行するデシジョンサービスや Business Optimizer のサービスは、ステートレスでなければなりません。

独立した KIE Server を複数デプロイして、異なるサービスを実行することも可能です。このような場合、サーバーは異なるサーバー ID 値を指定して Business Central コントローラーに接続します。各サーバーにサービスをデプロイする場合は、Business Central UI を使用できます。

Smart Router

任意の Smart Router コンポーネントは、クライアントアプリケーションと KIE Server の間にレイヤーを提供します。独立した KIE Server を複数使用する場合に役立ちます。

クライアントアプリケーションは、異なる KIE Server で実行されるサービスを使用できますが、常に Smart Router に接続されます。Smart Router は自動的に、必要なサービスを実行する KIE Server に要求を渡します。また、Smart Router では、サービスのバージョン管理も可能で、追加の負荷分散レイヤーも提供されます。

高可用性オーサリング環境

高可用性 (HA) のオーサリング環境では Business Central Pod がスケーリングされるため、複数の Business Central インスタンスが実行されます。Red Hat OpenShift Container Platform は、ユーザー要求の負荷分散を提供します。この環境は、複数のユーザーに最適なパフォーマンスを提供し、フェイルオーバーをサポートします。

Business Central の各インスタンスには、構築されたアーティファクト用の Maven リポジトリーが含まれており、ソースコードには .niogit の Git リポジトリーを使用します。このインスタンスは、リポジトリー用に共有の永続ストレージを使用します。このストレージには、ReadWriteMany アクセス権のある永続ボリュームが必要です。

Red Hat DataGrid のインスタンスは、Business Central で開発されたすべてのプロジェクトとアセットをインデックス化します。

Red Hat AMQ インスタンスは、Business Central のすべてのインスタンス間に、Java CDI メッセージを伝播します。たとえば、新規プロジェクトが作成された場合、アセットがインスタンスの 1 つでロックまたは変更された場合に、その情報が即座に他の全インスタンスで反映されます。

コントローラーストラテジーは、クラスターデプロイメントには適していません。OpenShift デプロイメントの場合は、高可用性の Business Central はOpenShift スタートアップストラテジー を使用して KIE Server を管理する必要があります。

KIE Server デプロイメント (スケーリング可能) ごとに、現在の状態を反映する ConfigMap を作成します。Business Central は、ConfigMap を読み込むことで全 KIE Server を検出します。

ユーザーが KIE Server 設定 (例: サービスのデプロイまたはアンデプロイ) で変更を要求した場合に、Business Central は KIE Server への接続を開始し、REST API 要求を送信します。KIE Server は、全インスタンスが再デプロイされ、新規設定が反映されるように、ConfigMap を変更して新しい設定の状態を反映し、独自の再デプロイをトリガーします。

OpenShift 環境で、独立した KIE Server を複数デプロイできます。KIE Server にはそれぞれ、必要な設定が指定された個別の ConfigMap が設定されます。KIE Server は個別にスケーリングできます。

OpenShift デプロイメントに、Smart Router を追加できます。

図1.2 高可用性オーサリング環境のアーキテクチャー図

第2章 OpenShift 環境に Red Hat Process Automation Manager をデプロイする準備

OpenShift 環境に Red Hat Process Automation Manager をデプロイする前に、手順をいくつか完了する必要があります。追加イメージ (たとえば、プロセスの新しいバージョン、または別のプロセス) をデプロイする場合は、この手順を繰り返す必要はありません。

注記

トライアル環境をデプロイする場合は、「Red Hat レジストリーに対してお使いの環境が認証されていることを確認する方法」 で説明されている手順を完了し、その他の準備手順は行わないでください。

2.1. Red Hat レジストリーに対してお使いの環境が認証されていることを確認する方法

Red Hat OpenShift Container Platform の Red Hat Process Automation Manager コンポーネントをデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認します。

OpenShift は、お使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーへの認証が行われるように設定する必要があります。この設定は namespace ごとに固有であり、Operator が機能している場合は、openshift namespace に対する設定がすでに完了しています。

ただし、Red Hat Process Automation Manager のイメージストリームが openshift 名前空間にない場合や、Red Hat Process Automation Manager を新規バージョンに自動更新するように設定されている場合、Operator はこのプロジェクトの名前空間にイメージをダウンロードする必要があります。対象の名前空間の認証設定を完了する必要があります。

手順

  1. oc コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。
  2. Registry Service Accounts for Shared Environments で説明されている手順を実行します。Red Hat カスタマーポータルにログインして、このドキュメントにアクセスし、レジストリーサービスアカウントを作成する手順を実行します。
  3. OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
  4. ダウンロードしたファイルを確認して、name: エントリーに記載の名前をメモします。

  5. 以下のコマンドを実行します。 

    oc create -f <file_name>.yaml
oc secrets link default <secret_name> --for=pull
oc secrets link builder <secret_name> --for=pull

    <file_name> はダウンロードしたファイルに、<secret_name> はファイルの name: のエントリーに記載されている名前に置き換えてください。

2.2. KIE Server のシークレットの作成

OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、Red hat OpenShift Container Platform ドキュメントの シークレットの概要 を参照してください。

KIE Server では HTTPS でアクセスできるように SSL 証明書を使用します。このデプロイメントでは、サンプルシークレットを自動的に作成できます。ただし、実稼働環境では、KIE Server の SSL 証明書を作成し、これをシークレットとして OpenShift 環境に提供する必要があります。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、想定されている KIE Server の URL と一致する、有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット kieserver-app-secret を生成します。 

    $ oc create secret generic kieserver-app-secret --from-file=keystore.jks

2.3. Business Central へのシークレットの作成

HTTPS アクセスを提供するために、Business Central では SSL 証明書を使用します。このデプロイメントでは、サンプルシークレットを自動的に作成できます。ただし、実稼働環境では、Business Central の SSL 証明書を作成し、これをシークレットとして OpenShift 環境に提供する必要があります。

Business Central と KIE Server に同じ証明書およびキーストアを使用しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、Business Central の予想される URL と一致する有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット businesscentral-app-secret を生成します。 

    $ oc create secret generic businesscentral-app-secret --from-file=keystore.jks

2.4. AMQ ブローカー接続のシークレットの作成

KIE Server を AMQ ブローカーに接続し、AMQ ブローカー接続に SSL を使用する場合は、接続の SSL 証明書を作成し、これを OpenShift 環境にシークレットとして指定する必要があります。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、AMQ ブローカー接続の予想される URL に一致する有効な署名済みの証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルから broker-app-secret という名前のシークレットを生成します。 

    $ oc create secret generic broker-app-secret --from-file=keystore.jks

2.5. Smart Router のシークレットの作成

HTTPS アクセスを提供するために、Smart Router では SSL 証明書を使用します。このデプロイメントでは、サンプルシークレットを自動的に作成できます。ただし、実稼働環境では、Smart Router の SSL 証明書を作成し、これをシークレットとして OpenShift 環境に提供する必要があります。

Smart Router の証明書およびキーストアに、KIE Server または Business Central で使用されているものと同じものを指定しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、Smart Router の予想される URL と一致する有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット smartrouter-app-secret を生成します。 

    $ oc create secret generic smartrouter-app-secret --from-file=keystore.jks

2.6. 外部データベースのカスタム KIE Server 拡張イメージのビルド

KIE Server に外部データベースサーバーを使用し、そのデータベースサーバーが MySQL または PostgreSQL 以外の場合は、環境をデプロイする前にこのサーバー用のドライバーを使用するカスタムの KIE Server 拡張イメージをビルドする必要があります。

このビルド手順の手順を完了して、次のデータベースサーバーのいずれかにドライバーを提供します。

  • Microsoft SQL Server
  • IBM DB2
  • Oracle データベース
  • Sybase

必要に応じて、この手順を使用して、以下のデータベースサーバーのいずれかに対応する新しいバージョンのドライバーをビルドできます。

  • MySQL
  • MariaDB
  • PostgreSQL

データベースサーバーのサポートされるバージョンについては、Red Hat Process Automation Manager 7 でサポートされる設定 を参照してください。

ビルド手順では、既存の KIE Server イメージを拡張するカスタム拡張イメージを作成します。このカスタム拡張イメージは OpenShift 環境にインポートしてから、EXTENSIONS_IMAGE パラメーターで参照する必要があります。

前提条件

  • oc コマンドを使用して OpenShift 環境にログインしている。OpenShift ユーザーには registry-editor ロールが必要です。
  • Oracle Database、IBM DB2、または Sybase の場合は、データベースサーバーベンダーから JDBC ドライバーをダウンロードしている。

  • 以下の必要なソフトウェアをインストールしている。

    • Docker: インストール手順は、Get Docker を参照してください。
    • Cekit バージョン 3.2: インストール手順は、Installation を参照してください。

    • Cekit の以下のライブラリーおよび拡張機能。詳細は、Dependencies を参照してください。

      • docker: python3-docker パッケージまたは同様のパッケージで提供される。
      • docker-squash: python3-docker-squash または同様のパッケージで提供される。
      • behave: python3-behave パッケージまたは同様のパッケージで提供される。

手順

  1. IBM DB2、Oracle Database、または Sybase の場合、JDBC ドライバー JAR ファイルをローカルディレクトリーに指定します。
  2. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  3. ファイルを展開し、コマンドラインを使用して解凍したファイルの templates/contrib/jdbc/cekit ディレクトリーに移動します。このディレクトリーには、カスタムビルドのソースコードが含まれます。

  4. データベースサーバーのタイプに応じて、以下のコマンドのいずれかを入力します。

    • Microsoft SQL Server の場合: 

      make mssql

    • MySQL の場合: 

      make mysql

    • PostgreSQL の場合: 

      make postgresql

    • MariaDB の場合: 

      make mariadb

    • IBM DB2 の場合: 

      make db2 artifact=/tmp/db2jcc4.jar version=10.2

      このコマンドで、/tmp/db2jcc4.jar を IBM DB2 ドライバーのパス名に置き換え、10.2 をドライバーのバージョンに置き換えます。

    • Oracle Database の場合: 

      make oracle artifact=/tmp/ojdbc7.jar version=7.0

      このコマンドで、/tmp/ojdbc7.jar を Oracle Database ドライバーのパス名に置き換え、7.0 をドライバーのバージョンに置き換えます。

    • Sybase の場合: 

      make build sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05

      このコマンドで、/tmp/jconn4-16.0_PL05.jar をダウンロードされた Sybase ドライバーのパス名に置き換え、16.0_PL05 をドライバーのバージョンに置き換えます。

      または、Sybase ドライバーのドライバークラスまたはドライバーの XA クラスを更新する必要がある場合は、以下のコマンドに DRIVER_CLASS 変数または DRIVER_XA_CLASS 変数を設定してください。 

      export DRIVER_CLASS=another.class.Sybase && make sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05

  5. 以下のコマンドを入力して、ローカルで利用可能な Docker イメージを一覧表示します。 

    docker images

    ビルドされたイメージの名前 (例: jboss-kie-db2-extension-openshift-image) およびイメージのバージョンタグ (11.1.4.4 など (latest タグではない)) をメモします。

  6. OpenShift 環境のレジストリーに直接アクセスし、イメージをレジストリーにプッシュします。ユーザーパーミッションに応じて、イメージを openshift 名前空間またはプロジェクト名前空間にプッシュできます。レジストリーへのアクセスおよびイメージのプッシュの手順については、Red Hat OpenShift Container Platform 製品ドキュメントの クラスターからレジストリーへの直接アクセス を参照してください。

2.7. Git フックの準備

オーサリング環境では、Business Central のプロジェクトのソースコードが変更された場合に Git フックを使用してカスタムの操作を実行できます。Git フックは一般的に、アップストリームのリポジトリーを操作する時に使用します。

Git フックが SSH 認証を使用してアップストリームのリポジトリーを操作できるようにするには、リポジトリーに、認証用の秘密鍵と既知のホストファイルも指定する必要があります。

Git フックを設定しない場合は、この手順を飛ばして次に進んでください。

手順

  1. Git フックファイルを作成します。方法は、Git hooks reference documentation を参照してください。

    注記

    Business Central では pre-commit スクリプトはサポートされません。post-commit スクリプトを使用してください。

  2. 設定マップ (ConfigMap)、またはこれらのファイルを含む永続ボリュームを作成します。

    • Git フックが 1 つまたは複数の固定スクリプトファイルで設定される場合は、oc コマンドを使用して設定アップを作成します。以下に例を示します。 

      oc create configmap git-hooks --from-file=post-commit=post-commit

    • Git フックはロングファイルで設定されるか、実行可能ファイルや JAR ファイルなどのバイナリーに依存する場合は、永続ボリュームを使用します。永続ボリュームと永続ボリューム要求を作成し、ボリュームと要求を関連付けて、このファイルをボリュームに転送する必要があります。

      永続ボリュームおよび永続ボリューム要求の説明は、Red Hat OpenShift Container Platform ドキュメントの ストレージ を参照してください。永続ボリュームへのファイルのコピー方法は、Transferring files in and out of containers を参照してください。

  3. Git フックスクリプトが SSH 認証を使用してアップストリームのリポジトリーと対話する必要がある場合は、必要なファイルでシークレットを作成します。

    1. リポジトリーに格納されている公開鍵に一致する秘密鍵を使用して、id_rsa ファイルを作成します。
    2. リポジトリーの正しい名前、アドレス、公開鍵で known_hosts ファイルを作成します。

    3. 以下のように oc コマンドを使用して、2 つのファイルでシークレットを作成します。 

      oc create secret git-hooks-secret --from-file=id_rsa=id_rsa --from-file=known_hosts=known_hosts
      注記

      デプロイメントでこのシークレットを使用する場合は、id_rsaknown_hosts ファイルを、Business Central の Pod にある /home/jboss/.ssh ディレクトリーにマウントします。

2.8. NFS を使用した ReadWriteMany アクセスモードの永続ボリュームのプロビジョニング

Business Central Monitoring または高可用性 Business Central をデプロイする場合、ご使用の環境は ReadWriteMany アクセスモードで永続ボリュームをプロビジョニングする必要があります。

お使いの設定で ReadWriteMany アクセスモードの永続ボリュームのプロビジョニングが必要であるものの、環境がそのようなプロビジョニングに対応しない場合は、NFS を使用してボリュームをプロビジョニングします。それ以外の場合、この手順は省略します。

手順

NFS サーバーをデプロイし、NFS を使用して永続ボリュームをプロビジョニングします。NFS を使用して永続ボリュームをプロビジョニングする方法は、OpenShift Container Platform ストレージ の NFS を使用した永続ストレージのセクションを参照してください。

2.9. S2I ビルドに使用する Business Central からのソースコードの展開

Source-to-Image (S2I) プロセスを使用してイミュータブル KIE Server を作成する予定がある場合は、Git リポジトリーにサービスのソースコードを提供する必要があります。オーサリングサービスに Business Central を使用する場合は、サービスのソースコードを展開して、S2I ビルドを使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

S2I プロセスを使用する予定がない場合や、サービスのオーサリングに Business Central を使用していない場合は、この手順を飛ばして次に進んでください。

手順

  1. 以下のコマンドを使用してソースコードを展開します。 

    git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>

    このコマンドでは、以下の変数を置き換えてください。

    • <business-central-host>: Business Central を実行しているホスト
    • <MySpace>: プロジェクトが配置された Business Central 領域の名前
    • <MyProject>: プロジェクトの名前
    注記

    Business Central でプロジェクトの完全な URL を表示するには、MenuDesign<MyProject>Settings の順にクリックします。

    注記

    HTTPS 通信に自己署名証明書を使用している場合にこのコマンドを実行すると、エラーメッセージ SSL certificate problem が表示され失敗する可能性があります。このような場合は、GIT_SSL_NO_VERIFY 環境変数を使用するなど、git で SSL 証明書の検証を無効にします。 

    env GIT_SSL_NO_VERIFY=true git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>
  2. S2I ビルドの別の Git リポジトリー (GitHub または GitLab など) へのソースコードのアップロード

2.10. ネットワークが制限された環境でのデプロイメントの準備

公開インターネットに接続されていないネットワークが制限された環境に Red Hat Process Automation Manager をデプロイできます。ネットワークが制限された環境での Operator のデプロイメント方法は、ネットワークが制限された環境での Operator Lifecycle Manager の使用 を参照してください。

重要

Red Hat Process Automation Manager 7.10 では、制限付きネットワークへのデプロイはテクノロジープレビュー専用です。Red Hat のテクノロジープレビュー機能のサポートの詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

公開インターネットへの送信アクセスが設定されていないデプロイメントを使用するには、必要なすべてのアーティファクトのミラーが含まれる Maven リポジトリーを用意する必要もあります。このリポジトリーを作成する方法は、「オフラインで使用する Maven ミラーリポジトリーの用意」 を参照してください。

2.11. オフラインで使用する Maven ミラーリポジトリーの用意

Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。

注記

Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合は、この手順を飛ばして次に進むことができます。

前提条件

  • 公開インターネットへの送信アクセスが設定されているコンピューターが利用できる。

手順

  1. 書き込みアクセス権がある Maven リリースリポジトリーを設定します。リポジトリーは認証なしで読み取りアクセスを許可する必要があり、OpenShift 環境にはこのリポジトリーへのネットワークアクセスが必要です。

    OpenShift 環境に、Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、Red Hat OpenShift Container Platform 3.11 ドキュメントの Nexus の設定 を参照してください。記載の手順は、OpenShift Container Platform 4 にも該当します。

    このリポジトリーをミラーとして使用し、公開されている Maven アーティファクトをホストします。これらのサービスをイミュータブルサーバーに展開したり、Business Central の監視を使用して管理対象サーバーに展開したりするために、このリポジトリーで独自のサービスを提供することもできます。

  2. 公開インターネットに送信アクセスができるコンピューターで、以下のアクションを実行します。

  3. Red Hat カスタマーポータルの Software Downloads ページに移動し (ログインが必要)、ドロップダウンオプションから製品およびバージョンを選択します。

    • 製品: Red Hat Process Automation Manager

    • バージョン: 7.10

      1. Red Hat Process Automation Manager 7.10.0 Offliner Content List (rhpam-7.10.0-offliner.zip) の製品配信可能ファイルをダウンロードして展開します。
      2. rhpam-7.10.0-offliner.zip ファイルの内容を任意のディレクトリーに展開します。

      3. ディレクトリーに移動し、以下のコマンドを入力します。 

        ./offline-repo-builder.sh offliner.txt

        このコマンドは、repository サブディレクトリーを作成し、必要なアーティファクトをこのサブディレクトリーにダウンロードします。これはミラーリポジトリーです。

        一部のダウンロードが失敗したことを示すメッセージが表示された場合は、同じコマンドを再度実行してください。ダウンロードが再び失敗する場合は、Red Hat サポートに連絡してください。

      4. repository サブディレクトリーのすべてのアーティファクトを、作成した Maven ミラーリポジトリーにアップロードします。アーティファクトをアップロードするには、Git リポジトリー Maven リポジトリー tools から利用できる Maven リポジトリー Provisioner ユーティリティーを使用できます。

  4. Business Central 外でサービスを開発し、追加の依存関係がある場合は、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして開発した場合は、以下の手順を使用し、これらの依存関係を自動的に用意します。公開インターネットへに送信接続できるコンピューターで、この手順を実行します。

    1. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) のバックアップを作成して、ディレクトリーを削除します。
    2. mvn clean install コマンドを使用してプロジェクトのソースをビルドします。

    3. すべてのプロジェクトで以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。 

      mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true

      /path/to/project/pom.xml を、プロジェクトの pom.xml ファイルのパスに置き換えます。

    4. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) から作成した Maven ミラーリポジトリーにすべてのアーティファクトをアップロードします。アーティファクトをアップロードするには、Git リポジトリー Maven repository tools から利用できる Maven Repository Provisioner ユーティリティーを使用できます。

第3章 Red Hat OpenShift Container Platform での Dashbuilder Standalone

Dashbuilder Standalone は、Business Central に統合されているダッシュボードおよびレポートツールである Dashbuilder の独立した実装です。

Dashbuilder スタンドアロンは、Red Hat Process Automation Manager とは別にインストールして、独自のダッシュボードをインポートまたは作成できます。

Business Central と統合されている Dashbuilder の詳細は、Red Hat JBoss EAP 7.3 への Red Hat Process Automation Manager のインストールおよび設定Dashbuilder ランタイム を参照してください。

3.1. カスタムリソースのパラメーター

Operator 内で Dashbuilder Container イメージを使用する場合は、環境変数を使用するか、Custom Resource を使用して Dashbuilder を設定できます。

表3.1 カスタムリソースパラメーター

パラメーター同等の環境変数説明値の例

allowExternalFileRegister

DASHBUILDER_ALLOW_EXTERNAL_FILE_REGISTER

外部 (リモート) ファイルのダウンロードを許可します。デフォルト値は false です。

False

componentEnable

DASHBUILDER_COMP_ENABLE

外部コンポーネントを有効にします。

True

componentPartition

DASHBUILDER_COMPONENT_PARTITION

ランタイムモデル ID でコンポーネントのパーティション設定を有効にします。デフォルト値は true です。

True

configMapProps

DASHBUILDER_CONFIG_MAP_PROPS

Dashbuilder 設定でプロパティーファイルを使用できるようにします。一意のプロパティーが追加され、プロパティーが複数設定されている場合は、プロパティーファイルのプロパティーが使用されます。

True

dataSetPartition

DASHBUILDER_DATASET_PARTITION

ランタイムモデル ID でデータセット ID のパーティション設定を有効にします。デフォルト値は true です。

True

enableBusinessCentral

 — 

Business Central と Dashbuilder の自動設定を行い、Business Central との統合を有効にします。Operator でのみ利用可能です。

True

enableKieServer

 — 

KIE Server と Dashbuilder の自動設定による KIE Server との統合を有効にします。Operator でのみ利用可能です。

True

externalCompDir

DASHBUILDER_EXTERNAL_COMP_DIR

ダッシュボードの ZIP ファイルが保存されるベースディレクトリーを設定します。PersistentConfigs が有効になり、ExternalCompDir が既存のパスに設定されていない場合は、/opt/kie/dashbuilder/components ディレクトリーが使用されます。

 — 

importFileLocation

DASHBUILDER_IMPORT_FILE_LOCATION

自動的に実行する静的ダッシュボードを設定します。このプロパティーが設定されていると、インポートは許可されません。

 — 

importsBaseDir

DASHBUILDER_IMPORTS_BASE_DIR

ダッシュボードの ZIP ファイルが保存されるベースディレクトリーを設定します。PersistentConfigs が有効になり、ImportsBaseDir が既存のパスに設定されていない場合は、/opt/kie/dashbuilder/imports ディレクトリーが使用されます。ImportFileLocation が設定されている場合は、ImportsBaseDir が無視されます。

 — 

kieServerDataSets

KIESERVER_DATASETS

KIE Server データセットへのアクセス設定を定義します。

 — 

kieServerTemplates

KIESERVER_SERVER_TEMPLATES

KIE Server テンプレートへのアクセス設定を定義します。

 — 

modelFileRemoval

DASHBUILDER_MODEL_FILE_REMOVAL

ファイルシステムからモデルファイルの自動削除を有効にします。デフォルト値は false です。

False

modelUpdate

DASHBUILDER_MODEL_UPDATE

Runtime がファイルシステムの最後の更新を確認してコンテンツを更新できます。デフォルト値は true です。

True

persistentConfigs

``

Dashbuilder を一時的ではないものとして設定します。ImportFileLocation が設定されている場合は、PersistentConfigs が無視されます。デフォルト値は true です。Operator でのみ利用可能です。

True

runtimeMultipleImport

DASHBUILDER_RUNTIME_MULTIPLE_IMPORT

Runtime によるインポートの許可 (マルチテナンシー)。デフォルト値は false です。

False

uploadSize

DASHBUILDER_UPLOAD_SIZE

ダッシュボードのアップロードのサイズ制限を設定します (kb 単位)。デフォルト値は 10485760 kb です。

10485760

env

 — 

コンテナーに存在する環境変数を表します。

 — 

Operator を使用して、env プロパティーを使用して環境変数を設定できます。次の例で、上記のすべての設定と対応する環境変数を示します。 

apiVersion: app.kiegroup.org/v2
kind: KieApp
metadata:
  name: standalone-dashbuilder
spec:
  environment: rhpam-standalone-dashbuilder
  objects:
    dashbuilder:
      env:
        - name: DASHBUILDER_UPLOAD_SIZE
          value: '1000'

3.2. Operator を使用した Dashbuilder Standalone のインストール

Operator を使用して、他のサービスとは別に Dashbuilder Standalone をインストールします。

手順

  1. Installation ページで、Application name フィールドにアプリケーションの名前を入力します。
  2. Environment フィールドに、環境の名前を入力します (例: rhpam-standalone-dashbuilder)。
  3. Next をクリックします。
  4. 必要に応じて、Security ページで、LDAP または Red Hat Single Sign-On を設定します。
  5. Components ページで、Components リストから Dashbuilder を選択します。

  6. KIE Server データセットを追加するには、以下のタスクを実行します。

    1. Add new KIE Server DataSets をクリックします。
    2. DataSet name フィールドに kieserver-1 を入力します。
    3. Kie Server Location フィールドに、KIE Server の場所を入力します (例: https://my-kie-server:80/services/rest/server)。

    4. 認証情報を設定するには、以下のタスクのいずれかを実行します。

      • トークンが設定されていない場合は、Username フィールドおよび Password フィールドにユーザー名およびパスワードを入力します。Token フィールドを空白のままにします。

      • トークンがある場合は、Token フィールドにトークンを入力します。Username フィールドおよび Password フィールドは空白のままにします。

        カスタムリソースの例: 

        apiVersion: app.kiegroup.org/v2
kind: KieApp
metadata:
  name: standalone-dashbuilder
spec:
  environment: rhpam-standalone-dashbuilder
  objects:
    dashbuilder:
      config:
        kieServerDataSets:
          - name: kieserver-1
            location: 'https://my-kie-server:80/services/rest/server'
            user: kieserverAdmin
            password: kieserverAdminPwd
            replaceQuery: true

    注記: この手順を繰り返して、KIE Server DataSets を追加できます。

  7. KIE Server テンプレートを追加するには、以下のタスクを実行します。

    1. Add new KIE Server Templates をクリックします。
    2. Template name フィールドに、テンプレートの名前を入力します (例: kieserver-template)。
    3. KIE Server Location フィールドに、KIE Server の場所を入力します (例: https://my-other-kie-server:80/services/rest/server)。

    4. 認証情報を設定するには、以下のタスクのいずれかを実行します。

      • トークンが設定されていない場合は、Username フィールドおよび Password フィールドにユーザー名およびパスワードを入力します。Token フィールドを空白のままにします。

      • トークンがある場合は、Token フィールドにトークンを入力します。Username フィールドおよび Password フィールドは空白のままにします。 

        apiVersion: app.kiegroup.org/v2
kind: KieApp
metadata:
  name: standalone-dashbuilder
spec:
  environment: rhpam-standalone-dashbuilder
  objects:
    dashbuilder:
      config:
        kieServerDataSets:
          - name: kieserver-1
            location: 'https://my-kie-server:80/services/rest/server'
            user: kieserverAdmin
            password: kieserverAdminPwd
            replaceQuery: true
        kieServerTemplates:
          - name: kieserver-template
            location: 'https://my-another-kie-server:80/services/rest/server'
            user: user
            password: pwd
            replaceQuery: true

    注記: この手順を繰り返して、追加の KIE Server テンプレートを追加できます。

第4章 OpenShift Operator を使用した Red Hat Process Automation Manager 環境のデプロイと管理

Red Hat Process Automation Manager 環境をデプロイするために、OpenShift Operator は環境を記述する YAML ソースを使用します。Red Hat Process Automation Manager は、YAML ソースを作成し、環境をデプロイするために使用できるインストーラーを提供します。

Business Automation Operator で環境をデプロイする場合は、環境の YAML 記述を作成し、環境が常にこの記述と一致していることを確認します。記述を編集して環境を変更することができます。

Red Hat OpenShift Container Platform で Operator アプリケーションを削除することで、環境を削除できます。

注記

高可用性の Business Central で環境を削除すると、Operator は、JBoss Datagrid および JBoss AMQ StatefulSet の生成時に作成された永続ボリューム要求 (PVC) を削除しません。この動作は、Kubernetes 設計の一部で、永続ボリューム要求を削除するとデータが損失される可能性があります。StatefulSet の削除時における永続ボリューム要求の取り扱いは、Kubernetes documentation を参照してください。

同じ namespace とアプリケーション名を使用する新規環境を構築すると、その環境ではパフォーマンスが向上されるように永続ボリュームを再利用します。

新規デプロイメントで古いデータを使用しないようにするには、Persistent Volume Claim を手動で削除します。

4.1. Business Automation Operator のサブスクライブ

Operator を使用して Red Hat Process Automation Manager をデプロイできるようにするには、OpenShift で Business Automation Operator にサブスクライブする必要があります。

手順

  1. OpenShift Web クラスターコンソールでプロジェクトに移動します。
  2. OpenShift Web コンソールのナビゲーションパネルで、Catalog → OperatorHub または Operators → OperatorHub を選択します。
  3. Business Automation を検索し、これを選択してから Install をクリックします。

  4. Create Operator Subscription ページで、ターゲットの名前空間および承認ストラテジーを選択します。

    必要に応じて、承認ストラテジーAutomatic に設定して、Operator の自動更新を有効にします。Operator の更新は直ちに製品を更新しませんが、製品を更新する前に必要になります。特定のすべての製品デプロイメントの設定を使用して、自動または手動の製品更新を設定します。

  5. Subscribe をクリックしてサブスクリプションを作成します。

4.2. Operator を使用した Red Hat Process Automation Manager 環境のデプロイ

Business Automation Operator にサブスクライブした後に、インストーラーウィザードを使用して Red Hat Process Automation Manager 環境を設定し、デプロイできます。

重要

Red Hat Process Automation Manager 7.10 では、Operator インストーラーウィザードはテクノロジープレビュー機能となっています。Red Hat のテクノロジープレビュー機能の詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

4.2.1. Business Automation Operator の使用による Red Hat Process Automation Manager 環境のデプロイメントの開始

Business Automation Operator を使用して Red Hat Process Automation Manager 環境のデプロイメントを開始するには、インストーラーウィザードにアクセスします。インストーラーウィザードは Operator にサブスクライブするとデプロイされます。

前提条件

手順

  1. Red Hat OpenShift Container Platform Web クラスターコンソールメニューで、Catalog → Installed operators または Operators → Installed operators を選択します。
  2. businessautomation が含まれる Operator の名前をクリックします。この Operator の情報が表示されます。
  3. ウィンドウの右側にある Installer リンクをクリックします。
  4. プロンプトが出されたら、OpenShift 認証情報でログインします。

結果

ウィザードの Installation タブが表示されます。

4.2.2. 環境の基本設定の設定

Business Automation Operator を使用して Red Hat Process Automation Manager 環境のデプロイを開始した後に、環境のタイプを選択し、他の基本的な設定を行う必要があります。

前提条件

手順

  1. Application Name フィールドに、OpenShift アプリケーションの名前を入力します。この名前は、すべてのコンポーネントのデフォルト URL で使用されます。

  2. Environment 一覧で、環境のタイプを選択します。このタイプは、デフォルトの設定を定めるものです。この設定を必要に応じて変更することができます。以下のタイプは Red Hat Process Automation Manager で利用できます。

    • rhpam-trial: すばやく設定でき、アセットの開発や実行の評価やデモに使用できる試用版の環境。Business Central と KIE Server 1 台が含まれています。この環境では永続ストレージを使用しないため、この環境で実行した作業内容は保存されません。
    • rhpam-authoring: Business Central を使用してサービスを作成および修正する環境。これは、オーサリング作業用に Business Central を提供する Pod およびサービスのテスト実行用に KIE Server を提供する Pod で設定されます。

    • rhpam-authoring-ha: Business Central を使用してサービスを作成し、変更する環境。これは、オーサリング作業用に Business Central を提供する Pod およびサービスのテスト実行用に KIE Server を提供する Pod で設定されます。このバージョンのオーサリング環境は、高可用性が確保されるように Business Central Pod のスケーリングをサポートします。

      重要

      Red Hat Process Automation Manager 7.10 では、Operator を使用した高可用性 Business Central 機能のデプロイメントはテクノロジープレビューとしてのみご利用いただけます。Red Hat Technology Preview 機能の詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。完全にサポートされた高可用性デプロイメントの場合は、Red Hat OpenShift Container Platform バージョン 3.11 で高可用性オーサリングテンプレートを使用します。このテンプレートのデプロイメント手順は、パートII「テンプレートを使用した Red Hat OpenShift Container Platform 3 への Red Hat Process Automation Manager 環境のデプロイメント」 を参照してください。

    • rhpam-production: ステージングおよび実稼働用として既存のサービスを実行するのに使用する環境。この環境には、Business Central Monitoring、Smart Router、および KIE Server Pod の 2 つのグループが含まれます。このようなすべてのグループに対してサービスのデプロイおよびデプロイ解除を実行できます。Business Central Monitoring を使用してサービスをデプロイし、実行し、停止し、またそれらの実行を監視します。

    • rhpam-production-immutable: ステージングおよび実稼働の目的で既存のサービスを実行するための別の環境。ソースからサービスをビルドしたり、Maven リポジトリーからサービスをプルする KIE Server Pod を 1 つ以上設定できます。その後、必要に応じて各 Pod を複製できます。

      Pod からサービスを削除したり、新しいサービスを Pod に追加したりすることはできません。サービスの別のバージョンを使用するか、他の方法で設定を変更する場合は、新規のサーバーイメージをデプロイして、以前のイメージを置き換えます。コンテナーベースの統合ワークフローを使用して、Pod を管理できます。

      この環境を設定する場合は、KIE Servers タブで KIE Server をカスタマイズし、Set immutable server configuration ボタンをクリックするか、KIE_SERVER_CONTAINER_DEPLOYMENT 環境変数を設定します。KIE Server の設定手順は、「環境のカスタム KIE Server 設定の設定」 を参照してください。

      必要に応じて、Console タブを使用して、この環境に Business Central Monitoring を追加して、プロセスサービスの実行を監視、停止、および再起動することもできます。Business Central Monitoring の設定手順は、「環境の Business Central 設定の設定」 を参照してください。

  3. 新しいバージョンへの自動アップグレードを有効にするには、Enable Upgrades ボックスを選択します。このボックスを選択すると、Red Hat Process Automation Manager 7.10 の新しいパッチバージョンが利用可能になると、Operator は自動的にこのバージョンにデプロイメントをアップグレードします。サービスはすべて確保され、アップグレードプロセス全体で通常通り利用できます。

    同じ自動アップグレードプロセスを、Red Hat Process Automation Manager 7.x の新規マイナーバージョンが利用できる場合にも有効にする場合は、Include minor version upgrade のチェックボックスを選択します。

    注記

    Red Hat Process Automation Manager のコンポーネントにカスタムイメージを使用する場合は、自動更新を無効にします。

  4. オプション: イメージのダウンロードにイメージタグを使用する場合は、Use Image Tags ボックスを選択します。この設定は、カスタムレジストリーを使用する場合や、Red Hat サポートがダイレクトされる場合に役立ちます。

  5. Custom registry のカスタムイメージレジストリーを使用する場合は、Image registry フィールドにレジストリーの URL を入力します。このレジストリーに適切に署名され、認識された SSL 証明書がない場合は、Insecure ボックスを選択します。

    注記

    カスタムレジストリーから特定のイメージを使用するには、Console および KIE Server タブでイメージのコンテキスト、名前、およびタグを設定します。

  6. Admin userUsername フィールドおよび Password フィールドに、Red Hat Process Automation Manager の管理者ユーザーのユーザー名およびパスワードを入力します。

    重要

    RH-SSO または LDAP 認証を使用する場合は、同じユーザーを、Red Hat Process Automation Manager の kie-server,rest-all,admin ロールで認証システムに設定する必要があります。

次のステップ

デフォルト設定で環境をデプロイする必要がある場合は、Finish をクリックしてから Deploy をクリックして環境をデプロイします。それ以外の場合は、引き続き他の設定パラメーターの設定を行います。

4.2.3. 環境のセキュリティー設定の設定

Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本的な設定を行ったら、必要に応じて環境の認証 (セキュリティー) を設定できます。

前提条件

  • 「環境の基本設定の設定」 の説明に従って、インストーラーウィザードで Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本設定を行っている。
  • 認証に RH-SSO または LDAP を使用する必要がある場合には、認証システムに適切なロールを持つユーザーを作成していること。kie-server,rest-all,admin ロールを持つ少なくとも 1 人の管理ユーザー (たとえば、adminUser) を作成する必要があります。このユーザーには、Installation タブで設定したユーザー名とパスワードが必要です。
  • RH-SSO 認証を使用する必要がある場合は、環境のすべてのコンポーネントの RH-SSO システムでクライアントを作成しており、正しい URL を指定している。この動作により、最大限の制御が確保されます。他の方法として、デプロイメントでクライアントを作成できます。

手順

  1. Installation タブが開いている場合は、Next をクリックして Security タブを表示します。

  2. Authentication mode 一覧で、以下のモードのいずれかを選択します。

    • Internal: 環境のデプロイ時に初期ユーザーを設定します。このユーザーは Business Central を使用して他のユーザーを随時セットアップできます。
    • RH-SSO: Red Hat Process Automation Manager は認証に Red Hat Single Sign-On を使用します。
    • LDAP: Red Hat Process Automation Manager は認証に LDAP を使用します。

  3. 選択した Authentication mode に基づいてセキュリティー設定を完了します。

    RH-SSO を選択してい場合は、RH-SSO 認証を設定します。

    1. RH-SSO URL フィールドに、RH-SSO URL を入力します。
    2. Realm フィールドに、RH-SSO レルム名を入力します。
    3. 環境のコンポーネントに RH-SSO クライアントを作成していない場合は、SSO admin user フィールドおよび SSO admin password フィールドに、RH-SSO システムの管理者ユーザーの認証情報を入力します。
    4. RH-SSO システムに適切な署名済みの SSL 証明書がない場合は、Disable SSL cert validation ボックスを選択します。
    5. Principal attribute フィールドで、ユーザー名に使用される RH-SSO プリンシパル属性を変更する必要がある場合は、新規属性の名前を入力します。

    LDAP を選択した場合は、LDAP 認証を設定します。

    1. LDAP URL フィールドに、LDAP URL を入力します。

    2. Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応する LDAP パラメーターを設定します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

      注記

      LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

  4. RH-SSO または LDAP を選択した場合、RH-SSO または LDAP システムがデプロイメントに必要なすべてのロールを定義していない場合、認証システムのロールを Red Hat Process Automation Manager のロールにマップできます。

    ロールマッピングを有効にするには、プロジェクト namespace の OpenShift 設定マップまたはシークレットオブジェクトにロールマッピング設定ファイルを指定する必要があります。ファイルには、次の形式のエントリーが含まれている必要があります。 

    ldap_role = product_role1, product_role2...

    以下に例を示します。 

    admins = kie-server,rest-all,admin

    このファイルの使用を有効にするには、以下の変更を行います。

    1. Roles properties file フィールドの RoleMapper の下に、ルールマッピング設定ファイルの完全修飾パス名を入力します (例: /opt/eap/standalone/configuration/rolemapping/rolemapping.properties)。
    2. 認証システムで定義されているロールをマッピングファイルで定義されているロールに置き換える場合は、Replace roles ボックスを選択します。それ以外の場合は、RH-SSO または LDAP で定義されたロールと設定ファイルで定義されたロールの両方が利用可能です。
    3. RoleMapper Configuration object の下のフィールドで、ファイルを提供するオブジェクトの Kind (ConfigMap または Secret) を選択し、オブジェクトの Name を入力します。このオブジェクトは、ロールマッピング設定ファイルに指定したパスで Business Central および KIE Server Pod に自動的にマウントされます。

  5. 他のパスワードを設定します (必要な場合)。

    • AMQ password および AMQ cluster password は、JMS API を使用した ActiveMQ との対話に使用するパスワードです。
    • Keystore password は、HTTPS 通信のシークレットで使用されるキーストアファイルのパスワードです。「KIE Server のシークレットの作成」 または 「Business Central へのシークレットの作成」 の説明にしたがってシークレットを作成した場合は、このパスワードを設定します。
    • Database password は、環境の一部であるデータベースサーバー Pod のパスワードです。

次のステップ

すべてのコンポーネントのデフォルト設定で環境をデプロイする必要がある場合は、Finish をクリックしてから Deploy をクリックして環境をデプロイします。それ以外の場合は、引き続き Business Central、KIE Server、および Smart Router の設定パラメーターを設定します。

4.2.4. 環境の Business Central 設定の設定

Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本的なセキュリティー設定を行った後に、必要に応じて環境の Business Central または Business Central Monitoring コンポーネントを設定できます。

rhdm-production-immutable 以外のすべての環境タイプには、このコンポーネントが含まれます。

デフォルトでは、rhpam-production-immutable 環境には Business Central Monitoring が含まれていません。この環境に Business Central Monitoring を含めるには、Replicas フィールドに Business Central Monitoring の Pod のレプリカ数を設定するか、または Business Central 設定フィールドにその他の変更を加える必要があります。

前提条件

手順

  1. Installation または Security タブが開いている場合は、Console タブが表示されるまで Next をクリックします。
  2. 「Business Central へのシークレットの作成」 の説明に従って Business Central のシークレットを作成している場合は、Keystore secret フィールドにシークレットの名前を入力します。

  3. オプション: Business Central のデプロイメントにカスタムイメージを使用する場合は、次の追加手順を実行します。

    1. Installation タブでカスタムレジストリーを設定します。カスタムレジストリーを設定しない場合、インストールはデフォルトの Red Hat レジストリーを使用します。カスタムレジストリー値の設定に関する詳細は、「環境の基本設定の設定」 を参照してください。

    2. Console タブで、以下のフィールドを設定します。

      • Image context: レジストリー内のイメージのコンテキスト。
      • Image: イメージの名前。

      • Image tag: イメージのタグ。このフィールドを設定しない場合、インストールは latest タグを使用します。

        たとえば、イメージの完全なアドレスが registry.example.com/mycontext/mycentral:1.0-SNAPSHOT の場合、カスタムレジストリーを registry.example.com に、Image context フィールドを mycontext に、Image フィールドを mycentral に、そして Image tag フィールドを 1.0-SNAPSHOT に設定します。

  4. 必要に応じて、Git フックを設定します。

    オーサリング環境では、Git フックを使用して、Business Central の内部 Git リポジトリーと外部 Git リポジトリー間の操作を容易化できます。Git フックを使用する場合は、プロジェクト namespace の OpenShift 設定マップ、シークレット、または Persistent Volume Claim (PVC: 永続ボリューム要求) オブジェクトに Git フックディレクトリーを準備する必要があります。Git の SSH 認証用の SSH キーと既知のホストファイルでシークレットを作成することもできます。Git フックの作成に関する詳細は、「Git フックの準備」 を参照してください。

    Git フックディレクトリーを使用するには、以下の変更を加えます。

    1. Mount path フィールドの GitHooks の下に、ディレクトリーの完全修飾名を入力します (例: /opt/kie/data/git/hooks)。
    2. GitHooks Configuration object の下のフィールドで、ファイルを提供するオブジェクトの Kind (ConfigMapSecret、または PersistentVolumeClaim) を選択し、オブジェクトの Name を入力します。このオブジェクトは、Git フックディレクトリーの指定したパスで Business Central Pod に自動的にマウントされます。
    3. 必要に応じて、SSH secret フィールドに、SSH キーと既知のホストファイルを含む、シークレットを入力します。
  5. 必要に応じて、Business Central または Business Central monitoring のレプリカ数を Replicas フィールドに入力します。この数は rhpam-authoring 環境では変更しません。
  6. 必要に応じて、Console コンポーネント ページで Business Central 永続ボリュームサイズ pvSize を設定するには、Persistent Volume Size フィールドに必要なサイズを入力します。デフォルトのサイズは、Business Central の場合は 1Gi、Business Central Monitoring の場合は 64Mb です。
  7. 必要に応じて、Resource quotas 下のフィールドに必要な CPU およびメモリーの上限値を入力します。
  8. Business Central Pod の Java 仮想マシンの設定をカスタマイズする必要がある場合は、Enable JVM configuration ボックスを選択してから、Enable JVM configuration の下のフィールドに情報を入力します。すべてのフィールドは任意です。設定可能な JVM パラメーターについては、「JVM 設定パラメーター」 を参照してください。

  9. RH-SSO 認証を選択している場合は、Business Central の RH-SSO を設定します。

    1. Client name フィールドにクライアント名を入力し、Client secret フィールドにクライアントシークレットを入力します。この名前を持つクライアントが存在しない場合は、デプロイメントでこの名前およびシークレットを持つ新規クライアントの作成を試行します。
    2. デプロイメントで新規クライアントを作成する場合は、KIE Server へのアクセスに使用する HTTP および HTTPS URL を SSO HTTP URL フィールドおよび SSO HTTPS URL フィールドに入力します。この情報は、クライアントに記録されます。

  10. 必要に応じて、環境変数を随時設定します。環境変数を設定するには、Add new Environment variable をクリックしてから、変数の名前および値を Name フィールドおよび Value フィールドに入力します。

    • rhpam-production または rhpam-production-immutable 環境で、ファイルシステムを使用しない簡易モードで Business Central Monitoring を実行する場合には、ORG_APPFORMER_SIMPLIFIED_MONITORING_ENABLEDtrue に設定します。

      簡易モードの場合には、Business Central Monitoring では永続ボリューム要求が必要ではありません。永続ストレージへの ReadWriteMany アクセスをサポートしない環境で、このモードを使用できます。カスタムダッシュボードの設計には、簡易モードで Business Central Monitoring を使用できません。

    • 外部 Maven リポジトリーを使用する必要がある場合は、以下の変数を設定します。

      • MAVEN_REPO_URL: Maven リポジトリーの URL
      • MAVEN_REPO_ID: Maven リポジトリーの ID (例: repo-custom)
      • MAVEN_REPO_USERNAME: Maven リポジトリーのユーザー名

      • MAVEN_REPO_PASSWORD Maven リポジトリーのパスワード

        重要

        オーサリング環境で、Business Central を使用して外部の Maven リポジトリーにプロジェクトをプッシュする場合は、デプロイメント時にこのリポジトリーを設定して、全プロジェクトのリポジトリーへのエクスポートを設定する必要があります。外部の Maven リポジトリーへの Business Central プロジェクトのエクスポートに関する情報は、Red Hat Process Automation Manager プロジェクトのパッケージ化およびデプロイ を参照してください。

    • OpenShift 環境が公開インターネットに接続されていない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーにアクセスできるように設定します。以下の変数を設定してください。

      • MAVEN_MIRROR_URL: 「オフラインで使用する Maven ミラーリポジトリーの用意」 でセットアップした Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

      • MAVEN_MIRROR_OF: ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

        外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

        オーサリング環境でビルトイン Business Central Maven リポジトリーを使用する場合は、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。

    • 場合によっては、Business Central の Maven リポジトリーキャッシュの永続化が必要です。デフォルトでは、キャッシュは永続化されないため、Business Central Pod を再起動またはスケーリングすると、すべての Maven アーティファクトが再度ダウンロードされ、Business Central 内のすべてのプロジェクトが再度ビルドされる必要があります。キャッシュの永続性を有効にした場合は、ダウンロードは必要なく、状況によっては起動にかかる時間が改善される可能性があります。ただし、Business Central 永続ボリュームには、大きな追加領域が必要です。

      Maven リポジトリーキャッシュの永続性を有効にするには、KIE_PERSIST_MAVEN_REPO 環境変数を true に設定します。

      KIE_PERSIST_MAVEN_REPOtrue に設定した場合には、オプションで KIE_M2_REPO_DIR 変数を使用してキャッシュのカスタムパスを設定できます。デフォルトのパスは /opt/kie/data/m2 です。/opt/kie/data ディレクトリーツリー内のファイルは永続化されます。

    • 一部のオーサリング環境では、複数のユーザーが同じ KIE Server に同時にサービスをデプロイできることを確認する必要があります。デフォルトでは、ユーザーは、Business Central を使用して KIE Server にサービスをデプロイして数秒待ってから追加サービスをデプロイする必要があります。OpenShiftStartupStrategy 設定はデフォルトで有効になり、この制限が発生します。制限を削除するには、コントローラーストラテジー を使用するように rhpam-authoring 環境を設定します。これについての特定のニーズがない限り、この変更を行わないでください。コントローラーストラテジーを有効にする場合は、Business Central と同じ環境内のすべての KIE Server でこの変更を行ってください。

      注記

      高可用性の Business Central を使用する環境でコントローラーストラテジーを有効にしないでください。この環境では、コントローラーストラテジーは正しく機能しません。

      Business Central でコントローラーストラテジーを有効にするには、KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED 環境変数を false に設定します。

次のステップ

Smart Router やプロセスインスタンス移行 (PIM) を使用せずに、KIE Server のデフォルト設定で環境をデプロイする場合は、Finish をクリックしてから Deploy をクリックし、この環境をデプロイします。それ以外の場合は、引き続き KIE Server および Smart Router の設定パラメーターを設定します。

4.2.5. 環境のカスタム KIE Server 設定の設定

Business Automation Operator のすべての環境タイプには、デフォルトで 1 つまたは複数の KIE Server が含まれます。

必要に応じて、KIE Server のカスタム設定を設定できます。この場合、デフォルトの KIE Server は作成されず、設定する KIE Server のみがデプロイされます。

前提条件

手順

  1. InstallationSecurity、または Console タブが開いている場合は、KIE Servers タブが表示されるまで Next をクリックします。
  2. Add new KIE Server をクリックして、新規の KIE Server 設定を追加します。
  3. Id フィールドに、KIE Server の ID を入力します。KIE Server が Business Central または Business Central Monitoring インスタンスに接続される場合、この ID はサーバーが加わるサーバーグループを決めるものとなります。
  4. Name フィールドに、KIE Server の名前を入力します。
  5. Deployments フィールドに、デプロイする同様の KIE Server の数を入力します。インストーラーは、同じ設定で複数の KIE Server をデプロイできます。KIE Server の ID および名前は自動的に変更され、一意な状態に保たれます。
  6. 「KIE Server のシークレットの作成」 の説明に従って KIE Server のシークレットを作成している場合は、Keystore secret フィールドにシークレットの名前を入力します。
  7. オプション: KIE Server のレプリカ数を Replicas フィールドに入力します。

  8. オプション: KIE Server デプロイメントにカスタムイメージを使用する場合は、以下の一連の追加手順のいずれかを完了します。

    1. レジストリーでイメージを指定して Docker イメージを使用する場合:

      1. Installation タブでカスタムレジストリーを設定します。カスタムレジストリーを設定しない場合、インストールはデフォルトの Red Hat レジストリーを使用します。カスタムレジストリー値の設定に関する詳細は、「環境の基本設定の設定」 を参照してください。

      2. KIE Server タブで、以下のフィールドを設定します。

        • Image context: レジストリー内のイメージのコンテキスト。
        • Image: イメージの名前。

        • Image tag: イメージのタグ。このフィールドを設定しない場合、インストールは latest タグを使用します。

          たとえば、イメージの完全なアドレスが registry.example.com/mycontext/myserver:1.0-SNAPSHOT の場合は、カスタムレジストリーを registry.example.com に、Image context フィールドを mycontext に、Image フィールドを myserver に、そして Image tag フィールドを 1.0-SNAPSHOT に設定します。

    2. 既存の OpenShift イメージストリームのイメージを使用する場合:

      1. Set KIE Server image をクリックします。
      2. イメージストリームタグの名前を Name フィールドに入力します。

      3. イメージストリームが openshift 名前空間にない場合は、名前空間を Namespace フィールドに入力します。

        イメージストリームタグが OpenShift 環境ですでに設定されている場合、インストールではこのタグが使用されます。タグが設定されていない場合は、インストールにより、デフォルトのイメージ名およびタグを使用してイメージストリームタグが作成されます。

        注記

        Kind 値を DockerImage に変更しないでください。このオプションは、Red Hat Process Automation Manager 7.10.0 では機能しません。

        カスタムイメージの作成手順については、「KIE Server および Smart Router 用のカスタムイメージの作成」 を参照してください。

  9. Source to Image (S2I) ビルドを使用して、イミュータブル KIE Server を設定する必要がある場合は、以下の追加の手順を実行します。

    重要

    Maven リポジトリーからサービスをプルするイミュータブル KIE Server を設定する必要がある場合は、Set Immutable server configuration をクリックせず、この手順も実行しないでください。代わりに、KIE_SERVER_CONTAINER_REPLOYMENT 環境変数を設定します。

    1. Set Immutable server configuration をクリックします。
    2. KIE Server コンテナーデプロイメント フィールドに、デプロイメントが Source to Image (S2I) ビルドの結果から展開する必要があるサービスの識別情報 (KJAR ファイル) を入力します。形式は <containerId>=<groupId>:<artifactId>:<version> になります。また、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> になります。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます (例: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)。
    3. OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って、Maven mirror URL フィールドに設定した Maven ミラーの URL を入力します。
    4. Artifact directory フィールドで、Maven が正常にビルドされた後に、必要なバイナリーファイル (KJAR ファイルおよびその他の必要なファイル) が含まれるプロジェクト内のパスを入力します。通常、このディレクトリーはビルドのターゲットディレクトリーです。ただし、Git リポジトリーのこのディレクトリーにビルド済みのバイナリーを提供できます。
    5. S2I ビルドにカスタムベース KIE Server イメージを使用する必要がある場合は、Set Base build image をクリックして、Name フィールドにイメージストリームの名前を入力します。イメージストリームが openshift 名前空間にない場合は、名前空間を Namespace フィールドに入力します。OpenShift イメージストリームタグではなく Docker イメージ名を使用する必要がある場合は、Kind の値を DockerImage に変更します。

    6. Set Git source をクリックし、以下のフィールドに情報を入力します。

      • S2I Git URI: サービスのソースが含まれる Git リポジトリーの URI。
      • Reference: Git リポジトリーのブランチ。

      • コンテキストディレクトリー: (オプション) Git リポジトリーからダウンロードされたプロジェクト内のソースへのパス。デフォルトで、ダウンロードされたプロジェクトのルートディレクトリーはソースディレクトリーです。

        注記

        Git ソースを設定しない場合、イミュータブルな KIE Server は S2I ビルドを使用しません。その代わりに、設定済みの Maven リポジトリーから KIE Server コンテナーデプロイメント フィールドで定義したアーティファクトをプルします。

    7. S2I を使用し、Git Webhook を設定して Git リポジトリーの変更が KIE Server の自動リビルドをトリガーするように設定する必要がある場合は、Add new Webhook をクリックします。次に、Type フィールドで Webhook のタイプを選択し、Secret フィールドで Webhook のシークレット文字列を入力します。
    8. S2I ビルドのビルド環境変数を設定するには、Add new Build Config Environment variable をクリックしてから、変数の名前および値を Name フィールドおよび Value フィールドに入力します。
  10. 必要に応じて、Resource quotas 下のフィールドに必要な CPU およびメモリーの上限値を入力します。複数の KIE Server を設定している場合は、制限値はそれぞれのサーバーに別々に適用されます。

  11. RH-SSO 認証を選択している場合は、KIE Server の RH-SSO を設定します。

    1. Client name フィールドにクライアント名を入力し、Client secret フィールドにクライアントシークレットを入力します。この名前を持つクライアントが存在しない場合は、デプロイメントでこの名前およびシークレットを持つ新規クライアントの作成を試行します。
    2. デプロイメントで新規クライアントを作成する場合は、KIE Server へのアクセスに使用する HTTP および HTTPS URL を SSO HTTP URL フィールドおよび SSO HTTPS URL フィールドに入力します。この情報は、クライアントに記録されます。

  12. 外部 AMQ メッセージブローカーを使用して JMS API から KIE Server と対話する場合は、Enable JMS Integration 設定を有効にします。JMS 統合を設定するための追加のフィールドが表示され、必要に応じて値を入力する必要があります。

    • User namePassword: ブローカーのユーザー認証が環境で必要な場合の、標準ブローカーユーザーのユーザー名およびパスワード。
    • Executor: この設定を選択して JMS executor を無効にします。Executor はデフォルトで有効になります。
    • Executor transacted: この設定を選択して、Executor キューで JMS トランザクションを有効にします。
    • Enable signal: この設定を選択して JMS 経由でシグナルの設定を有効にします。
    • Enable audit: この設定を選択して JMS 経由で監査ロギングを有効にします。
    • Audit transacted: この設定を選択して、監査キューで JMS トランザクションを有効にします。
    • Queue executorQueue requestQueue responseQueue signalQueue audit: 使用するキューのカスタム JNDI 名。これらの値のいずれかを設定する場合は、AMQ キュー パラメーターも設定する必要があります。
    • AMQ Queues: AMQ キュー名はコンマで区切られます。これらのキューはブローカーの起動時に自動的に作成され、JBoss EAP サーバーの JNDI リソースとしてアクセスできます。カスタムキュー名を使用する場合は、このフィールドでサーバーが使用するすべてのキューの名前を入力する必要があります。
    • Enable SSL integration: AMQ ブローカーへの SSL 接続を使用する場合は、この設定を選択します。この場合は、「AMQ ブローカー接続のシークレットの作成」 で作成したシークレットの名前や、シークレットに使用したキーストアおよび信頼ストアの名前およびパスワードも指定する必要があります。
  13. KIE Server Pod の Java 仮想マシンの設定をカスタマイズする必要がある場合は、Enable JVM configuration ボックスを選択してから、Enable JVM configuration の下のフィールドに情報を入力します。すべてのフィールドは任意です。設定可能な JVM パラメーターについては、「JVM 設定パラメーター」 を参照してください。

  14. Database type フィールドで、KIE Server が使用する必要のあるデータベースを選択します。以下の値を使用できます。

    • mysql: 個別の Pod に作成される MySQL サーバー。
    • postgresql: 個別の Pod に作成される PostgreSQL サーバー。他の設定を使用する特別な理由のない限り、この設定を使用します。
    • h2: 個別の Pod を必要としないビルトインされた h2 データベースエンジン。この設定を使用する場合は、KIE Server Pod をスケーリングしないでください。
    • external: 外部データベースサーバー。

  15. external 以外のデータベースを選択している場合は、データベースを保存するために Persistent Volume Claim (PVC: 永続ボリューム要求) が作成されます。必要に応じて、永続ボリュームの設定パラメーターを指定します。

    • また、Size フィールドに、永続ボリュームのサイズを入力します。
    • StorageClass name フィールドで、永続ボリュームのストレージクラス名を入力します。

  16. external データベースを選択した場合は、必要に応じて、KIE Server 拡張イメージを設定します。PostgreSQL、MySQL、MariaDB 以外のデータベースサーバーを使用する場合には、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 の説明に従い、KIE Server 拡張イメージに、データベースサーバーのドライバーを指定する必要があります。KIE Server をこの拡張イメージを使用するように設定するには、以下の変更を加ます。

    1. Enable extension image stream ボックスを選択します。
    2. Extension image stream tag フィールドに、作成したイメージの ImageStreamTag 定義を入力します (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)。
    3. 必要に応じて、Extension image stream namespace フィールドに、イメージをプッシュした名前空間を入力します。このフィールドに値を入力しない場合、Operator はイメージが openshift 名前空間にあると予想します。
    4. 必要に応じて、Extension image install directory フィールドに、各種の拡張機能が置かれている拡張イメージ内のディレクターを入力します。「外部データベースのカスタム KIE Server 拡張イメージのビルド」 の手順を使用してイメージをビルドした場合は、このフィールドに値を入力しないでください。

  17. 外部データベースサーバーを選択している場合は、追加のフィールドに以下の情報を入力します。

    1. Driver: サーバーの種類に応じてデータベースサーバードライバーを入力します。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase

    2. Dialect: サーバーの種類に応じて、サーバーの Hibernate 方言を入力します。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    3. Host: 外部データベースサーバーのホスト名を入力します。
    4. Port: 外部データベースサーバーのポート番号を入力します。

    5. Jdbc URL: 外部データベースサーバーの JDBC URL を入力します。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    6. NonXA: データソースを XA 以外のモードで設定する必要がある場合にこのボックスを選択します。
    7. JNDI name: アプリケーションがデータソースに使用する JNDI 名を入力します。
    8. User name および Password: 外部データベースサーバーのユーザー名およびパスワードを入力します。
    9. Background validation: 必要に応じて、このボックスを選択してバックグラウンド SQL 検証を有効にし、バックグラウンド検証の間隔を入力します。
    10. 必要に応じて、最小および最大の接続プールサイズ、有効な接続チェッカークラス、およびデータベースサーバーの例外ソータークラスを設定します。

  18. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

  19. 必要に応じて、環境変数を随時設定します。環境変数を設定するには、Add new Environment variable をクリックしてから、変数の名前および値を Name フィールドおよび Value フィールドに入力します。

    • 設定した Maven リポジトリーからサービスをプルするイミュータブル KIE Server を設定する必要がある場合は、以下の設定を入力します。

      1. KIE_SERVER_CONTAINER_DEPLOYMENT 環境変数を設定します。変数には、デプロイメントが Maven リポジトリーからプルする必要のあるサービス (KJAR ファイル) の ID 情報が含まれている必要があります。形式は <containerId>=<groupId>:<artifactId>:<version> になります。また、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> になります。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます (例: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)。
      2. 外部 Maven リポジトリーの設定

    • 外部 Maven リポジトリーを設定する必要がある場合には、以下の変数を設定します。

      • MAVEN_REPO_URL: Maven リポジトリーの URL
      • MAVEN_REPO_ID: Maven リポジトリーの ID (例: repo-custom)
      • MAVEN_REPO_USERNAME: Maven リポジトリーのユーザー名
      • MAVEN_REPO_PASSWORD: Maven リポジトリーのパスワード

    • OpenShift 環境が公開インターネットに接続されていない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーにアクセスできるように設定します。以下の変数を設定してください。

      • MAVEN_MIRROR_URL: 「オフラインで使用する Maven ミラーリポジトリーの用意」 でセットアップした Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。この KIE Server を S2I として設定している場合は、この URL をすでに入力されています。

      • MAVEN_MIRROR_OF: ミラーから取得されるアーティファクトを定める値。この KIE Server を S2I として設定している場合は、この値を設定しません。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

        外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

        オーサリング環境でビルトイン Business Central Maven リポジトリーを使用する場合は、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。

    • Prometheus を使用してメトリクスを収集し、保存するように KIE Server デプロイメントを設定する必要がある場合は、PROMETHEUS_SERVER_EXT_DISABLED 環境変数を false に設定します。Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。
    • Red Hat Single Sign-On 認証を使用し、Red Hat Single Sign-On を使用したアプリケーションの対話で CORS のサポートが必要な場合は、SSO_ENABLE_CORS 変数を true に設定します。

    • 一部のオーサリング環境では、複数のユーザーが同じ KIE Server に同時にサービスをデプロイできることを確認する必要があります。デフォルトでは、ユーザーは、Business Central を使用して KIE Server にサービスをデプロイして数秒待ってから追加サービスをデプロイする必要があります。OpenShiftStartupStrategy 設定はデフォルトで有効になり、この制限が発生します。制限を削除するには、コントローラーストラテジー を使用するように rhpam-authoring 環境を設定します。これについての特定のニーズがない限り、この変更を行わないでください。コントローラーストラテジーを有効にする場合は、Business Central と同じ環境内のすべての KIE Server でこの変更を行ってください。

      注記

      高可用性の Business Central を使用する環境でコントローラーストラテジーを有効にしないでください。この環境では、コントローラーストラテジーは正しく機能しません。

      KIE Server でコントローラーストラテジーを有効にするには、KIE_SERVER_STARTUP_STRATEGY 環境変数を ControllerBasedStartupStrategy に設定し、KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED 環境変数を false に設定します。

次のステップ

追加の KIE Server を設定するには、Add new KIE Server を再びクリックし、新規サーバー設定の手順を繰り返します。

Smart Router およびプロセスインスタンス移行 (PIM) を使用せずに環境をデプロイする場合は、Finish をクリックしてから、Deploy をクリックして環境をデプロイします。それ以外の場合は、引き続き Smart Router の設定パラメーターの設定を行います。

4.2.6. 環境の Smart Router 設定の設定

デフォルトでは、デプロイされた環境には Smart Router が含まれていません。Smart Router は環境に追加できます。Smart Router の設定オプションを設定することもできます。

前提条件

  • 「環境の基本設定の設定」 の説明に従って、インストーラーウィザードで Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本設定を行っている。

手順

  1. Installation タブ、Security タブ、Console タブ、または KIE Servers タブが開いている場合は、Smart Router タブが表示されるまで Next をクリックします。
  2. Set Smart Router をクリックして Smart Router を環境に追加し、Smart Router を設定します。

  3. 「カスタムルーティングを実装する追加の JAR ファイルを使用したカスタム Smart Router イメージの作成」 の手順に従ってカスタムの Smart Router イメージを作成した場合は、以下の値を設定します。

    • イメージコンテキスト: プロジェクト名 (例: rhpam-project)

    • イメージ: カスタムイメージ名 (例: rhpam-smartrouter-rhel8-custom)

      イメージのカスタムタグを使用した場合は、Image tag フィールドをこのタグに設定します。

  4. 「Smart Router のシークレットの作成」 の説明に従って Smart Router のシークレットを作成している場合は、Secret フィールドにシークレットの名前を入力します。
  5. 必要に応じて、Smart Router のレプリカ数を Replicas フィールドに入力します。
  6. 必要に応じて、Resource quotas 下のフィールドに必要な CPU およびメモリーの上限値を入力します。

  7. 必要に応じて、環境変数を使用してロギングレベルを設定します。

    1. Add new environment variable をクリックします。
    2. Name フィールドに LOG_LEVEL と入力します。
    3. Value フィールドに Java ロギングレベルを入力します。利用可能なロギングレベルの一覧は、クラスレベル を参照してください。

    4. 必要に応じて、パッケージ名で異なるコンポーネントのロギングレベルを設定します。

      1. Add new environment variable をクリックします。
      2. Name フィールドに LOG_LEVEL と入力します。

      3. Value フィールドにパッケージとロギングレベルを入力し、以下の例のようにフォーマットします。 

        com.example.abc=FINEST,com.example.def=SEVERE,com.example.xyz=FINE

次のステップ

プロセスインスタンス移行 (PIM) サービスをデプロイする場合は、引き続きサービスをデプロイします。それ以外の場合は、Finish をクリックしてから、Deploy をクリックして環境をデプロイします。

4.2.7. 環境のプロセスインスタンス移行 (PIM) 設定

Operator を使用してプロセスインスタンス移行 (PIM) サービスをデプロイできます。プロセスインスタンスの移行サービスを使用して、2 つの異なるプロセス定義間の移行を定義できます。これは移行プランと呼ばれます。特定の KIE Server で実行中のプロセスインスタンスに対して、この移行プランを適用できます。

PIM サービスでは、サービスの操作にデータベースサーバーを使用します。

前提条件

  • 「環境の基本設定の設定」 の説明に従って、インストーラーウィザードで Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本設定を行っている。

手順

  1. Installation タブ、Security タブ、Console タブ、KIE Servers タブ、または Smart Router タブが開いている場合は、Process Instance Migration タブが表示されるまで Next をクリックします。
  2. Set Process Instance Migration をクリックして、PIM を環境に追加して PIM を設定します。

  3. Database type フィールドで、PIM サービスが使用する必要のあるデータベースを選択します。以下の値を使用できます。

    • mysql: 個別の Pod に作成される MySQL サーバー。
    • postgresql: 個別の Pod に作成される PostgreSQL サーバー。他の設定を使用する特別な理由のない限り、この設定を使用します。
    • h2: 個別の Pod を必要としないビルトインされた h2 データベースエンジン。

  4. 必要に応じて、データベースの永続ボリュームの設定パラメーターを指定します。

    • また、Size フィールドに、永続ボリュームのサイズを入力します。
    • StorageClass name フィールドで、永続ボリュームのストレージクラス名を入力します。

次のステップ

Finish をクリックしてから Deploy をクリックし、環境をデプロイします。

PIM サービスの使用に関する説明は、Business Central でのビジネスプロセスの管理と監視プロセスインスタンスの移行 を参照してください。

4.3. Operator を使用してデプロイした環境の変更

環境を Operator を使用してデプロイした場合は、通常の OpenShift の手法を使用して環境を変更することはできません。たとえば、デプロイメント設定またはサービスを削除しても、これは同じパラメーターで自動的に再作成されます。

環境を変更するには、環境の YAML の記述を変更する必要があります。パスワードなどの一般的な設定を変更し、KIE Server を追加してスケーリングできます。

手順

  1. OpenShift Web クラスターコンソールでプロジェクトに移動します。
  2. OpenShift Web コンソールナビゲーションパネルで Catalog → Installed operators または Operators → Installed operators を選択します。
  3. 表で Business Automation Operator 行を見つけ、その行で KieApp をクリックします。この Operator を使用してデプロイした環境の情報が表示されます。
  4. デプロイした環境の名前をクリックします。

  5. YAML タブを選択します。

    YAML ソースが表示されます。YAML ソースの spec: でコンテンツを編集して、環境の設定を変更できます。

  6. Red Hat Process Automation Manager のデプロイバージョンを変更する場合は、spec: に以下の行を追加します。 

      version: 7.10.0

    7.10.0 は、必要な別のバージョンに置き換えることができます。カスタムイメージを使用する場合など、自動更新が無効になっている場合は、この設定を使用して Red Hat Process Automation Manager を新規バージョンにアップグレードしてください。

  7. パスワードなどの共通の設定を変更するには、commonConfig: の値を編集します。

  8. 新しい KIE Server を追加する場合は、以下の例に示されているように、servers: のブロックの最後にそれらの記述を追加します。

    • 名前が server-aserver-a-2 のサーバー 2 台を追加するには、以下の行を追加します。 

      - deployments: 2
  name: server-a

    • S2I プロセスのソースからビルドされるサービスを含む、イミュータブルな KIE Server を追加するには、以下の行を追加します。 

      - build:
    kieServerContainerDeployment: <deployment>
    gitSource:
      uri: <url>
      reference: <branch>
      contextDir: <directory>

      以下の値を置き換えます。

      • <deployment>: ソースからビルドしたデシジョンサービス (KJAR ファイル) の識別情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。区切り記号 | を使用して 2 つ以上の KJAR ファイルを指定できます (例: containerId=groupId:artifactId:version|c2=g2:a2:v2)。Maven ビルドプロセスは、Git リポジトリーのソースからこのようなファイルをすべて生成する必要があります。
      • <url>: デシジョンサービスのソースを含む Git リポジトリーの URL。
      • <branch>: Git リポジトリーのブランチ。
      • <directory>: Git リポジトリーからダウンロードしたプロジェクトのソースへのパス。
  9. KIE Server をスケーリングする場合は、servers: のブロックに含まれるサーバーの記述を検索して、その記述の下に replicas: 設定を追加します。たとえば、replicas: 3 はサーバーを Pod 3 つにスケーリングします。

  10. 他に変更を加える場合は、利用可能な設定の CRD ソースを確認します。CRD ソースを表示するには、管理ユーザーで oc コマンドを使用して Red Hat OpenShift Container Platform 環境にログインし、以下のコマンドを入力します。 

    oc get crd kieapps.app.kiegroup.org -o yaml
  11. Save をクリックしてから has been updated ポップアップメッセージを待機します。
  12. Reload をクリックして、環境の新しい YAML の記述を表示します。

4.4. JVM 設定パラメーター

Operator を使用して Red Hat Process Automation Manager をデプロイする場合は、必要に応じて Business Central および KIE Server の多数の JVM 設定パラメーターを設定できます。これらのパラメーターは、対応するコンテナーの環境変数を設定します。

以下の表では、Operator を使用して Red Hat Process Automation Manager をデプロイする際に設定できるすべての JVM 設定パラメーターの一覧を表示しています。

デフォルト設定は、ほとんどのユースケースに最適です。必要な場合にのみ変更を行ってください。

表4.1 JVM 設定パラメーター

設定フィールド環境変数説明

Java Opts の追加

JAVA_OPTS_APPEND

JAVA_OPTS で生成されたオプションに追加されるユーザー指定の Java オプション。

-Dsome.property​=foo

Java 最大メモリー比

JAVA_MAX_MEM_RATIO

Java 仮想マシンに使用できるコンテナーメモリーの最大パーセンテージ。残りのメモリーはオペレーティングシステムに使用されます。デフォルト値は 50 であり、50% の制限があります。-Xmx JVM オプションを設定します。0 の値を入力した場合、-Xmx オプションは設定されません。

40

Java 初期メモリー比

JAVA_INITIAL_MEM_RATIO

Java 仮想マシンに最初に使用されるコンテナーメモリーの割合。デフォルト値は 25 であるため、この値が Java Max Initial Memory 値を超えない場合は、Pod メモリーの 25% が最初に JVM に割り当てられます。-Xms JVM オプションを設定します。0 の値を入力すると、-Xms オプションは設定されません。

25

Java 最大初期メモリー

JAVA_MAX_INITIAL_MEM

Java 仮想マシンで最初に使用できるメモリーの最大量 (メガバイト単位)。Java initial memory ratio パラメーターで設定されるように初期の割り当てメモリーがこの値よりも大きい場合、この値で設定されたメモリー量は -Xms JVM オプションを使用して割り当てられます。デフォルト値は 4096 です。

4096

Java 診断

JAVA_DIAGNOSTICS

この設定を有効にすると、追加の JVM 診断情報の標準出力への出力が有効になります。デフォルトでは無効にされています。

true

Java デバッグ

JAVA_DEBUG

この設定を有効にして、リモートデバッグをオンに切り替えます。デフォルトでは無効にされています。JVM オプション -⁠agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=${debug_port} を追加します。ここで、${debug_port} はデフォルトで 5005 に設定されます。

true

Java デバッグポート

JAVA_DEBUG_PORT

リモートデバッグに使用されるポート。デフォルト値は 5005 です。

8787

GC の最小ヒープ解放比率

GC_MIN_HEAP_FREE_RATIO

拡張を回避するためのガベージコレクション (GC) 後のヒープ解放の最小パーセンテージ。JVM オプション -XX:MinHeapFreeRatio を設定します。

20

GC の最大ヒープ解放比率

GC_MAX_HEAP_FREE_RATIO

縮小を回避するための GC 後のヒープ解放の最大パーセンテージ。JVM オプション -XX:MaxHeapFreeRatio を設定します。

40

GC 時間比率

GC_TIME_RATIO

ガベージコレクションに費やした時間に対する、ガベージコレクション外で費やした時間 (アプリケーションの実行に費やした時間など) の比率を指定します。JVM オプション -XX:GCTimeRatio を設定します。

4

GC 適応サイズポリシーの重み

GC_ADAPTIVE_SIZE_POLICY_WEIGHT

以前の GC 時間に対する現在の GC 時間の重み付け。JVM オプション -XX:AdaptiveSizePolicyWeight を設定します。

90

GC の最大メタスペースサイズ

GC_MAX_METASPACE_SIZE

メタスペースの最大サイズ。JVM オプション -XX:MaxMetaspaceSize を設定します。

100

4.5. KIE Server および Smart Router 用のカスタムイメージの作成

カスタムイメージを作成して、ファイルを KIE Server および Smart Router デプロイメントに追加できます。次に、イメージを独自のコンテナーレジストリーにプッシュする必要があります。Red Hat Process Automation Manager をデプロイする場合は、カスタムイメージを使用するように Operator を設定できます。

カスタムイメージを使用する場合は、自動のバージョンアップグレードを無効にする必要があります。新規バージョンをインストールする場合は、以前と同じ名前と、新規バージョンタグを指定してイメージをビルドし、レジストリーにそのイメージをプッシュします。その後にバージョンを変更すると、Operator が自動的に新規イメージをプルします。Operator での製品バージョンの変更に関する説明は、「Operator を使用してデプロイした環境の変更」 を参照してください。

特に、次のタイプのカスタムイメージを作成できます。

  • 追加の RPM パッケージを含めた KIE Server のカスタムイメージ
  • 追加の JAR クラスライブラリーを含めた KIE Server のカスタムイメージ
  • カスタムルーティングを実装する追加の JAR クラスライブラリーが含まれる Smart Router のカスタムイメージ

4.5.1. 追加の RPM パッケージを含めたカスタムの KIE Server イメージの作成

追加の RPM パッケージのインストール先のカスタム KIE Server イメージを作成できます。このイメージをカスタムレジストリーにプッシュして、KIE Server のデプロイに使用できます。

Red Hat Enterprise Linux 8 リポジトリーから任意のパッケージをインストールできます。以下の例では、ps ユーティリティーが含まれる procps-ng パッケージをインストールしていますが、変更して他のパッケージをインストールすることができます。

手順

  1. podman login コマンドを使用して registry.redhat.io レジストリーの認証を行います。レジストリーの認証に関する詳細は、Red Hat コンテナーレジストリーの認証 を参照してください。

  2. サポートされている KIE Server のベースイメージをダウンロードするには、次のコマンドを入力します。 

    podman pull registry.redhat.io/rhpam-7/rhpam-kieserver-rhel8:7.10.0

  3. ベースイメージをもとにカスタムイメージを定義する Dockerfile を作成します。このファイルで、現在のユーザーを root に変更して、yum コマンドで RPM パッケージをインストールしてから USER 185 (Red Hat JBoss EAP ユーザー) に戻します。以下の例では、Dockerfile ファイルの内容を示します。 

    FROM registry.redhat.io/rhpam-7/rhpam-kieserver-rhel8:7.10.0
USER root
RUN yum -y install procps-ng
USER 185

    必要に応じて RPM ファイルの名前を置き換えます。yum コマンドは自動的に Red Hat Enterprise Linux 8 リポジトリーからの全依存関係を自動的にインストールします。複数の RMP ファイルをインストールする必要がある場合があります。今回は、RUN コマンドを複数回使用します。

  4. Dockerfile を使用してカスタムイメージをビルドします。レジストリー名など、イメージの完全修飾名を指定します。ベースイメージと同じバージョンタグを使用する必要があります。イメージをビルドするには、以下のコマンドを入力します。 

    podman build . --tag registry_address/image_name:7.10.0

    以下に例を示します。 

    podman build . --tag registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0

  5. ビルドが完了したら、イメージを実行してログインし、カスタマイズが成功したことを確認します。以下のコマンドを入力します。 

    podman run -it --rm registry_address/image_name:7.10.0 /bin/bash

    以下に例を示します。 

    podman run -it --rm registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0 /bin/bash

    イメージのシェルプロンプトで、コマンドを入力して RPM がインストールされていることをテストし、exit と入力します。たとえば、procps-ng の場合は ps コマンドを実行します。 

    [jboss@c2fab36b778e ~]$ ps
PID TTY          TIME CMD
  1 pts/0    00:00:00 bash
 13 pts/0    00:00:00 ps
[jboss@c2fab36b778e ~]$ exit

  6. カスタムイメージをレジストリーにプッシュするには、次のコマンドを入力します。 

    podman push registry_address/image_name:7.10.0 docker://registry_address/image_name:7.10.0

    以下に例を示します。 

    podman push registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0 docker://registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0

次のステップ

KIE Server をデプロイする場合は、イメージ名と namespace を設定してレジストリーにカスタムイメージを指定します。Set KIE Server image をクリックして、Kind の値を DockerImage に変更してから、バージョンタグがないレジストリー名など、イメージ名を指定します。以下に例を示します。 

registry.example.com/custom/rhpam-kieserver-rhel8

Operator を使用した KIE Server のデプロイに関する詳細は、「環境のカスタム KIE Server 設定の設定」 を参照してください。

4.5.2. 追加の JAR ファイルを使用したカスタム KIE Server イメージの作成

追加の JAR ファイル (単数、複数問わず) のインストール先のカスタムの KIE Server イメージを作成してサーバーの機能を拡張できます。このイメージをカスタムレジストリーにプッシュして、KIE Server のデプロイに使用できます。

たとえば、カスタムクラス JAR を作成して、カスタム Prometheus メトリクスを KIE Server に提供できます。カスタムクラスの作成手順は、KIE Server の管理とモニターリングカスタムのメトリクスを使用した KIE Server の Prometheus メトリクスモニターリングの拡張 を参照してください。

手順

  1. KIE Server で動作するカスタムライブラリーを開発します。以下のドキュメントと例を使用して、ライブラリーを開発できます。

  2. JAR ファイルが target ディレクトリーに配置されるように Maven を使用してライブラリーをビルドします。この例では、custom-kieserver-ext-1.0.0.Final.jar のファイル名を使用します。
  3. podman login コマンドを使用して registry.redhat.io レジストリーの認証を行います。レジストリーの認証に関する詳細は、Red Hat コンテナーレジストリーの認証 を参照してください。

  4. サポートされている KIE Server のベースイメージをダウンロードするには、次のコマンドを入力します。 

    podman pull registry.redhat.io/rhpam-7/rhpam-kieserver-rhel8:7.10.0

  5. ベースイメージをもとにカスタムイメージを定義する Dockerfile を作成します。このファイルは JAR ファイル (単数、複数を問わず) を /opt/eap/standalone/deployments/ROOT.war/WEB-INF/lib/ ディレクトリーにコピーする必要があります。以下の例では、Dockerfile ファイルの内容を示します。 

    FROM registry.redhat.io/rhpam-7/rhpam-kieserver-rhel8:7.10.0
COPY target/custom-kieserver-ext-1.0.0.Final.jar /opt/eap/standalone/deployments/ROOT.war/WEB-INF/lib/

  6. Dockerfile を使用してカスタムイメージをビルドします。レジストリー名など、イメージの完全修飾名を指定します。ベースイメージと同じバージョンタグを使用する必要があります。イメージをビルドするには、以下のコマンドを入力します。 

    podman build . --tag registry_address/image_name:7.10.0

    以下に例を示します。 

    podman build . --tag registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0

  7. カスタムイメージをレジストリーにプッシュするには、次のコマンドを入力します。 

    podman push registry_address/image_name:7.10.0 docker://registry_address/image_name:7.10.0

    以下に例を示します。 

    podman push registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0 docker://registry.example.com/custom/rhpam-kieserver-rhel8:7.10.0

次のステップ

KIE Server をデプロイする場合は、イメージ名と namespace を設定してレジストリーにカスタムイメージを指定します。Set KIE Server image をクリックして、Kind の値を DockerImage に変更してから、バージョンタグがないレジストリー名など、イメージ名を指定します。以下に例を示します。 

registry.example.com/custom/rhpam-kieserver-rhel8

Operator を使用した KIE Server のデプロイに関する詳細は、「環境のカスタム KIE Server 設定の設定」 を参照してください。

4.5.3. カスタムルーティングを実装する追加の JAR ファイルを使用したカスタム Smart Router イメージの作成

デフォルトでは、Smart Router はコンテナーエイリアスに基づいて要求をルーティングします。複数の KIE Server が同じコンテナーエイリアスを持つサービスを提供している場合、Smart Router はそのエイリアス間の負荷を分散します。

場合によっては、カスタムのルーティング機能が必要になる場合があります。カスタムクラスを作成してカスタムルーティングを実装してから、クラスでカスタムの Smart Router イメージを作成できます。このイメージをカスタムレジストリーにプッシュして、Smart Router のデプロイに使用できます。

前提条件

  • JDK および Apache Maven がインストールされている。
  • Red Hat Process Automation Manager をデプロイするプロジェクトが Red Hat OpenShift Container Platform 環境に作成されている。
  • Red Hat OpenShift Container Platform イメージレジストリーのルートを把握しており、イメージをレジストリーにプッシュするパーミッションがある。レジストリーの設定手順は、Red Hat OpenShift Container Platform の製品ドキュメントの レジストリー を参照してください。

手順

  1. GitHub リポジトリー から、ルーター拡張のサンプルソースをダウンロードします。
  2. 必要に応じて、ルーター拡張のサンプルソースを変更します。既存のコードは、コンテナーのバージョンに基づいて単純なルーティングを実装します。

  3. Maven を使用してソースコードをビルドします。 

    mvn clean package

    ビルドプロセスにより JAR ファイル target/router-ext-0.0.1-SNAPSHOT.jar が生成されます。

  4. カスタムイメージを作成する作業ディレクトリーを作成し、生成された JAR ファイルをディレクトリーにコピーしてから、以下のようにディレクトリーに移動します。 

    mkdir /tmp/smartrouter
cp target/router-ext-0.0.1-SNAPSHOT.jar /tmp/smartrouter
cd /tmp/smartrouter
  5. podman login コマンドを使用して registry.redhat.io レジストリーの認証を行います。レジストリーの認証に関する詳細は、Red Hat コンテナーレジストリーの認証 を参照してください。

  6. サポートされている Smart Router のベースイメージをダウンロードするには、次のコマンドを入力します。 

    podman pull registry.redhat.io/rhpam-7/rhpam-smartrouter-rhel8:7.10.0

  7. 公式の Smart Router イメージから openshift-launch.sh ファイルを展開します。 

    podman run --rm registry.redhat.io/rhpam-7/rhpam-smartrouter-rhel8:7.10.0 \
   cat /opt/rhpam-smartrouter/openshift-launch.sh > openshift-launch.sh

  8. openshift-launch.sh ファイルを編集します。ファイルの最後の行で、以下のような exec 命令を探します。 

    exec ${JAVA_HOME}/bin/java ${SHOW_JVM_SETTINGS} ${JAVA_OPTS} ${JAVA_OPTS_APPEND} ${JAVA_PROXY_OPTIONS} "${D_ARR[@]}" -jar /opt/${JBOSS_PRODUCT}/${KIE_ROUTER_DISTRIBUTION_JAR}

    命令を以下のテキストに変更します。 

    exec ${JAVA_HOME}/bin/java ${SHOW_JVM_SETTINGS} "${D_ARR[@]}" \
    -cp /opt/${JBOSS_PRODUCT}/router-ext-0.0.1-SNAPSHOT.jar:/opt/${JBOSS_PRODUCT}/${KIE_ROUTER_DISTRIBUTION_JAR} \
    org.kie.server.router.KieServerRouter

    この変更により、エクステンション JAR ファイルが Java クラスパスに追加されます。

  9. ベースイメージをもとにカスタムイメージを定義する Dockerfile ファイルを作成します。以下の例では、Dockerfile ファイルの内容を示します。 

    FROM registry.redhat.io/rhpam-7/rhpam-smartrouter-rhel8:7.10.0
RUN rm -rfv /opt/rhpam-smartrouter/openshift-launch.sh
COPY openshift-launch.sh  /opt/rhpam-smartrouter/openshift-launch.sh
COPY router-ext-0.0.1-SNAPSHOT.jar /opt/rhpam-smartrouter/router-ext-0.0.1-SNAPSHOT.jar

USER root
RUN chown jboss. /opt/rhpam-smartrouter/router-ext-0.0.1-SNAPSHOT.jar /opt/rhpam-smartrouter/openshift-launch.sh
RUN chmod +x /opt/rhpam-smartrouter/openshift-launch.sh
USER 185

    このファイルには、以下のアクションが含まれます。

    • JAR ファイルおよび新規の openshift-launch.sh ファイルを追加します。
    • 現在のユーザーを root に変更します。
    • openshift-launch.sh ファイルに必要なパーミッションを設定します。
    • Red Hat JBoss EAP ユーザーである USER 185 に戻ります。
  10. oc コマンドを使用して、Red Hat OpenShift Container Platform クラスターにログインします。
  11. podman login コマンドを使用して、Red Hat OpenShift Container Platform クラスターレジストリーにログインします。

  12. Dockerfile を使用してカスタムイメージをビルドします。Red Hat OpenShift Container Platform クラスターレジストリーおよびプロジェクト名前空間のイメージにタグを付けます。イメージのカスタム名と、ベースイメージのバージョンと同じバージョンタグを使用します。イメージをビルドするには、以下のコマンドを入力します。 

    podman build . --tag registry-route/project-name_/image-name:7.10.0

    以下に例を示します。 

    podman build . --tag route-openshift-image-registry.openshift.example.com/rhpam-project/rhpam-smartrouter-rhel8-custom:7.10.0

  13. ビルドが完了したら、イメージを実行して、カスタマイズが成功したことを確認します。以下のコマンドを入力します。 

    podman run registry-route/project-name/image-name:7.10.0

    以下に例を示します。 

    podman run route-openshift-image-registry.openshift.example.com/rhpam-project/rhpam-smartrouter-rhel8-custom:7.10.0

    以下の例のように、出力にカスタムサービスが記載されていることを確認します。 

    INFO: Using 'LatestVersionContainerResolver' container resolver and restriction policy 'ByPassUserNotAllowedRestrictionPolicy'

  14. カスタムイメージをレジストリーにプッシュします。 

    podman push registry-route/project-name/image-name:7.10.0

    以下に例を示します。 

    podman push route-openshift-image-registry.openshift.example.com/rhpam-project/rhpam-smartrouter-rhel8-custom:7.10.0

次のステップ

Red Hat Process Automation Manager をデプロイする場合は、Smart Router タブに以下の値を設定します。

  • イメージコンテキスト: プロジェクト名 (例: rhpam-project)
  • イメージ: カスタムイメージ名 (例: rhpam-smartrouter-rhel8-custom)

Operator を使用した Smart Router のデプロイメント方法は、「環境の Smart Router 設定の設定」 を参照してください。

注記

現在のバージョンタグの代わりにカスタムタグを使用することもできます。ただし、現行バージョンタグを使用する場合は、バージョンタグを使用して、新しいバージョンのイメージを作成できます。Red Hat Process Automation Manager のバージョンをアップグレードすると、新しいイメージが自動的に含まれます。Red Hat Process Automation Manager のバージョンをアップグレードする手順は、「Operator を使用してデプロイした環境の変更」 を参照してください。

カスタムタグを使用する場合は、Red Hat Process Automation Manager のデプロイ時に Smart Router タブで Image Tag の値をカスタムタグに設定します。

第5章 Red Hat OpenShift Container Platform 3 のデプロイメントからの情報の移行

以前に Red Hat OpenShift Container Platform 3 で Red Hat Process Automation Manager デプロイメントを使用していた場合は、バジョン 3 のデプロイメントから Red Hat OpenShift Container Platform 4 の新しいデプロイメントに情報を移行できます。

情報を移行する前に、Operator を使用して、新しい Red Hat Process Automation Manager インフラストラクチャーを Red Hat OpenShift Container Platform 4 にデプロイする必要があります。以前のインフラストラクチャーのデプロイメントに存在する要素を、新しいデプロイメントにも追加します。以下に例を示します。

  • 既存のオーサリングデプロイメントの場合は、Business Central と最低でも KIE Server 1 台を含めて新しいオーサリングインフラストラクチャーを作成します。
  • 既存のイミュータブル KIE Server の場合は、同じアーティファクトで新しいイミュータブル KIE Server をデプロイします。
  • MySQL または PostgreSQL データベース Pod を使用する既存の KIE Server の場合は、データベース Pod のタイプが同じ KIE Server を新たにデプロイします。
  • 外部データベースサーバーを使用する既存の KIE Server の場合には、同じ認証情報、同じ外部データベースサーバーを使用する KIE Server を新たにデプロイします。このサーバーは、同じデータベースに接続するため、プロセスコンテンツの状態を読み込むことができます。
注記

KIE Server が H2 ビルトインのデータベースを使用する場合、プロセスコンテキストの状態の移行はサポートされません。

Smart Router では、移行は必要ありません。Smart Router の新規デプロイメントは、自動的に新しい KIE Server 上のサービスと連携します。

5.1. Business Central での情報の移行

Red Hat OpenShift Container Platform 3 に、既存のオーサリング環境がある場合は、この環境の Business Central から .niogit リポジトリーと Maven リポジトリーを Red Hat OpenShift Container Platform 4 の新規デプロイメントにある Business Central にコピーします。このアクションで、新しいデプロイメントにすべて同じプロジェクトとアーティファクトが作成されます。

前提条件

  • Red Hat OpenShift Container Platform 3 および Red Hat OpenShift Container Platform 4 のインフラストラクチャーの両方に、ネットワークでアクセスできるマシンが必要です。
  • 対象のマシンに Red Hat OpenShift Container Platform 4 からの oc コマンドラインクライアントをインストールしておく必要があります。コマンドラインクライアントのインストール方法は、Red Hat OpenShift Container Platform ドキュメントの CLI ツール を参照してください。

手順

  1. Business Central や KIE Server など、以前のデプロイメントや新しいデプロイメントの要素に接続されている Web クライアントやクライアントアプリケーションがないことを確認します。
  2. 空の一時ディレクトリーを作成して、そのディレクトリーに移動します。
  3. oc コマンドを使用して、Red Hat OpenShift Container Platform 3 インフラストラクチャーにログインし、以前のデプロイメントが含まれるプロジェクトに切り替えます。

  4. 以前のデプロイメントにある Pod 名を表示するには、以下のコマンドを実行します。 

    oc get pods

    Business Central の Pod を検索します。この Pod の名前には rhpamcentr が含まれます。高可用性のデプロイメントでは、Business Central Pod はどれでも使用できます。

  5. 以下の例のように、oc コマンドを使用して、.niogit リポジトリーと Maven リポジトリーを Pod からローカルマシンにコピーします。 

    oc cp myapp-rhpamcentr-5-689mw:/opt/kie/data/.niogit .niogit
oc cp myapp-rhpamcentr-5-689mw:/opt/kie/data/maven-repository maven-repository
  6. oc コマンドを使用して、Red Hat OpenShift Container Platform 4 インフラストラクチャーにログインし、新しいデプロイメントが含まれるプロジェクトに切り替えます。

  7. 新しいデプロイメントにある Pod 名を表示するには、以下のコマンドを実行します。 

    oc get pods

    Business Central の Pod を検索します。この Pod の名前には rhpamcentr が含まれます。高可用性のデプロイメントでは、Business Central Pod はどれでも使用できます。

  8. 以下の例のように、oc コマンドを使用して、.niogit リポジトリーと Maven リポジトリーをローカルマシンから Pod にコピーします。 

    oc cp .niogit myappnew-rhpamcentr-abd24:/opt/kie/data/.niogit
oc cp maven-repository myappnew-rhpamcentr-abd24:/opt/kie/data/maven-repository

5.2. KIE Server の MySQL データベースの移行

Red Hat OpenShift Container Platform 3 の環境に、MySQL データベース Pod を使用する KIE Server が含まれる場合は、MySQL データベースコンテンツを、以前のデプロイメントから新しいデプロイメントにコピーします。このアクションにより、既存のプロセスの状態が新しいデプロイメントにコピーされます。

前提条件

  • Red Hat OpenShift Container Platform 3 および Red Hat OpenShift Container Platform 4 のインフラストラクチャーの両方に、ネットワークでアクセスできるマシンが必要です。
  • 対象のマシンに Red Hat OpenShift Container Platform 4 からの oc コマンドラインクライアントをインストールしておく必要があります。コマンドラインクライアントのインストール方法は、Red Hat OpenShift Container Platform ドキュメントの CLI ツール を参照してください。
  • MySQL バージョン 8 以降または MariaDB バージョン 10 以降で提供されるクライアントアプリケーション mysql および mysqldump がインストールされている。

手順

  1. Business Central や KIE Server など、以前のデプロイメントや新しいデプロイメントの要素に接続されている Web クライアントやクライアントアプリケーションがないことを確認します。
  2. 空の一時ディレクトリーを作成して、そのディレクトリーに移動します。
  3. oc コマンドを使用して、Red Hat OpenShift Container Platform 3 インフラストラクチャーにログインし、以前のデプロイメントが含まれるプロジェクトに切り替えます。

  4. 以前のデプロイメントにあるデプロイメント設定名を表示するには、以下のコマンドを実行します。 

    oc get dc

    KIE Server に対応する mysql デプロイメント設定を検索します。

  5. 以下のようにデプロイメント設定の YAML を表示します。 

    oc edit dc/myapp-mysql

    以下のように、このファイルでデータベースサーバーのユーザー名 (通常 rhpam) およびパスワードを検索します。 

    - name: MYSQL_USER
  value: rhpam
- name: MYSQL_PASSWORD
  value: NDaJIV7!

    ユーザー名とパスワードを記録します。ファイルに変更を加えないでください。

    注記

    次のコマンドを使用して、ユーザー名とパスワードを取得することもできます。 

    oc get dc/myapp-mysql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="MYSQL_USER")]}'.value

oc get dc/myapp-mysql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="MYSQL_PASSWORD")]}'.value

  6. 以前のデプロイメントにあるサービス名を表示するには、以下のコマンドを実行します。 

    oc get svc

    KIE Server に対応する mysql サービスを検索します。

  7. 以下の例のように、別のターミナルウィンドウで、サービスの名前およびポート番号を使用してローカルホストから mysql サービスへのポート転送を開始します。 

    oc port-forward service/myapp-mysql 3306:3306

  8. 以下の例のように、記録したユーザー名を使用して、フルデータベースダンプを作成します。 

    mysqldump --all-databases -u rhpam -p -h 127.0.0.1 > mysqldump.sql

    プロンプトが表示されたら、記録したパスワードを入力します。ダンプの作成にはかなり時間がかかる場合があります。

  9. Ctrl+C のキーボードの組み合わせを使用して、別のウィンドウのポート転送を停止します。
  10. oc コマンドを使用して、Red Hat OpenShift Container Platform 4 インフラストラクチャーにログインし、新しいデプロイメントが含まれるプロジェクトに切り替えます。

  11. 新しいデプロイメントにあるデプロイメント設定名を表示するには、以下のコマンドを実行します。 

    oc get dc

    KIE Server に対応する mysql デプロイメント設定を検索します。

  12. 以下のようにデプロイメント設定の YAML を表示します。 

    oc edit dc/myappnew-mysql

    このファイルでデータベースサーバーのユーザー名 (通常 rhpam) およびパスワードを検索します。ユーザー名とパスワードを記録します。ファイルに変更を加えないでください。

    注記

    次のコマンドを使用して、ユーザー名とパスワードを取得することもできます。 

    oc get dc/myapp-mysql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="MYSQL_USER")]}'.value

oc get dc/myapp-mysql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="MYSQL_PASSWORD")]}'.value

  13. 新しいデプロイメントにあるサービス名を表示するには、次のコマンドを実行します。 

    oc get svc

    KIE Server に対応する mysql サービスを検索します。

  14. 以下の例のように、別のターミナルウィンドウで、サービスの名前およびポート番号を使用してローカルホストから mysql サービスへのポート転送を開始します。 

    oc port-forward service/myappnew-mysql 3306:3306

  15. 以下のように、記録したユーザー名を使用してデータベースのダンプを復元します。 

    mysql -u rhpam -p -h 127.0.0.1 < mysqldump.sql

    プロンプトが表示されたら、記録したパスワードを入力します。復元にはかなり時間がかかる場合があります。

  16. Ctrl+C のキーボードの組み合わせを使用して、別のウィンドウのポート転送を停止します。

5.3. KIE Server の PostgreSQL データベースの移行

Red Hat OpenShift Container Platform 3 の環境に、PostgreSQL データベース Pod を使用する KIE Server が含まれる場合は、PostgreSQL データベースコンテンツを、以前のデプロイメントから新しいデプロイメントにコピーします。このアクションにより、既存のプロセスの状態が新しいデプロイメントにコピーされます。

前提条件

  • Red Hat OpenShift Container Platform 3 および Red Hat OpenShift Container Platform 4 のインフラストラクチャーの両方に、ネットワークでアクセスできるマシンが必要です。
  • 対象のマシンに Red Hat OpenShift Container Platform 4 からの oc コマンドラインクライアントをインストールしておく必要があります。コマンドラインクライアントのインストール方法は、Red Hat OpenShift Container Platform ドキュメントの CLI ツール を参照してください。
  • PostgreSQL バージョン 10 以降で提供される psql および pg_dump クライアントアプリケーションがインストールされている。

手順

  1. Business Central や KIE Server など、以前のデプロイメントや新しいデプロイメントの要素に接続されている Web クライアントやクライアントアプリケーションがないことを確認します。
  2. 空の一時ディレクトリーを作成して、そのディレクトリーに移動します。
  3. oc コマンドを使用して、Red Hat OpenShift Container Platform 3 インフラストラクチャーにログインし、以前のデプロイメントが含まれるプロジェクトに切り替えます。

  4. 以前のデプロイメントにあるデプロイメント設定名を表示するには、以下のコマンドを実行します。 

    oc get dc

    KIE Server に対応する postgresql デプロイメント設定を検索します。

  5. 以下のようにデプロイメント設定の YAML を表示します。 

    oc edit dc/myapp-postgresql

    以下のように、このファイルで、データベースサーバーのユーザー名 (通常 rhpam)、パスワード、およびデータベース名 (通常 rhpam7) を検索します。 

    - name: POSTGRESQL_USER
  value: rhpam
- name: POSTGRESQL_PASSWORD
  value: NDaJIV7!
- name: POSTGRESQL_DATABASE
  value: rhpam7

    ユーザー名、パスワード、およびデータベース名を記録します。ファイルに変更を加えないでください。

    注記

    次のコマンドを使用して、ユーザー名とパスワード、データベース名を取得することもできます。 

    oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_USER")]}'.value

oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_PASSWORD")]}'.value

oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_DATABASE")]}'.value

    +

  6. 以前のデプロイメントにあるサービス名を表示するには、以下のコマンドを実行します。 

    oc get svc

    KIE Server に対応する postgresql サービスを検索します。

  7. 以下の例のように、別のターミナルウィンドウで、サービスの名前およびポート番号を使用してローカルホストから postgresql サービスへのポート転送を開始します。 

    oc port-forward service/myapp-postgresql 5432:5432

  8. 以下のように、記録したユーザー名とデータベース名を使用して、データベースのダンプを作成します。 

    pg_dump rhpam7 -h 127.0.0.1 -U rhpam -W > pgdump.sql

    プロンプトが表示されたら、記録したパスワードを入力します。ダンプの作成にはかなり時間がかかる場合があります。

  9. Ctrl+C のキーボードの組み合わせを使用して、別のウィンドウのポート転送を停止します。
  10. oc コマンドを使用して、Red Hat OpenShift Container Platform 4 インフラストラクチャーにログインし、新しいデプロイメントが含まれるプロジェクトに切り替えます。

  11. 新しいデプロイメントにあるデプロイメント設定名を表示するには、以下のコマンドを実行します。 

    oc get dc

    KIE Server に対応する postgresql デプロイメント設定を検索します。

  12. 以下のようにデプロイメント設定の YAML を表示します。 

    oc edit dc/myappnew-postgresql

    このファイルで、データベースサーバーのユーザー名 (通常 rhpam)、パスワード、およびデータベース名 (通常 rhpam7) を検索します。ユーザー名、パスワード、およびデータベース名を記録します。ファイルに変更を加えないでください。

    注記

    次のコマンドを使用して、ユーザー名とパスワード、データベース名を取得することもできます。 

    oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_USER")]}'.value

oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_PASSWORD")]}'.value

oc get dc/myapp-postgresql -ojsonpath='{.spec.template.spec.containers[0].env[?(@.name=="POSTGRESQL_DATABASE")]}'.value

  13. 新しいデプロイメントにあるサービス名を表示するには、次のコマンドを実行します。 

    oc get svc

    KIE Server に対応する postgresql サービスを検索します。

  14. 以下の例のように、別のターミナルウィンドウで、サービスの名前およびポート番号を使用してローカルホストから postgresql サービスへのポート転送を開始します。 

    oc port-forward service/myappnew-postgresql 5432:5432

  15. 以下のように、記録したユーザー名、データベース名を使用してデータベースのダンプを復元します。 

    psql -h 127.0.0.1 -d rhpam7 -U rhpam -W < pgdump.sql

    プロンプトが表示されたら、記録したパスワードを入力します。復元にはかなり時間がかかる場合があります。

    表示されたデータベースエラーメッセージを確認します。現存するオブジェクトに関するメッセージは正常です。

  16. Ctrl+C のキーボードの組み合わせを使用して、別のウィンドウのポート転送を停止します。

パート II. テンプレートを使用した Red Hat OpenShift Container Platform 3 への Red Hat Process Automation Manager 環境のデプロイメント

システムエンジニアは、Red Hat OpenShift Container Platform 3 に Red Hat Process Automation Manager 環境をデプロイして、サービス、プロセスアプリケーション、およびその他のビジネスアセットを開発または実行するインフラストラクチャーを提供します。提供されたテンプレートを 1 つ使用して、特定のニーズに合わせて事前定義された Red Hat Process Automation Manager 環境をデプロイできます。

注記

Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Process Automation Manager 環境のデプロイに関する説明は、Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Process Automation Manager 環境のデプロイメント を参照してください。

前提条件

  • Red Hat OpenShift Container Platform バージョン 3.11 がデプロイされている。

  • 以下のリソースが OpenShift クラスターで利用できる。アプリケーションの負荷によっては、許容可能なパフォーマンスのために、より多くのリソース割り当てが必要になることがあります。

    • オーサリング環境の場合は、Business Central Pod 用に 4 ギガバイトのメモリーと 2 つの仮想 CPU コアが必要です。高可用性のデプロイメントでは、レプリカごとにこれらのリソースが必要で、2 つのレプリカがデフォルトで作成されます。
    • 実稼働環境またはイミュータブルな環境の場合は、Business Central Monitoring Pod の各レプリカに 2 ギガバイトのメモリーと 1 つの仮想 CPU コアが指定されます。
    • 各 KIE Server Pod の各レプリカについて、2 ギガバイトのメモリーと 1 つの仮想 CPU コア。
    • Smart Router Pod の各レプリカについて、512 メガバイトのメモリーと半分の仮想 CPU コア。
    • 高可用性オーサリングのデプロイメントでは、MySQL、Red Hat AMQ、および Red Hat Data Grid の Pod に、設定されたデフォルトに応じて追加のリソースが必要になります。

  • 動的永続ボリューム (PV) のプロビジョニングが有効になっている。または、動的 PV プロビジョニングが有効でない場合は、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、デプロイされるコンポーネントには以下の PV サイズが必要です。

    • それぞれの KIE Server デプロイメントで、このデータベースに 1 つの 1Gi PV が必要になります。データベース PV のサイズは変更できます。複数の KIE Server をデプロイでき、それぞれに異なるデータベース PV が必要になります。この要件は、外部データベースサーバーを使用する場合には適用されません。
    • デフォルトでは、Business Central は 1 Gi 分の PV が必要です。Business Central 永続ストレージの PV サイズを変更できます。
    • Business Central Monitoring には、1 つの 64Mi PV が必要です。
    • Smart Router には、1 つの 64Mi PV が必要です。
注記

クラスターの容量を確認する方法は、Red Hat OpenShift Container Platform 3.11 製品ドキュメントの クラスター容量の分析 を参照してください。

  • デプロイメントする OpenShift プロジェクトが作成されている。
  • oc コマンドを使用してプロジェクトにログインしている。oc コマンドランツールに関する詳細は、OpenShift の CLI リファレンス を参照してください。OpenShift Web コンソールを使用してテンプレートをデプロイするには、Web コンソールを使用してログインしている必要もあります。

  • 動的永続ボリューム (PV) のプロビジョニングが有効になっている。または、動的 PV プロビジョニングが有効でない場合は、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、デプロイされるコンポーネントには以下の PV サイズが必要です。

    • 複製された KIE Server Pod のセットには、デフォルトでデータベースに 1 つの 1Gi PV が必要になります。テンプレートパラメーターの PV サイズを変更できます。この要件は、外部データベースサーバーを使用する場合には適用されません。
    • Business Central にはデフォルトで 1 Gi PV が必要です。テンプレートパラメーターで、Business Central 永続ストレージの PV サイズを変更することができます。
  • Business Central または Business Central Monitoring Pod のいずれかをスケーリングする予定がある場合は、OpenShift 環境では、ReadWriteMany モードで永続ボリュームがサポートされます。ご使用の環境がこのモードに対応していない場合は、NFS を使用してボリュームをプロビジョニングできます。ただし、パフォーマンスと信頼性を最大化するには、GlusterFS を使用して、高可用性オーサーリング環境用に永続ボリュームをプロビジョニングします。OpenShift のパブリックおよび専用クラウドでのアクセスモードのサポートに関する情報は、アクセスモード を参照してください。
注記

Red Hat Process Automation Manager バージョン 7.5 以降では、Red Hat OpenShift Container Platform 3.x 向けのイメージとテンプレートが非推奨になりました。上記のイメージとテンプレートには新機能が追加されませんが、Red Hat OpenShift Container Platform 3.x の完全サポートが終了するまでサポートは継続されます。Red Hat OpenShift Container Platform 3.x の完全なサポートライフサイクルフェーズに関する詳細は、Red Hat OpenShift Container Platform のライフサイクルポリシー (最新バージョン以外) を参照してください。

注記

Red Hat Process Automation Manager テンプレートを Red Hat OpenShift Container Platform 4.x とともに使用しないでください。Red Hat Process Automation Manager を Red Hat OpenShift Container Platform 4.x にデプロイするには、Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Process Automation Manager 環境のデプロイメント の説明を参照してください。

第6章 Red Hat OpenShift Container Platform における Red Hat Process Automation Manager の概要

Red Hat Process Automation Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。

この場合に、Red Hat Process Automation Manager のコンポーネントは、別の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。標準の OpenShift の手法を使用して Pod を管理し、負荷を分散できます。

以下の Red Hat Process Automation Manager の主要コンポーネントが OpenShift で利用できます。

  • KIE Server (実行サーバー (Execution Server) とも呼ばれる) は、デシジョンサービス、プロセスアプリケーション、およびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスのすべてのロジックは実行サーバーで実行されます。

    通常、KIE Server にはデータベースサーバーが必要です。別の OpenShift Pod にデータベースサーバーを提供したり、別のデータベースサーバーを使用するように OpenShift で実行サーバーを設定したりできます。また、KIE Server では H2 データベースを使用できますが、使用する場合は、Pod をスケーリングできません。

    一部のテンプレートでは、KIE Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じデータベースサーバーを使用し、同じサービスを実行します。OpenShift は負荷分散を提供しているため、要求はどの Pod でも処理できます。

    KIE Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の KIE Server Pod を必要な数だけ設定することができます。

  • Business Central は、オーサリングサービスに対する Web ベースのインタラクティブ環境です。また、管理および監視コンソールも提供します。Business Central を使用してサービスを開発し、それらを KIE Server にデプロイできます。また、Business Central を使用してプロセスの実行を監視することもできます。

    Business Central は一元化アプリケーションです。複数の Pod を実行し、同じデータを共有する高可用性用に設定できます。

    Business Central には開発するサービスのソースを保管する Git リポジトリーが含まれます。また、ビルトインの Maven リポジトリーも含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。

  • Business Central Monitoring は Web ベースの管理および監視コンソールです。KIE Server へのサービスのデプロイメントを管理し、監視情報を提供しますが、オーサリング機能は含まれません。このコンポーネントを使用して、ステージング環境および実稼働環境を管理できます。
  • Smart Router は、KIE Server と、KIE Server と対話するその他のコンポーネントとの間の任意のレイヤーです。環境に、複数の KIE Server で実行するサービスが多数含まれる場合、Smart Router はすべてのクライアントアプリケーションに対応するエンドポイントを 1 つ提供します。クライアントアプリケーションは、サービスを要求する REST API 呼び出しを実行できます。Smart Router は、特定の要求を処理できる KIE Server を自動的に呼び出します。

OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。

以下の環境タイプが一般的です。

  • トライアル: Red Hat Process Automation Manager のデモおよび評価のための環境この環境には、Business Central と KIE Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、この環境でのいずれの作業も保存されません。
  • オーサリング: Business Central を使用してサービスを作成し、変更するために使用する環境です。これは、オーサリング作業用に Business Central を提供する Pod およびサービスのテスト実行用に KIE Server を提供する Pod で設定されます。

  • 管理対象のデプロイメント: ステージングおよび実稼働用として既存のサービスを実行するのに使用する環境。この環境には、KIE Server Pod のいくつかのグループが含まれます。このようなすべてのグループにサービスをデプロイおよびアンデプロイしたり、必要に応じてグループをスケールアップまたはスケールダウンしたりできます。Business Central Monitoring を使用してサービスをデプロイし、実行し、停止し、またそれらの実行を監視します。

    2 種類の管理環境をデプロイできます。自由形式 のサーバー環境では、最初に Business Central Monitoring と KIE Server を 1 つデプロイします。さらに、任意の数の KIE Server をデプロイできます。Business Central Monitoring は、同じ名前空間内のすべてのサーバーに接続できます。

    または、固定の 管理サーバー環境をデプロイすることもできます。単一デプロイメントには、Business Central Monitoring、Smart Router、および事前に設定された数の KIE Server (デフォルトでは 2 サーバーですが、テンプレートを変更して数を変更することができます) が含まれます。後のプロセスでは、サーバーを簡単に追加または削除することはできません。

  • イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行するための代替の環境です。この環境では、KIE Server Pod のデプロイ時に、サービスまたはサービスのグループを読み込み、起動するイメージをビルドします。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する必要がある場合は、新規のサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、KIE Server は OpenShift 環境の Pod のように実行されるため、任意のコンテナーベースの統合ワークフローを使用することができ、他のツールを使用して Pod を管理する必要はありません。

    必要に応じて、Business Central Monitoring を使用して環境のパフォーマンスを監視したり、サービスインスタンスの一部を停止および再起動したりできますが、追加のサービスを KIE Server にデプロイしたり、既存のサービスのデプロイを解除したりすることはできません (コンテナーの追加または削除はできません)。

OpenShift に Red Hat Process Automation Manager 環境をデプロイするには、Red Hat Process Automation Manager で提供されるテンプレートを使用できます。一部のテンプレートを変更して、設定が環境に適合するようにすることができます。

6.1. オーサリング環境のアーキテクチャー

Red Hat Process Automation Manager では、Business Central のコンポーネントに、オーサリングサービス用の Web ベースの対話型ユーザーインターフェイスが含まれています。KIE Server のコンポーネントでこれらのサービスを実行します。

KIE Server は、データベースサーバーを使用して、プロセスサービスの状態を保存します。

Business Central を使用して、KIE Server 上でサービスをデプロイすることもできます。複数の KIE Server を使用して異なるサービスを実行して同じ Business Central から複数のサーバーを制御できます。

単一のオーサリング環境

単一のオーサリング環境では、Business Central のインスタンスが 1 つだけ実行されます。複数のユーザーが同時に Web インターフェイスにアクセスできますが、パフォーマンスが制限される可能性があり、フェイルオーバー機能はありません。

Business Central には、開発したサービスの各種ビルドバージョン (KJAR ファイル/アーティファクト) を格納する、ビルトイン Maven リポジトリーが含まれています。継続的インテグレーション/継続的デプロイメント (CICD) ツールを使用して、リポジトリーからこのようなアーティファクトを取得し、必要に応じて移動できます。

Business Central は、ビルトインの Git リポジトリーにソースコードを保存します (.niogit ディレクトリーに保存)。組み込まれたインデックスメカニズムを使用して、サービス内でアセットをインデックス化します。

Business Central では、Maven リポジトリーと Git リポジトリーに永続ストレージを使用します。

単一のオーサリング環境には、デフォルトで KIE Server が 1 台含まれています。この KIE Server は、ビルトインの H2 データベースエンジンを使用して、プロセスサービスの状態を保存します。

単一のオーサリング環境ではデフォルトで、コントローラーストラテジー を使用します。Business Central には、KIE Server を管理できるコンポーネントである コントローラー が含まれています。Business Central に接続するように KIE Server を設定した場合、KIE Server は REST API を使用してコントローラーに接続します。この接続を使用すると、WebSocket が永続的に解放されます。コントローラーストラテジーを使用する OpenShift デプロイメントでは、KIE Server はそれぞれ、Business Central コントローラーに接続するように初期設定されます。

Business Central ユーザーインターフェイスを使用して KIE Server でサービスをデプロイしたり管理したりする場合、KIE Server はコントローラー接続の WebSocket を使用して要求を受け取ります。サービスをデプロイする場合は、KIE Server が Business Central の一部である Maven リポジトリーから必要なアーティファクトを要求します。

クライアントアプリケーションは、REST API 経由で、KIE Server で実行されるサービスを使用します。

図6.1 単一のオーサリング環境のアーキテクチャー図

KIE Server のクラスターリングと複数の KIE Server の使用

KIE Server Pod をスケーリングして、KIE Server のクラスター環境を実行できます。KIE Server をスケーリングするには、ビルトインの H2 データベースエンジンではなく、別の Pod でデータベースサーバーを使用するか、外部のデータベースサーバーを使用する必要があります。

クラスターデプロイメントでは、複数の KIE Server インスタンスが同じサービスを実行します。このようなサーバーは、Business Central コントローラーから同じ要求を受信できるように、同じサーバー ID を使用して Business Central コントローラーに接続します。Red Hat OpenShift Container Platform ではサーバー間の負荷分散が可能です。同じクライアントからの要求が別のインスタンスで処理される可能性があるため、クラスター化された KIE Server で実行するデシジョンサービスや Business Optimizer のサービスは、ステートレスでなければなりません。

独立した KIE Server を複数デプロイして、異なるサービスを実行することも可能です。このような場合、サーバーは異なるサーバー ID 値を指定して Business Central コントローラーに接続します。各サーバーにサービスをデプロイする場合は、Business Central UI を使用できます。

Smart Router

任意の Smart Router コンポーネントは、クライアントアプリケーションと KIE Server の間にレイヤーを提供します。独立した KIE Server を複数使用する場合に役立ちます。

クライアントアプリケーションは、異なる KIE Server で実行されるサービスを使用できますが、常に Smart Router に接続されます。Smart Router は自動的に、必要なサービスを実行する KIE Server に要求を渡します。また、Smart Router では、サービスのバージョン管理も可能で、追加の負荷分散レイヤーも提供されます。

高可用性オーサリング環境

高可用性 (HA) のオーサリング環境では Business Central Pod がスケーリングされるため、複数の Business Central インスタンスが実行されます。Red Hat OpenShift Container Platform は、ユーザー要求の負荷分散を提供します。この環境は、複数のユーザーに最適なパフォーマンスを提供し、フェイルオーバーをサポートします。

Business Central の各インスタンスには、構築されたアーティファクト用の Maven リポジトリーが含まれており、ソースコードには .niogit の Git リポジトリーを使用します。このインスタンスは、リポジトリー用に共有の永続ストレージを使用します。このストレージには、ReadWriteMany アクセス権のある永続ボリュームが必要です。

Red Hat DataGrid のインスタンスは、Business Central で開発されたすべてのプロジェクトとアセットをインデックス化します。

Red Hat AMQ インスタンスは、Business Central のすべてのインスタンス間に、Java CDI メッセージを伝播します。たとえば、新規プロジェクトが作成された場合、アセットがインスタンスの 1 つでロックまたは変更された場合に、その情報が即座に他の全インスタンスで反映されます。

コントローラーストラテジーは、クラスターデプロイメントには適していません。OpenShift デプロイメントの場合は、高可用性の Business Central はOpenShift スタートアップストラテジー を使用して KIE Server を管理する必要があります。

KIE Server デプロイメント (スケーリング可能) ごとに、現在の状態を反映する ConfigMap を作成します。Business Central は、ConfigMap を読み込むことで全 KIE Server を検出します。

ユーザーが KIE Server 設定 (例: サービスのデプロイまたはアンデプロイ) で変更を要求した場合に、Business Central は KIE Server への接続を開始し、REST API 要求を送信します。KIE Server は、全インスタンスが再デプロイされ、新規設定が反映されるように、ConfigMap を変更して新しい設定の状態を反映し、独自の再デプロイをトリガーします。

OpenShift 環境で、独立した KIE Server を複数デプロイできます。KIE Server にはそれぞれ、必要な設定が指定された個別の ConfigMap が設定されます。KIE Server は個別にスケーリングできます。

OpenShift デプロイメントに、Smart Router を追加できます。

図6.2 高可用性オーサリング環境のアーキテクチャー図

第7章 OpenShift 環境に Red Hat Process Automation Manager をデプロイする準備

OpenShift 環境に Red Hat Process Automation Manager をデプロイする前に、手順をいくつか完了する必要があります。追加イメージ (たとえば、プロセスの新しいバージョン、または別のプロセス) をデプロイする場合は、この手順を繰り返す必要はありません。

注記

トライアル環境をデプロイする場合は、「イメージストリームとイメージレジストリーの可用性確認」 で説明されている手順を完了し、その他の準備手順は行わないでください。

7.1. イメージストリームとイメージレジストリーの可用性確認

Red Hat Process Automation Manager コンポーネントを Red Hat OpenShift Container Platform にデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認する必要があります。これらのイメージをダウンロードするために、OpenShift ではイメージの場所情報が含まれる イメージストリーム が必要になります。また、OpenShift は、お使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーへの認証が行われるように設定する必要があります。

OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合は、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。

それ以外の方法として、レジストリー認証を独自のプロジェクトで設定し、イメージストリームをそのプロジェクトにインストールすることができます。

手順

  1. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用に、ユーザー名とパスワードで設定されているかを判断します。必須の設定に関する詳細は、レジストリーの場所の設定 を参照してください。OpenShift オンラインサブスクリプションを使用する場合は、Red Hat レジストリー用のアクセスはすでに設定されています。

  2. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されている場合は、以下のコマンドを実行します。 

    $ oc get imagestreamtag -n openshift | grep -F rhpam-businesscentral | grep -F 7.10
$ oc get imagestreamtag -n openshift | grep -F rhpam-kieserver | grep -F 7.10

    両コマンドの出力が空でない場合は、必要なイメージストリームが openshift namespace にあるため、これ以外の操作は必要ありません。

  3. コマンドの 1 つまたは複数の出力が空白の場合や、Red Hat レジストリーにアクセスするために、OpenShift をユーザー名およびパスワードで設定していない場合は、以下の手順を実行してください。

    1. oc コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。
    2. Registry Service Accounts for Shared Environments で説明されている手順を実行します。Red Hat カスタマーポータルにログインし、このドキュメントにアクセスし、レジストリーサービスアカウントを作成する手順を実行する必要があります。
    3. OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
    4. ダウンロードしたファイルを確認して、name: エントリーに記載の名前をメモします。

    5. 以下のコマンドを実行します。 

      oc create -f <file_name>.yaml
oc secrets link default <secret_name> --for=pull
oc secrets link builder <secret_name> --for=pull

      <file_name> はダウンロードしたファイルに、<secret_name> はファイルの name: のエントリーに記載されている名前に置き換えてください。

    6. Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードし、rhpam710-image-streams.yaml ファイルを展開します。

    7. 以下のコマンドを入力します。 

      $ oc apply -f rhpam710-image-streams.yaml
      注記

      上記の手順を完了したら、イメージストリームを独自のプロジェクトの名前空間にインストールします。今回の例では、テンプレートのデプロイ時に IMAGE_STREAM_NAMESPACE パラメーターをこのプロジェクトの名前に設定する必要があります。

7.2. KIE Server のシークレットの作成

OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、Red Hat OpenShift Container Platform ドキュメントの シークレット の章を参照してください。

KIE Server への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、想定されている KIE Server の URL と一致する、有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット kieserver-app-secret を生成します。 

    $ oc create secret generic kieserver-app-secret --from-file=keystore.jks

7.3. Business Central へのシークレットの作成

Business Central または Business Central Monitoring が含まれている環境では、Business Central への HTTP アクセス用の SSL 証明書を作成し、これをシークレットとして OpenShift 環境に提供する必要があります。

Business Central と KIE Server に同じ証明書およびキーストアを使用しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、Business Central の予想される URL と一致する有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット businesscentral-app-secret を生成します。 

    $ oc create secret generic businesscentral-app-secret --from-file=keystore.jks

7.4. Smart Router のシークレットの作成

Smart Router が含まれている環境では、Smart Router への HTTP アクセス用の SSL 証明書を作成し、これをシークレットとして OpenShift 環境に提供する必要があります。

Smart Router の証明書およびキーストアに、KIE Server または Business Central で使用されているものと同じものを指定しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で keystore.jks という名前の SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、SSL 暗号化キーおよび証明書 を参照してください。

    注記

    実稼働環境で、Smart Router の予想される URL と一致する有効な署名済み証明書を生成します。

  2. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  3. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。

  4. oc コマンドを使用して、新しいキーストアファイルからシークレット smartrouter-app-secret を生成します。 

    $ oc create secret generic smartrouter-app-secret --from-file=keystore.jks

7.5. 管理ユーザーのシークレットの作成

Red Hat Process Automation Manager 管理ユーザーアカウントのユーザー名とパスワードを含む汎用シークレットを作成する必要があります。このシークレットは、試用版テンプレート以外のテンプレートを使用して Red Hat Process Automation Manager をデプロイするのに必要です。

シークレットには、リテラルのユーザー名とパスワードが含まれている必要があります。ユーザー名のキー名は KIE_ADMIN_USER です。パスワードのキー名は KIE_ADMIN_PWD です。

複数のテンプレートを使用して Red Hat Process Automation Manager のコンポーネントをデプロイする場合は、これらすべてのデプロイメントに同じシークレットを使用します。コンポーネントは、このユーザーアカウントを利用して相互に通信します。

お使いの環境に Business Central または Business Central Monitoring が含まれる場合は、このユーザーアカウントを使用して Business Central または Business Central Monitoring にログインすることもできます。

重要

RH-SSO または LDAP 認証を使用する場合は、同じパスワードを持つ同じユーザーを Red Hat Process Automation Manager の kie-server,rest-all,admin ロールを使用して認証システムで設定する必要があります。

手順

oc コマンドを使用し、ユーザー名およびパスワードの kie-admin-user-secret という汎用シークレットを生成します。 

$ oc create secret generic rhpam-credentials --from-literal=KIE_ADMIN_USER=adminUser --from-literal=KIE_ADMIN_PWD=adminPassword

このコマンドで、adminPassword を管理ユーザーのパスワードに置き換えます。必要に応じて、adminUser を管理ユーザーの別のユーザー名に置き換えることができます。

7.6. GlusterFS 設定の変更

オーサリング環境をデプロイする場合は、OpenShift 環境が GlusterFS を使用して永続ストレージボリュームを提供するかどうかを確認する必要があります。GlusterFS を使用している場合は、Business Central の最適なパフォーマンスを確保するために、ストレージクラスの設定を変更して GlusterFS ストレージをチューニングする必要があります。

手順

  1. お使いの環境で GlusterFS が使用されているかどうかを確認するには、以下のコマンドを実行します。 

    oc get storageclass

    この結果で、(default) マーカーが、glusterfs をリストするストレージクラスにあるかどうかを確認します。たとえば、以下の結果では、デフォルトのストレージクラスが gluster-container であり、glusterfs をリストします。 

    NAME              PROVISIONER                       AGE
gluster-block     gluster.org/glusterblock          8d
gluster-container (default) kubernetes.io/glusterfs 8d

    結果に、glusterfs をリストしないデフォルトストレージクラスが含まれる場合、または結果が空の場合は、変更する必要がありません。変更しない場合は、残りの手順を省略します。

  2. デフォルトストレージクラスの設定を YAML ファイルに保存するには、以下のコマンドを実行します。 

    oc get storageclass <class-name> -o yaml >storage_config.yaml

    <class-name> はデフォルトのストレージクラス名に置き換えます。以下に例を示します。 

    oc get storageclass gluster-container -o yaml >storage_config.yaml

  3. storage_config.yaml ファイルを編集します。

    1. 以下のキーがある行を削除します。

      • creationTimestamp
      • resourceVersion
      • selfLink
      • uid

    2. Business Central を、高可用性設定がない単一の Pod としてのみ使用する予定の場合は、volumeoptions キーが含まれる行に、以下のオプションを追加します。 

      features.cache-invalidation on
performance.nl-cache on

      以下に例を示します。

      volumeoptions: client.ssl off, server.ssl off, features.cache-invalidation on, performance.nl-cache on

    3. Business Central を高可用性設定で使用する予定の場合は、volumeoptions キーが含まれる行に、以下のオプションを追加します。 

      features.cache-invalidation on
nfs.trusted-write on
nfs.trusted-sync on
performance.nl-cache on
performance.stat-prefetch off
performance.read-ahead off
performance.write-behind off
performance.readdir-ahead off
performance.io-cache off
performance.quick-read off
performance.open-behind off
locks.mandatory-locking off
performance.strict-o-direct on

      以下に例を示します。

      volumeoptions: client.ssl off, server.ssl off, features.cache-invalidation on, nfs.trusted-write on, nfs.trusted-sync on, performance.nl-cache on, performance.stat-prefetch off, performance.read-ahead off, performance.write-behind off, performance.readdir-ahead off, performance.io-cache off, performance.quick-read off, performance.open-behind off, locks.mandatory-locking off, performance.strict-o-direct on

  4. 既存のデフォルトストレージクラスを削除するには、以下のコマンドを実行します。 

    oc delete storageclass <class-name>

    <class-name> はデフォルトのストレージクラス名に置き換えます。以下に例を示します。 

    oc delete storageclass gluster-container

  5. 新しい設定を使用してストレージクラスを再作成するには、以下のコマンドを実行します。 

    oc create -f storage_config.yaml

7.7. NFS を使用した ReadWriteMany アクセスモードの永続ボリュームのプロビジョニング

Business Central Monitoring または高可用性 Business Central をデプロイする場合、ご使用の環境は ReadWriteMany アクセスモードで永続ボリュームをプロビジョニングする必要があります。

注記

高可用性オーサリング環境をデプロイする場合、パフォーマンスと信頼性を最大化するには、GlusterFS を使用して永続ボリュームをプロビジョニングします。「GlusterFS 設定の変更」 の説明に従って GlusterFS ストレージクラスを設定します。

お使いの設定で ReadWriteMany アクセスモードの永続ボリュームのプロビジョニングが必要であるものの、環境がそのようなプロビジョニングに対応しない場合は、NFS を使用してボリュームをプロビジョニングします。それ以外の場合、この手順は省略します。

手順

NFS サーバーをデプロイし、NFS を使用して永続ボリュームをプロビジョニングします。NFS を使用して永続ボリュームをプロビジョニングする方法については、Red Hat OpenShift Container Platform 3.11 ドキュメントの クラスターの設定 の NFS を使用した永続ストレージを参照してください。

7.8. S2I ビルドに使用する Business Central からのソースコードの展開

Source-to-Image (S2I) プロセスを使用してイミュータブル KIE Server を作成する予定がある場合は、Git リポジトリーにサービスのソースコードを提供する必要があります。オーサリングサービスに Business Central を使用する場合は、サービスのソースコードを展開して、S2I ビルドを使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

S2I プロセスを使用する予定がない場合や、サービスのオーサリングに Business Central を使用していない場合は、この手順を飛ばして次に進んでください。

手順

  1. 以下のコマンドを使用してソースコードを展開します。 

    git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>

    このコマンドでは、以下の変数を置き換えてください。

    • <business-central-host>: Business Central を実行しているホスト
    • <MySpace>: プロジェクトが配置された Business Central 領域の名前
    • <MyProject>: プロジェクトの名前
    注記

    Business Central でプロジェクトの完全な URL を表示するには、MenuDesign<MyProject>Settings の順にクリックします。

    注記

    HTTPS 通信に自己署名証明書を使用している場合にこのコマンドを実行すると、エラーメッセージ SSL certificate problem が表示され失敗する可能性があります。このような場合は、GIT_SSL_NO_VERIFY 環境変数を使用するなど、git で SSL 証明書の検証を無効にします。 

    env GIT_SSL_NO_VERIFY=true git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>
  2. S2I ビルドの別の Git リポジトリー (GitHub または GitLab など) へのソースコードのアップロード

7.9. オフラインで使用する Maven ミラーリポジトリーの用意

Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。

注記

Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合は、この手順を飛ばして次に進むことができます。

前提条件

  • 公開インターネットへの送信アクセスが設定されているコンピューターが利用できる。

手順

  1. 書き込みアクセス権がある Maven リリースリポジトリーを設定します。リポジトリーは認証なしで読み取りアクセスを許可する必要があり、OpenShift 環境にはこのリポジトリーへのネットワークアクセスが必要です。

    OpenShift 環境に、Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、Red Hat OpenShift Container Platform 3.11 ドキュメントの Nexus の設定 を参照してください。

    このリポジトリーをミラーとして使用し、公開されている Maven アーティファクトをホストします。これらのサービスをイミュータブルサーバーに展開したり、Business Central の監視を使用して管理対象サーバーに展開したりするために、このリポジトリーで独自のサービスを提供することもできます。

  2. 公開インターネットに送信アクセスができるコンピューターで、以下のアクションを実行します。

  3. Red Hat カスタマーポータルの Software Downloads ページに移動し (ログインが必要)、ドロップダウンオプションから製品およびバージョンを選択します。

    • 製品: Red Hat Process Automation Manager

    • バージョン: 7.10

      1. Red Hat Process Automation Manager 7.10.0 Offliner Content List (rhpam-7.10.0-offliner.zip) の製品配信可能ファイルをダウンロードして展開します。
      2. rhpam-7.10.0-offliner.zip ファイルの内容を任意のディレクトリーに展開します。

      3. ディレクトリーに移動し、以下のコマンドを入力します。 

        ./offline-repo-builder.sh offliner.txt

        このコマンドは、repository サブディレクトリーを作成し、必要なアーティファクトをこのサブディレクトリーにダウンロードします。これはミラーリポジトリーです。

        一部のダウンロードが失敗したことを示すメッセージが表示された場合は、同じコマンドを再度実行してください。ダウンロードが再び失敗する場合は、Red Hat サポートに連絡してください。

      4. repository サブディレクトリーのすべてのアーティファクトを、作成した Maven ミラーリポジトリーにアップロードします。アーティファクトをアップロードするには、Git リポジトリー Maven リポジトリー tools から利用できる Maven リポジトリー Provisioner ユーティリティーを使用できます。

  4. Business Central 外でサービスを開発し、追加の依存関係がある場合は、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして開発した場合は、以下の手順を使用し、これらの依存関係を自動的に用意します。公開インターネットへに送信接続できるコンピューターで、この手順を実行します。

    1. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) のバックアップを作成して、ディレクトリーを削除します。
    2. mvn clean install コマンドを使用してプロジェクトのソースをビルドします。

    3. すべてのプロジェクトで以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。 

      mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true

      /path/to/project/pom.xml を、プロジェクトの pom.xml ファイルのパスに置き換えます。

    4. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) から作成した Maven ミラーリポジトリーにすべてのアーティファクトをアップロードします。アーティファクトをアップロードするには、Git リポジトリー Maven repository tools から利用できる Maven Repository Provisioner ユーティリティーを使用できます。

7.10. 外部データベースのカスタム KIE Server 拡張イメージのビルド

KIE Server に外部データベースサーバーを使用し、そのデータベースサーバーが MySQL または PostgreSQL 以外の場合は、環境をデプロイする前にこのサーバー用のドライバーを使用するカスタムの KIE Server 拡張イメージをビルドする必要があります。

このビルド手順の手順を完了して、次のデータベースサーバーのいずれかにドライバーを提供します。

  • Microsoft SQL Server
  • IBM DB2
  • Oracle データベース
  • Sybase

必要に応じて、この手順を使用して、以下のデータベースサーバーのいずれかに対応する新しいバージョンのドライバーをビルドできます。

  • MySQL
  • MariaDB
  • PostgreSQL

データベースサーバーのサポートされるバージョンについては、Red Hat Process Automation Manager 7 でサポートされる設定 を参照してください。

ビルド手順では、既存の KIE Server イメージを拡張するカスタム拡張イメージを作成します。このカスタム拡張イメージは OpenShift 環境にインポートしてから、EXTENSIONS_IMAGE パラメーターで参照する必要があります。

前提条件

  • oc コマンドを使用して OpenShift 環境にログインしている。OpenShift ユーザーには registry-editor ロールが必要です。
  • Oracle Database、IBM DB2、または Sybase の場合は、データベースサーバーベンダーから JDBC ドライバーをダウンロードしている。

  • 以下の必要なソフトウェアをインストールしている。

    • Docker: インストール手順は、Get Docker を参照してください。
    • Cekit バージョン 3.2: インストール手順は、Installation を参照してください。

    • Cekit の以下のライブラリーおよび拡張機能。詳細は、Dependencies を参照してください。

      • docker: python3-docker パッケージまたは同様のパッケージで提供される。
      • docker-squash: python3-docker-squash または同様のパッケージで提供される。
      • behave: python3-behave パッケージまたは同様のパッケージで提供される。

手順

  1. IBM DB2、Oracle Database、または Sybase の場合、JDBC ドライバー JAR ファイルをローカルディレクトリーに指定します。
  2. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  3. ファイルを展開し、コマンドラインを使用して解凍したファイルの templates/contrib/jdbc/cekit ディレクトリーに移動します。このディレクトリーには、カスタムビルドのソースコードが含まれます。

  4. データベースサーバーのタイプに応じて、以下のコマンドのいずれかを入力します。

    • Microsoft SQL Server の場合: 

      make mssql

    • MySQL の場合: 

      make mysql

    • PostgreSQL の場合: 

      make postgresql

    • MariaDB の場合: 

      make mariadb

    • IBM DB2 の場合: 

      make db2 artifact=/tmp/db2jcc4.jar version=10.2

      このコマンドで、/tmp/db2jcc4.jar を IBM DB2 ドライバーのパス名に置き換え、10.2 をドライバーのバージョンに置き換えます。

    • Oracle Database の場合: 

      make oracle artifact=/tmp/ojdbc7.jar version=7.0

      このコマンドで、/tmp/ojdbc7.jar を Oracle Database ドライバーのパス名に置き換え、7.0 をドライバーのバージョンに置き換えます。

    • Sybase の場合: 

      make build sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05

      このコマンドで、/tmp/jconn4-16.0_PL05.jar をダウンロードされた Sybase ドライバーのパス名に置き換え、16.0_PL05 をドライバーのバージョンに置き換えます。

      または、Sybase ドライバーのドライバークラスまたはドライバーの XA クラスを更新する必要がある場合は、以下のコマンドに DRIVER_CLASS 変数または DRIVER_XA_CLASS 変数を設定してください。 

      export DRIVER_CLASS=another.class.Sybase && make sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05

  5. 以下のコマンドを入力して、ローカルで利用可能な Docker イメージを一覧表示します。 

    docker images

    ビルドされたイメージの名前 (例: jboss-kie-db2-extension-openshift-image) およびイメージのバージョンタグ (11.1.4.4 など (latest タグではない)) をメモします。

  6. OpenShift 環境のレジストリーに直接アクセスし、イメージをレジストリーにプッシュします。ユーザーパーミッションに応じて、イメージを openshift 名前空間またはプロジェクト名前空間にプッシュできます。レジストリーへのアクセスおよびイメージのプッシュの手順は、Red Hat OpenShift Container Platform 製品ドキュメントの Accessing the Registry Directly を参照してください。

  7. 外部データベースサーバーをサポートするテンプレートを使用して KIE Server デプロイメントを設定する場合、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

第8章 トライアル環境

試用版 (評価版) の Red Hat Process Automation Manager 環境をデプロイできます。この環境は、サービスのオーサリングと管理を行う Business Central と、サービスのテスト実行を行う KIE Server で設定されます。

この環境には、永続ストレージが含まれません。トライアル環境で作成または変更するアセットは保存されません。

この環境は、テストおよびデモ用のアクセスを前提として設計されています。CORS (Cross-Origin Resource Sharing) をサポートします。これは、ページの他のリソースが他のサーバーによって提供される場合に、ブラウザーを使用して KIE Server エンドポイントにアクセスできることを意味します。KIE Server エンドポイントは通常 REST 呼び出しを対象としていますが、一部のデモ設定でブラウザーアクセスが必要になることがあります。

8.1. 試用環境のデプロイ

トライアル環境をデプロイする手順は最小限です。必要な設定はなく、すべてのパスワードが単一の値に設定されます。デフォルトのパスワードは、RedHat です。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. rhpam710-trial-ephemeral.yaml テンプレートファイルを展開します。

  3. 以下の方法を使用してテンプレートをデプロイします。

    • OpenShift Web UI では、Add to Project → Import YAML / JSON を選択し、rhpam710-trial-ephemeral.yaml ファイルを選択するか、その内容を貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/rhpam710-trial-ephemeral.yaml

      このコマンドラインでは、<template-path> は、ダウンロードしたテンプレートファイルのパスに置き換えます。

  4. 必要に応じて、このテンプレートに記載されているようにパラメーターを設定します。通常の試用版の開発では、以下のパラメーターのみが必要です。

    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールした場合は、名前空間が OpenShift プロジェクトの名前になります。

  5. 使用している方法に応じて、環境の作成を終了します。

    • OpenShift Web UI の場合は Create をクリックします。

      • This will create resources that may have security or project behavior implications のポップアップメッセージが表示される可能性があります。このメッセージが表示された場合は、Create Anyway をクリックします。
    • 完了し、コマンドラインを実行します。

第9章 オーサリング環境

Business Central を使用してプロセスを作成および修正する環境をデプロイできます。オーサリング作業に使用する Business Central と、プロセスのテスト実行を行う KIE Server で設定されます。必要な場合は、追加の KIE Server を Business Central に接続できます。

必要に応じて、単一のオーサリング環境テンプレートまたは高可用性 (HA) オーサリング環境テンプレートのいずれかをデプロイできます。

単一オーサリング環境には 2 つの Pod が含まれます。それらの Pod の 1 つは Business Central を実行し、もう 1 つは KIE Server を実行します。KIE Server には、デフォルトで組み込み済みの H2 データベースエンジンが含まれます。この環境は、単一ユーザーのオーサリングや、OpenShift インフラストラクチャーのリソースが制限されている場合に最も適しています。これには、ReadWriteMany アクセスモードをサポートする永続ボリュームは不要です。

単一のオーサリング環境では、Business Central をスケーリングすることはできません。H2 データベースエンジンはスケーリングをサポートしていないため、デフォルトでは KIE Server をスケーリングすることもできません。ただし、別の MySQL または PostgreSQL データベースサーバー Pod を使用するようにテンプレートを変更できます。この場合は、KIE Server をスケーリングできます。単一のオーサリング環境テンプレートを変更する手順は、「単一オーサリング環境のテンプレートの修正」 を参照してください。

HA オーサリング環境では、Business Central と KIE Server の両方がスケーリング可能な Pod で提供されます。Pod をスケーリングすると、永続ストレージはコピー間で共有されます。データベースは別の Pod で提供されます。

Business Central で高可用性機能を有効にするには、AMQ および Data Grid を含む追加の Pod が必要です。これらの Pod は高可用性オーサリングテンプレートで設定され、デプロイされます。高可用性オーサリング環境を使用して、特に複数のユーザーが同時にオーサリングに関与する場合に、信頼性と応答性を最大限提供します。

Red Hat Process Automation Manager の現行バージョンでは、HA オーサリング環境は特定の制限付きでサポートされています。

  • Business Central Pod がユーザーがそれを使用している間にクラッシュすると、ユーザーにはエラーメッセージが送られ、ユーザーは別の Pod にリダイレクトされます。この場合、再度ログインする必要はありません。
  • ユーザーの操作時に Business Central Pod がクラッシュする場合は、コミット (保存) されていないデータが失われる可能性があります。
  • プロジェクトの作成時に Business Central Pod がクラッシュする場合は、使用できないプロジェクトが作成される可能性があります。
  • アセットの作成時に Business Central Pod がクラッシュする場合は、アセットが作成されるものの、インデックス化されないため使用できない可能性があります。ユーザーは Business Central でアセットを開き、再度保存してインデックス化することができます。
  • サービスを KIE Server にデプロイすると、KIE Server デプロイメントが再度ロールアウトされます。ロールアウトが完了するまで、同じ KIE Server に別のサービスをデプロイできません。

高可用性オーサリング環境では、必要に応じて、別の管理対象またはイミュータブル KIE Server を追加でデプロイすることも可能です。Business Central は、イミュータブル KIE Server や管理対象 KIE Server など、同じ namespace 内の KIE Server を自動検出できます。

単一のオーサリング環境で管理対象またはイミュータブルな KIE Server を追加でデプロイする場合は、] に記載されているように、環境内の OpenShiftStartupStrategy 設定を手作業で有効にする手順が別途必要になります。この設定により、他の KIE Server の検出が可能になります。

管理対象の KIE Server のデプロイ方法は、「フリーフォーム環境用の追加の管理 KIE Server のデプロイ」 を参照してください。

イミュータブルな KIE Server をデプロイする方法は、「S2I ビルドの使用によるイミュータブル KIE Server のデプロイ」 および 「KJAR サービスからのイミュータブル KIE Server のデプロイ」 を参照してください。

9.1. オーサリング環境のデプロイメント

OpenShift テンプレートを使用し、単一または高可用性オーサリング環境をデプロイできます。この環境は、Business Central および単一の KIE Server で設定されます。

9.1.1. オーサリング環境用のテンプレートの設定開始

単一オーサリング環境をデプロイする必要がある場合は、rhpam710-authoring.yaml テンプレートファイルを使用します。デフォルトでは、単一オーサリングテンプレートは、永続的なストレージを持つ H2 データベースを使用します。MySQL または PostgreSQL Pod を作成するか、または外部データベースサーバー (OpenShift プロジェクト外) を使用することを選択する場合は、環境をデプロイする前にテンプレートを変更します。テンプレートの変更に関する説明は、「単一オーサリング環境のテンプレートの修正」 を参照してください。

高可用性オーサリング環境をデプロイする必要がある場合は、rhpam710-authoring-ha.yaml テンプレートファイルを使用します。デフォルトで、高可用性オーサリングテンプレートは MySQL Pod を作成して KIE Server のデータベースサーバーを提供します。PostgreSQL を使用するか、または外部サーバー (OpenShift プロジェクト外) を使用する場合は、環境をデプロイする前にテンプレートを変更する必要があります。また、テンプレートを変更して Business Central 用に最初に作成されたレプリカの数を変更することもできます。テンプレートの変更に関する説明は、「高可用性オーサリング環境のテンプレートの修正」 を参照してください。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. 必要なテンプレートファイルを展開します。

  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択または貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/<template-file-name>.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレート名に置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「オーサリング環境に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

9.1.2. オーサリング環境に必要なパラメーターの設定

テンプレートをオーサリング環境をデプロイするように設定する場合は、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.3. オーサリング環境用のイメージストリーム namespace の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

9.1.4. オーサリング環境用のオプションの Maven リポジトリーの設定

テンプレートをオーサリング環境をデプロイするように設定する際、ビルドされた KJAR ファイルを外部の Maven リポジトリーに配置する必要がある場合は、リポジトリーにアクセスするためにパラメーターを設定する必要があります。

前提条件

手順

カスタム Maven リポジトリーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
  • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
  • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
  • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

重要

Business Central プロジェクトを KJAR アーティファクトとして外部の Maven リポジトリーにエクスポートまたはプッシュするには、全プロジェクトの pom.xml ファイルにもリポジトリー情報を追加する必要があります。Business Central プロジェクトの外部リポジトリーへのエクスポートに関する情報は、Red Hat Process Automation Manager プロジェクトおよびパッケージ化 を参照してください。

9.1.5. オーサリング環境の公開インターネットへの接続のない環境に Maven ミラーへのアクセスを設定する

テンプレートをオーサリング環境をデプロイするように設定する際に、 OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:*,!repo-rhpamcentr です。この値で、Maven は Business Central のビルトイン Maven リポジトリーからアーティファクトを直接取得し、ミラーから他の必要なアーティファクトを取得します。外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、このリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.6. 高可用性オーサリング環境用の Business Central と KIE Server のレプリカの設定

高可用性オーサリング環境をデプロイする場合に、デフォルトでは、Business Central のレプリカと KIE Server のレプリカが 2 つずつ最初に作成されます。

必要に応じて、レプリカの数を変更できます。

単一のオーサリング環境では、この手順を飛ばして次に進んでください。

前提条件

手順

レプリカの数を変更するには、次のパラメーターを設定します。

  • Business Central Container レプリカ (BUSINESS_CENTRAL_CONTAINER_REPLICAS): デプロイメントで Business Central に最初に作成するレプリカ数。
  • KIE Server コンテナーのレプリカ (KIE_SERVER_CONTAINER_REPLICAS): デプロイメントで KIE Server に最初に作成するレプリカ数。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.7. オーサリング環境用の Git フックディレクトリーの指定

Git フックを使用して Business Central の内部 Git リポジトリーと外部 Git リポジトリーの対話を容易にすることができます。

Git フックを使用する必要がある場合は、Git フックディレクトリーを設定する必要があります。

前提条件

手順

Git フックディレクトリーを設定するには、以下のパラメーターを設定します。

  • Git フックディレクトリー (GIT_HOOKS_DIR): Git フックディレクトリーへの完全修飾パス (例: /opt/kie/data/git/hooks)。ディレクトリーの内容を指定し、これを指定されたパスにマウントする必要があります。設定マップまたは永続ボリュームを使用して Git フックディレクトリーを指定し、マウントする方法は、「(オプション) Git フックディレクトリーの指定」 を参照してください。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.8. 高可用性デプロイメントのリソース使用状況の設定

高可用性テンプレート (rhpam710-authoring-ha.yaml) をデプロイしている場合は、要件に合わせてパフォーマンスを最適化するためにリソースの使用を任意で設定することができます。

単一オーサリング環境テンプレート (rhpam710-authoring.yaml) をデプロイしている場合は、この手順を飛ばして次に進んでください。

リソースのサイジングの詳細は、Red Hat OpenShift Container Platform 3.11 の製品ドキュメントの以下のセクションを参照してください。

前提条件

手順

以下のパラメーターをテンプレートに設定します (該当する場合)。

  • Business Central Container Memory Limit (BUSINESS_CENTRAL_MEMORY_LIMIT): Business Central コンテナーについて OpenShift 環境で必要とされるメモリー量。デフォルト値は 8Gi です。
  • Business Central JVM Max Memory Ratio (BUSINESS_CENTRAL_JAVA_MAX_MEM_RATIO): Business Central の Java Virtual Machine に使用されるコンテナーメモリーのパーセンテージ。残りのメモリーはオペレーティングシステムに使用されます。デフォルト値は 80% を制限値として 80 になります。
  • Business Central Container CPU Limit (BUSINESS_CENTRAL_CPU_LIMIT): Business Central の CPU 使用の最大値。デフォルト値は 2000m です。
  • KIE Server コンテナーのメモリー制限 (KIE_SERVER_MEMORY_LIMIT): KIE Server コンテナーについて OpenShift 環境で必要とされるメモリー量。デフォルト値は 1Gi です。
  • KIE Server コンテナーの CPU 制限 (KIE_SERVER_CPU_LIMIT): KIE Server の CPU 使用の最大値。デフォルト値は 1000m です。
  • DataGrid Container のメモリー制限 (DATAGRID_MEMORY_LIMIT): Red Hat Data Grid コンテナーについて OpenShift 環境で必要とされるメモリー量。デフォルト値は 2Gi です。
  • DataGrid Container CPU 制限 (DATAGRID_CPU_LIMIT): Red Hat Data Grid の CPU 使用の最大値。デフォルト値は 1000m です。

9.1.9. オーサリング環境用の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合、テンプレートをオーサリング環境をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「オーサリング環境用のテンプレートの設定開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central の RH-SSO クライアント名。
      • Business Central RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO に設定されているシークレット文字列。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • Business Central RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central 向けに RH-SSO に作成するクライアント名。
      • Business Central RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central のクライアント向けに RH-SSO で設定するシークレット文字列。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

9.1.10. オーサリング環境用の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、テンプレートをオーサリング環境をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.11. オーサリング環境用に外部データベースサーバーを使用するためのパラメーターの設定

「単一オーサリング環境のテンプレートの修正」 または 「高可用性オーサリング環境のテンプレートの修正」 に説明されているように、KIE Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合は、オーサリング環境をデプロイするようにテンプレートを設定する際に、以下の追加の設定を行います。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。

    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。

    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。

  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

  3. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

9.1.12. オーサリング環境用の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「オーサリング環境用テンプレートのデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

9.1.13. オーサリング環境用テンプレートのデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

9.2. 追加の KIE Server を Business Central に接続するための OpenShiftStartupStrategy 設定の有効化

Red Hat Process Automation Manager オーサリングテンプレートを使用してデプロイされた環境では、Business Central が 1 つの KIE Server を管理します。高可用性オーサリングテンプレートを使用している場合や、単一のオーサリングテンプレートを変更して組み込み H2 データベース以外のデータベースサーバーを使用する場合は、KIE Server Pod をスケーリングすることができますが、すべてのコピーが同じサービスを実行します。

Business Central に追加で KIE Server を接続できます。ただし、rhpam710-authoring.yaml を使用して単一のオーサリング環境をデプロイした場合は、環境で OpenShiftStartupStrategy 設定を有効にする必要があります。OpenShiftStartupStrategy を有効にすると、Business Central は同じ名前空間にある KIE Server を検出し、これらの KIE Server は Business Central に接続するように設定できます。

OpenShiftStartupStrategy 設定では、KIE Server にサービスをデプロイすると、KIE Server デプロイメントが再度ロールアウトされます。ロールアウトが完了するまで、同じ KIE Server に別のサービスをデプロイできません。ロールアウトにはかなり時間が掛かる可能性があるため、OpenShiftStartupStrategy 設定によっては、オーサリング環境には適さない場合があります。

rhdm710-authoring-ha.yaml テンプレートを使用して高可用性オーサリング環境をデプロイした場合は、この手順を実行しないでください。この環境では、デフォルトで OpenShiftStartupStrategy 設定が有効です。

追加の KIE Server を Business Central に接続する場合を除き、この手順を実行しないでください。

前提条件

  • rhpam710-authoring.yaml テンプレートを使用してオーサリング環境をデプロイしている。
  • oc ツールを使用して環境がデプロイされている OpenShift プロジェクトにログインしている。

手順

  1. 以下のコマンドを入力して、プロジェクトにデプロイされているデプロイメント設定を表示します。 

    $ oc get dc

  2. コマンドの出力で、Business Central Pod と KIE Server Pod のデプロイメント設定名を見つけます。

    • Business Central のデプロイメント設定の名前は myapp-rhpamcentr です。myapp を、テンプレートの APPLICATION_NAME パラメーターに設定される環境のアプリケーション名に置き換えます。
    • KIE Server のデプロイメント設定の名前は myapp-kieserver です。myapp をアプリケーション名に置き換えます。

  3. 以下のコマンドを入力し、Pod で OpenShiftStartupStrategy 設定を有効にします。 

    $ oc env myapp-rhpamcentr KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED=true
$ oc env myapp-kieserver KIE_SERVER_STARTUP_STRATEGY=OpenShiftStartupStrategy

    これらのコマンドで、myapp-rhpamcentr を Business Central デプロイメント設定名に、myapp-kieserver を KIE Server デプロイメント設定名に置き換えます。

  4. OpenShiftStartupStrategy 設定を有効にする場合、デフォルトで Business Central は、オーサリングテンプレートと同じ値の APPLICATION_NAME パラメーターでデプロイされる KIE Server のみを検出します。その他のアプリケーション名を持つ KIE Server を Business Central に接続する必要がある場合は、以下のコマンドを入力します。 

    $ oc env myapp-rhpamcentr KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED=true

    このコマンドで、myapp-rhpamcentr を Business Central デプロイメント設定名に置き換えます。

9.3. 単一オーサリング環境のテンプレートの修正

デフォルトでは、単一オーサリングテンプレートは、永続的なストレージを持つ H2 データベースを使用します。MySQL または PostgreSQL Pod を作成するか、または外部データベースサーバー (OpenShift プロジェクト外) を使用することを選択する場合は、環境をデプロイする前にテンプレートを変更します。

KIE Server Pod をスケーリングする必要がある場合は、MySQL または PostgreSQL Pod または外部データベースサーバーを使用する必要があります。OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。

コメントの中には、テンプレート内のブロックを表すもの (BEGIN から END まで) があります。たとえば、以下のブロックの名前は Sample block です。 

## Sample block BEGIN
sample line 1
sample line 2
sample line 3
## Sample block END

変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。

手順

必要に応じて、rhpam710-authoring.yaml テンプレートファイルを以下のように変更します。

  • H2 データベースの代わりに MySQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、同じようにコメントがある rhpam710-kieserver-mysql.yaml ファイルのブロックに置き換えます。その他のブロックを削除して、希望する場所にブロックを追加する必要もあります。

    1. H2 database parameters という名前のブロックを、MySQL database parameters に置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-mysql.yaml ファイルから取得します。)
    2. H2 driver settings ブロックを MySQL driver settings ブロックに置き換えます。
    3. H2 persistent volume claim ブロックを MySQL persistent volume claim ブロックに置き換えます。
    4. H2 volume mount ブロックと H2 volume settings ブロックを削除します。
    5. Place to add database service コメントの下に MySQL service ブロックを追加します。
    6. Place to add database deployment config コメントの下に MySQL deployment config ブロックを追加します。

  • H2 データベースの代わりに PostgreSQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、同じようにコメントがある rhpam710-kieserver-postgresql.yaml ファイルのブロックに置き換えます。その他のブロックを削除して、希望する場所にブロックを追加する必要もあります。

    1. H2 database parameters ブロックを、PostgreSQL database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-postgresql.yaml ファイルから取得します)
    2. H2 driver settings ブロックを PostgreSQL driver settings ブロックに置き換えます。
    3. H2 persistent volume claim ブロックを PostgreSQL persistent volume claim ブロックに置き換えます。
    4. H2 volume mount ブロックと H2 volume settings ブロックを削除します。
    5. Place to add database service コメントの下に PostgreSQL service ブロックを追加します。
    6. Place to add database deployment config コメントの下に PostgreSQL deployment config ブロックを追加します。

  • 外部データベースサーバーを使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-externaldb.yaml ファイルのブロックに置き換え、いくつかのブロックを削除します。

    1. H2 database parameters という名前のブロックを、External database parameters という名前のブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-externaldb.yaml ファイルから取得します)
    2. H2 driver settings ブロックを、External database driver settings ブロックに置き換えます。

    3. このファイルの以下のブロックから、BEGIN から END までのコメントを削除します。

      • H2 persistent volume claim
      • H2 volume mount
      • H2 volume settings
重要

標準の KIE Server イメージに外部データベースサーバー MySQL 用、MariaDB 用、PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 を参照してください。

9.4. 高可用性オーサリング環境のテンプレートの修正

デフォルトで、高可用性オーサリングテンプレートは MySQL Pod を作成して KIE Server のデータベースサーバーを提供します。代わりに PostgreSQL、または (OpenShift プロジェクト外の) 外部サーバーを使用する場合は、環境をデプロイする前にテンプレートを修正する必要があります。

また、高可用性オーサリングテンプレートを変更して、Business Central に最初に作成したレプリカの数も変更できます。

OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。

コメントの中には、テンプレート内のブロックを表すもの (BEGIN から END まで) があります。たとえば、以下のブロックの名前は Sample block です。 

## Sample block BEGIN
sample line 1
sample line 2
sample line 3
## Sample block END

変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。

手順

必要に応じて、rhpam710-authoring-ha.yaml テンプレートファイルを以下のように変更します。

  • MySQL の代わりに PostgreSQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-postgresql.yaml ファイルのブロックに置き換えます。

    1. MySQL database parameters ブロックを、PostgreSQL database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-postgresql.yaml ファイルから取得します)
    2. MySQL service ブロックを PostgreSQL service ブロックに置き換えます。
    3. MySQL driver settings ブロックを PostgreSQL driver settings ブロックに置き換えます。
    4. MySQL deployment config ブロックを PostgreSQL deployment config ブロックに置き換えます。
    5. MySQL persistent volume claim ブロックを、PostgreSQL persistent volume claim ブロックに置き換えます。

  • 外部データベースサーバーを使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-externaldb.yaml ファイルのブロックに置き換え、いくつかのブロックを削除します。

    1. MySQL database parameters ブロックを、External database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-externaldb.yaml ファイルから取得します)
    2. MySQL driver settings ブロックを、External database driver settings ブロックに置き換えます。

    3. このファイルの以下のブロックから、BEGIN から END までのコメントを削除します。

      • MySQL service
      • MySQL deployment config
      • MySQL persistent volume claim
重要

標準の KIE Server イメージに外部データベースサーバー MySQL 用、MariaDB 用、PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 を参照してください。

  • ## Replicas for Business Central コメントの下の行に、Business Central に最初に作成したレプリカの数を変更する場合は、レプリカの数を希望する値に変更します。

第10章 イミュータブルサーバーを使用した環境

事前定義プロセスを使用して イミュータブル KIE Server を実行する 1 つ以上の Pod を含む環境をデプロイできます。データベースサーバーは、デフォルトで Pod で実行します。KIE Server の各 Pod は、必要に応じて個別にスケーリングできます。

イメージの作成時に、イミュータブル KIE Server ですべてのサービスをサーバーに読み込む必要があります。実行中のイミュータブル KIE Server でサービスのデプロイまたはデプロイ解除を行うことはできません。このアプローチの利点は、サービスが含まれる KIE Server はコンテナー化されたサービスのように実行され、特別な管理を必要としない点にあります。KIE Server は OpenShift 環境で 1 つの Pod のように実行します。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

KIE Server イメージを作成する場合は、S2I (Source to Image) を使用してサービスをビルドする必要があります。サービスのソースおよびその他のビジネスアセットを使用して Git リポジトリーを提供します。Business Central でサービスまたはアセットを開発する場合は、S2I ビルドの個別のリポジトリーにソースをコピーします。OpenShift は自動的にソースをビルドし、KIE Server イメージにサービスをインストールして、このサービスでコンテナーを起動します。

オーサリングサービスに Business Central を使用する場合は、プロセスのソースを展開して、S2I ビルドで使用する別の Git リポジトリー (GitHub や、GitLab のオンプレミスインストールなど) に配置できます。

または、KJAR ファイルとしてすでにビルドされているサービスを使用して同様の KIE Server デプロイメントを作成できます。この場合、サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動すると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスが更新したり、変更することはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはリポジトリーからファイルを取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。

イミュータブルのイメージを作成する方法はいずれも、イメージの管理が必要ありません。サービスの新規バージョンを使用する場合は、新規イメージをビルドできます。

必要に応じて、Business Central Monitoring および Smart Router を環境に追加できます。Business Central Monitoring を使用して、KIE Server のサービスの起動、停止、監視を行います。

10.1. イミュータブルサーバーを使用する環境への Business Central Monitoring および Smart Router のデプロイ

イミュータブルサーバーを使用する環境に Business Central Monitoring および Smart Router をデプロイすることができます。

Business Central Monitoring を使用して KIE Server でサービスの起動および停止 (デプロイでない) を実行でき、監視データを表示できます。Business Central Monitoring は、イミュータブル KIE Server および管理 KIE Server を含む、同じ名前空間にあるすべての KIE Server を自動的に検出します。この機能には、固定された管理インフラストラクチャーにデプロイされたものを除くすべての KIE Server に対してデフォルトで有効にされた OpenShiftStartupStrategy 設定が必要です。OpenShiftStartupStrategy 設定を有効にして管理対象 KIE Server をデプロイする方法は、「フリーフォーム環境用の追加の管理 KIE Server のデプロイ」 を参照してください。

Smart Router は、クライアントアプリケーションからのサービスに対する呼び出しを受信できる単一エンドポイントであり、それぞれの呼び出しのルートをサービスを実際に実行するサーバーに対して自動的に指定します。

Business Central Monitoring を使用する必要がある場合は、Maven リポジトリーを指定する必要があります。統合プロセスで、KIE Server イメージにビルドした KJAR ファイルのすべてのバージョンが Maven リポジトリーでも利用できるようにする必要があります。

10.1.1. Monitoring および Smart Router 用のテンプレート設定の開始

イミュータブルサーバーを使用する環境に Monitoring および Smart Router をデプロイするには、rhpam710-immutable-monitor.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. rhpam710-immutable-monitor.yaml テンプレートファイルを展開します。

  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、rhpam710-immutable-monitor.yaml ファイルを選択するか、または貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/rhpam710-immutable-monitor.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「Monitoring および Smart Router に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

10.1.2. Monitoring および Smart Router に必要なパラメーターの設定

テンプレートを、Monitoring および Smart Router をイミュータブルサーバーを使用する環境にデプロイするように設定する場合は、いずれの場合も以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • Business Central Monitoring Server Keystore Secret Name (BUSINESS_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。
    • Smart Router Keystore Secret Name (KIE_SERVER_ROUTER_HTTPS_SECRET): 「Smart Router のシークレットの作成」 で作成した Smart Router のシークレットの名前。
    • Business Central Monitoring Server Certificate Name (BUSINESS_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。
    • Business Central Monitoring Server Keystore Password (BUSINESS_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。
    • Smart Router Certificate Name (KIE_SERVER_ROUTER_HTTPS_NAME): 「Smart Router のシークレットの作成」 で作成したキーストアの証明書名。
    • Smart Router Keystore Password (KIE_SERVER_ROUTER_HTTPS_PASSWORD): 「Smart Router のシークレットの作成」 で作成したキーストアのパスワード。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。
    • Enable KIE server global discovery (KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED): 同じ名前空間にある OpenShiftStartupStrategy が指定されたすべての KIE Server を Business Central Monitoring に検出させるには、このパラメーターを true に設定します。デフォルトでは、Business Central Monitoring は、APPLICATION_NAME パラメーターが Business Central Monitoring と同じ値でデプロイされた KIE Server のみを検出します。
    • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。お使いの環境の KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。

10.1.3. Monitoring および Smart Router のイメージストリーム名前空間の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

10.1.4. Monitoring および Smart Router の RH-SSO 認証用パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「Monitoring および Smart Router 用のテンプレート設定の開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO クライアント名。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO に設定されているシークレット文字列。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO で作成するクライアントの名前。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO に設定するシークレット文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

10.1.5. Monitoring および Smart Router の LDAP 認証用パラメーターの設定

LDAP 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。

10.1.6. Monitoring および Smart Router 用のテンプレートのデプロイ

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

10.2. S2I ビルドの使用によるイミュータブル KIE Server のデプロイ

S2I ビルドを使用してイミュータブル KIE Server をデプロイできます。サーバーをデプロイする際、デプロイメント手順ではこのサーバーで実行される必要のあるすべてのサービスのソースコードを取得し、サービスをビルドし、それらをサービスイメージに組み込みます。

実行中のイミュータブル KIE Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。KIE Server は OpenShift 環境で 1 つの Pod のように実行します。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

イミュータブル KIE Server の JMS 機能を有効にできます。JMS 機能を使用すると、外部 AMQ メッセージブローカーを使用し、JMS API 経由でサーバーと対話できます。

デフォルトで、このサーバーは Pod で PostgreSQL データベースサーバーを使用します。Pod で MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用するには、テンプレートを変更できます。テンプレートの変更に関する説明は、「S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更」 を参照してください。

Business Central または Business Central Monitoring が同じ名前空間にデプロイされる場合、これはイミュータブル KIE Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル KIE Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。

10.2.1. S2I の使用によるイミュータブル KIE Server のテンプレート設定の開始

S2I ビルドを使用してイミュータブル KIE Server をデプロイするには、JMS 機能を有効にする必要がある場合は rhpam710-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用します。そうでない場合は、rhpam710-prod-immutable-kieserver.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. 必要なテンプレートファイルを展開します。
  3. デフォルトで、テンプレートには 2 つの KIE Server が含まれます。それぞれのサーバーは Pod で PostgreSQL データベースサーバーを使用します。KIE Server の数を変更するか、Pod で MySQL データサーバーを使用するか、または外部データベースサーバーを使用するには、「S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更」 で説明されているようにテンプレートを変更します。

  4. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択または貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレート名に置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「S2I の使用によるイミュータブル KIE Server に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

10.2.2. S2I の使用によるイミュータブル KIE Server に必要なパラメーターの設定

テンプレートをイミュータブル KIE Server を S2I ビルドを使用してデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名を同じにすることはできません。また、アプリケーション名は、KIE Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) または Business Central Monitoring の名前を決定するものとなります。複数の KIE Server をデプロイしている場合は、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。

    • KIE Server コンテナーのデプロイメント (KIE_SERVER_CONTAINER_DEPLOYMENT): ソースのビルド後にデプロイメントでローカルまたは外部リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の ID 情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。また、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> になります。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます。 

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

      コンテナー ID の重複を防ぐには、アーティファクトビルドごとに、またはプロジェクト内で、一意のアーティファクト ID を指定する必要があります。

    • Git リポジトリー URL (SOURCE_REPOSITORY_URL): サービスのソースを含む Git リポジトリーの URL。
    • Git 参照 (SOURCE_REPOSITORY_REF): Git リポジトリーのブランチ。
    • コンテキストディレクトリー (CONTEXT_DIR): Git リポジトリーからダウンロードしたプロジェクト内のソースへのパス。
    • アーティファクトディレクトリー (ARTIFACT_DIR): Maven のビルドに成功したあとに必要なバイナリーファイル (KJAR ファイル、およびその他の必要なファイル) を含むプロジェクトのパス。通常、このディレクトリーはビルドのターゲットディレクトリーです。ただし、Git リポジトリーのこのディレクトリーにビルド済みのバイナリーを提供できます。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.3. S2I の使用によるイミュータブル KIE Server のイメージストリーム namespace の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

10.2.4. S2I の使用によるイミュータブル KIE Server 用の Business Central インスタンスまたは Business Central Monitoring インスタンスについての情報の設定

同じ名前空間で Business Central または Business Central Monitoring インスタンスから KIE Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスに関する情報を設定する必要があります。

Business Central または Business Central Monitoring インスタンスは、KIE Server と同じ認証情報シークレット (CREDENTIALS_SECRET) を使用して設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Name of the Business Central service (BUSINESS_CENTRAL_SERVICE): Business Central または Business Central Monitoring の OpenShift サービス名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.5. S2I の使用によるイミュータブル KIE Server のオプションの Maven リポジトリーの設定

S2I ビルドを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、ソースビルドに公開 Maven ツリーで利用可能ではない依存関係が含まれ、個別のカスタム Maven リポジトリーが必要な場合は、リポジトリーにアクセスできるようにパラメーターを設定する必要があります。

前提条件

手順

カスタム Maven リポジトリーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
  • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
  • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
  • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.6. S2I の使用によるイミュータブル KIE Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

S2I ビルドを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.7. S2I の使用によるイミュータブル KIE Server 用の AMQ サーバーとの通信の設定

rhpam710-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用する場合は、KIE Server の JMS 機能が有効になります。外部の AMQ メッセージブローカーを使用して、JMS API 経由でサーバーと対話できます。

環境に必要な場合は、JMS 設定を変更できます。

前提条件

手順

必要に応じて、お使いの環境に以下のパラメーターのいずれかを設定します。

  • AMQ ユーザー名 (AMQ_USERNAME) および AMQ パスワード (AMQ_PASSWORD): ブローカーのユーザー認証が環境で必要な場合の標準ブローカーユーザーのユーザー名およびパスワード。
  • AMQ ロール (AMQ_ROLE): 標準ブローカーユーザーのユーザーロール。デフォルトロールは admin です。
  • AMQ キュー (AMQ_QUEUES): コンマで区切られた AMQ キュー名。これらのキューはブローカーの起動時に自動的に作成され、JBoss EAP サーバーの JNDI リソースとしてアクセスできます。カスタムのキュー名を使用する場合は、同じキュー名を KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターに設定する必要もあります。
  • AMQ グローバル最大サイズ (AMQ_GLOBAL_MAX_SIZE): メッセージデータが消費できるメモリーの最大量。値が指定されない場合は、Pod で利用可能なメモリーの半分が割り当てられます。
  • AMQ プロトコル (AMQ_PROTOCOL): コンマで区切られた、KIE Server が AMQ サーバーとの通信に使用できるブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。openwire のみが JBoss EAP でサポートされます。デフォルト値は openwire です。
  • AMQ ブローカーイメージ (AMQ_BROKER_IMAGESTREAM_NAME): AMQ ブローカーイメージのイメージストリーム名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.8. S2I の使用によるイミュータブル KIE Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを S2I ビルドを使用してイミュータブル KIE Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「S2I の使用によるイミュータブル KIE Server のテンプレート設定の開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central or Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central または Business Central Monitoring の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

10.2.9. S2I の使用によるイミュータブル KIE Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する場合は、S2I ビルドを使用してイミュータブル KIE Server をデプロイするテンプレートを設定する時に、以下の追加設定を行います。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.10. S2I の使用によるイミュータブル KIE Server 用に外部データベースサーバーを使用するためのパラメーターの設定

「S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更」 に説明されているように、KIE Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合は、S2I ビルドを使用してイミュータブル KIE Server をデプロイするようにテンプレートを設定する際に以下の追加の設定を行います。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。

    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。

    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。

  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

  3. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

10.2.11. S2I の使用によるイミュータブル KIE Server の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

10.2.12. S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

10.3. S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更

デフォルトで、S2I を使用してイミュータブルサーバーをデプロイするためのテンプレートは、別の PostgreSQL Pod を作成してそれぞれの複製可能な KIE Server 用のデータベースサーバーを提供します。MySQL または外部サーバー (OpenShift プロジェクト外) を使用する場合は、サーバーをデプロイする前に、テンプレートファイル rhpam710-prod-immutable-kieserver.yaml または rhpam710-prod-immutable-kieserver-amq.yaml を変更します。

OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。

コメントの中には、テンプレート内のブロックを表すもの (BEGIN から END まで) があります。たとえば、以下のブロックの名前は Sample block です。 

## Sample block BEGIN
sample line 1
sample line 2
sample line 3
## Sample block END

変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。

手順

  • PostgreSQL の代わりに MySQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-mysql.yaml ファイルのブロックに置き換えます。

    1. PostgreSQL database parameters ブロックを、MySQL database parameters に置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-postgresql.yaml ファイルから取得します)
    2. PostgreSQL service ブロックを MySQL service ブロックに置き換えます。
    3. PostgreSQL driver settings ブロックを MySQL driver settings ブロックに置き換えます。
    4. PostgreSQL deployment config ブロックを、MySQL deployment config ブロックに置き換えます。
    5. PostgreSQL persistent volume claim ブロックを、MySQL persistent volume claim ブロックに置き換えます。

  • 外部データベースサーバーを使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-externaldb.yaml ファイルのブロックに置き換え、いくつかのブロックを削除します。

    1. PostgreSQL database parameters ブロックを、External database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-externaldb.yaml ファイルから取得します)
    2. PostgreSQL driver settings ブロックを External database driver settings ブロックに置き換えます。

    3. このファイルの以下のブロックから、BEGIN から END までのコメントを削除します。

      • PostgreSQL service
      • PostgreSQL deployment config
      • PostgreSQL persistent volume claim
重要

標準の KIE Server イメージに外部データベースサーバー MySQL 用、MariaDB 用、PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 を参照してください。

10.4. KJAR サービスからのイミュータブル KIE Server のデプロイ

KJAR ファイルとしてすでにビルドされているサービスを使用して、イミュータブル KIE Server をデプロイできます。

サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動すると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスが更新したり、変更することはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはリポジトリーからファイルを取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。

実行中のイミュータブル KIE Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。KIE Server は OpenShift 環境で 1 つの Pod のように実行します。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

Business Central または Business Central Monitoring が同じ名前空間にデプロイされる場合、これはイミュータブル KIE Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル KIE Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。

10.4.1. KJAR サービスでのイミュータブル KIE Server のテンプレート設定の開始

イミュータブル KIE Server を KJAR サービスからデプロイするには、以下のテンプレートファイルのいずれかを使用します。

  • rhpam710-kieserver-postgresql.yaml: 永続ストレージに PostgreSQL Pod を使用します。他のテンプレートを使用する特別な理由がない限り、このテンプレートを使用します。
  • rhpam710-kieserver-mysql.yaml: 永続ストレージに MySQL Pod を使用します。

  • rhpam710-kieserver-externaldb.yaml: 永続ストレージに外部データベースサーバーを使用します。

    重要

    外部データベースサーバーの標準 KIE Server イメージには、MySQL および PostgreSQL 外部データベースサーバー用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 を参照してください。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. 必要なテンプレートファイルを展開します。

  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択または貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレート名に置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「KJAR サービスからのイミュータブル KIE Server の必須パラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

10.4.2. KJAR サービスからのイミュータブル KIE Server の必須パラメーターの設定

テンプレートをイミュータブル KIE Server を KJAR サービスからデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名を同じにすることはできません。また、アプリケーション名は、KIE Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) または Business Central Monitoring の名前を決定するものとなります。複数の KIE Server をデプロイしている場合は、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

    • KIE Server コンテナーのデプロイメント (KIE_SERVER_CONTAINER_DEPLOYMENT): デプロイメントが Maven リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の識別情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。また、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> になります。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます。 

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2
    • KIE Server モード (KIE_SERVER_MODE): rhpam710-kieserver-*.yaml テンプレートで、デフォルト値は PRODUCTION です。PRODUCTION モードでは、SNAPSHOT バージョンの KJAR アーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION モードで新規バージョンをデプロイするには、同じ KIE Server で新規コンテナーを作成します。SNAPSHOT バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に設定します。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

10.4.3. イミュータブル KIE Server のイメージストリーム namespace の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

10.4.4. KJAR サービスの使用によるイミュータブル KIE Server 用の Business Central または Business Central Monitoring インスタンスについての情報の設定

同じ名前空間で Business Central または Business Central Monitoring インスタンスから KIE Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスに関する情報を設定する必要があります。

Business Central または Business Central Monitoring インスタンスは、KIE Server と同じ認証情報シークレット (CREDENTIALS_SECRET) を使用して設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Name of the Business Central service (BUSINESS_CENTRAL_SERVICE): Business Central または Business Central Monitoring の OpenShift サービス名。

  2. 以下の設定が、Business Central または Business Central Monitoring と同じ設定と同じ値に設定されていることを確認します。

    • Maven リポジトリーの URL (MAVEN_REPO_URL): サービスのデプロイに使用する必要のある外部 Maven リポジトリーの URL。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

10.4.5. KJAR サービスを使用したイミュータブル KIE Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

KJAR サービスを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

10.4.6. KJAR サービスの使用によるイミュータブル KIE Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを KJAR サービスを使用してイミュータブル KIE Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「KJAR サービスでのイミュータブル KIE Server のテンプレート設定の開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central or Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central または Business Central Monitoring の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

10.4.7. KJAR サービスの使用によるイミュータブル KIE Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、KJAR サービスからイミュータブル KIE Server をデプロイするようにテンプレートを設定するには、以下のように追加で設定を行います。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

10.4.8. KJAR サービスの使用によるイミュータブル KIE Server 用の外部データベースサーバーを使用するパラメーターの設定

rhpam710-kieserver-externaldb.yaml テンプレートを使用して KIE Server 用に外部データベースサーバーを使用する場合は、KJAR サービスからイミュータブル KIE Server をデプロイするようにテンプレートを設定するには、以下のように追加で設定を行います。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。

    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。

    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。

  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

  3. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

10.4.9. KJAR サービスの使用によるイミュータブル KIE Server からの Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

10.4.10. KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

第11章 フリーフォーム管理サーバー環境

KIE Server を実行する複数の異なる Pod で設定されるフリーフォームサーバー環境をデプロイできます。これらの KIE Server は、ステージングまたは実稼働環境を目的として、さまざまなサービスを実行できます。必要に応じて、サーバーをいつでも追加および削除できます。

Business Central Monitoring と管理 KIE Server 1 台をデプロイし、フリーフォーム管理サーバー環境のデプロイを開始します。Business Central Monitoring を使用して KIE Server 上のサービスの実行を監視し、必要に応じて管理できます。この環境には Smart Router は含まれていません。

追加の管理 KIE Server をデプロイすることもできます。各 KIE Server は、必要に応じて個別にスケーリングできます。

管理 KIE Server では、最初からサービスが読み込まれる訳ではありません。Business Central Monitoring または KIE Server の REST API を使用して、サーバーでプロセスをデプロイおよびデプロイ解除してください。

サーバーにデプロイするプロセス (KJAR ファイル) がある Maven リポジトリーを提供する必要があります。統合プロセスは、必要なバージョンのプロセスが Maven リポジトリーにアップロードされるようにする必要があります。開発環境で Business Central を使用してプロセスを作成し、Maven リポジトリーにアップロードできます。

各 KIE Server はデータベースサーバーを使用します。通常、データベースサーバーも Pod で実行されますが、外部データベースサーバーを使用するように KIE Server を設定できます。

同じ名前空間にイミュータブル KIE Server をデプロイすることもできます。Business Central Monitoring を使用して、イミュータブルサーバーなど、その環境のすべての KIE Server に関するモニターリング情報を確認できます。イミュータブルな KIE Server をデプロイする方法は、「S2I ビルドの使用によるイミュータブル KIE Server のデプロイ」 および 「KJAR サービスからのイミュータブル KIE Server のデプロイ」 を参照してください。

11.1. フリーフォーム環境用の Monitoring および単一 KIE Server のデプロイ

フリーフォーム環境のデプロイを開始するには、Business Central Monitoring と、Pod で PostgreSQL データベースサーバーを使用する管理 KIE Server を 1 台デプロイします。サービスは、KIE Server には読み込まれません。Business Central Monitoring を使用して、サーバーでサービスをデプロイおよびデプロイ解除します。

その後、必要に応じて KIE Server を追加できます。

11.1.1. Monitoring および単一の KIE Server 用のテンプレート設定の開始

Business Central Monitoring と、1 台の管理 KIE Server をデプロイするには、rhpam710-managed.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. rhpam710-managed.yaml テンプレートファイルを展開します。

  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、rhpam710-managed.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/rhpam710-managed.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「Monitoring および単一の KIE Server に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

11.1.2. Monitoring および単一の KIE Server に必要なパラメーターの設定

Business Central Monitoring と管理 KIE Server 1 台をデプロイするようにテンプレートを設定するには、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • Business Central Monitoring Server Keystore Secret Name (BUSINESS_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • Business Central Monitoring Server Certificate Name (BUSINESS_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。
    • Business Central Monitoring Server Keystore Password (BUSINESS_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。
    • Enable KIE server global discovery (KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED): 同じ名前空間にある OpenShiftStartupStrategy が指定されたすべての KIE Server を Business Central Monitoring に検出させるには、このパラメーターを true に設定します。デフォルトでは、Business Central Monitoring は、APPLICATION_NAME パラメーターが Business Central Monitoring と同じ値でデプロイされた KIE Server のみを検出します。
    • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。お使いの環境の KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • KIE Server Mode (KIE_SERVER_MODE): rhpam710-managed.yaml テンプレートで、デフォルト値は PRODUCTION です。PRODUCTION モードでは、SNAPSHOT バージョンの KJAR アーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION モードで新規バージョンをデプロイするには、同じ KIE Server で新規コンテナーを作成します。SNAPSHOT バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に設定します。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

11.1.3. Monitoring および単一の KIE Server の Pod レプリカ数の設定

Business Central Monitoring および単一の管理 KIE Server をデプロイするテンプレートを設定する場合は、KIE Server および Business Central Monitoring のレプリカの初期数を設定します。

前提条件

手順

レプリカの数を設定するには、次のパラメーターを設定します。

  • Business Central Monitoring Container Replicas (BUSINESS_CENTRAL_MONITORING_CONTAINER_REPLICAS): デプロイメント時に最初に Business Central Monitoring 用に最初に作成されるレプリカ数。Business Central Monitoring に高可用性設定を使用しない場合は、この数値を 1 に設定します。
  • KIE Server Container Replicas (KIE_SERVER_CONTAINER_REPLICAS): デプロイメントが KIE Server 用に最初に作成するレプリカの数。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

11.1.4. 公開インターネットへの接続のない環境で Monitoring および単一の KIE Server の Maven ミラーへのアクセス設定

Business Central Monitoring および単一の管理 KIE Server をデプロイするようにテンプレートを設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

11.1.5. Monitoring および単一の KIE Server の RH-SSO 認証用パラメーター設定

RH-SSO 認証を使用する場合は、Business Central Monitoring および単一の管理 KIE Server をデプロイするようにテンプレートを設定するには次の追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「Monitoring および単一の KIE Server 用のテンプレート設定の開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO クライアント名。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO に設定されているシークレット文字列。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO で作成するクライアントの名前。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO に設定するシークレット文字列。
      • KIE Server RH-SSO クライアント名 (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO クライアントのシークレット (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

11.1.6. Monitoring および単一の KIE Server の LDAP 認証用パラメーター設定

LDAP 認証を使用する場合は、Business Central Monitoring および単一の管理 KIE Server をデプロイするようにテンプレートを設定するには、次の追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

11.1.7. Monitoring および単一の KIE Server の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および単一の KIE Server 用のテンプレートのデプロイ」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

11.1.8. Monitoring および単一の KIE Server 用のテンプレートのデプロイ

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

11.2. フリーフォーム環境用の追加の管理 KIE Server のデプロイ

管理 KIE Server は、フリーフォーム環境に追加できます。このサーバーは、Pod で PostgreSQL または MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用できます。

Business Central Monitoring デプロイメントと同じプロジェクトにサーバーをデプロイします。

KIE Server は、Maven リポジトリーからサービスを読み込みます。

サーバーは、サービスが読み込まれていない状態で起動します。サーバーへのサービスのデプロイおよびデプロイの解除は、Business Central Monitoring または KIE Server の REST API を使用します。

11.2.1. 追加の管理 KIE Server テンプレート設定の開始

追加の管理 KIE Server をデプロイするには、{template_name} テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. {template_name} テンプレートファイルを展開します。

  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから {template_name} ファイルを選択または貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/{template_name}  -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「追加の管理 KIE Server に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

11.2.2. 追加の管理 KIE Server に必要なパラメーターの設定

テンプレートを追加の管理 KIE Server をデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

11.2.3. 追加の管理 KIE Server のイメージストリーム namespace の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

11.2.4. 追加の管理 KIE Server 用の Business Central Monitoring インスタンスについての情報の設定

同じ名前空間で Business Central Monitoring インスタンスから KIE Server への接続を有効にする必要がある場合は、Business Central Monitoring インスタンスに関する情報を設定する必要があります。

Business Central Monitoring インスタンスは、KIE Server と同じ認証情報シークレット (CREDENTIALS_SECRET) を使用して設定される必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Name of the Business Central service (BUSINESS_CENTRAL_SERVICE): Business Central Monitoring の OpenShift サービス名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

11.2.5. 追加の管理 KIE Server の公開インターネットへの接続のない環境に Maven ミラーへのアクセスを設定する

テンプレートを追加の管理 KIE Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

11.2.6. 追加の管理 KIE Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、管理 KIE Server をデプロイするようにテンプレートを設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「追加の管理 KIE Server テンプレート設定の開始」 で説明されているテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO クライアント名。

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

11.2.7. 追加の管理 KIE Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、テンプレートを追加の管理 KIE Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

11.2.8. 追加の管理 KIE Server 用に外部データベースサーバーを使用するパラメーターの設定

rhpam710-kieserver-externaldb.yaml テンプレートを使用して KIE Server 用に外部データベースサーバーを使用する場合は、追加の管理 KIE Server をデプロイするようにテンプレートを設定する時に次の追加の設定を実行します。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。

    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。

    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。

  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

  3. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

11.2.9. 追加の管理 KIE Server の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「追加の管理 KIE Server テンプレートデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

11.2.10. 追加の管理 KIE Server テンプレートデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

第12章 固定管理サーバー環境

単一のデプロイメントで固定管理サーバー環境をデプロイし、KIE Server を実行する異なる Pod を複数含めることができます。プロセスは、デフォルトではサーバーに読み込まれていません。データベースサーバーは、デフォルトで Pod で実行します。KIE Server の各 Pod は、必要に応じて個別にスケーリングできます。

Business Central Monitoring を使用する Pod と、Smart Router を使用する Pod もデプロイできます。KIE Server にプロセスをデプロイ、ロード、アンロードするには、Business Central Monitoring が必要になります。また、監視情報を表示することもできます。

Smart Router は、クライアントアプリケーションからプロセスへのコールを受け取れる単一エンドポイントで、プロセスを実行するサーバーへの各コールのルートを自動的に決定します。

デフォルトでは、テンプレートは 2 つの独立した KIE Server を作成します。テンプレートを変更して、デプロイメント前に KIE Server の数を変更できます。後で KIE Server を簡単に追加したり、削除したりすることはできません。

サーバーにデプロイするプロセス (KJAR ファイル) がある Maven リポジトリーを提供する必要があります。統合プロセスは、必要なバージョンのプロセスが Maven リポジトリーにアップロードされるようにする必要があります。開発環境で Business Central を使用してプロセスを作成し、Maven リポジトリーにアップロードできます。

12.1. 固定管理サーバー環境のデプロイ

テンプレート 1 つで固定管理サーバー環境をデプロイできます。テンプレートファイル名は rhpam710-prod.yaml です。

このテンプレートには、2 つの KIE Server Pod (および PostgreSQL データベース Pod)、高可用性設定の Smart Router、高可用性設定の Business Central Monitoring が含まれます。

デプロイメントの設定時に、全コンポーネントのレプリカ数を変更できます。独立した KIE Server Pod の数を変更するか、別のデータベースサーバーを使用する場合には、テンプレートを変更する必要があります。テンプレートの変更に関する説明は、「固定管理環境のテンプレートの修正」 を参照してください。

注記

固定管理環境テンプレートは、Red Hat Process Automation Manager 7.10 で非推奨になりました。これは今後のリリースで削除されます。

12.1.1. 固定管理サーバー環境用のテンプレートの設定開始

固定管理サーバー環境をデプロイするには、rhpam710-prod.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードします。
  2. rhpam710-prod.yaml テンプレートファイルを展開します。
  3. デフォルトで、テンプレートには 2 つの KIE Server が含まれます。それぞれのサーバーは Pod で PostgreSQL データベースサーバーを使用します。KIE Server の数を変更するか、Pod で MySQL データサーバーを使用するか、または外部データベースサーバーを使用するには、「固定管理環境のテンプレートの修正」 で説明されているようにテンプレートを変更します。

  4. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、rhpam710-prod.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。

    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。 

      oc new-app -f <template-path>/rhpam710-prod.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必要なパラメーターに設定するために必要な数だけ -p PARAMETER=value ペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「固定管理サーバー環境に必要なパラメーターの設定」 の手順に従い、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。

12.1.2. 固定管理サーバー環境に必要なパラメーターの設定

テンプレートを使用して固定管理サーバー環境をデプロイするように設定するには、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • Business Central Monitoring Server Keystore Secret Name (BUSINESS_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • Smart Router Keystore Secret Name (KIE_SERVER_ROUTER_HTTPS_SECRET): 「Smart Router のシークレットの作成」 で作成した Smart Router のシークレットの名前。
    • Business Central Monitoring Server Certificate Name (BUSINESS_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。
    • Business Central Monitoring Server Keystore Password (BUSINESS_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • Smart Router Certificate Name (KIE_SERVER_ROUTER_HTTPS_NAME): 「Smart Router のシークレットの作成」 で作成したキーストアの証明書名。
    • Smart Router Keystore Password (KIE_SERVER_ROUTER_HTTPS_PASSWORD): 「Smart Router のシークレットの作成」 で作成したキーストアのパスワード。
    • アプリケーション名 (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベル、およびアーティファクトの個別のセットを作成します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名を同じにすることはできません。また、アプリケーション名は、KIE Server が Business Central Monitoring で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の KIE Server をデプロイしている場合は、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • Maven リポジトリーの URL (MAVEN_REPO_URL): Maven リポジトリーの URL。KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven リポジトリーの ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • KIE Server モード (KIE_SERVER_MODE): rhpam710-kieserver-*.yaml テンプレートで、デフォルト値は PRODUCTION です。PRODUCTION モードでは、SNAPSHOT バージョンの KJAR アーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION モードで新規バージョンをデプロイするには、同じ KIE Server で新規コンテナーを作成します。SNAPSHOT バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に設定します。
    • ImageStream 名前空間 (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームが利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照) は、名前空間が openshift になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

12.1.3. 固定管理サーバー環境用のイメージストリームの名前空間の設定

openshift ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

12.1.4. 固定管理対象サーバー環境の Pod レプリカ数の設定

固定管理サーバー環境をデプロイするようにテンプレートを設定する時に、KIE Server、Business Central Monitoring、Smart Router のレプリカの初期数を設定できます。

前提条件

手順

レプリカの数を設定するには、次のパラメーターを設定します。

  • Business Central Monitoring Container Replicas (BUSINESS_CENTRAL_MONITORING_CONTAINER_REPLICAS): デプロイメント時に最初に Business Central Monitoring 用に最初に作成されるレプリカ数。Business Central Monitoring に高可用性設定を使用しない場合は、この数値を 1 に設定します。
  • KIE Server Container Replicas (KIE_SERVER_CONTAINER_REPLICAS): デプロイメントが KIE Server 用に最初に作成するレプリカの数。
  • Smart Router Container Replicas (SMART_ROUTER_CONTAINER_REPLICAS): デプロイメント時に最初に Smart Router 用に作成されるレプリカ数。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

12.1.5. 固定管理サーバー環境の公開インターネットへの接続のない環境に Maven ミラーへのアクセスを設定する手順

固定管理サーバー環境をデプロイするようにテンプレートを設定する時に、OpenShift 環境が公開インターネットに接続されていない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven ミラー URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。

  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf 値の設定方法は、Apache Maven ドキュメントの Mirror Settings を参照してください。デフォルト値は external:* です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

12.1.6. 固定管理サーバー環境用の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、固定管理サーバー環境をデプロイするようにテンプレートを設定する時に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。

  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧については、14章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
  • 「固定管理サーバー環境用のテンプレートの設定開始」 で説明されているようにテンプレートの設定を開始している。

手順

  1. 以下のパラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合は true に設定します。

  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO クライアント名。

      • テンプレートで定義した各 KIE Server の場合:

        • KIE Server n RH-SSO Client name (KIE_SERVERn_SSO_CLIENT): この KIE Server の RH-SSO クライアント名。
        • KIE Server n RH-SSO Client Secret (KIE_SERVERn_SSO_SECRET): この KIE Server のクライアントに対して RH-SSO に設定されているシークレットの文字列

    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • テンプレートで定義した各 KIE Server の場合:

        • KIE Server n RH-SSO Client name (KIE_SERVERn_SSO_CLIENT): この KIE Server に対して RH-SSO で作成したクライアント名。
        • KIE Server n RH-SSO Client Secret (KIE_SERVERn_SSO_SECRET): この KIE Server のクライアントに対して RH-SSO で設定するシークレットの文字列
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

12.1.7. 固定管理サーバー環境用の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、固定管理サーバー環境をデプロイするようにテンプレートを設定する時に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定に関する説明は、LdapExtended ログインモジュール を参照してください。

    注記

    LDAP フェイルオーバーを有効にする場合は、AUTH_LDAP_URL パラメーターに、2 つ以上の LDAP サーバーアドレスをスペースで区切って設定できます。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties ファイルパス (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

12.1.8. 固定管理サーバー環境用に外部データベースサーバーを使用するパラメーターの設定

「固定管理環境のテンプレートの修正」 に説明されているように、KIE Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合は、固定管理サーバー環境をデプロイするようにテンプレートを設定する際に以下の追加の設定を行います。

前提条件

手順

  1. 以下のパラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。

    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。

      注記

      EntrepriseDB Postgres データベースサーバーを使用している場合は、jdbc:postgresql:// で始まる URL を使用し、jdbc:edb:// は使用しないでください。または、URL を設定せず、代わりにホストとポートのパラメーターを設定します。

    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。

    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect

      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の完全リストは、Red Hat JBoss EAP ドキュメントの Hibernate プロパティーHibernate SQL 方言 の表を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。

  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の名前空間 (例: openshift またはプロジェクト名前空間)

  3. MySQL バージョン 8 の外部データベースサーバーを使用する場合は、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

12.1.9. 固定管理サーバー環境用の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合は、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「固定管理サーバー環境のテンプレートのデプロイ」 の手順に従います。

Prometheus メトリクス収集の設定方法は、KIE Server の管理および監視 を参照してください。

12.1.10. 固定管理サーバー環境のテンプレートのデプロイ

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications メッセージが表示された場合は、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

次のステップ

環境の要件に応じて、任意で 13章環境をデプロイした後の任意の手順 で説明されている手順を完了します。

12.2. 固定管理環境のテンプレートの修正

ニーズに応じて固定管理環境を調整するには、rhpam710-prod.yaml テンプレートを変更してから、環境をデプロイする必要があります。

デフォルトでは、テンプレートはレプリケートした 2 つの KIE Server Pod を作成します。各 Pod に異なるプロセスをデプロイできます。レプリケートした KIE Server Pod をさらに追加するには、環境をデプロイする前にテンプレートを修正する必要があります。

デフォルトでは、テンプレートは、PostgreSQL Pod を作成して、レプリケートした各 KIE Server にデータベースサーバーを提供します。代わりに PostgreSQL または (OpenShift プロジェクト外の) 外部サーバーを使用する場合は、環境をデプロイする前にテンプレートを修正する必要があります。

rhpam710-prod.yaml テンプレートでは、Business Central Monitoring におけるレプリカの初期数も調整できます。

OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。

コメントの中には、テンプレート内のブロックを表すもの (BEGIN から END まで) があります。たとえば、以下のブロックの名前は Sample block です。 

## Sample block BEGIN
sample line 1
sample line 2
sample line 3
## Sample block END

変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。

名前付きブロックはネストできます。

手順

  • レプリケートした KIE Server Pod をさらに追加する場合は、追加するすべての Pod で以下の手順を繰り返します。

    1. 新しい Pod の番号を選択します。デフォルトの Pod の番号は 1 および 2 ですが、新しい最初の Pod に 3、次の Pod に 4 というように指定することもできます。

    2. ファイルの、以下のブロックの BEGIN コメントから END コメントまでを、末尾にコピーします。

      • KIE server services 1
      • PostgreSQL service 1
      • KIE server routes 1
      • KIE server deployment config 1
      • PostgreSQL deployment config 1
      • PostgreSQL persistent volume claim 1
    3. 作成したコピーで、-1 のすべてのインスタンスを新しい Pod 番号 (例: -3) に置き換えます。

  • PostgreSQL の代わりに MySQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-postgresql.yaml ファイルのブロックに置き換え、新たに追加したブロックの一部を修正します。

    1. MySQL database parameters ブロックを、PostgreSQL database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-postgresql.yaml ファイルから取得します)

      レプリケートしたすべての KIE Server の Pod 番号で以下の手順を繰り返します。たとえば、1 および 2 は未修正のテンプレートです。N は Pod 番号 (例: 1) です。

      • PostgreSQL service N ブロックを MySQL service ブロックに置き換えます。
      • PostgreSQL driver settings N ブロックを MySQL driver settings ブロックに置き換えます。
      • PostgreSQL deployment config N ブロックを、MySQL deployment config ブロックに置き換えます。
      • PostgreSQL persistent volume claim N ブロックを、MySQL persistent volume claim ブロックに置き換えます。

      • 新たに追加したブロックで、以下の置換を手動で行います。N は Pod の番号になります。

        • -mysql-mysql-N に置き換えます (ただし、-mysql-pvol-mysql-claim の -mysql は 除く)。
        • -mysql-claim-mysql-claim-N に置き換えます。

  • 外部データベースサーバーを使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam710-kieserver-externaldb.yaml ファイルのブロックに置き換え、いくつかのブロックを削除し、新たに追加したブロックの一部を修正します。

    1. MySQL database parameters ブロックを、External database parameters ブロックに置き換えます。(このブロックと後続のすべての置換ブロックを rhpam710-kieserver-external.yaml ファイルから取得します)

      レプリケートしたすべての KIE Server の Pod 番号で以下の手順を繰り返します。たとえば、1 および 2 は未修正のテンプレートです。N は Pod 番号 (例: 1) です。

      • PosgreSQL service N ブロックを削除します。
      • PostgreSQL deployment config N ブロックを削除します。
      • PosgreSQL persistent volume claim N ブロックを削除します。
      • PostgreSQL driver settings N ブロックを、External database driver settings ブロックに置き換えます。

      • 新しい External database driver settings ブロックで、以下のいずれかの値が、インフラストラクチャーにある別の KIE Server Pod と異なる場合は、対象の Pod の値を設定します。

        • RHPAM_USERNAME: データベースサーバーにログインするユーザー名
        • RHPAM_PASSWORD: データベースサーバーにログインするためのパスワード
        • RHPAM_XA_CONNECTION_PROPERTY_URL: データベースサーバーにログインするための完全 URL
        • RHPAM_SERVICE_HOST: データベースサーバーのホスト名
        • RHPAM_DATABASE: データベースの名前
重要

標準の KIE Server イメージに外部データベースサーバー MySQL 用、MariaDB 用、PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム KIE Server 拡張イメージのビルド」 を参照してください。

  • ## Replicas for Business Central Monitoring コメントの下の行に、Business Central Monitoring に最初に作成したレプリカの数を変更する場合は、レプリカの数を希望する値に変更します。

第13章 環境をデプロイした後の任意の手順

環境の要件によっては、デプロイ後に任意の手順を完了しないといけない場合があります。

13.1. (オプション) Git フックディレクトリーの指定

オーサリング環境をデプロイして GIT_HOOKS_DIR パラメーターを設定した場合は、Git フックのディレクトリーを指定して、Business Central デプロイメントにこのディレクトリーをマウントする必要があります。

Git フックは一般的に、アップストリームのリポジトリーとの対話に使用します。Git フックを使用して、アップストリームのリポジトリーにコミットをプッシュできるようにするには、アップストリームのリポジトリーで設定した公開鍵に対応する秘密鍵を指定する必要があります。

前提条件

  • テンプレートを使用して Red Hat Process Automation Manager オーサリング環境をデプロイしている。
  • デプロイメントに GIT_HOOKS_DIR パラメーターを設定している。

手順

  1. SSH 認証を使用してアップストリームリポジトリーを操作する必要がある場合は、次の手順を実行して、必要なファイルを含むシークレットを作成してマウントします。

    1. リポジトリーに格納されている公開鍵に一致する秘密鍵を使用して、id_rsa ファイルを作成します。
    2. リポジトリーの正しい名前、アドレス、公開鍵で known_hosts ファイルを作成します。

    3. 以下のように oc コマンドを使用して、2 つのファイルでシークレットを作成します。 

      oc create secret git-hooks-secret --from-file=id_rsa=id_rsa --from-file=known_hosts=known_hosts

    4. 以下の例では、Business Central デプロイメントの ssh キーパスにこのシークレットをマウントします。 

      oc set volume dc/<myapp>-rhpamcentr --add --type secret --secret-name git-hooks-secret --mount-path=/home/jboss/.ssh --name=ssh-key

      <myapp> をテンプレートの設定時に設定したアプリケーション名に置き換えます。

  2. Git フックディレクトリーを作成します。方法は、Git hooks reference documentation を参照してください。

    たとえば、単純な Git フックディレクトリーで、変更をアップストリームにプッシュする post-commit フックを指定できます。プロジェクトがリポジトリーから Business Central にインポートされた場合、このリポジトリーはアップストリームリポジトリーとして設定されたままになります。パーミッションを 755 の値に指定し、以下の内容を含めて post-commit という名前のファイルを作成します。 

    git push
    注記

    Business Central では pre-commit スクリプトはサポートされません。post-commit スクリプトを使用してください。

  3. Git フックディレクトリーを Business Central デプロイメントに指定します。設定マップまたは永続ボリュームを使用できます。

    1. Git フックに 1 つまたは複数の固定スクリプトファイルが含まれる場合は、設定マップを使用します。以下の手順を実行してください。

      1. 作成した Git フックディレクトリーに移動します。

      2. ディレクトリーのファイルから OpenShift 設定マップを作成します。次のコマンドを実行します。 

        oc create configmap git-hooks --from-file=<file_1>=<file_1> --from-file=<file_2>=<file_2> ...

        file_1file_2 などは、Git フックのスクリプトファイル名に置き換えます。以下に例を示します。 

        oc create configmap git-hooks --from-file=post-commit=post-commit

      3. Business Central デプロイメントの設定したパスに設定マップをマウントします。 

        oc set volume dc/<myapp>-rhpamcentr --add --type configmap --configmap-name git-hooks  --mount-path=<git_hooks_dir> --name=git-hooks

        <myapp> をテンプレートの設定時に設定したアプリケーション名に、<git_hooks_dir> はテンプレート設定時に設定した GIT_HOOKS_DIR の値に置き換えます。

    2. Git フックが長いファイルで設定されているか、または実行可能なファイルや KJAR ファイルなどのバイナリーに依存する場合は、永続ボリュームを使用します。永続ボリュームを作成し、永続ボリューム要求を作成して、そのボリュームを要求に関連付けてから、ファイルをそのボリュームに転送し、ボリュームを myapp-rhpamcentr デプロイメント設定にマウントします (myapp はアプリケーション名に置き換えます)。永続ボリュームの作成およびマウント方法は、永続ボリュームの使用 を参照してください。永続ボリュームへのファイルのコピー方法は、Transferring files in and out of containers を参照してください。

  4. 数分待機してから、プロジェクト内の Pod の一覧およびステータスを確認します。Business Central は Git フックディレクトリーが指定されるまで開始されないため、KIE Server は全く起動されない可能性があります。Process Server が起動しているかどうかを確認するには、以下のコマンドの出力で確認します。 

    oc get pods

    稼働中の KIE Server Pod がない場合には、これを起動します。 

    oc rollout latest dc/<myapp>-kieserver

    <myapp> を、テンプレートの設定時に設定されたアプリケーション名に置き換えます。

13.2. (オプション) 自己署名証明書で HTTPS サーバーにアクセスするためのトラストストアの提供

Red Hat Process Automation Manager インフラストラクチャーのコンポーネントは、自己署名の HTTPS 証明書を使用するサーバーにアクセスするのに、HTTPS アクセスを使用しないといけない場合があります。たとえば、Business Central、Business Central Monitoring、および KIE Server は、自己署名の HTTPS サーバー証明書を使用する内部の Nexus リポジトリーと対話しないといけない場合があります。

このような場合は、HTTPS 接続が正常に完了するようにするには、トラストストアを使用してこれらのサービスのクライアント証明書を指定する必要があります。

Red Hat Process Automation Manager のコンポーネントが自己署名の HTTPS サーバー証明書を使用するサーバーと通信する必要がない場合は、この手順を飛ばして詰美に進んでください。

前提条件

  • テンプレートを使用して Red Hat Process Automation Manager 環境をデプロイしている
  • デプロイメントに追加するクライアント証明書がある。

手順

  1. 対象の証明書を使用してトラストストアを準備します。次のコマンドを使用して、トラストストアを作成するか、証明書を既存のトラストストアに追加します。必要なすべての証明書を 1 つのトラストストアに追加します。 

    keytool -importcert -file certificate-file -alias alias -keyalg algorithm -keysize size -trustcacerts -noprompt -storetype JKS -keypass truststore-password -storepass truststore-password -keystore keystore-file

    以下の値を置き換えます。

    • certificate-file: トラストストアに追加する証明書のパス名。
    • alias: トラストストアの証明書のエイリアス。トラストストアに複数の証明書を追加する場合は、全証明書に一意のエイリアスが必要です。
    • algorithm: 証明書に使用する暗号化アルゴリズム。通常は RSA です。
    • size: バイト単位での証明書キーの単位 (例: 2048)。
    • truststore-password: トラストストアのパスワード。

    • keystore-file: トラストストアファイルのパス名。ファイルが存在しない場合には、このコマンドにより、新規トラストストアが作成されます。

      次のコマンド例は、/var/certs/nexus.cer ファイルから /var/keystores/custom-trustore.jks ファイルのトラストストアに証明書を追加します。トラストストアのパスワードは mykeystorepass です。 

      keytool -importcert -file /var/certs/nexus.cer -alias nexus-cert -keyalg RSA -keysize 2048 -trustcacerts -noprompt -storetype JKS -keypass mykeystorepass -storepass mykeystorepass -keystore /var/keystores/custom-trustore.jks

  2. 以下のように oc コマンドを使用して、トラストストアファイルでシークレットを作成します。 

    oc create secret generic truststore-secret --from-file=/var/keystores/custom-trustore.jks

  3. お使いのインフラストラクチャーに必要なコンポーネントをデプロイする場合は、以下の例のように、シークレットをマウントしてから JAVA_OPTS_APPEND オプションを設定して Java アプリケーションのインフラストラクチャーがトラストストアを使用できるようにします。 

    oc set volume dc/myapp-rhpamcentr --add --overwrite --name=custom-trustore-volume --mount-path /etc/custom-secret-volume --secret-name=custom-secret

oc set env dc/myapp-rhpamcentr JAVA_OPTS_APPEND='-Djavax.net.ssl.trustStore=/etc/custom-secret-volume/custom-trustore.jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=mykeystorepass'
    oc set volume dc/myapp-kieserver --add --overwrite --name=custom-trustore-volume --mount-path /etc/custom-secret-volume --secret-name=custom-secret

oc set env dc/myapp-kieserver JAVA_OPTS_APPEND='-Djavax.net.ssl.trustStore=/etc/custom-secret-volume/custom-trustore.jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=mykeystorepass'

    myapp をテンプレートの設定時に指定したアプリケーション名に置き換えます。

13.3. (任意) LDAP ロールマッピングファイルの指定

AUTH_ROLE_MAPPER_ROLES_PROPERTIES パラメーターを設定する場合は、ロールマッピングを定義するファイルを指定する必要があります。影響を受けるすべてのデプロイメント設定にこのファイルをマウントしてください。

前提条件

  • テンプレートを使用して Red Hat Process Automation Manager 環境をデプロイしている
  • デプロイメントに AUTH_ROLE_MAPPER_ROLES_PROPERTIES パラメーターを設定している。

手順

  1. my-role-map など、ロールマッピングのプロパティーファイルを作成します。ファイルには、次の形式のエントリーが含まれている必要があります。 

    ldap_role = product_role1, product_role2...

    以下に例を示します。 

    admins = kie-server,rest-all,admin

  2. 以下のコマンドを入力して、このファイルから OpenShift 設定ファイルのマッピングを作成します。 

    oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>

    <new_name> は、Pod に指定するファイルの名前 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES ファイルで指定した名前と同じである必要があります) に置き換えます。また、<existing_name> は、作成したファイル名に置き換えます。以下に例を示します。 

    oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map

  3. ロールマッピング用に指定した全デプロイメント設定に設定マップをマウントします。

    以下のデプロイメント設定は、この環境で影響を受ける可能性があります。

    myapp はアプリケーション名に置き換えます。複数の KIE Server デプロイメントが異なるアプリケーション名で存在する場合があります。

    すべてのデプロイメント設定について、以下のコマンドを実行します。 

     oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping

    <mapping_dir> は、/opt/eap/standalone/configuration/rolemapping など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES で設定したディレクトリー名 (ファイル名なし) に置き換えます。

第14章 Red Hat Process Automation Manager ロールおよびユーザー

Business Central または KIE Server にアクセスするには、サーバーを起動する前にユーザーを作成して適切なロールを割り当てます。Business Central または KIE Server のインストール時に、ユーザーとロールを作成できます。

Business Central と KIE Server は、JAVA 認証承認サービス (JAAS) ログインモジュールを使用してユーザーを認証します。Business Central と KIE Server の両方が単一のインスタンスで実行されている場合は、同じ JAAS サブジェクトとセキュリティードメインを共有します。したがって、Business Central に対して認証されたユーザーは、KIE Server にもアクセスできます。

ただし、Business Central と KIE Server が異なるインスタンスで実行されている場合、JAAS ログインモジュールは両方に対して個別にトリガーされます。したがって、Business Central に対して認証されたユーザーは、KIE Server にアクセスするために別々に認証する必要があります。たとえば、Business Central で認証されているものの、KIE Server で認証されていないユーザーが Business Central でプロセス定義を表示または管理しようとすると、401 エラーがログファイルに記録され、Invalid credentials to load data from remote server.Contact your system administrator. メッセージが Business Central に表示されます。

このセクションでは、Red Hat Process Automation Manager ユーザーロールについて説明します。

注記

adminanalystdevelopermanagerprocess-adminuser、および rest-all のロールは Business Central に予約されています。kie-server ロールは KIE Server 用に予約されています。このため、Business Central または KIE Server のいずれか、またはそれら両方がインストールされているかどうかによって、利用可能なロールは異なります。

  • admin: admin ロールを持つユーザーは Business Central 管理者です。管理者は、ユーザーの管理や、リポジトリーの作成、クローン作成、および管理ができます。アプリケーションで必要な変更をすべて利用できます。admin ロールを持つユーザーは、Red Hat Process Automation Manager の全領域にアクセスできます。
  • analyst: analyst ロールを持つユーザーには、すべてのハイレベル機能へのアクセスがあります。これらは、プロジェクトのモデリングと実行を行うことができます。ただし、このユーザーは、Design → Projects ビューでスペースに貢献者を追加したり、スペースを削除したりできません。analyst ロールを持つユーザーは、管理者向けの Deploy → Execution Servers ビューにアクセスできません。ただし、これらのユーザーは、ライブラリーパースペクティブにアクセスするときに Deploy ボタンを使用できます。
  • developer: developer ロールを持つユーザーは、ほぼすべての機能にアクセスができ、ルール、モデル、プロセスフロー、フォーム、およびダッシュボードを管理できます。アセットリポジトリーを管理し、プロジェクトを作成、ビルド、およびデプロイできます。developer ロールが割り当てられているユーザーには、新規リポジトリーの作成やクローン作成などの、特定の管理機能は表示されません。
  • manager: manager ロールを持つユーザーはレポートを表示できます。このユーザーは通常、ビジネスプロセス、そのパフォーマンス、ビジネスインジケーター、その他のビジネス関連のレポートに関する統計に関心があります。このルールを持つユーザーがアクセスできるのはプロセスおよびタスクのレポートに限られます。
  • process-admin: process-admin ロールを持つユーザーは、ビジネスプロセス管理者です。ビジネスプロセス、ビジネスタスク、および実行エラーへの完全アクセスがあります。このユーザーは、ビジネスレポートを表示でき、タスク受信箱リストにアクセスできます。
  • user: user ロールを持つユーザーは、タスクの受信箱リストで有効です。これには、現在実行しているプロセスの一部であるビジネスタスクも含まれます。このルールを持つユーザーはプロセスとタスクのレポートを確認して、プロセスを管理できます。
  • rest-all: rest-all ロールを持つユーザーは、Business Central REST 機能にアクセスできます。
  • kie-server: kie-server ロールを持つユーザーは、KIE Server REST 機能にアクセスできます。このロールは、Business Central で Manage ビューおよび Track ビューにアクセスするユーザーにとって必須となります。

第15章 OpenShift テンプレートの参考資料

Red Hat Process Automation Manager は以下の OpenShift テンプレートを提供します。テンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-openshift-templates.zip をダウンロードし、これを展開します。

  • rhpam710-trial-ephemeral.yaml は、Business Central、および Business Central に接続された KIE Server を提供します。この環境では、永続ストレージのない一時的な設定を使用します。このテンプレートの詳細は、「rhpam710-trial-ephemeral.yaml template」 を参照してください。
  • rhpam710-authoring.yaml は Business Central、および Business Central に接続された KIE Server を提供します。KIE Server は永続ストレージを持つ H2 データベースを使用します。この環境を使用してプロセス、サービス、およびその他のビジネスアセットを作成できます。このテンプレートの詳細は、「rhpam710-authoring.yaml template」 を参照してください。
  • rhpam710-authoring-ha.yaml は、高可用性 Business Central、Business Central に接続された KIE Server、および KIE Server が使用する MySQL インスタンスを提供します。この環境を使用してプロセス、サービス、およびその他のビジネスアセットを作成できます。このテンプレートの詳細は、「rhpam710-authoring-ha.yaml template」 を参照してください。
  • rhpam710-prod-immutable-monitor.yaml は、イミュータブル KIE Server で使用できる Business Central Monitoring インスタンスおよび Smart Router を提供します。このテンプレートをデプロイする際に、OpenShift は rhpam710-prod-immutable-kieserver.yaml テンプレートのデプロイに使用する必要のある設定を表示します。このテンプレートの詳細は、「rhpam710-prod-immutable-monitor.yaml template」 を参照してください。
  • rhpam710-prod-immutable-kieserver.yaml で、イミュータブル KIE Server が設定されます。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが KIE Server で実行される 1 つまたはいくつかのサービスに対してトリガーされます。任意で、KIE Server を、rhpam710-prod-immutable-monitor.yaml によって提供される Business Central Monitoring および Smart Router に接続するように設定できます。このテンプレートの詳細は、「rhpam710-prod-immutable-kieserver.yaml template」 を参照してください。
  • rhpam710-prod-immutable-kieserver-amq.yaml で、イミュータブル KIE Server が設定されます。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが KIE Server で実行される 1 つまたはいくつかのサービスに対してトリガーされます。任意で、KIE Server を、rhpam710-prod-immutable-monitor.yaml によって提供される Business Central Monitoring および Smart Router に接続するように設定できます。このバージョンのテンプレートには、JMS 統合が含まれます。このテンプレートの詳細は、「rhpam710-prod-immutable-kieserver-amq.yaml template」 を参照してください。
  • rhpam710-kieserver-externaldb.yaml は、外部データベースを使用する KIE Server を提供します。KIE Server を Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで KIE Server を外部データベースを使用するように設定できます。このテンプレートの詳細は、「rhpam710-kieserver-externaldb.yaml template」 を参照してください。
  • rhpam710-kieserver-mysql.yaml は、KIE Server および KIE Server が使用する MySQL インスタンスを提供します。KIE Server を Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、そのテンプレートに、MySQL を使用し、MySQL インスタンスを提供するように KIE Server を設定できます。このテンプレートの詳細は、「rhpam710-kieserver-mysql.yaml template」 を参照してください。
  • rhpam710-kieserver-postgresql.yaml は、KIE Server および KIE Server が使用する PostgreSQL インスタンスを提供します。KIE Server を Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、そのテンプレートで、PostgreSQL を使用して PostgreSQL インスタンスを提供するように KIE Server を設定できます。このテンプレートの詳細は、「rhpam710-kieserver-mysql.yaml template」 を参照してください。
  • rhpam710-managed.yaml は、高可用性 Business Central Monitoring インスタンス、KIE Server、KIE Server が使用する PostgreSQL インスタンスを提供します。OpenShiftStartupStrategy が有効になっているため、これらのインスタンスでも OpenShiftStartupStrategy が有効になっている限り、Business Central Monitoring インスタンスは同じプロジェクト内の他の KIE Server インスタンスに自動的に接続できます。
  • rhpam710-prod.yaml では、高可用性の Business Central Monitoring インスタンス、Smart Router 1 つ、Business Central と Smart Router に接続した異なる KIE Server 2 台、PostgreSQL インスタンス 2 つが提供されます。各 KIE Server は独自の PostgreSQL インスタンスを使用します。この環境を使用して、実稼働またはステージング環境でビジネスアセットを実行できます。コンポーネントごとに、レプリカ数を設定できます。このテンプレートの詳細は、「rhpam710-prod.yaml template」 を参照してください。

15.1. rhpam710-trial-ephemeral.yaml template

Red Hat Process Automation Manager 7.10 の一時オーサリングおよびテスト環境向けのアプリケーションテンプレート (非推奨)

15.1.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

DEFAULT_PASSWORD

KIE_ADMIN_PWD

試用版環境でユーザーが簡単に使用できるように用意された、複数コンポーネントに使用されるデフォルトのパスワード。

RedHat

True

KIE_ADMIN_USER

KIE_ADMIN_USER

KIE 管理者のユーザー名。

adminUser

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (クエリーなど) については認証ユーザーをスキップできる。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

DEVELOPMENT

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_ACCESS_CONTROL_ALLOW_ORIGIN

AC_ALLOW_ORIGIN_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Origin 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

*

False

KIE_SERVER_ACCESS_CONTROL_ALLOW_METHODS

AC_ALLOW_METHODS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Methods 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

GET、POST、OPTIONS、PUT

False

KIE_SERVER_ACCESS_CONTROL_ALLOW_HEADERS

AC_ALLOW_HEADERS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Headers 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

Accept、Authorization、Content-Type、X-Requested-With

False

KIE_SERVER_ACCESS_CONTROL_ALLOW_CREDENTIALS

AC_ALLOW_CREDENTIALS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Credentials 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

true

False

KIE_SERVER_ACCESS_CONTROL_MAX_AGE

AC_MAX_AGE_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Max-Age 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

1

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

 — 

False

MAVEN_REPO_ID

MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

GIT_HOOKS_DIR

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

/opt/kie/data/git/hooks

False

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central コンテナーのメモリー制限。

2Gi

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

1Gi

False

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.1.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.1.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentr

8080

http

すべての Business Central Web サーバーのポート。

${APPLICATION_NAME}-kieserver

8080

 — 

すべての KIE Server Web サーバーのポート。

15.1.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentr-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

15.1.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.1.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

15.1.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentr

1

${APPLICATION_NAME}-kieserver

1

15.1.2.3.3. Pod テンプレート
15.1.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentr

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhpamsvc

15.1.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentr

rhpam-businesscentral-rhel8

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

15.1.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

15.1.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

15.1.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentr

jolokia

8778

TCP

http

8080

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

15.1.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentr

WORKBENCH_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-rhpamcentr

KIE_ADMIN_USER

KIE 管理者のユーザー名。

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

試用版環境でユーザーが簡単に使用できるように用意された、複数コンポーネントに使用されるデフォルトのパスワード。

${DEFAULT_PASSWORD}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

${GIT_HOOKS_DIR}

KUBERNETES_NAMESPACE

 — 

 — 

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

KIE_ADMIN_USER

KIE 管理者のユーザー名。

${KIE_ADMIN_USER}

KIE_ADMIN_PWD

試用版環境でユーザーが簡単に使用できるように用意された、複数コンポーネントに使用されるデフォルトのパスワード。

${DEFAULT_PASSWORD}

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (クエリーなど) については認証ユーザーをスキップできる。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

KIE 管理者のユーザー名。

${KIE_ADMIN_USER}

RHPAMCENTR_MAVEN_REPO_PASSWORD

試用版環境でユーザーが簡単に使用できるように用意された、複数コンポーネントに使用されるデフォルトのパスワード。

${DEFAULT_PASSWORD}

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KUBERNETES_NAMESPACE

 — 

 — 

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

FILTERS

 — 

AC_ALLOW_ORIGIN,AC_ALLOW_METHODS,AC_ALLOW_HEADERS,AC_ALLOW_CREDENTIALS,AC_MAX_AGE

AC_ALLOW_ORIGIN_FILTER_RESPONSE_HEADER_NAME

 — 

Access-Control-Allow-Origin

AC_ALLOW_ORIGIN_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Origin 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

${KIE_SERVER_ACCESS_CONTROL_ALLOW_ORIGIN}

AC_ALLOW_METHODS_FILTER_RESPONSE_HEADER_NAME

 — 

Access-Control-Allow-Methods

AC_ALLOW_METHODS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Methods 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

${KIE_SERVER_ACCESS_CONTROL_ALLOW_METHODS}

AC_ALLOW_HEADERS_FILTER_RESPONSE_HEADER_NAME

 — 

Access-Control-Allow-Headers

AC_ALLOW_HEADERS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Headers 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

${KIE_SERVER_ACCESS_CONTROL_ALLOW_HEADERS}

AC_ALLOW_CREDENTIALS_FILTER_RESPONSE_HEADER_NAME

 — 

Access-Control-Allow-Credentials

AC_ALLOW_CREDENTIALS_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Allow-Credentials 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

${KIE_SERVER_ACCESS_CONTROL_ALLOW_CREDENTIALS}

AC_MAX_AGE_FILTER_RESPONSE_HEADER_NAME

 — 

Access-Control-Max-Age

AC_MAX_AGE_FILTER_RESPONSE_HEADER_VALUE

KIE Server の Access-Control-Max-Age 応答ヘッダーの値を設定します (CORS サポートに役立ちます)。

${KIE_SERVER_ACCESS_CONTROL_MAX_AGE}

15.1.2.4. 外部の依存関係

15.1.2.4.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

15.2. rhpam710-authoring.yaml template

Red Hat Process Automation Manager 7.10 の HA 以外の永続的なオーサリング環境向けのアプリケーションテンプレート

15.2.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

 — 

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

KIE_SERVER_PERSISTENCE_DS

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

KIE_SERVER_H2_USER

RHPAM_USERNAME

KIE Server H2 データベースのユーザー名。

sa

False

KIE_SERVER_H2_PWD

RHPAM_PASSWORD

KIE Server H2 データベースパスワード。

 — 

False

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

DEVELOPMENT

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

Business Central の https サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: <application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

KIE Server の http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

KIE Server の https サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

Business Central のキーストアファイルが含まれるシークレットの名前。

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

KIE Server のキーストアファイルが含まれるシークレットの名前。

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*,!repo-rhpamcentr

False

MAVEN_REPO_ID

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

GIT_HOOKS_DIR

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

/opt/kie/data/git/hooks

False

BUSINESS_CENTRAL_VOLUME_CAPACITY

 — 

Business Central のランタイムデータ向けの永続ストレージのサイズ。

1Gi

True

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central コンテナーのメモリー制限。

4Gi

True

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central コンテナーの CPU 制限。

2

True

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central コンテナーの CPU 要求。

1500m

True

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central コンテナーのメモリー要求。

3Gi

True

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.2.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.2.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentr

8080

http

すべての Business Central Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

15.2.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentr-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentr-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.2.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.2.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

15.2.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentr

1

${APPLICATION_NAME}-kieserver

1

15.2.2.3.3. Pod テンプレート
15.2.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentr

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhpamsvc

15.2.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentr

rhpam-businesscentral-rhel8

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

15.2.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

15.2.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

15.2.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentr

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

15.2.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentr

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

false

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

${GIT_HOOKS_DIR}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

WORKBENCH_ROUTE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

KUBERNETES_NAMESPACE

 — 

 — 

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

Business Central の https サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: <application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

 — 

rhpam7

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DRIVER

 — 

h2

RHPAM_USERNAME

KIE Server H2 データベースのユーザー名。

${KIE_SERVER_H2_USER}

RHPAM_PASSWORD

KIE Server H2 データベースパスワード。

${KIE_SERVER_H2_PWD}

RHPAM_NONXA

 — 

false

RHPAM_XA_CONNECTION_PROPERTY_URL

 — 

jdbc:h2:/opt/kie/data/h2/rhpam;AUTO_SERVER=TRUE

KIE_SERVER_PERSISTENCE_DIALECT

 — 

org.hibernate.dialect.H2Dialect

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

KIE_SERVER_STARTUP_STRATEGY

 — 

ControllerBasedStartupStrategy

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

KUBERNETES_NAMESPACE

 — 

 — 

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

KIE Server の http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

KIE Server の https サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

15.2.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentr

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

15.2.2.4. 外部の依存関係

15.2.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteOnce

${APPLICATION_NAME}-kie-claim

ReadWriteOnce

15.2.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • businesscentral-app-secret
  • kieserver-app-secret

15.3. rhpam710-authoring-ha.yaml template

Red Hat Process Automation Manager 7.10 向けの、HA の永続的なオーサリング環境向けのアプリケーションテンプレート (非推奨)

15.3.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

 — 

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

MYSQL_USER

RHPAM_USERNAME

MySQL データベースユーザー名。

rhpam

False

MYSQL_PWD

RHPAM_PASSWORD

MySQL データベースパスワード。

 — 

False

MYSQL_DB

RHPAM_DATABASE

MySQL データベース名。

rhpam7

False

MYSQL_DB_VOLUME_CAPACITY

 — 

KIE Server データベースボリュームの永続ストレージのサイズ。

1Gi

True

MYSQL_IMAGE_STREAM_NAMESPACE

 — 

MySQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

MYSQL_IMAGE_STREAM_TAG

 — 

MySQL イメージのバージョン。これは MySQL バージョンに対応するように意図されています。デフォルトは 8.0 です。

8.0

False

KIE_SERVER_MYSQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate 方言。

org.hibernate.dialect.MySQL8Dialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

DEVELOPMENT

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

Business Central の https サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: <application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

KIE Server の http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

KIE Server の https サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

Business Central のキーストアファイルが含まれるシークレットの名前。

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

Business Central のシークレット内のキーストアファイルの名前。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

Business Central のサーバー証明書に関連付けられている名前。

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

Business Central のキーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

KIE Server のキーストアファイルが含まれるシークレットの名前。

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

KIE Server のシークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

KIE Server のサーバー証明書に関連付けられている名前。

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

KIE Server のキーストアおよび証明書のパスワード。

mykeystorepass

False

APPFORMER_JMS_BROKER_USER

APPFORMER_JMS_BROKER_USER

JMS ブローカーに接続するためのユーザー名。

jmsBrokerUser

True

APPFORMER_JMS_BROKER_PASSWORD

APPFORMER_JMS_BROKER_PASSWORD

JMS ブローカーに接続するためのパスワード。

 — 

True

DATAGRID_IMAGE

 — 

DataGrid イメージ。

registry.redhat.io/jboss-datagrid-7/datagrid73-openshift:1.6

True

DATAGRID_CPU_LIMIT

 — 

DataGrid Container の CPU 制限。

1000m

True

DATAGRID_MEMORY_LIMIT

 — 

DataGrid コンテナーのメモリー制限。

2Gi

True

DATAGRID_VOLUME_CAPACITY

 — 

DataGrid のランタイムデータの永続ストレージのサイズ。

1Gi

True

AMQ_BROKER_IMAGE

 — 

AMQ ブローカーイメージ。

registry.redhat.io/amq7/amq-broker:7.8

True

AMQ_ROLE

 — 

標準ブローカーユーザーのユーザーロール。

admin

True

AMQ_NAME

 — 

ブローカーの名前。

broker

True

AMQ_GLOBAL_MAX_SIZE

 — 

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合は、システムのメモリーの半分が割り当てられます。

10 gb

False

AMQ_VOLUME_CAPACITY

 — 

AMQ ブローカーボリュームの永続ストレージのサイズ。

1Gi

True

AMQ_REPLICAS

 — 

クラスターのブローカーレプリカ数。

2

True

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

OpenShift 内部サービスエンドポイント経由で KIE Server への接続を有効にします。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を別の名前空間/プロジェクトにインストールしている場合に限りこのパラメーターを変更する必要があります。

openshift

True

BUSINESS_CENTRAL_IMAGE_STREAM_NAME

 — 

Business Central に使用するイメージストリームの名前。デフォルトは rhpam-businesscentral-rhel8 です。

rhpam-businesscentral-rhel8

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*,!repo-rhpamcentr

False

MAVEN_REPO_ID

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

GIT_HOOKS_DIR

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

/opt/kie/data/git/hooks

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

60000

True

BUSINESS_CENTRAL_VOLUME_CAPACITY

 — 

Business Central のランタイムデータ向けの永続ストレージのサイズ。

1Gi

True

BUSINESS_CENTRAL_JAVA_MAX_MEM_RATIO

JAVA_MAX_MEM_RATIO

Business Central コンテナー JVM の最大メモリー比率。-Xmx がコンテナーで利用可能なメモリーの比率に設定されます。デフォルトは 80 です。これは、利用可能なメモリーの範囲の上限が 80% であることを意味します。-Xmx オプションの追加を省略するには、この値を 0 に設定します。

80

True

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central コンテナーのメモリー制限。

4Gi

True

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central コンテナーの CPU 制限。

2

True

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central コンテナーの CPU 要求。

1500m

True

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central コンテナーのメモリー要求。

3Gi

True

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

BUSINESS_CENTRAL_CONTAINER_REPLICAS

 — 

Business Central Container Replica は、起動する Business Central のコンテナー数を定義します。

2

True

KIE_SERVER_CONTAINER_REPLICAS

 — 

KIE Server Container Replicas は、起動する KIE Server のコンテナー数を定義します。

2

True

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。ファイルのすべてのエントリーの形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.3.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.3.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentr

8080

http

すべての Business Central Web サーバーのポート。

8443

https

${APPLICATION_NAME}-rhpamcentr-ping

8888

ping

rhpamcentr クラスターリングの JGroups ping ポート

${APPLICATION_NAME}-datagrid-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-datagrid

11222

hotrod

Hot Rod プロトコルでアプリケーションにアクセスするためのサービスを提供します。

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-amq-tcp

61616

 — 

ブローカーの OpenWire ポート。

ping

8888

 — 

amq クラスターリングの JGroups ping ポート。

${APPLICATION_NAME}-mysql

3306

 — 

MySQL サーバーのポート。

15.3.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentr-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentr-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.3.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.3.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-mysql

ImageChange

15.3.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentr

2

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-mysql

1

15.3.2.3.3. Pod テンプレート
15.3.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentr

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhpamsvc

15.3.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentr

${BUSINESS_CENTRAL_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-mysql

mysql

15.3.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-mysql

/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'

15.3.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-mysql

tcpSocket on port 3306

15.3.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentr

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

${APPLICATION_NAME}-mysql

 — 

3306

TCP

15.3.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentr

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

OpenShift 内部サービスエンドポイント経由で KIE Server への接続を有効にします。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

WORKBENCH_ROUTE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

GIT_HOOKS_DIR

git フックに使用するディレクトリー (必要な場合)。

${GIT_HOOKS_DIR}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

Business Central のシークレット内のキーストアファイルの名前。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

Business Central のサーバー証明書に関連付けられている名前。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

Business Central のキーストアおよび証明書のパスワード。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

APPFORMER_INFINISPAN_SERVICE_NAME

 — 

${APPLICATION_NAME}-datagrid

APPFORMER_INFINISPAN_PORT

 — 

11222

APPFORMER_JMS_BROKER_ADDRESS

 — 

${APPLICATION_NAME}-amq-tcp

APPFORMER_JMS_BROKER_PORT

 — 

61616

APPFORMER_JMS_BROKER_USER

JMS ブローカーに接続するためのユーザー名。

${APPFORMER_JMS_BROKER_USER}

APPFORMER_JMS_BROKER_PASSWORD

JMS ブローカーに接続するためのパスワード。

${APPFORMER_JMS_BROKER_PASSWORD}

JAVA_MAX_MEM_RATIO

Business Central コンテナー JVM の最大メモリー比率。-Xmx がコンテナーで利用可能なメモリーの比率に設定されます。デフォルトは 80 です。これは、利用可能なメモリーの範囲の上限が 80% であることを意味します。-Xmx オプションの追加を省略するには、この値を 0 に設定します。

${BUSINESS_CENTRAL_JAVA_MAX_MEM_RATIO}

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

Business Central の http サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

Business Central の https サービスルートのカスタムホスト名。デフォルトホスト名は空白にします (例: <application-name>-rhpamcentr-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。ファイルのすべてのエントリーの形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

MySQL データベース名。

${MYSQL_DB}

RHPAM_DRIVER

 — 

mariadb

RHPAM_USERNAME

MySQL データベースユーザー名。

${MYSQL_USER}

RHPAM_PASSWORD

MySQL データベースパスワード。

${MYSQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-mysql

RHPAM_SERVICE_PORT

 — 

3306

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate 方言。

${KIE_SERVER_MYSQL_DIALECT}

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

MAVEN_MIRROR_URL

Business Central および KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合、このミラーにはサービスのビルドおよびデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

KIE Server のシークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

KIE Server のサーバー証明書に関連付けられている名前。

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

KIE Server のキーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

KUBERNETES_NAMESPACE

 — 

 — 

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

KIE Server の http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

KIE Server の https サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。ファイルのすべてのエントリーの形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-mysql

MYSQL_USER

MySQL データベースユーザー名。

${MYSQL_USER}

MYSQL_PASSWORD

MySQL データベースパスワード。

${MYSQL_PWD}

MYSQL_DATABASE

MySQL データベース名。

${MYSQL_DB}

MYSQL_DEFAULT_AUTHENTICATION_PLUGIN

 — 

mysql_native_password

15.3.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentr

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-mysql

${APPLICATION_NAME}-mysql-pvol

/var/lib/mysql/data

mysql

false

15.3.2.4. 外部の依存関係

15.3.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

${APPLICATION_NAME}-mysql-claim

ReadWriteOnce

15.3.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • businesscentral-app-secret
  • kieserver-app-secret
15.3.2.4.3. クラスターリング

OpenShift EAP では、Kubernetes または DNS の検出メカニズム 2 つの内 1 つを使用してクラスターリングを実現できます。これには、standalone-openshift.xml で <openshift.KUBE_PING/> 要素または <openshift.DNS_PING/> 要素のいずれかを指定して JGroups プロトコルスタックを設定します。テンプレートは、DNS_PING を使用するように設定しますが、イメージで使用するデフォルトは `KUBE_PING` となっています。

使用される検出メカニズムは、JGROUPS_PING_PROTOCOL 環境変数によって指定されます。これは openshift.DNS_PING または openshift.KUBE_PING のいずれかに設定できます。OpenShift.KUBE_PING は、JGROUPS_PING_PROTOCOL に値が指定されていない場合は、イメージによって使用されるデフォルトです。

DNS_PING を機能させるには、以下の手順を実行する必要があります。

  1. OPENSHIFT_DNS_PING_SERVICE_NAME 環境変数は、クラスターの ping サービス名に設定する必要があります (上記の表を参照)。設定していない場合には、サーバーは単一ノードのクラスター (ノードが 1 つのクラスター) のように機能します。
  2. OPENSHIFT_DNS_PING_SERVICE_PORT 環境変数は、ping サービスを公開するポート番号に設定する必要があります (上記の表を参照)。DNS_PING プロトコルは可能な場合には SRV レコードからのポートを識別しようとします。デフォルト値は 8888 です。

  3. ping ポートを公開する ping サービスは定義する必要があります。このサービスはヘッドレス (ClusterIP=None) で、以下の条件を満たす必要があります。

    1. ポートは、ポート検出が機能するように、名前を指定する必要があります。
    2. service.alpha.kubernetes.io/tolerate-unready-endpoints"true" に指定してアノテーションを設定する必要があります。このアノテーションを省略すると、起動時にノードごとに独自の単一ノードのクラスターが形成され、(起動後でないと他のノードが検出されないので) 起動後にこのクラスターが他のノードのクラスターにマージされます。

DNS_PING で使用する ping サービスの例

kind: Service
apiVersion: v1
spec:
    clusterIP: None
    ports:
    - name: ping
      port: 8888
    selector:
        deploymentConfig: eap-app
metadata:
    name: eap-app-ping
    annotations:
        service.alpha.kubernetes.io/tolerate-unready-endpoints: "true"
        description: "The JGroups ping port for clustering."

KUBE_PING を機能させるには以下の手順を実行する必要があります。

  1. OPENSHIFT_KUBE_PING_NAMESPACE 環境変数を設定する必要があります (上記の表を参照)。設定していない場合には、サーバーは単一ノードのクラスター (ノードが 1 つのクラスター) のように機能します。
  2. OPENSHIFT_KUBE_PING_LABELS 環境変数を設定する必要があります (上記の表を参照)。設定されていない場合には、アプリケーション外の Pod (namespace に関係なく) が参加しようとします。
  3. Kubernetes の REST API にアクセスできるようにするには、Pod が実行されているサービスアカウントに対して承認を行う必要があります。これはコマンドラインで行います。

例15.1 policy コマンド

myproject の namespace におけるデフォルトのサービスアカウントの使用: 

oc policy add-role-to-user view system:serviceaccount:myproject:default -n myproject

myproject の namespace における eap-service-account の使用: 

oc policy add-role-to-user view system:serviceaccount:myproject:eap-service-account -n myproject

15.4. rhpam710-prod-immutable-monitor.yaml template

Red Hat Process Automation Manager 7.10 向けの、実稼働環境のルーターおよび監視コンソールのアプリケーションテンプレート (非推奨)

15.4.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

False

SMART_ROUTER_HOSTNAME_HTTP

 — 

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-smartrouter-<project>.<default-domain-suffix>)。

 — 

False

SMART_ROUTER_HOSTNAME_HTTPS

 — 

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-smartrouter-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_ROUTER_ID

KIE_SERVER_ROUTER_ID

API 通信で使用されるルーター ID。(ルータープロパティー org.kie.server.router.id)

kie-server-router

True

KIE_SERVER_ROUTER_PROTOCOL

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

http

False

KIE_SERVER_ROUTER_URL_EXTERNAL

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

 — 

False

KIE_SERVER_ROUTER_NAME

KIE_SERVER_ROUTER_NAME

Business Central ユーザーインターフェイスで使用されるルーター名。(ルータープロパティー org.kie.server.router.name)

KIE Server ルーター

True

KIE_SERVER_ROUTER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名。

smartrouter-app-secret

True

KIE_SERVER_ROUTER_HTTPS_KEYSTORE

 — 

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_ROUTER_HTTPS_NAME

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前。

jboss

False

KIE_SERVER_ROUTER_HTTPS_PASSWORD

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_MONITOR_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定)

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名。

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central コンテナーのメモリー制限。

2Gi

True

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central コンテナーのメモリー要求。

1.5Gi

True

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central コンテナーの CPU 制限。

1

True

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central コンテナーの CPU 要求。

750m

True

SMART_ROUTER_MEMORY_LIMIT

 — 

Smart Router コンテナーのメモリー制限

512Mi

False

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.4.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.4.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentrmon

8080

http

すべての Business Central Monitoring Web サーバーのポート。

8443

https

${APPLICATION_NAME}-rhpamcentrmon-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-smartrouter

9000

http

smart router サーバーの http ポートおよび https ポート

9443

https

15.4.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentrmon-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentrmon-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-smartrouter-http

なし

${SMART_ROUTER_HOSTNAME_HTTP}

${APPLICATION_NAME}-smartrouter-https

TLS パススルー

${SMART_ROUTER_HOSTNAME_HTTPS}

15.4.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.4.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentrmon

ImageChange

${APPLICATION_NAME}-smartrouter

ImageChange

15.4.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentrmon

1

${APPLICATION_NAME}-smartrouter

2

15.4.2.3.3. Pod テンプレート
15.4.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentrmon

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

15.4.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentrmon

rhpam-businesscentral-monitoring-rhel8

${APPLICATION_NAME}-smartrouter

rhpam-smartrouter-rhel8

15.4.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/ready

15.4.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/healthy

15.4.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentrmon

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-smartrouter

http

9000

TCP

15.4.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentrmon

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_MONITOR_TOKEN}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentrmon-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_HOST

 — 

 — 

KIE_SERVER_ROUTER_PORT

 — 

9000

KIE_SERVER_ROUTER_PORT_TLS

 — 

9443

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

${KIE_SERVER_ROUTER_URL_EXTERNAL}

KIE_SERVER_ROUTER_ID

API 通信で使用されるルーター ID。(ルータープロパティー org.kie.server.router.id)

${KIE_SERVER_ROUTER_ID}

KIE_SERVER_ROUTER_NAME

Business Central ユーザーインターフェイスで使用されるルーター名。(ルータープロパティー org.kie.server.router.name)

${KIE_SERVER_ROUTER_NAME}

KIE_SERVER_ROUTER_ROUTE_NAME

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

${KIE_SERVER_ROUTER_PROTOCOL}

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前。

${KIE_SERVER_ROUTER_HTTPS_NAME}

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_ROUTER_HTTPS_PASSWORD}

KIE_SERVER_ROUTER_TLS_KEYSTORE

 — 

/etc/smartrouter-secret-volume/${KIE_SERVER_ROUTER_HTTPS_KEYSTORE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_MONITOR_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

http

KIE_SERVER_ROUTER_REPO

 — 

/opt/rhpam-smartrouter/data

KIE_SERVER_ROUTER_CONFIG_WATCHER_ENABLED

 — 

true

15.4.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentrmon

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

/opt/rhpam-smartrouter/data

 — 

false

15.4.2.4. 外部の依存関係

15.4.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-smartrouter-claim

ReadWriteMany

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

15.4.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • smartrouter-app-secret
  • businesscentral-app-secret

15.5. rhpam710-prod-immutable-kieserver.yaml template

Red Hat Process Automation Manager 7.10 向けの、実稼働環境におけるイミュータブル KIE Server のアプリケーションテンプレート (非推奨)

15.5.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは 10 です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_POSTGRESQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

org.hibernate.dialect.PostgreSQLDialect

True

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI。

https://github.com/jboss-container-images/rhpam-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照。

main

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/library-process/library

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット。

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット。

 — 

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスをビルドして実行するために必要なすべてのアーティファクトが含まれる必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL。

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合は、全アーカイブまたはターゲットがコピーされます。

 — 

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定)

true

True

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.5.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.5.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-postgresql

5432

 — 

データベースサーバーのポート。

15.5.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.5.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.10.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

15.5.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.5.2.4.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

15.5.2.4.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-postgresql

1

15.5.2.4.3. Pod テンプレート
15.5.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

15.5.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-postgresql

postgresql

15.5.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

15.5.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

15.5.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

15.5.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスをビルドして実行するために必要なすべてのアーティファクトが含まれる必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定)

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

15.5.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

15.5.2.5. 外部の依存関係

15.5.2.5.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

15.5.2.5.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • kieserver-app-secret

15.6. rhpam710-prod-immutable-kieserver-amq.yaml template

Red Hat Process Automation Manager 7.10 向けの、ActiveMQ と統合された実稼働環境におけるイミュータブル KIE Server のアプリケーションテンプレート (非推奨)

15.6.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは 10 です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI。

https://github.com/jboss-container-images/rhpam-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照。

main

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/library-process/library

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット。

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット。

 — 

True

MAVEN_MIRROR_URL

 — 

S2I ビルドに使用する Maven ミラー

 — 

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL。

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合は、全アーカイブまたはターゲットがコピーされます。

 — 

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定)

true

True

KIE_SERVER_EXECUTOR_JMS

KIE_SERVER_EXECUTOR_JMS

JMS executor を有効にし、false に設定して無効にします。

true

False

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

JMS executor のトランザクションを有効にします。デフォルトでは無効です

false

False

KIE_SERVER_JMS_QUEUE_REQUEST

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

queue/KIE.SERVER.REQUEST

False

KIE_SERVER_JMS_QUEUE_RESPONSE

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

queue/KIE.SERVER.RESPONSE

False

KIE_SERVER_JMS_QUEUE_EXECUTOR

KIE_SERVER_JMS_QUEUE_EXECUTOR

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

queue/KIE.SERVER.EXECUTOR

False

KIE_SERVER_JMS_ENABLE_SIGNAL

KIE_SERVER_JMS_ENABLE_SIGNAL

JMS 経由でシグナル設定を有効にします。

true

False

KIE_SERVER_JMS_QUEUE_SIGNAL

KIE_SERVER_JMS_QUEUE_SIGNAL

シグナル用の JMS キュー

queue/KIE.SERVER.SIGNAL

False

KIE_SERVER_JMS_ENABLE_AUDIT

KIE_SERVER_JMS_ENABLE_AUDIT

JMS 経由で監査ロギングを有効にします。

true

False

KIE_SERVER_JMS_QUEUE_AUDIT

KIE_SERVER_JMS_QUEUE_AUDIT

監査ロギングの JMS キュー。

queue/KIE.SERVER.AUDIT

False

KIE_SERVER_JMS_AUDIT_TRANSACTED

KIE_SERVER_JMS_AUDIT_TRANSACTED

JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。

false

False

AMQ_USERNAME

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_PASSWORD

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_ROLE

AMQ_ROLE

標準ブローカーユーザーのユーザーロール。

admin

True

AMQ_QUEUES

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

queue/KIE.SERVER.REQUEST,queue/KIE.SERVER.RESPONSE,queue/KIE.SERVER.EXECUTOR,queue/KIE.SERVER.SIGNAL,queue/KIE.SERVER.AUDIT

False

AMQ_GLOBAL_MAX_SIZE

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合は、システムのメモリーの半分が割り当てられます。

10 gb

False

AMQ_SECRET

 — 

AMQ SSL 関連のファイルが含まれるシークレット名。

broker-app-secret

True

AMQ_TRUSTSTORE

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名。

broker.ts

False

AMQ_TRUSTSTORE_PASSWORD

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード。

changeit

False

AMQ_KEYSTORE

AMQ_KEYSTORE

AMQ キーストアのファイル名。

broker.ks

False

AMQ_KEYSTORE_PASSWORD

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード。

changeit

False

AMQ_PROTOCOL

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。openwire のみが EAP でサポートされます。

openwire

False

AMQ_BROKER_IMAGESTREAM_NAME

 — 

AMQ ブローカーイメージ。

amq-broker:7.8

True

AMQ_IMAGE_STREAM_NAMESPACE

 — 

Red Hat AMQ イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN。

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報。

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.6.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.6.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-amq-jolokia

8161

amq-jolokia

ブローカーのコンソールおよび Jolokia ポート。

${APPLICATION_NAME}-amq-amqp

5672

amq-amqp

ブローカーの AMQP ポート。

${APPLICATION_NAME}-amq-amqp-ssl

5671

amq-amqp-ssl

ブローカーの AMQP SSL ポート。

${APPLICATION_NAME}-amq-mqtt

1883

amq-mqtt

ブローカーの MQTT ポート。

${APPLICATION_NAME}-amq-mqtt-ssl

8883

amq-mqtt-ssl

ブローカーの MQTT SSL ポート。

${APPLICATION_NAME}-amq-stomp

61613

amq-stomp

ブローカーの STOMP ポート。

${APPLICATION_NAME}-amq-stomp-ssl

61612

amq-stomp-ssl

ブローカーの STOMP SSL ポート。

${APPLICATION_NAME}-amq-tcp

61616

amq-tcp

ブローカーの OpenWire ポート。

${APPLICATION_NAME}-amq-tcp-ssl

61617

amq-tcp-ssl

ブローカーの OpenWire (SSL) ポート。

${APPLICATION_NAME}-postgresql

5432

 — 

データベースサーバーのポート。

15.6.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

${APPLICATION_NAME}-amq-jolokia-console

TLS パススルー

<default>

${APPLICATION_NAME}-amq-tcp-ssl

TLS パススルー

<default>

15.6.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.10.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

15.6.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.6.2.4.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

${APPLICATION_NAME}-amq

ImageChange

15.6.2.4.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-postgresql

1

${APPLICATION_NAME}-amq

1

15.6.2.4.3. Pod テンプレート
15.6.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

15.6.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-postgresql

postgresql

${APPLICATION_NAME}-amq

${AMQ_BROKER_IMAGESTREAM_NAME}

15.6.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

${APPLICATION_NAME}-amq

/bin/bash -c /opt/amq/bin/readinessProbe.sh

15.6.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

15.6.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

${APPLICATION_NAME}-amq

console-jolokia

8161

TCP

amqp

5672

TCP

amqp-ssl

5671

TCP

mqtt

1883

TCP

mqtt-ssl

8883

TCP

stomp

61613

TCP

stomp-ssl

61612

TCP

artemis

61616

TCP

amq-tcp-ssl

61617

TCP

15.6.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_PERSISTENCE_DS

KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server PostgreSQL データベース名

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_JNDI

KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

 — 

org.hibernate.dialect.PostgreSQLDialect

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE

 — 

${APPLICATION_NAME}-postgresql

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

KIE_SERVER_EXECUTOR_JMS

JMS executor を有効にし、false に設定して無効にします。

${KIE_SERVER_EXECUTOR_JMS}

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

JMS executor のトランザクションを有効にします。デフォルトでは無効です

${KIE_SERVER_EXECUTOR_JMS_TRANSACTED}

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

${KIE_SERVER_JMS_QUEUE_REQUEST}

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

${KIE_SERVER_JMS_QUEUE_RESPONSE}

KIE_SERVER_JMS_QUEUE_EXECUTOR

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

${KIE_SERVER_JMS_QUEUE_EXECUTOR}

KIE_SERVER_JMS_ENABLE_SIGNAL

JMS 経由でシグナル設定を有効にします。

${KIE_SERVER_JMS_ENABLE_SIGNAL}

KIE_SERVER_JMS_QUEUE_SIGNAL

シグナル用の JMS キュー

${KIE_SERVER_JMS_QUEUE_SIGNAL}

KIE_SERVER_JMS_ENABLE_AUDIT

JMS 経由で監査ロギングを有効にします。

${KIE_SERVER_JMS_ENABLE_AUDIT}

KIE_SERVER_JMS_QUEUE_AUDIT

監査ロギングの JMS キュー。

${KIE_SERVER_JMS_QUEUE_AUDIT}

KIE_SERVER_JMS_AUDIT_TRANSACTED

JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。

${KIE_SERVER_JMS_AUDIT_TRANSACTED}

MQ_SERVICE_PREFIX_MAPPING

 — 

${APPLICATION_NAME}-amq7=AMQ

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。openwire のみが EAP でサポートされます。

tcp

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

${AMQ_QUEUES}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定)

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN。

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報。

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

${APPLICATION_NAME}-amq

AMQ_USER

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_ROLE

標準ブローカーユーザーのユーザーロール。

${AMQ_ROLE}

AMQ_NAME

 — 

${APPLICATION_NAME}-broker

AMQ_TRANSPORTS

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。openwire のみが EAP でサポートされます。

${AMQ_PROTOCOL}

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

${AMQ_QUEUES}

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合は、システムのメモリーの半分が割り当てられます。

${AMQ_GLOBAL_MAX_SIZE}

AMQ_REQUIRE_LOGIN

 — 

true

AMQ_ANYCAST_PREFIX

 — 

 — 

AMQ_MULTICAST_PREFIX

 — 

 — 

AMQ_KEYSTORE_TRUSTSTORE_DIR

 — 

/etc/amq-secret-volume

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名。

${AMQ_TRUSTSTORE}

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード。

${AMQ_TRUSTSTORE_PASSWORD}

AMQ_KEYSTORE

AMQ キーストアのファイル名。

${AMQ_KEYSTORE}

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード。

${AMQ_KEYSTORE_PASSWORD}

15.6.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

${APPLICATION_NAME}-amq

broker-secret-volume

/etc/amq-secret-volume

ssl certs

True

15.6.2.5. 外部の依存関係

15.6.2.5.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

15.6.2.5.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • kieserver-app-secret
  • broker-app-secret

15.7. rhpam710-kieserver-externaldb.yaml template

Red Hat Process Automation Manager 7.10 向けの、外部データベースを備えた管理 KIE Server のアプリケーションテンプレート (非推奨)

15.7.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_PERSISTENCE_SCHEMA

KIE_SERVER_PERSISTENCE_SCHEMA

Hibernate 永続性スキーマ。

bd.schema

False

KIE_SERVER_EXTERNALDB_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server 外部データベース Hibernate 方言。

org.hibernate.dialect.MySQL57Dialect

True

KIE_SERVER_EXTERNALDB_SERVICE_HOST

RHPAM_SERVICE_HOST

データソースサービスホストを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

10.10.10.1

False

KIE_SERVER_EXTERNALDB_SERVICE_PORT

RHPAM_SERVICE_PORT

データソースサービスポートを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

4321

False

KIE_SERVER_EXTERNALDB_NONXA

RHPAM_NONXA

データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。

True

False

KIE_SERVER_EXTERNALDB_URL

RHPAM_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。

jdbc:mysql://127.0.0.1:3306/rhpam

False

KIE_SERVER_EXTERNALDB_DRIVER

RHPAM_DRIVER

事前定義のドライバー名。利用可能な値は mysql、postgresql、または外部ドライバーの事前に定義された名前です。

mariadb

True

KIE_SERVER_EXTERNALDB_JNDI

KIE_SERVER_PERSISTENCE_DS

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

java:jboss/datasources/jbpmDS

True

KIE_SERVER_EXTERNALDB_DB

RHPAM_DATABASE

KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

rhpam

False

KIE_SERVER_EXTERNALDB_USER

RHPAM_USERNAME

KIE Server 外部データベースのユーザー名。

rhpam

True

KIE_SERVER_EXTERNALDB_PWD

RHPAM_PASSWORD

KIE Server 外部データベースのパスワード。

 — 

True

KIE_SERVER_EXTERNALDB_MIN_POOL_SIZE

RHPAM_MIN_POOL_SIZE

設定されたデータソースに xa-pool/min-pool-size を設定します。

 — 

False

KIE_SERVER_EXTERNALDB_MAX_POOL_SIZE

RHPAM_MAX_POOL_SIZE

設定されたデータソースに xa-pool/max-pool-size を設定します。

 — 

False

KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER

RHPAM_CONNECTION_CHECKER

接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker

False

KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER

RHPAM_EXCEPTION_SORTER

例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter

False

KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION

RHPAM_BACKGROUND_VALIDATION

sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。

true

False

KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION_MILLIS

RHPAM_VALIDATION_MILLIS

jdbc 接続の background-validation チェックの間隔を定義します。

10000

False

KIE_SERVER_EXTERNALDB_DRIVER_TYPE

RHPAM_DRIVER_TYPE

DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。使用できる値は 4 (デフォルト) または 2 です。

4

False

EXTENSIONS_IMAGE

 — 

ドライバーおよび設定を含むイメージの ImageStreamTag 定義。たとえば、custom-driver-image:7.10.0 です。

custom-driver-extension:7.10.0

True

EXTENSIONS_IMAGE_NAMESPACE

 — 

ドライバーおよび設定を含むイメージの ImageStream 定義がある名前空間。

openshift

True

EXTENSIONS_INSTALL_DIR

 — 

拡張が含まれる拡張イメージ内のディレクトリーへの完全パス (例: install.sh、modules/ など)。

/extensions

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)。

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定)。

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.7.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.7.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

15.7.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.7.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.10.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

ImageChange, ImageChange, ConfigChange

15.7.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.7.2.4.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

15.7.2.4.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

15.7.2.4.3. Pod テンプレート
15.7.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

15.7.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

15.7.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

15.7.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

15.7.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

15.7.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)。

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定)。

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

KIE_SERVER_PERSISTENCE_DS

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

${KIE_SERVER_EXTERNALDB_JNDI}

KIE_SERVER_PERSISTENCE_SCHEMA

Hibernate 永続性スキーマ。

${KIE_SERVER_PERSISTENCE_SCHEMA}

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server 外部データベース Hibernate 方言。

${KIE_SERVER_EXTERNALDB_DIALECT}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_DB}

RHPAM_SERVICE_HOST

データソースサービスホストを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_SERVICE_HOST}

RHPAM_SERVICE_PORT

データソースサービスポートを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_SERVICE_PORT}

RHPAM_JNDI

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

${KIE_SERVER_EXTERNALDB_JNDI}

RHPAM_DRIVER

事前定義のドライバー名。利用可能な値は mysql、postgresql、または外部ドライバーの事前に定義された名前です。

${KIE_SERVER_EXTERNALDB_DRIVER}

RHPAM_USERNAME

KIE Server 外部データベースのユーザー名。

${KIE_SERVER_EXTERNALDB_USER}

RHPAM_PASSWORD

KIE Server 外部データベースのパスワード。

${KIE_SERVER_EXTERNALDB_PWD}

RHPAM_NONXA

データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。

${KIE_SERVER_EXTERNALDB_NONXA}

RHPAM_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。

${KIE_SERVER_EXTERNALDB_URL}

RHPAM_XA_CONNECTION_PROPERTY_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。

${KIE_SERVER_EXTERNALDB_URL}

RHPAM_MIN_POOL_SIZE

設定されたデータソースに xa-pool/min-pool-size を設定します。

${KIE_SERVER_EXTERNALDB_MIN_POOL_SIZE}

RHPAM_MAX_POOL_SIZE

設定されたデータソースに xa-pool/max-pool-size を設定します。

${KIE_SERVER_EXTERNALDB_MAX_POOL_SIZE}

RHPAM_CONNECTION_CHECKER

接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。

${KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER}

RHPAM_EXCEPTION_SORTER

例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。

${KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER}

RHPAM_BACKGROUND_VALIDATION

sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。

${KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION}

RHPAM_VALIDATION_MILLIS

jdbc 接続の background-validation チェックの間隔を定義します。

${KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION_MILLIS}

RHPAM_DRIVER_TYPE

DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。使用できる値は 4 (デフォルト) または 2 です。

${KIE_SERVER_EXTERNALDB_DRIVER_TYPE}

RHPAM_JTA

 — 

true

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

15.7.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

15.7.2.5. 外部の依存関係

15.7.2.5.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • kieserver-app-secret

15.8. rhpam710-kieserver-mysql.yaml template

Red Hat Process Automation Manager 7.10 向けの、MySQL データベースを備えた管理 KIE Server のアプリケーションテンプレート (非推奨)

15.8.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

MYSQL_IMAGE_STREAM_NAMESPACE

 — 

MySQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

MYSQL_IMAGE_STREAM_TAG

 — 

MySQL イメージのバージョン。これは MySQL バージョンに対応するように意図されています。デフォルトは 8.0 です。

8.0

False

KIE_SERVER_MYSQL_USER

RHPAM_USERNAME

KIE Server MySQL データベースのユーザー名。

rhpam

False

KIE_SERVER_MYSQL_PWD

RHPAM_PASSWORD

KIE Server MySQL データベースのパスワード。

 — 

False

KIE_SERVER_MYSQL_DB

RHPAM_DATABASE

KIE Server MySQL データベース名。

rhpam7

False

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_MYSQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate 方言。

org.hibernate.dialect.MySQL8Dialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.8.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.8.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-mysql

3306

 — 

データベースサーバーのポート。

15.8.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.8.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.8.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-mysql

ImageChange

15.8.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

${APPLICATION_NAME}-mysql

1

15.8.2.3.3. Pod テンプレート
15.8.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

15.8.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-mysql

mysql

15.8.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-mysql

/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'

15.8.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-mysql

tcpSocket on port 3306

15.8.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-mysql

 — 

3306

TCP

15.8.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_CONNECTION_CHECKER

 — 

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker

RHPAM_EXCEPTION_SORTER

 — 

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter

RHPAM_DATABASE

KIE Server MySQL データベース名。

${KIE_SERVER_MYSQL_DB}

RHPAM_DRIVER

 — 

mariadb

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate 方言。

${KIE_SERVER_MYSQL_DIALECT}

RHPAM_USERNAME

KIE Server MySQL データベースのユーザー名。

${KIE_SERVER_MYSQL_USER}

RHPAM_PASSWORD

KIE Server MySQL データベースのパスワード。

${KIE_SERVER_MYSQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-mysql

RHPAM_SERVICE_PORT

 — 

3306

RHPAM_JTA

 — 

true

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-mysql

MYSQL_USER

KIE Server MySQL データベースのユーザー名。

${KIE_SERVER_MYSQL_USER}

MYSQL_PASSWORD

KIE Server MySQL データベースのパスワード。

${KIE_SERVER_MYSQL_PWD}

MYSQL_DATABASE

KIE Server MySQL データベース名。

${KIE_SERVER_MYSQL_DB}

MYSQL_DEFAULT_AUTHENTICATION_PLUGIN

 — 

mysql_native_password

15.8.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-mysql

${APPLICATION_NAME}-mysql-pvol

/var/lib/mysql/data

mysql

false

15.8.2.4. 外部の依存関係

15.8.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-mysql-claim

ReadWriteOnce

15.8.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • kieserver-app-secret

15.9. rhpam710-kieserver-postgresql.yaml template

Red Hat Process Automation Manager 7.10 向けの、PostgreSQL データベースを備えた管理 KIE Server のアプリケーションテンプレート (非推奨)

15.9.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

rhpam7

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは 10 です。

10

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_POSTGRESQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

org.hibernate.dialect.PostgreSQLDialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.9.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.9.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-postgresql

5432

 — 

データベースサーバーのポート。

15.9.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.9.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.9.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

15.9.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

${APPLICATION_NAME}-postgresql

1

15.9.2.3.3. Pod テンプレート
15.9.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

15.9.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-postgresql

postgresql

15.9.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

15.9.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

15.9.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

15.9.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_DRIVER

 — 

postgresql

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_JTA

 — 

true

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_CONNECTION_CHECKER

 — 

org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker

RHPAM_EXCEPTION_SORTER

 — 

org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

15.9.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

15.9.2.4. 外部の依存関係

15.9.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

15.9.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • kieserver-app-secret

15.10. rhpam710-managed.yaml template

Red Hat Process Automation Manager 7.10 向けの、管理 HA 実稼働ランタイム環境のアプリケーションテンプレート (非推奨)

15.10.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

True

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_SERVICE

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentrmon

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

 — 

False

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは 10 です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_POSTGRESQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

org.hibernate.dialect.PostgreSQLDialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

Business Central のキーストアファイルが含まれるシークレットの名前。

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

KIE Server のキーストアファイルが含まれるシークレットの名前。

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central Monitoring コンテナーのメモリー制限

2Gi

True

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central Monitoring コンテナーのメモリー要求。

1.5Gi

True

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central Monitoring コンテナーの CPU 制限。

1

True

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central Monitoring コンテナーの CPU 要求。

750m

True

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

BUSINESS_CENTRAL_MONITORING_CONTAINER_REPLICAS

 — 

Business Central Monitoring Container Replicas は、起動する Business Central Monitoring コンテナー数を定義します。

3

True

KIE_SERVER_CONTAINER_REPLICAS

 — 

KIE Server Container Replicas は、起動する KIE Server コンテナー数を定義します。

3

True

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.10.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.10.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentrmon

8080

http

すべての Business Central Monitoring Web サーバーのポート。

8443

https

${APPLICATION_NAME}-rhpamcentrmon-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート。(1 つ目の KIE server)

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-postgresql

5432

 — 

最初のデータベースサーバーのポート。

15.10.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentrmon-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentrmon-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

15.10.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.10.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentrmon

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

15.10.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentrmon

3

${APPLICATION_NAME}-kieserver

3

${APPLICATION_NAME}-postgresql

1

15.10.2.3.3. Pod テンプレート
15.10.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentrmon

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhpamsvc

15.10.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentrmon

rhpam-businesscentral-monitoring-rhel8

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-postgresql

postgresql

15.10.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

15.10.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

15.10.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentrmon

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

15.10.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentrmon

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)。(org.kie.server.controller.template.cache.ttl システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentrmon-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット。

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

15.10.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentrmon

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

15.10.2.4. 外部の依存関係

15.10.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

15.10.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • businesscentral-app-secret
  • kieserver-app-secret

15.11. rhpam710-prod.yaml template

Red Hat Process Automation Manager 7.10 向けの、管理 HA 実稼働ランタイム環境のアプリケーションテンプレート (非推奨)

15.11.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義できます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前。

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

external:*

False

MAVEN_REPO_ID

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

True

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

 — 

False

BUSINESS_CENTRAL_MAVEN_SERVICE

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップを可能にする Business Central に到達可能な場合に使用するサービス名 (必要な場合)

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER 値および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは rhpam-kieserver-rhel8 です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きポインター。デフォルトは 7.10.0 です。

7.10.0

True

SMART_ROUTER_HOSTNAME_HTTP

 — 

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-smartrouter-<project>.<default-domain-suffix>')。

 — 

False

SMART_ROUTER_HOSTNAME_HTTPS

 — 

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-smartrouter-<project>.<default-domain-suffix>')。

 — 

False

KIE_SERVER_ROUTER_ID

KIE_SERVER_ROUTER_ID

コントローラーに接続する場合に使用されるルーター ID (ルータープロパティー org.kie.server.router.id)。

kie-server-router

True

KIE_SERVER_ROUTER_PROTOCOL

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

http

False

KIE_SERVER_ROUTER_URL_EXTERNAL

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

 — 

False

KIE_SERVER_ROUTER_NAME

KIE_SERVER_ROUTER_NAME

コントローラーに接続するときに使用されるルーター名 (ルータープロパティー org.kie.server.router.name)。

KIE Server ルーター

True

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

 — 

False

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる名前空間/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは openshift です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは 10 です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_POSTGRESQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

org.hibernate.dialect.PostgreSQLDialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

false

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER1_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER1_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER1_USE_SECURE_ROUTE_NAME

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合、KIE Server は、レポートする Business Central の KIE Server ルートエンドポイントとして secure-<application-name>-kieserver (vs. <application-name>-kieserver) を使用します。そのため、Business Central はユーザーにセキュアなリンクを表示します。

false

False

KIE_SERVER2_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER2_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER2_USE_SECURE_ROUTE_NAME

KIE_SERVER_USE_SECURE_ROUTE_NAME

True の場合、secure-APPLICATION_NAME-kieserver-2 vs を使用します。APPLICATION_NAME-kieserver-2 をルート名として使用します。

false

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

Business Central のキーストアファイルが含まれるシークレットの名前。

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_ROUTER_HTTPS_SECRET

 — 

Smart Router のキーストアファイルが含まれるシークレットの名前

smartrouter-app-secret

True

KIE_SERVER_ROUTER_HTTPS_KEYSTORE

 — 

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_ROUTER_HTTPS_NAME

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前。

jboss

False

KIE_SERVER_ROUTER_HTTPS_PASSWORD

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

KIE Server のキーストアファイルが含まれるシークレットの名前。

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central Monitoring コンテナーのメモリー制限

2Gi

True

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central Monitoring コンテナーのメモリー要求。

1.5Gi

True

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central Monitoring コンテナーの CPU 制限。

1

True

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central Monitoring コンテナーの CPU 要求。

750m

True

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限。

2Gi

True

KIE_SERVER_MEMORY_REQUEST

 — 

KIE Server コンテナーのメモリー要求。

1.5Gi

True

KIE_SERVER_CPU_LIMIT

 — 

KIE Server コンテナーの CPU 制限。

1

True

KIE_SERVER_CPU_REQUEST

 — 

KIE Server コンテナーの CPU 要求。

750m

True

SMART_ROUTER_MEMORY_LIMIT

 — 

Smart Router コンテナーのメモリー制限

512Mi

False

BUSINESS_CENTRAL_MONITORING_CONTAINER_REPLICAS

 — 

Business Central Monitoring Container Replicas は、起動する Business Central Monitoring コンテナー数を定義します。

3

True

SMART_ROUTER_CONTAINER_REPLICAS

 — 

Smart Router Container Replicas は、起動する Smart Router コンテナー数を定義します。

2

True

KIE_SERVER_CONTAINER_REPLICAS

 — 

KIE Server Container Replicas は、起動する KIE Server のコンテナー数を定義します。

3

True

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER1_SSO_CLIENT

SSO_CLIENT

KIE Server 1 の RH-SSO クライアント名。

 — 

False

KIE_SERVER1_SSO_SECRET

SSO_SECRET

KIE Server 1 の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER2_SSO_CLIENT

SSO_CLIENT

KIE Server 2 の RH-SSO クライアント名。

 — 

False

KIE_SERVER2_SSO_SECRET

SSO_SECRET

KIE Server 2 の RH-SSO クライアントシークレット。

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

任意

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

15.11.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

15.11.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentrmon

8080

http

すべての Business Central Monitoring Web サーバーのポート。

8443

https

${APPLICATION_NAME}-rhpamcentrmon-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-smartrouter

9000

http

smart router サーバーの http ポートおよび https ポート

9443

https

${APPLICATION_NAME}-kieserver-1

8080

http

すべての KIE Server Web サーバーのポート。(1 つ目の KIE server)

8443

https

${APPLICATION_NAME}-kieserver-1-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-kieserver-2

8080

http

すべての KIE Server Web サーバーのポート。(2 つ目の KIE Server)

8443

https

${APPLICATION_NAME}-kieserver-2-ping

8888

ping

クラスターリング向けの JGroups ping ポート。

${APPLICATION_NAME}-postgresql-1

5432

 — 

最初のデータベースサーバーのポート。

${APPLICATION_NAME}-postgresql-2

5432

 — 

2 番目のデータベースサーバーのポート。

15.11.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で設定されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

${APPLICATION_NAME}-rhpamcentrmon-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentrmon-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

${APPLICATION_NAME}-kieserver-1-http

なし

${KIE_SERVER1_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-1-https

TLS パススルー

${KIE_SERVER1_HOSTNAME_HTTPS}

${APPLICATION_NAME}-kieserver-2-http

なし

${KIE_SERVER2_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-2-https

TLS パススルー

${KIE_SERVER2_HOSTNAME_HTTPS}

${APPLICATION_NAME}-smartrouter-http

なし

${SMART_ROUTER_HOSTNAME_HTTP}

${APPLICATION_NAME}-smartrouter-https

TLS パススルー

${SMART_ROUTER_HOSTNAME_HTTPS}

15.11.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。

15.11.2.3.1. トリガー

トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentrmon

ImageChange

${APPLICATION_NAME}-smartrouter

ImageChange

${APPLICATION_NAME}-kieserver-1

ImageChange

${APPLICATION_NAME}-postgresql-1

ImageChange

${APPLICATION_NAME}-kieserver-2

ImageChange

${APPLICATION_NAME}-postgresql-2

ImageChange

15.11.2.3.2. レプリカ

レプリケーションコントローラーを使用すると、指定した数だけ、Pod のレプリカを一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentrmon

3

${APPLICATION_NAME}-smartrouter

2

${APPLICATION_NAME}-kieserver-1

3

${APPLICATION_NAME}-postgresql-1

1

${APPLICATION_NAME}-kieserver-2

3

${APPLICATION_NAME}-postgresql-2

1

15.11.2.3.3. Pod テンプレート
15.11.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-kieserver-1

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver-2

${APPLICATION_NAME}-kieserver

15.11.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentrmon

rhpam-businesscentral-monitoring-rhel8

${APPLICATION_NAME}-smartrouter

rhpam-smartrouter-rhel8

${APPLICATION_NAME}-kieserver-1

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-postgresql-1

postgresql

${APPLICATION_NAME}-kieserver-2

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-postgresql-2

postgresql

15.11.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver-1

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql-1

/usr/libexec/check-container

${APPLICATION_NAME}-kieserver-2

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql-2

/usr/libexec/check-container

15.11.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver-1

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql-1

/usr/libexec/check-container --live

${APPLICATION_NAME}-kieserver-2

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql-2

/usr/libexec/check-container --live

15.11.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentrmon

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-smartrouter

http

9000

TCP

${APPLICATION_NAME}-kieserver-1

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql-1

 — 

5432

TCP

${APPLICATION_NAME}-kieserver-2

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql-2

 — 

5432

TCP

15.11.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentrmon

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentrmon-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

Business Central Monitoring RH-SSO クライアントシークレット。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-smartrouter

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_ROUTER_HOST

 — 

 — 

KIE_SERVER_ROUTER_PORT

 — 

9000

KIE_SERVER_ROUTER_PORT_TLS

 — 

9443

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

${KIE_SERVER_ROUTER_URL_EXTERNAL}

KIE_SERVER_ROUTER_ID

コントローラーに接続する場合に使用されるルーター ID (ルータープロパティー org.kie.server.router.id)。

${KIE_SERVER_ROUTER_ID}

KIE_SERVER_ROUTER_NAME

コントローラーに接続するときに使用されるルーター名 (ルータープロパティー org.kie.server.router.name)。

${KIE_SERVER_ROUTER_NAME}

KIE_SERVER_ROUTER_ROUTE_NAME

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

${KIE_SERVER_ROUTER_PROTOCOL}

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前。

${KIE_SERVER_ROUTER_HTTPS_NAME}

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_ROUTER_HTTPS_PASSWORD}

KIE_SERVER_ROUTER_TLS_KEYSTORE

 — 

/etc/smartrouter-secret-volume/${KIE_SERVER_ROUTER_HTTPS_KEYSTORE}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

http

KIE_SERVER_ROUTER_REPO

 — 

/opt/rhpam-smartrouter/data

KIE_SERVER_ROUTER_CONFIG_WATCHER_ENABLED

 — 

true

${APPLICATION_NAME}-kieserver-1

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

${APPLICATION_NAME}-kieserver-1

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver-1

KIE_SERVER_USE_SECURE_ROUTE_NAME

true の場合、KIE Server は、レポートする Business Central の KIE Server ルートエンドポイントとして secure-<application-name>-kieserver (vs. <application-name>-kieserver) を使用します。そのため、Business Central はユーザーにセキュアなリンクを表示します。

${KIE_SERVER1_USE_SECURE_ROUTE_NAME}

KIE_SERVER_CONTAINER_DEPLOYMENT

 — 

 

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップを可能にする Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_MAVEN_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_PORT

 — 

9000

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

${KIE_SERVER_ROUTER_PROTOCOL}

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql-1

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE

 — 

${APPLICATION_NAME}-postgresql-1

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-1-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server 1 の RH-SSO クライアントシークレット。

${KIE_SERVER1_SSO_SECRET}

SSO_CLIENT

KIE Server 1 の RH-SSO クライアント名。

${KIE_SERVER1_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER1_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER1_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql-1

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

${APPLICATION_NAME}-kieserver-2

KIE_ADMIN_USER

管理ユーザー名。

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード。

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定)

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server クラスのフィルターリング。(org.drools.server.filter.classes システムプロパティーを設定)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_TOKEN

ベアラー認証用の KIE Server コントローラートークン。(org.kie.server.controller.token システムプロパティーを設定)

${KIE_SERVER_CONTROLLER_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

ws

KIE_SERVER_ID

 — 

${APPLICATION_NAME}-kieserver-2

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver-2

KIE_SERVER_USE_SECURE_ROUTE_NAME

True の場合、secure-APPLICATION_NAME-kieserver-2 vs を使用します。APPLICATION_NAME-kieserver-2 をルート名として使用します。

${KIE_SERVER2_USE_SECURE_ROUTE_NAME}

KIE_SERVER_CONTAINER_DEPLOYMENT

 — 

 

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

maven リポジトリーの使用状況など、サービスのルックアップを可能にする Business Central に到達可能な場合に使用するサービス名 (必要な場合)

${BUSINESS_CENTRAL_MAVEN_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)。

${MAVEN_REPO_PASSWORD}

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_PORT

 — 

9000

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用)

${KIE_SERVER_ROUTER_PROTOCOL}

KIE_SERVER_PERSISTENCE_DS

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_JNDI

KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql-2

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE

 — 

${APPLICATION_NAME}-postgresql-2

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイルの名前。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード。

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-2-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名。

${SSO_REALM}

SSO_SECRET

KIE Server 2 の RH-SSO クライアントシークレット。

${KIE_SERVER2_SSO_SECRET}

SSO_CLIENT

KIE Server 2 の RH-SSO クライアント名。

${KIE_SERVER2_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER2_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER2_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント。フェイルオーバーの場合は、2 つ以上の LDAP エンドポイントをスペースで区切って設定します。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

ログインモジュールを任意に設定するフラグ。デフォルト値は必須です。

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合、DN はユーザー名に対して解析されます。false に設定されている場合、DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール。

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql-2

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

15.11.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentrmon

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

/opt/rhpam-smartrouter/data

 — 

false

${APPLICATION_NAME}-kieserver-1

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql-1

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

${APPLICATION_NAME}-kieserver-2

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql-2

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

15.11.2.4. 外部の依存関係

15.11.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim-1

ReadWriteOnce

${APPLICATION_NAME}-postgresql-claim-2

ReadWriteOnce

${APPLICATION_NAME}-smartrouter-claim

ReadWriteMany

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

15.11.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

  • businesscentral-app-secret
  • smartrouter-app-secret
  • kieserver-app-secret

15.12. OpenShift の使用に関するクイックリファレンス

Red Hat OpenShift Container Platform で Red Hat Process Automation Manager テンプレートをデプロイし、モニターし、管理し、デプロイ解除するには、OpenShift Web コンソールまたは oc コマンドを使用できます。

Web コンソールの使用に関する説明は、Web コンソールを使用したイメージの作成およびビルド を参照してください。

oc コマンドの使用方法に関する詳細は、CLI リファレンス を参照してください。次のコマンドが必要になる可能性があります。

  • プロジェクトを作成するには、以下のコマンドを使用します。 

    $ oc new-project <project-name>

    詳細は、CLI を使用したプロジェクトの作成 を参照してください。

  • テンプレートをデプロイするには (またはテンプレートからアプリケーションを作成するには)、以下のコマンドを実行します。 

    $ oc new-app -f <template-name> -p <parameter>=<value> -p <parameter>=<value> ...

    詳細は、CLI を使用したアプリケーションの作成 を参照してください。

  • プロジェクト内のアクティブな Pod の一覧を表示するには、以下のコマンドを使用します。 

    $ oc get pods

  • Pod のデプロイメントが完了し、実行中の状態になっているかどうかなど、Pod の現在のステータスを表示するには、以下のコマンドを使用します。 

    $ oc describe pod <pod-name>

    oc describe コマンドを使用して、他のオブジェクトの現在のステータスを表示できます。詳細は、アプリケーションの変更操作 を参照してください。

  • Pod のログを表示するには、以下のコマンドを使用します。 

    $ oc logs <pod-name>

  • デプロイメントログを表示するには、テンプレート参照で DeploymentConfig 名を検索し、以下のコマンドを入力します。 

    $ oc logs -f dc/<deployment-config-name>

    詳細は、デプロイメントログの表示 を参照してください。

  • ビルドログを表示するには、テンプレート参照で BuildConfig 名を検索し、以下のコマンドを入力します。 

    $ oc logs -f bc/<build-config-name>

    詳細は、ビルドログのアクセス を参照してください。

  • アプリケーションの Pod をスケーリングするには、テンプレート参照で DeploymentConfig 名を検索し、以下のコマンドを入力します。 

    $ oc scale dc/<deployment-config-name> --replicas=<number>

    詳細は、手動スケーリング を参照してください。

  • アプリケーションのデプロイメントを解除するには、以下のコマンドを使用してプロジェクトを削除します。 

    $ oc delete project <project-name>

    または、oc delete コマンドを使用して、Pod またはレプリケーションコントローラーなど、アプリケーションの一部を削除できます。詳細は、アプリケーションの修正操作 を参照してください。

パート III. デシジョンエンジンを使用した高可用性イベント駆動型デシジョン機能の Red Hat OpenShift Container Platform への実装

ビジネスルール開発者は、デシジョンエンジンを使用するコードで、複合イベント処理 (CAP: Complex Event Processing) など、高可用性イベント駆動型デシジョン機能を使用できます。高可用性イベント駆動型デシジョン機能は、Red Hat OpenShift Container Platform に実装できます。

Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Process Automation Manager 環境のデプロイメント の記載のとおり、Red Hat OpenShift Container Platform では、Red Hat Process Automation Manager の標準デプロイメントを使用して、高可用性イベント駆動型デシジョン機能を実装できません。標準デプロイメントは、ステートレス処理しかサポートしないためです。そのため、指定の参照実装を使用して、カスタム実装を作成する必要があります。

前提条件

  • Red Hat OpenShift Container Platform 4 の環境を利用できる。現在のリリースがサポートする OpenShift Container Platform の正確なバージョンについては、Red Hat Process Automation Manager 7 でサポートされる設定 を参照してください。
  • Red Hat AMQ Streams を含む OpenShift 環境に、Kafka Cluster がデプロイされている。
  • OpenJDK Java 開発環境がインストールされている。
  • Maven、Docker、および kubectl がインストールされている。
  • OpenShift コマンドラインツール oc がインストールされている。

第16章 Red Hat OpenShift Container Platform での高可用性イベント駆動型デシジョン機能

デシジョンエンジンを使用して、Red Hat OpenShift Container Platform に高可用性イベント駆動型デシジョン機能を実装します。

イベント は、特定の時点で発生するファクトをモデル化します。デシジョンエンジンは、一時オペレーターが豊富にあり、イベントの比較、相関、累積ができます。イベント駆動型のデシジョン機能では、デシジョンエンジンがイベントをもとに一連の複雑なデシジョンを処理します。イベントはすべて、エンジンの状態を変更でき、後続のイベントのデシジョンに影響を与えます。

Operator を使用した Red Hat OpenShift Container Platform 4 への Red Hat Decision Manager 環境のデプロイメントの記載のとおり、Red Hat OpenShift Container Platform では、Red Hat Decision Manager の標準デプロイメントを使用して、高可用性イベント駆動型デシジョン機能を実行できません。デプロイメントには、KIE Server Pod が含まれており、スケーリング時も Pod ごとに独立したままになります。Pod の状態は同期されません。そのため、ステートレス呼び出しのみを確実に処理できます。

複合イベント処理 (CEP) API は、デシジョンエンジンを含むイベント駆動型デシジョン機能で便利です。デシジョンエンジンは、CEP を使用してイベントコレクションにある複数のイベントを検出して処理し、イベント間に存在する関係を明確にして、このようなイベントや関係をもとに新規データを推測します。デシジョンエンジンでの CEP に関する情報は、Red Hat Decision Manager のデシジョンエンジン を参照してください。

Red Hat Process Automation Manager が提供する参照実装をもとに、Red Hat OpenShift Container Platform に高可用性イベント駆動型デシジョン機能を実装します。この実装を使用すると、安全にフェイルオーバーできる環境が実現できます。

この参照実装では、処理コードを使用して Pod をスケーリングできます。Pod のレプリカは独立していません。レプリカの 1 つが自動的に リーダー として指定されます。リーダーが機能を停止した場合には、別のリーダーが自動的にリーダーになり、中断やデータの損失なしに、処理が続行されます。

リーダーの選択は、Kubernetes ConfigMaps で実装されます。リーダーと他のレプリカは、Kafka を介してメッセージを交換することで連携します。リーダーが必ず、最初にイベントを処理します。処理が完了したら、リーダーは他のレプリカに通知します。リーダーではないレプリカは、リーダーでの処理が完了してからでないとイベントは実行されません。

新規レプリカがクラスターに参加すると、このレプリカは、リーダーから、現在の Drools セッションのスナップショットを要求します。Kafka トピックで利用可能なスナップショットがある場合に、リーダーは既存で最新のスナップショットを使用できます。最新のスナップショットがない場合はリーダーがオンデマンドで新しいスナップショットを生成します。スナップショットを受信後に、新しいレプリカはそのスナップショットをデシリアライズし、最終的に、スナップショットに含まれていない最後のイベントを実行し、その後にリーダーと連携して新規イベントの処理は開始されません。

デフォルトの実装方法では、このサービスは HA CEP サーバーに KJAR として組み込まれています。このような場合は、サーバーをもう一度ビルドしてデプロイし、サービスのバージョンを変更します。新規バージョンに切り替えると、作業メモリーの内容は失われます。デフォルトの実装方法に関する詳細は、17章HA CEP サーバーの実装 を参照してください。

作業メモリーの内容を失わずにサービスのバージョンをアップグレードする場合には、別の実装方法を使用して、KJAR と全依存関係を Maven リポジトリーに用意します。この実装方法では、クライアントコードから UpdateKJarGAV 呼び出しを使用して、新規 KJAR バージョンのデプロイメントをトリガーします。この呼び出しは、リーダーと他のレプリカが処理し、各 Pod が新しい KJAR を読み込みます。作業メモリーの内容は、そのまま残ります。この実装方法に関する詳細は、18章Mave リポジトリーを使用した HA CEP サーバーを実装して KJAR サービスを更新する手順 を参照してください。

第17章 HA CEP サーバーの実装

高可用性 (HA) CEP サーバーは、Red Hat OpenShift Container Platform 環境で実行します。このサーバーには、必要なすべての Drools ルールと、イベント処理に必要なその他のコードが含まれています。

ソースを準備して、ビルドし、Red Hat OpenShift Container Platform にデプロイします。

または、別のプロセスを使用して、いつでも KJAR サービスを更新できる HA CEP サーバーをデプロイします。このプロセスに関する詳細は、18章Mave リポジトリーを使用した HA CEP サーバーを実装して KJAR サービスを更新する手順 を参照してください。

前提条件

  • oc コマンドラインツールを使用して、管理者権限があるプロジェクトにログインしている。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-reference-implementation.zip をダウンロードします。
  2. ファイルの内容を展開してから、rhpam-7.10.0-openshift-drools-hacep-distribution.zip ファイルを解凍します。
  3. openshift-drools-hacep-distribution/sources ディレクトリーに移動します。
  4. sample-hacep-project/sample-hacep-project-kjar ディレクトリー内のサンプルプロジェクトをもとに、サーバーのコードを確認して変更します。複合イベント処理のロジックは、src/main/resources/org/drools/cep サブディレクトリーの DRL ルールで定義します。

  5. 標準の Maven コマンドを使用してプロジェクトをビルドします。 

    mvn clean install -DskipTests
  6. Red Hat AMQ Streams 向けの OpenShift operator を有効にして、プロジェクトで AMQ Streams (kafka) クラスターを作成します。Red Hat AMQ Streams のインストールに関する情報は、Using AMQ Streams on OpenShift を参照してください。

  7. サーバーの操作に必要な kafka のトピックを作成するには、openshift-drools-hacep-distribution/sources ディレクトリーで、以下のコマンドを実行します。 

    oc apply -f kafka-topics/control.yaml
oc apply -f kafka-topics/events.yaml
oc apply -f kafka-topics/kiesessioninfos.yaml
oc apply -f kafka-topics/snapshot.yaml

  8. アプリケーションが、リーダーの選択に使用する ConfigMap にアクセスできるように、ロールベースのアクセス制御を設定します。springboot ディレクトリーに移動して、以下のコマンドを入力します。 

    oc create -f kubernetes/service-account.yaml
oc create -f kubernetes/role.yaml
oc create -f kubernetes/role-binding.yaml

    Red Hat OpenShift Container Platform のロールベースのアクセス制御に関する詳細は、Red Hat OpenShift Container Platform 製品ドキュメントの RBAC の使用によるパーミッションの定義および適用 を参照してください。

  9. springboot ディレクトリーで、以下のコマンドを実行してデプロイメント用のイメージを作成し、OpenShift 環境用に設定したリポジトリーにプッシュします。 

    oc new-build --binary --strategy=docker --name openshift-kie-springboot
oc start-build openshift-kie-springboot --from-dir=. --follow

  10. 以下のコマンドを実行して、ビルドしたイメージの名前を検出します。 

    oc get is/openshift-kie-springboot -o template --template='{{range .status.tags}}{{range .items}}{{.dockerImageReference}}{{end}}{{end}}'
  11. テキストエディターで kubernetes/deployment.yaml ファイルを開きます。
  12. 既存のイメージ URL を直前のコマンドの結果に置き換えます。

  13. 文頭に @ の記号がある行の最後にある文字をすべて削除し、その行に :latest を追加します。以下に例を示します。 

    image: image-registry.openshift-image-registry.svc:5000/hacep/openshift-kie-springboot:latest
  14. ファイルを保存します。

  15. 以下のコマンドを実行してイメージをデプロイします。 

    oc apply -f kubernetes/deployment.yaml

第18章 Mave リポジトリーを使用した HA CEP サーバーを実装して KJAR サービスを更新する手順

HA CEP サーバーを実装して、KJAR サービスと全依存関係を指定の Maven リポジトリーから取得できます。このような場合、Maven リポジトリーでサービスを更新して、クライアントコードから呼び出しを行うことで、いつでも KJAR サービスを更新できます。

ソースを準備して、ビルドし、Red Hat OpenShift Container Platform にデプロイします。サーバーをデプロイする前に、deployment.yaml ファイルに特定の環境変数を設定します。Maven リポジトリーを使用するには、UPDATABLEKJAR 変数を true に設定する必要があります。

前提条件

  • oc コマンドラインツールを使用して、管理者権限があるプロジェクトにログインしている。
  • Red Hat OpenShift Container Platform 環境からアクセス可能な Maven リポジトリーを設定している。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-reference-implementation.zip をダウンロードします。
  2. ファイルの内容を展開してから、rhpam-7.10.0-openshift-drools-hacep-distribution.zip ファイルを解凍します。
  3. openshift-drools-hacep-distribution/sources ディレクトリーに移動します。
  4. sample-hacep-project/sample-hacep-project-kjar ディレクトリー内のサンプルプロジェクトをもとに、サーバーのコードを確認して変更します。複合イベント処理のロジックは、src/main/resources/org/drools/cep サブディレクトリーの DRL ルールで定義します。

  5. 標準の Maven コマンドを使用してプロジェクトをビルドします。 

    mvn clean install -DskipTests

    作成した KJAR と必要な依存関係を Maven リポジトリーにアップロードします。

  6. Red Hat AMQ Streams 向けの OpenShift operator を有効にして、プロジェクトで AMQ Streams (kafka) クラスターを作成します。Red Hat AMQ Streams のインストールに関する情報は、Using AMQ Streams on OpenShift を参照してください。

  7. サーバーの操作に必要な kafka のトピックを作成するには、openshift-drools-hacep-distribution/sources ディレクトリーで、以下のコマンドを実行します。 

    oc apply -f kafka-topics/control.yaml
oc apply -f kafka-topics/events.yaml
oc apply -f kafka-topics/kiesessioninfos.yaml
oc apply -f kafka-topics/snapshot.yaml

  8. アプリケーションが、リーダーの選択に使用する ConfigMap にアクセスできるように、ロールベースのアクセス制御を設定します。springboot ディレクトリーに移動して、以下のコマンドを入力します。 

    oc create -f kubernetes/service-account.yaml
oc create -f kubernetes/role.yaml
oc create -f kubernetes/role-binding.yaml

    Red Hat OpenShift Container Platform のロールベースのアクセス制御に関する詳細は、Red Hat OpenShift Container Platform 製品ドキュメントの RBAC の使用によるパーミッションの定義および適用 を参照してください。

  9. springboot ディレクトリーで pom.xml ファイルを編集して、以下の依存関係を削除します。 

    <dependency>
      <groupId>org.kie</groupId>
      <artifactId>sample-hacep-project-kjar</artifactId>
</dependency>

  10. springboot ディレクトリーで、以下のコマンドを実行してデプロイメント用のイメージを作成し、OpenShift 環境用に設定したリポジトリーにプッシュします。 

    oc new-build --binary --strategy=docker --name openshift-kie-springboot
oc start-build openshift-kie-springboot --from-dir=. --follow

  11. 以下のコマンドを実行して、ビルドしたイメージの名前を検出します。 

    oc get is/openshift-kie-springboot -o template --template='{{range .status.tags}}{{range .items}}{{.dockerImageReference}}{{end}}{{end}}'
  12. テキストエディターで kubernetes/deployment.yaml ファイルを開きます。
  13. 既存のイメージ URL を直前のコマンドの結果に置き換えます。

  14. 文頭に @ の記号がある行の最後にある文字をすべて削除し、その行に :latest を追加します。以下に例を示します。 

    image: image-registry.openshift-image-registry.svc:5000/hacep/openshift-kie-springboot:latest

  15. containers: 行と env: 行の下で、以下の例のように環境変数を設定します。 

    containers:
  - env:
    - name: UPDATABLEKJAR
      value: "true"
    - name: KJARGAV
      value: <GroupID>:<ArtifactID>:<Version>
    - name: MAVEN_LOCAL_REPO
      value: /app/.m2/repository
    - name: MAVEN_MIRROR_URL
      value: http://<nexus_url>/repository/maven-releases/
    - name: MAVEN_SETTINGS_XML
      value: /app/.m2/settings.xml

    この例では KJARGAV 変数は、KJAR サービスのグループ、アーティファクト、バージョン (GAV) に置き換え、MAVEN_MIRROR_URL 変数の値は、KJAR サービスを含む Maven リポジトリーの URL に置き換えます。

    必要に応じて他の変数を設定します。サポート対象の環境変数の一覧は、「HA CEP サーバーがサポートする環境変数 (オプション)」 を参照してください。

  16. ファイルを保存します。

  17. 以下のコマンドを実行してイメージをデプロイします。 

    oc apply -f kubernetes/deployment.yaml

クライアントコードから KJAR の更新をトリガーする方法は、19章HA CEP クライアントの作成 を参照してください。

18.1. HA CEP サーバーがサポートする環境変数 (オプション)

以下の表には、Maven リポジトリーを使用するように設定された HA CEP サーバーに設定できる任意の環境変数をまとめています。これらの変数を deployment.yaml ファイルに追加し、それらをデプロイメント時に設定します。

注記

Maven リポジトリーを使用するには、18章Mave リポジトリーを使用した HA CEP サーバーを実装して KJAR サービスを更新する手順 の説明に従って、サーバーの UPDATABLEKJAR 環境変数および KJARGAV 環境変数を設定してください。

表18.1 HA CEP サーバーがサポートする環境変数 (オプション)

名前説明

MAVEN_LOCAL_REPO

ローカルの Maven リポジトリーとして使用するディレクトリー。

/root/.m2/repository

MAVEN_MIRROR_URL

アーティファクトの取得に使用可能な Maven ミラーのベース URL。

http://nexus3-my-kafka-project.192.168.99.133.nip.io/repository/maven-public/

MAVEN_MIRRORS

設定すると、マルチミラーサポートが有効になります。この値には、コンマで区切れたミラーのプリフィックス一覧が含まれます。この変数を設定した場合には、他の MAVEN_MIRROR_* 変数の名前に DEV_MAVEN_MIRROR_URLQE_MAVEN_MIRROR_URL などのプリフィックスを含める必要があります。

DEV,QE

MAVEN_REPOS

設定すると、マルチリポジトリーサポートが有効になります。この値には、コンマで区切れたリポジトリーのプリフィックス一覧が含まれます。この変数を設定した場合には、他の MAVEN_REPO_* 変数の名前に DEV_MAVEN_REPO_URLQE_MAVEN_REPO_URL などのプリフィックスを含める必要があります。

DEV,QE

MAVEN_SETTINGS_XML

使用するカスタムの Maven ファイル settings.xml の場所。

/root/.m2/settings.xml

prefix_MAVEN_MIRROR_ID

指定のミラーに使用する ID。省略する場合には、一意の ID が生成されます。

internal-mirror

prefix_MAVEN_MIRROR_OF

このミラーでミラリングされるリポジトリー ID。デフォルト値は external:* です。

external:*,!my-repo

prefix_MAVEN_MIRROR_URL

ミラーの URL。

http://10.0.0.1:8080/repository/internal

prefix_MAVEN_REPO_HOST

Maven リポジトリーのホスト名。

repo.example.com

prefix_MAVEN_REPO_ID

Maven リポジトリー ID。

my-repo

prefix_MAVEN_REPO_LAYOUT

Maven リポジトリーのレイアウト。

default

prefix_MAVEN_REPO_USERNAME

Maven リポジトリーのユーザー名。

mavenUser

prefix_MAVEN_REPO_PASSPHRASE

Maven リポジトリーのパスフレーズ。

maven1!

prefix_MAVEN_REPO_PASSWORD

Maven リポジトリーのパスワード。

maven1!

prefix_MAVEN_REPO_PATH

Maven リポジトリーのパス。

/maven2/

prefix_MAVEN_REPO_PORT

Maven リポジトリーのポート。

8080

prefix_MAVEN_REPO_PRIVATE_KEY

Maven リポジトリーに接続するのに使用する秘密鍵へのローカルパス。

${user.home}/.ssh/id_dsa

prefix_MAVEN_REPO_PROTOCOL

Maven リポジトリーのプロトコル。

http

prefix_MAVEN_REPO_RELEASES_ENABLED

Maven リポジトリーのリリースが有効。

true

prefix_MAVEN_REPO_RELEASES_UPDATE_POLICY

Maven リポジトリーリリース更新ポリシー。

always

prefix_MAVEN_REPO_SERVICE

Maven リポジトリーの OpenShift サービス。この値は、URL または host/port/protocol が指定されていない場合に使用します。

buscentr-myapp

prefix_MAVEN_REPO_SNAPSHOTS_ENABLED

Maven リポジトリーのスナップショットが有効。

true

prefix_MAVEN_REPO_SNAPSHOTS_UPDATE_POLICY

Maven リポジトリースナップショット更新ポリシー。

always

prefix_MAVEN_REPO_URL

Maven リポジトリーの完全修飾 URL

http://repo.example.com:8080/maven2/

第19章 HA CEP クライアントの作成

CEP クライアントコードを HA CEP サーバーイメージと通信できるように、適応する必要があります。お使いのクライアントコード向けの参照実装に含まれるサンプルプロジェクトを使用してください。また、OpenShift 環境内外を問わず、クライアントコードを実行できます。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル rhpam-7.10.0-reference-implementation.zip をダウンロードします。
  2. ファイルの内容を展開してから、rhpam-7.10.0-openshift-drools-hacep-distribution.zip ファイルを解凍します。
  3. openshift-drools-hacep-distribution/sources ディレクトリーに移動します。
  4. sample-hacep-project/sample-hacep-project-client ディレクトリーのサンプルプロジェクトをもとにクライアントコードをレビューし、変更します。このコードが 20章HA CEP クライアントおよびサーバーコードの要件 に記載の追加要件を満たしていることを確認します。

  5. 18章Mave リポジトリーを使用した HA CEP サーバーを実装して KJAR サービスを更新する手順 で説明した方法を使用する実装で KJAR バージョンを更新するには、以下のコードのように、UpdateKJarGAV 呼び出しをクライアントに追加します。 

            TopicsConfig envConfig = TopicsConfig.getDefaultTopicsConfig();
        Properties props = getProperties();
        try (RemoteStreamingKieSession producer = RemoteStreamingKieSession.create(props, envConfig)){
            producer.updateKJarGAV("org.kie:fake-jar:0.1");
        }

    この呼び出しの実行時に、GAV を指定した KJAR が Maven リポジトリーで利用できるようにしてください。

  6. sample-hacep-project/sample-hacep-project-client ディレクトリーで、パスワードに password と指定してキーストアを生成します。以下のコマンドを入力します。 

    keytool -genkeypair -keyalg RSA -keystore src/main/resources/keystore.jks

  7. OpenShift 環境から HTTPS 証明書を展開して、キーストアーに追加します。以下のコマンドを実行します。 

    oc extract secret/my-cluster-cluster-ca-cert --keys=ca.crt --to=- > src/main/resources/ca.crt
keytool -import -trustcacerts -alias root -file src/main/resources/ca.crt -keystore src/main/resources/keystore.jks -storepass password -noprompt
  8. プロジェクトの src/main/resources サブディレクトリーで、configuration.properties ファイルを開き、<bootstrap-hostname> を Kafka サーバーのルートが提供するアドレスに置き換えます。

  9. 標準の Maven コマンドを使用してプロジェクトをビルドします。 

    mvn clean install

  10. sample-hacep-project-client プロジェクトのディレクトリーに移動して、以下のコマンドを入力し、クライアントを実行します。 

    mvn exec:java -Dexec.mainClass="org.kie.hacep.sample.client.ClientProducerDemo"

    このコマンドは、ClientProducerDemo クラスの main メソッドを実行します。

第20章 HA CEP クライアントおよびサーバーコードの要件

高可用性 CEP のクライアントおよびサーバーコードを開発する場合には、以下のような特定の追加要件に準拠します。

kie-remote API

クライアントコードは、kie API ではなく kie-remote API を使用する必要があります。kie-remote API は、org.kie:kie-remote Maven アーティファクトに指定します。また、ソースコードは、Maven モジュール kie-remote にあります。

明示的なタイムスタンプ

デシジョンエンジンは、イベントの発生する順番を決定する必要があります。このような理由から、イベントには必ず、タイムスタンプを割り当てます。高可用性環境では、イベントをモデル化する JavaBean のプロパティーに、このタイムスタンプを指定します。次に、イベントクラスに @Timestamp アノテーションをつける必要があります。以下の例のように、ここではタイムスタンプ属性自体の名前がパラメーターとなります。 

@Role(Role.Type.EVENT)
@Timestamp("myTime")
public class StockTickEvent implements Serializable {

    private String company;
    private double price;
    private long myTime;
}

タイムスタンプ属性を指定しない場合には、クライアントがリモートセッションにイベントを挿入するタイミングをもとに、Drools が全イベントにタイムスタンプを割り当てます。ただし、このメカニズムは、クライアントマシンのクロックにより異なります。異なるクライアント間でクロックにずれがある場合は、このようなホストが挿入したイベント間で不整合が発生する可能性があります。

メモリー以外のアクションの Lambda 式

作業メモリーアクション (デシジョンエンジンの作業メモリー内の情報を挿入、変更、または削除するアクション) は、クラスターの全ノードで処理する必要があります。メモリーアクションではないアクションは、リーダーでのみ実行する必要があります。

たとえば、今回のコードには、以下のルールが含まれます。 

rule FindAdult when
  $p : Person(age >= 18)
then
  modify($p) { setAdult(true) }; // working memory action
  sendEmailTo($p); // side effect
end

このルールがトリガーされると、対象となる人は、すべてのノードで大人としてマークする必要があります。ただし、送信されるメール数が 1 通だけとなるように、リーダーだけがメールを送信できます。

そのため、以下の例のように、lambda 式のメールアクション (副作用 と呼ばれる) をラップします。 

rule FindAdult when
  $p : Person(age >= 18)
then
  modify($p) { setAdult(true) };
  DroolsExecutor.getInstance().execute( () -> sendEmailTo($p) );
end

付録A バージョン情報

本書の最終更新日: 2022 年 3 月 8 日 (火)

付録B お問い合わせ先

Red Hat Process Automation Manager のドキュメントチーム: brms-docs@redhat.com

法律上の通知

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.