Red Hat OpenShift Container Platform への Red Hat Process Automation Manager イミュータブルサーバー環境のデプロイメント
ガイド
概要
前書き
システムエンジニアは、Red Hat OpenShift Container Platform に Red Hat Process Automation Manager イミュータブルサーバー環境をデプロイして、サービス、プロセスアプリケーションおよびその他のビジネスアセットを実行するインフラストラクチャーを提供します。イミュータブル Process Server イメージを管理する標準統合ツールを使用できます。新しいサーバーイメージを作成して、ビジネスアセットを追加および更新できます。
前提条件
- Red Hat OpenShift Container Platform バージョン 3.11 がデプロイされている。
OpenShift クラスター/namespace で 4 ギガバイト以上のメモリーが利用可能である。
- 監視インフラストラクチャーをデプロイせず、イミュータブル Process Server のみをデプロイする場合には、3 ギガバイトで十分です。
- デプロイメントに使用する OpenShift プロジェクトが作成されている。
-
oc
コマンドを使用してプロジェクトにログインしている。oc
コマンドランツールに関する詳細は、OpenShift の 『CLI リファレンス』を参照してください。OpenShift Web コンソールを使用してテンプレートをデプロイするには、Web コンソールを使用してログインしている必要もあります。 動的永続ボリューム (PV) のプロビジョニングが有効になっている。または、動的 PV プロビジョニングが有効でない場合は、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、以下のサイズが必要です。
- それぞれのイミュータブルサーバーのデプロイメントに Process Server Pod の複製されたセットが含まれています。テンプレートパラメーターの PV サイズを変更できます。複数のイミュータブルサーバーをデプロイでき、それぞれには別個のデータベース PV が必要になります。この要件は、外部データベースサーバーを使用する場合には適用されません。
- イミュータブル監視テンプレートをデプロイする場合、2 つの 64Mi PV も必要になります (Business Central Monitoring および Smart Router 用に 1 つずつ)。
イミュータブル監視テンプレートをデプロイする予定の場合、お使いの OpenShift 環境で
ReadWriteMany
モードを使用した永続ボリュームをサポートしている。OpenShift Online ボリュームプラグインでのアクセスモードのサポートに関する情報は、「アクセスモード」を参照 してください。重要ReadWriteMany
モードは、OpenShift Online および OpenShift Dedicated ではサポートされません。
Red Hat Process Automation Manager バージョン 7.5 以降、すべてのテンプレートを使用したインストールや Automation Broker(Ansible Playbook)を使用したインストールを含め、Red Hat OpenShift Container Platform 3.x のサポートが非推奨になりました。新機能が追加されない可能性があり、この機能は今後のリリースで削除予定です。
第1章 Red Hat OpenShift Container Platform における Red Hat Process Automation Manager の概要
Red Hat Process Automation Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。
この場合に、Red Hat Process Automation Manager のコンポーネントは、別の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。標準の OpenShift の手法を使用して Pod を管理し、負荷を分散できます。
以下の Red Hat Process Automation Manager の主要コンポーネントが OpenShift で利用できます。
Process Server (実行サーバー (Execution Server) または KIE Server とも呼ばれる) は、意思決定サービス、プロセスアプリケーションおよびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスのすべてのロジックは実行サーバーで実行されます。
通常、Process Server にはデータベースサーバーが必要です。別の OpenShift Pod にデータベースサーバーを提供したり、別のデータベースサーバーを使用するように OpenShift で実行サーバーを設定したりできます。また、Process Server では H2 データベースを使用できますが、使用する場合は、Pod をスケーリングできません。
Process Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じデータベースサーバーを使用し、同じサービスを実行します。OpenShift は負荷分散を提供しているため、要求はどの Pod でも処理できます。
Process Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の Process Server Pod を必要な数だけ設定することができます。
Business Central は、オーサリングサービスに対する Web ベースのインタラクティブ環境です。また、管理および監視コンソールも提供します。Business Central を使用してサービスを開発し、Process Server にデプロイできます。また、Business Central を使用してプロセスの実行を監視することもできます。
Business Central は一元化アプリケーションです。複数の Pod を実行し、同じデータを共有する高可用性用に設定できます。
Business Central には開発するサービスのソースを保管する Git リポジトリーが含まれます。また、ビルトインの Maven リポジトリーも含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。
重要現在のバージョンでは、高可用性の Business Central 機能はテクノロジープレビュー機能となっています。Red Hat のテクノロジープレビュー機能のサポートの詳細は、「テクノロジプレビュー機能のサポート範囲」を参照してください。
- Business Central Monitoring は Web ベースの管理および監視コンソールです。Process Server へのサービスのデプロイメントを管理し、監視情報を提供しますが、オーサリング機能は含まれません。このコンポーネントを使用して、ステージング環境および実稼働環境を管理できます。
- Smart Router は、Process Server と、Process Server と対話するその他のコンポーネントとの間の任意のレイヤーです。環境に、複数の Process Server で実行するサービスが多数含まれる場合、Smart Router はすべてのクライアントアプリケーションに対応するエンドポイントを 1 つ提供します。クライアントアプリケーションは、サービスを要求する REST API 呼び出しを実行できます。Smart Router は、特定の要求を処理できる Process Server を自動的に呼び出します。
OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。
以下の環境タイプが一般的です。
- オーサリング: Business Central を使用してサービスを作成し、変更するために使用する環境です。この環境は、オーサリングの作業用の Business Central と、サービスのテスト実行用の Process Server 1 台で構成されます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager オーサリング環境の デプロイ』を参照してください。
管理対象のデプロイメント: ステージングおよび実稼働用として既存のサービスを実行するのに使用する環境。この環境には、Process Server Pod のいくつかのグループが含まれます。Business Central Monitoring を使用してサービスをデプロイし、実行し、停止し、またそれらの実行を監視します。
2 種類の管理環境をデプロイできます。自由形式 のサーバー環境では、最初に Business 2 種類の管理環境をデプロイすることができます。自由形式 のサーバー環境では、最初に Business Central Monitoring と 1 つの Process Server をデプロイします。その後、追加として任意の数の KIE Server をデプロイできます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager フリーフォーム管理サーバー環境の デプロイ』を参照してください。
または、固定の 管理サーバー環境をデプロイすることもできます。単一デプロイメントには、Business Central Monitoring、 Smart Router、および事前に設定された数の Process Server (デフォルトでは 2 サーバーですが、テンプレートを変更して数を変更することができます) が含まれます。後のプロセスでは、サーバーを簡単に追加または削除することはできません。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 固定管理サーバー環境の デプロイ』を参照してください。
- イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行するための代替の環境です。この環境では、Process Server Pod のデプロイ時にサービスまたはサービスのグループを読み込み、起動するイメージがビルドされます。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する必要がある場合は、新規のサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、Process Server は OpenShift 環境の Pod のように実行されるので、任意のコンテナーベースの統合ワークフローを使用することができ、他のツールを使用して Pod を管理する必要はありません。オプションとして、Business Central Monitoring を使用して環境のパフォーマンスを監視できますが、追加のサービスを Process Server にデプロイしたり、既存のサービスのデプロイを解除したりすることはできません (コンテナーの追加または削除はできません)。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager イミュータブルサーバー環境 のデプロイ』を参照してください。
試用 または評価環境をデプロイすることも可能です。この環境には、Business Central と Process Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、この環境でのいずれの作業も保存されません。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 試用環境の デプロイ』を参照してください。
OpenShift に Red Hat Process Automation Manager 環境をデプロイするには、Red Hat Process Automation Manager で提供されるテンプレートを使用できます。設定が環境に適したものになるようにテンプレートを変更できます。
第2章 OpenShift 環境に Red Hat Process Automation Manager をデプロイする準備
OpenShift 環境に Red Hat Process Automation Manager をデプロイする前に、タスクをいくつか完了する必要があります。追加イメージ (たとえば、プロセスの新しいバージョン、または別のプロセス) をデプロイする場合は、このタスクを繰り返す必要はありません。
2.1. イメージストリームとイメージレジストリーの可用性確認
Red Hat Process Automation Manager コンポーネントを Red Hat OpenShift Container Platform にデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認する必要があります。これらのイメージをダウンロードするために、OpenShift ではイメージの場所情報が含まれる イメージストリーム が必要になります。また、OpenShift は、お使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーへの認証が行われるように設定する必要があります。
OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合は、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。
それ以外の方法として、レジストリー認証を独自のプロジェクトで設定し、イメージストリームをそのプロジェクトにインストールすることができます。
手順
- Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用に、ユーザー名とパスワードで設定されているかを判断します。必須の設定に関する詳細は、「レジストリーの場所の設定」を参照してください。OpenShift オンラインサブスクリプションを使用する場合は、Red Hat レジストリー用のアクセスはすでに設定されています。
Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されている場合は、以下のコマンドを実行します。
$ oc get imagestreamtag -n openshift | grep -F rhpam-businesscentral | grep -F 7.5 $ oc get imagestreamtag -n openshift | grep -F rhpam-kieserver | grep -F 7.5
両コマンドの出力が空でない場合は、必要なイメージストリームが
openshift
namespace にあるため、これ以外の操作は必要ありません。コマンドの 1 つまたは複数の出力が空白の場合や、Red Hat レジストリーにアクセスするために、OpenShift をユーザー名およびパスワードで設定していない場合は、以下の手順を実行してください。
-
oc
コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。 - 「Registry Service Accounts for Shared Environments」で説明されている手順を実行します。Red Hat カスタマーポータルにログインし、このドキュメントにアクセスし、レジストリーサービスアカウントを作成する手順を実行する必要があります。
- OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
-
ダウンロードしたファイルを確認して、
name:
エントリーに記載の名前をメモします。 以下のコマンドを実行します。
oc create -f <file_name>.yaml oc secrets link default <secret_name> --for=pull oc secrets link builder <secret_name> --for=pull
<file_name>
はダウンロードしたファイルに、<secret_name>
はファイルのname:
のエントリーに記載されている名前に置き換えてください。-
Software Downloads ページから
rhpam-7.5.1-openshift-templates.zip
の製品配信可能ファイルをダウンロードし、rhpam75-image-streams.yaml
ファイルを展開します。 以下のコマンドを実行します。
$ oc apply -f rhpam75-image-streams.yaml
注記上記の手順を完了したら、イメージストリームを独自のプロジェクトの名前空間にインストールします。今回の例では、テンプレートのデプロイ時に
IMAGE_STREAM_NAMESPACE
パラメーターをこのプロジェクトの名前に設定する必要があります。
-
2.2. Process Server にシークレットの作成
OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、OpenShift ドキュメントの「シークレット 」の章 を参照してください。
Process Server への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
手順
Process Server の SSL 暗号化の秘密鍵および公開鍵を使用して SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、Process Server の予想される URL と一致する有効な署名済み証明書を生成します。
-
キーストアを
keystore.jks
ファイルに保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットkieserver-app-secret
を生成します。$ oc create secret generic kieserver-app-secret --from-file=keystore.jks
2.3. Business Central へのシークレットの作成
Business Central への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
Business Central と Process Server に同じ証明書およびキーストアを使用しないでください。
手順
Business Central の SSL 暗号化の秘密鍵および公開鍵を使用して、SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、Business Central の予想される URL と一致する有効な署名済み証明書を生成します。
-
キーストアを
keystore.jks
ファイルに保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットbusinesscentral-app-secret
を生成します。$ oc create secret generic businesscentral-app-secret --from-file=keystore.jks
2.4. Smart Router のシークレットの作成
Smart Router への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
Smart Router の証明書およびキーストアに、Process Server または Business Central で使用されているものと同じものを指定しないでください。
手順
Smart Router の SSL 暗号化の秘密鍵および公開鍵を使用して SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、Smart Router の予想される URL と一致する有効な署名済み証明書を生成します。
-
キーストアを
keystore.jks
ファイルに保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットsmartrouter-app-secret
を生成します。$ oc create secret generic smartrouter-app-secret --from-file=keystore.jks
2.5. 外部データベースのカスタム Process Server 拡張イメージのビルド
Process Server に外部データベースサーバーを使用し、そのデータベースサーバーが MySQL または PostgreSQL 以外の場合は、環境をデプロイする前にこのサーバー用のドライバーを使用するカスタムの Process Server 拡張イメージをビルドする必要があります。
このビルド手順の手順を完了して、次のデータベースサーバーのいずれかにドライバーを提供します。
- Microsoft SQL Server
- MariaDB
- IBM DB2
- Oracle データベース
- Sybase
データベースサーバーのサポートされるバージョンについては、「Red Hat Process Automation Manager 7 でサポートされる構成」を参照してください。
ビルド手順では、既存の Process Server イメージを拡張するカスタム拡張イメージを作成します。このカスタム拡張イメージは OpenShift 環境にインポートしてから、EXTENSION_IMAGE
パラメーターで参照する必要があります。
前提条件
-
oc
コマンドを使用して OpenShift 環境にログインしている。OpenShift ユーザーにはregistry-editor
ロールが必要です。 - Oracle Database または Sybase の場合は、データベースサーバーベンダーから JDBC ドライバーをダウンロードしている。
以下の必要なソフトウェアをインストールしている。
- Docker
- Cekit バージョン 3.2
Cekit の以下のライブラリーおよび拡張機能:
-
odcs-client
:python3-odcs-client
パッケージまたは同様のパッケージで提供される。 -
docker
:python3-docker
パッケージまたは同様のパッケージで提供される。 -
docker-squash
:python3-docker-squash
または同様のパッケージで提供される。 -
behave
:python3-behave
パッケージまたは同様のパッケージで提供される。 -
s2i
:source-to-image
パッケージまたは同様のパッケージで提供される。
-
手順
- IBM DB2、Oracle Database、または Sybase の場合、JDBC ドライバー JAR ファイルをローカルディレクトリーに指定します。
-
Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル
rhpam-7.5.1-openshift-templates.zip
をダウンロードします。 -
ファイルを展開し、コマンドラインで、展開したファイルの
templates/contrib/jdbc
ディレクトリーに変更します。このディレクトリーには、カスタムビルドのソースコードが含まれます。 データベースサーバーのタイプに応じて、以下のコマンドのいずれかを実行します。
Microsoft SQL Server の場合:
make build mssql
MariaDB の場合:
make build mariadb
IBM DB2 の場合:
make build db2
Oracle Database の場合:
make build oracle artifact=/tmp/ojdbc7.jar version=7.0
このコマンドで、
/tmp/ojdbc7.jar
をダウンロードされた Oracle Database ドライバーのパス名に置き換え、7.0
をドライバーのバージョンに置き換えます。Sybase の場合:
make build sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05
このコマンドで、
/tmp/jconn4-16.0_PL05.jar
をダウンロードされた Sybase ドライバーのパス名に置き換え、16.0_PL05
をドライバーのバージョンに置き換えます。
以下のコマンドを実行して、ローカルで利用可能な Docker イメージを一覧表示します。
docker images
ビルドされたイメージの名前 (例:
jboss-kie-db2-extension-openshift-image
) およびイメージのバージョンタグ (11.1.4.4
など (latest
タグではない)) をメモします。-
OpenShift 環境のレジストリーに直接アクセスし、イメージをレジストリーにプッシュします。ユーザーパーミッションに応じて、イメージを
openshift
名前空間またはプロジェクト名前空間にプッシュできます。レジストリーへのアクセスおよびイメージのプッシュの手順については、「 Accessing the Registry Directly 」を参照してください。 外部データベースサーバーをサポートするテンプレートを使って Process Server デプロイメントを設定する場合、以下のパラメーターを設定します。
-
Drivers Extension Image (
EXTENSIONS_IMAGE
): 拡張イメージの ImageStreamTag 定義 (例:jboss-kie-db2-extension-openshift-image:11.1.4.4
) -
Drivers ImageStream Namespace (
EXTENSIONS_IMAGE_NAMESPACE
): 拡張イメージのアップロード先の名前空間 (例:openshift
またはプロジェクト名前空間)
-
Drivers Extension Image (
2.6. S2I ビルドに使用する Business Central からのソースコードの展開
オーサリングサービスに Business Central を使用する場合は、サービスのソースコードを展開して、S2I ビルドを使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。
手順
以下のコマンドを使用してソースコードを展開します。
git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>
このコマンドでは、以下の変数を置き換えてください。
-
<business-central-host>
: Business Central を実行しているホスト -
<MySpace>
: プロジェクトが配置された Business Central 領域の名前 -
<MyProject>
: プロジェクトの名前
注記Business Central でプロジェクトの完全な URL を表示するには、Menu → Design → <MyProject> → Settings の順にクリックします。
注記HTTPS 通信に自己署名証明書を使用している場合にこのコマンドを実行すると、エラーメッセージ
SSL certificate problem
が表示され失敗する可能性があります。このような場合は、GIT_SSL_NO_VERIFY
環境変数を使用するなど、git
で SSL 証明書の検証を無効にします。env GIT_SSL_NO_VERIFY=true git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>;
-
- S2I ビルドの別の Git リポジトリー (GitHub または GitLab など) へのソースコードのアップロード
2.7. オフラインで使用する Maven ミラーリポジトリーの用意
Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。
Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合は、この手順を飛ばして次に進むことができます。
前提条件
- 公開インターネットへの送信アクセスが設定されているコンピューターが利用できる。
手順
- 書き込み可能な Maven リリースリポジトリーを準備します。このリポジトリーは、認証なしに読み込みアクセスを許可する必要があります。OpenShift 環境は、このリポジトリーへのアクセスが必要です。OpenShift 環境に、Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、「Nexus の 設定」を参照 してください。このリポジトリーをミラーリポジトリーとして使用します。また、KJAR サービスからイミュータブルサーバーを作成するか、または Business Central Monitoring をデプロイする予定の場合は、サービスをこのリポジトリーに配置します。このリポジトリーを外部 Maven リポジトリーとして設定する必要があります。イミュータブル環境に別個のミラーリポジトリーを設定することはできません。
公開インターネットに送信アクセスができるコンピューターで、以下のアクションを実行します。
- 最新バージョンの Offliner ツール をダウンロードします。
-
Red Hat カスタマーポータルの Software Downloads ページから利用可能な
rhpam-7.5.1-offliner.txt
の製品配信可能ファイルをダウンロードします。 以下のコマンドを入力して、Offliner ツールを使用し、必要なアーティファクトをダウンロードします。
java -jar offliner-<version>.jar -r https://maven.repository.redhat.com/ga/ -r https://repo1.maven.org/maven2/ -d /home/user/temp rhpam-7.5.1-offliner.txt
/home/user/temp
は空の一時ディレクトリーに、<version>
はダウンロードした Offliner ツールのバージョンに置き換えます。ダウンロードにはかなり時間がかかる可能性があります。- 一時ディレクトリーから作成した Maven リポジトリーにすべてのアーティファクトをアップロードします。アーティファクトのアップロードには、Maven Repository Provisioner ユーティリティーを使用できます。
Business Central 外でサービスを開発し、追加の依存関係がある場合は、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして開発した場合は、以下の手順を使用し、これらの依存関係を自動的に用意します。公開インターネットへに送信接続できるコンピューターで、この手順を実行します。
-
ローカルの Maven キャッシュディレクトリー (
~/.m2/repository
) のバックアップを作成して、ディレクトリーを削除します。 -
mvn clean install
コマンドを使用してプロジェクトのソースをビルドします。 すべてのプロジェクトで以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。
mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true
/path/to/project/pom.xml
は、プロジェクトのpom.xml
ファイルへの正しいパスに置き換えます。-
ローカルの Maven キャッシュディレクトリー (
~/.m2/repository
) から作成した Maven ミラーリポジトリーにすべてのアーティファクトをアップロードします。アーティファクトのアップロードには、Maven Repository Provisioner ユーティリティーを使用できます。
-
ローカルの Maven キャッシュディレクトリー (
第3章 イミュータブルサーバーを使用した環境
事前定義プロセスを使用して イミュータブル Process Server を実行する 1つ以上の Pod を含む環境をデプロイできます。データベースサーバーは、デフォルトで Pod で実行します。Process Server の各 Pod は、必要に応じて個別にスケールできます。
イメージの作成時に、イミュータブル Process Server ですべてのサービスをサーバーに読み込む必要があります。実行中のイミュータブル Process Server でサービスのデプロイまたはデプロイ解除を行うことはできません。このアプローチの利点は、サービスが含まれる Process Server はコンテナー化されたサービスのように実行され、特別な管理を必要としない点にあります。Process Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。
Process Server イメージを作成する場合は、S2I (Source to Image) を使用してサービスをビルドする必要があります。サービスのソースおよびその他のビジネスアセットを使用して Git リポジトリーを提供します。Business Central でサービスまたはアセットを開発する場合は、S2I ビルドの個別のリポジトリーにソースをコピーします。Business Central でサービスまたはアセットを開発する場合は、S2I ビルドの個別のリポジトリーにソースをコピーします。OpenShift は自動的にソースをビルドし、Process Server イメージにサービスをインストールして、このサービスでコンテナーを起動します。
オーサリングサービスに Business Central を使用する場合は、プロセスのソースを展開して、S2I ビルドで使用する別の Git リポジトリー (GitHub や、GitLab のオンプレミスインストールなど) に配置できます。
または、KJAR ファイルとしてすでにビルドされているサービスを使用して同様の Process Server デプロイメントを作成できます。この場合、サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動すると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスが更新したり、変更することはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはリポジトリーからファイルを取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。
イミュータブルのイメージを作成する方法はいずれも、イメージの管理が必要ありません。サービスの新規バージョンを使用する場合は、新規イメージをビルドできます。
任意で、Business Central Monitoring を使用する Pod と、Smart Router を使用する Pod をデプロイできます。
Business Central Monitoring を使用して Process Server でサービスの起動および停止 (デプロイでない) を実行でき、監視データを表示できます。Business Central Monitoring インスタンスは、イミュータブル Process Server および管理 Process Server を含む、同じ namespace にあるすべての Process Server を自動的に検出します。この機能には、固定された管理インフラストラクチャーにデプロイされたものを除くすべての Process Server に対して有効にされた OpenShiftStartupStrategy
設定が必要です。OpenShiftStartupStrategy
設定が有効にされた状態で管理 Process Server をデプロイする手順については、『 Deploying a Red Hat Process Automation Manager freeform managed server environment on Red Hat OpenShift Container Platform 』を参照してください。
Smart Router は、クライアントアプリケーションからのサービスに対する呼び出しを受信できる単一エンドポイントであり、それぞれの呼び出しのルートをサービスを実際に実行するサーバーに対して自動的に指定します。
Business Central Monitoring を使用する必要がある場合は、Maven リポジトリーを指定する必要があります。統合プロセスで、Process Server イメージにビルドした KJAR ファイルのすべてのバージョンが Maven リポジトリーでも利用できるようにする必要があります。
3.1. イミュータブルサーバーを使用する環境への Business Central Monitoring および Smart Router のデプロイ
イミュータブルサーバーを使用する環境に Business Central Monitoring および Smart Router をデプロイすることができます。
Business Central Monitoring を使用して Process Server でサービスの起動および停止 (デプロイでない) を実行でき、監視データを表示できます。Business Central Monitoring は、イミュータブル Process Server および管理 Process Server を含む、同じ namespace にあるすべての Process Server を自動的に検出します。この機能には、固定された管理インフラストラクチャーにデプロイされたものを除くすべての Process Server に対してデフォルトで有効にされた OpenShiftStartupStrategy
設定が必要です。OpenShiftStartupStrategy
設定が有効にされた状態で管理 Process Server をデプロイする手順については、『 Deploying a Red Hat Process Automation Manager freeform managed server environment on Red Hat OpenShift Container Platform 』を参照してください。
Smart Router は、クライアントアプリケーションからのサービスに対する呼び出しを受信できる単一エンドポイントであり、それぞれの呼び出しのルートをサービスを実際に実行するサーバーに対して自動的に指定します。
Business Central Monitoring を使用する必要がある場合は、Maven リポジトリーを指定する必要があります。統合プロセスで、Process Server イメージにビルドした KJAR ファイルのすべてのバージョンが Maven リポジトリーでも利用できるようにする必要があります。
3.1.1. Monitoring および Smart Router 用のテンプレート設定の開始
イミュータブルサーバーを使用する環境に Monitoring および Smart Router をデプロイするには、rhpam75-immutable-monitor.yaml
テンプレートファイルを使用します。
手順
-
Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル
rhpam-7.5.1-openshift-templates.zip
をダウンロードします。 -
rhpam75-immutable-monitor.yaml
テンプレートファイルを展開します。 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、
rhpam75-immutable-monitor.yaml
ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。 OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。
oc new-app -f <template-path>/rhpam75-immutable-monitor.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p PARAMETER=value
このコマンドラインで、以下のように変更します。
-
<template-path>
を、ダウンロードしたテンプレートファイルのパスに置き換えます。 -
必要なパラメーターに設定するために必要な数だけ
-p PARAMETER=value
ペアを使用します。
-
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、
次のステップ
テンプレートのパラメーターを設定します。「Monitoring および Smart Router に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
3.1.2. Monitoring および Smart Router に必要なパラメーターの設定
テンプレートを、Monitoring および Smart Router をイミュータブルサーバーを使用する環境にデプロイするように設定する場合は、いずれの場合も以下のパラメーターを設定する必要があります。
前提条件
- 「Monitoring および Smart Router 用のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
-
Business Central Monitoring Server Keystore Secret Name (
BUSINESS_CENTRAL_HTTPS_SECRET
): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。 -
Smart Router Keystore Secret Name (
KIE_SERVER_ROUTER_HTTPS_SECRET
): 「Smart Router のシークレットの作成」 で作成した Smart Router のシークレットの名前。 -
Business Central Monitoring Server Certificate Name (
BUSINESS_CENTRAL_HTTPS_NAME
): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。 -
Business Central Monitoring Server Keystore Password (
BUSINESS_CENTRAL_HTTPS_PASSWORD
): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。 -
Smart Router Certificate Name (
KIE_SERVER_ROUTER_HTTPS_NAME
): 「Smart Router のシークレットの作成」 で作成したキーストアの証明書名。 -
Smart Router Keystore Password (
KIE_SERVER_ROUTER_HTTPS_PASSWORD
): 「Smart Router のシークレットの作成」 で作成したキーストアのパスワード。 -
アプリケーション名 (
APPLICATION_NAME
): OpenShift アプリケーションの名前。これは、Business Central Monitoring および Process Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの別個のセットを作成します。 -
Enable KIE server global discovery (
KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED
): 同じ namespace 内にあるOpenShiftStartupStrategy
が指定された Process Server をすべて、Business Central Monitoring に検出させるには、このパラメーターをtrue
に設定します。デフォルトでは、 Business Central Monitoring はAPPLICATION_NAME
パラメーターが Business Central Monitoring と同じ値でデプロイされた Process Server のみを検出します。 -
Maven repository URL (
MAVEN_REPO_URL
): Maven リポジトリーの URL。お使いの環境の Process Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。 -
Maven リポジトリーの ID (
MAVEN_REPO_ID
): Maven リポジトリーの ID。デフォルト値はrepo-custom
です。 -
Maven repository username (
MAVEN_REPO_USERNAME
): Maven リポジトリーのユーザー名。 -
Maven リポジトリーのパスワード (
MAVEN_REPO_PASSWORD
): Maven リポジトリーのパスワード。 -
ImageStream 名前空間 (
IMAGE_STREAM_NAMESPACE
): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合( 「イメージストリームとイメージレジストリーの可用性確認」を参照)、名前空間はopenshift
になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。
-
Business Central Monitoring Server Keystore Secret Name (
以下のユーザー名とパスワードを設定できます。デフォルトでは、デプロイメントはパスワードを自動的に生成します。
-
KIE Admin User (
KIE_ADMIN_USER
) および KIE Admin Password (KIE_ADMIN_PWD
): 管理者ユーザーのユーザー名およびパスワード。Business Central Monitoring を使用して任意の Process Server を制御するか、またはモニターする場合、ユーザー名およびパスワードを設定し、これらを記録する必要があります。
-
KIE Admin User (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。
3.1.3. Monitoring および Smart Router のイメージストリーム名前空間の設定
openshift
ではない名前空間でイメージストリームを作成した場合は、テンプレートで名前空間を設定する必要があります。
すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。
前提条件
- 「Monitoring および Smart Router 用のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream 名前 空間(IMAGE_STREAM_NAMESPACE
)パラメーターを OpenShift プロジェクトの名前に設定します。
3.1.4. Monitoring および Smart Router の RH-SSO 認証用パラメーターの設定
RH-SSO 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
- Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。
Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。以下のユーザーは、環境のパラメーターを設定するために必要です。
-
kie-server,rest-all,admin
ロールを持つ管理者ユーザー。このユーザーは環境を管理し、これを使用できます。Process Server はこのユーザーを使用して Business Central Monitoring で認証します。 -
kie-server,rest-all,user
ロールを持つサーバーユーザー。このユーザーは、Process Server に対する REST API 呼び出しを実行できます。Business Central Monitoring はこのユーザーを使用して Process Server で認証します。
-
- クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
- 「Monitoring および Smart Router 用のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
-
テンプレートの
KIE_ADMIN_USER
およびKIE_ADMIN_PASSWORD
パラメーターを、RH-SSO 認証システムで作成したユーザー名およびパスワードに設定します。 -
テンプレートの
KIE_SERVER_USER
およびKIE_SERVER_PASSWORD
パラメーターを、RH-SSO 認証システムで作成したサーバーユーザーのユーザー名およびパスワードに設定します。 以下のパラメーターを設定します。
-
RH-SSO URL (
SSO_URL
): RH-SSO の URL。 -
RH-SSO Realm name (
SSO_REALM
): Red Hat Process Automation Manager の RH-SSO レルム。 -
RH-SSO が無効な SSL 証明書の検証 (
SSO_DISABLE_SSL_CERTIFICATE_VALIDATION
): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合はtrue
に設定します。
-
RH-SSO URL (
以下の手順のいずれかを実行します。
RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。
-
Business Central Monitoring RH-SSO Client name (
BUSINESS_CENTRAL_SSO_CLIENT
): Business Central Monitoring の RH-SSO クライアント名。 -
Business Central Monitoring RH-SSO Client Secret (
BUSINESS_CENTRAL_SSO_SECRET
): Business Central Monitoring のクライアント向けに RH-SSO に設定されているシークレット文字列。
-
Business Central Monitoring RH-SSO Client name (
RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。
-
Business Central Monitoring RH-SSO Client name (
BUSINESS_CENTRAL_SSO_CLIENT
): Business Central Monitoring の RH-SSO で作成するクライアントの名前。 -
Business Central Monitoring RH-SSO Client Secret (
BUSINESS_CENTRAL_SSO_SECRET
): Business Central Monitoring のクライアント向けに RH-SSO に設定するシークレット文字列。 -
RH-SSO Realm Admin Username (
SSO_USERNAME
) および RH-SSO Realm Admin Password (SSO_PASSWORD
): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。
-
Business Central Monitoring RH-SSO Client name (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。
デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。
3.1.5. Monitoring および Smart Router の LDAP 認証用パラメーターの設定
LDAP 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
-
LDAP システムに Red Hat Process Automation Manager のユーザー名およびパスワードを作成していること。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。環境のパラメーターを設定するには、少なくとも
kie-server,rest-all,admin
ロールを持つ管理者ユーザーを作成している必要があります。このユーザーのデフォルトユーザー名はadminUser
です。このユーザーは環境を管理し、これを使用できます。 - 「Monitoring および Smart Router 用のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
LDAP サービスでは、デプロイメントパラメーターですべてのユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名を使用してユーザーを作成します。作成したユーザーにはロールに割り当てる必要もあります。
KIE_ADMIN_USER
: デフォルトのユーザー名adminUser
、ロール:kie-server,rest-all,admin
LDAP で設定可能なユーザーロールについては、「ロール およびユーザー」を参照 してください。
テンプレートの
AUTH_LDAP*
パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP のLdapExtended
ログインモジュールの設定に対応します。これらの設定に関する説明は、「LdapExtended login module」を参照してください。LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。
-
RoleMapping rolesProperties ファイルパス (
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
):/opt/eap/standalone/configuration/rolemapping/rolemapping.properties
など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」 を参照してください。 -
RoleMapping replaceRole プロパティー (
AUTH_ROLE_MAPPER_REPLACE_ROLE
):true
に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false
に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定はfalse
です。
-
RoleMapping rolesProperties ファイルパス (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」 の手順に従います。
3.1.6. Monitoring および Smart Router 用のテンプレートのデプロイ
OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。
手順
使用している方法に応じて、以下の手順を実行します。
OpenShift Web UI の場合は Create をクリックします。
-
This will create resources that may have security or project behavior implications
メッセージが表示された場合は、Create Anyway をクリックします。
-
- コマンドラインに入力して、Enter キーを押します。
3.2. S2I ビルドの使用によるイミュータブル Process Server のデプロイ
S2I ビルドを使用してイミュータブル Process Server をデプロイできます。サーバーをデプロイする際、デプロイメント手順ではこのサーバーで実行される必要のあるすべてのサービスのソースコードを取得し、サービスをビルドし、それらをサービスイメージに組み込みます。
実行中のイミュータブル Process Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。Process Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。
イミュータブル Process Server の JMS 機能を有効にできます。JMS 機能を使用すると、外部 AMQ メッセージブローカーを使用し、JMS API 経由でサーバーと対話できます。
デフォルトで、このサーバーは Pod で PostgreSQL データベースサーバーを使用します。Pod で MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用するには、テンプレートを変更できます。
Business Central または Business Central Monitoring が同じ namespace にデプロイされる場合、これはイミュータブル Process Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル Process Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。
3.2.1. S2I の使用によるイミュータブル Process Server のテンプレート設定の開始
S2I ビルドを使用してイミュータブル Process Server をデプロイするには、JMS 機能を有効にする必要がある場合には rhpam75-prod-immutable-kieserver-amq.yaml
テンプレートファイルを使用します。そうでない場合には、rhpam75-prod-immutable-kieserver.yaml
テンプレートファイルを使用します。
手順
-
Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル
rhpam-7.5.1-openshift-templates.zip
をダウンロードします。 - 必要なテンプレートファイルを展開します。
- デフォルトで、テンプレートには 2 つの Process Server が含まれます。それぞれのサーバーは Pod で PostgreSQL データベースサーバーを使用します。Process Server の数を変更するか、Pod で MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用するには、「S2I の使用によるイミュータブル Process Server のデプロイ用テンプレートの変更」 の説明に従ってテンプレートを変更します。
以下のいずれかの方法を使用してテンプレートのデプロイを開始します。
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから
<template-file-name>.yaml
ファイルを選択するか、貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。 OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。
oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value
このコマンドラインで、以下のように変更します。
-
<template-path>
を、ダウンロードしたテンプレートファイルのパスに置き換えます。 -
<template-file-name>
は、テンプレート名に置き換えます。 -
必要なパラメーターに設定するために必要な数だけ
-p PARAMETER=value
ペアを使用します。
-
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから
次のステップ
テンプレートのパラメーターを設定します。「S2I の使用によるイミュータブル Process Server に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
3.2.2. S2I の使用によるイミュータブル Process Server に必要なパラメーターの設定
S2I ビルドを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
-
KIE Server Keystore Secret Name (
KIE_SERVER_HTTPS_SECRET
): 「Process Server にシークレットの作成」 で作成した Process Server のシークレットの名前。 -
KIE Server Certificate Name (
KIE_SERVER_HTTPS_NAME
): 「Process Server にシークレットの作成」 で作成したキーストアの証明書名。 -
KIE Server Keystore Password (
KIE_SERVER_HTTPS_PASSWORD
): 「Process Server にシークレットの作成」 で作成したキーストアのパスワード。 -
アプリケーション名 (
APPLICATION_NAME
): OpenShift アプリケーションの名前。これは、Business Central Monitoring および Process Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの別個のセットを作成します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名を同じにすることはできません。また、アプリケーション名は、Process Server が Business Central または Business Central Monitoring で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の Process Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。 KIE Server コンテナーのデプロイメント (
KIE_SERVER_CONTAINER_DEPLOYMENT
): ソースのビルド後にデプロイメントでローカルまたは外部リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の ID 情報。形式は<containerId>=<groupId>:<artifactId>:<version>
になります。また、コンテナーのエイリアス名で指定する場合には、形式は<containerId>(<aliasId>)=<groupId>:<artifactId>:<version>
になります。以下の例に示されるように、区切り文字|
を使用して 2 つ以上の KJAR ファイルを指定できます。containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2
コンテナー ID の重複を防ぐには、アーティファクトビルドごとに、またはプロジェクト内で、一意のアーティファクト ID を指定する必要があります。
-
Git リポジトリー URL (
SOURCE_REPOSITORY_URL
): サービスのソースを含む Git リポジトリーの URL。 -
Git 参照 (
SOURCE_REPOSITORY_REF
): Git リポジトリーのブランチ。 -
コンテキストディレクトリー (
CONTEXT_DIR
): Git リポジトリーからダウンロードしたプロジェクト内のソースへのパス。 -
アーティファクトディレクトリー (
ARTIFACT_DIR
): Maven のビルドに成功したあとに必要なバイナリーファイル (KJAR ファイル、およびその他の必要なファイル) を含むプロジェクトのパス。通常、このディレクトリーはビルドのターゲットディレクトリーです。ただし、Git リポジトリーのこのディレクトリーにビルド済みのバイナリーを提供できます。 -
ImageStream 名前空間 (
IMAGE_STREAM_NAMESPACE
): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合( 「イメージストリームとイメージレジストリーの可用性確認」を参照)、名前空間はopenshift
になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。
-
KIE Server Keystore Secret Name (
以下のユーザー名とパスワードを設定できます。デフォルトでは、デプロイすると、パスワードが自動生成されます。
-
KIE Server User (
KIE_SERVER_USER
) および KIE Server Password (KIE_SERVER_PWD
): いずれかの Process Server に接続するのにクライアントアプリケーションが使用できるユーザー名およびパスワード。
-
KIE Server User (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.3. S2I の使用によるイミュータブル Process Server のイメージストリーム namespace の設定
openshift
ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。
すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream 名前 空間(IMAGE_STREAM_NAMESPACE
)パラメーターを OpenShift プロジェクトの名前に設定します。
3.2.4. S2I の使用によるイミュータブル Process Server 用の Business Central または Business Central Monitoring インスタンスについての情報の設定
同じ namespace で Business Central または Business Central Monitoring インスタンスから Process Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスについての情報を設定する必要があります。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
-
KIE Admin User (
KIE_ADMIN_USER
) および KIE Admin Password (KIE_ADMIN_PWD
): 管理者ユーザーのユーザー名およびパスワード。これらの値は Business Central または Business Central Monitoring のKIE_ADMIN_USER
およびKIE_ADMIN_PWD
設定と同じである必要があります。Business Central または Business Central Monitoring が RH-SSO または LDAP 認証を使用する場合、これらの値は Business Central または Business Central Monitoring の管理者ロールを使用して認証システムに設定されるユーザー名およびパスワードである必要があります。 -
Name of the Business Central service (
BUSINESS_CENTRAL_SERVICE
): Business Central または Business Central Monitoring の OpenShift サービス名。
-
KIE Admin User (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.5. S2I の使用によるイミュータブル Process Server のオプション Mavenリポジトリーの設定
S2I ビルドを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際に、ソースビルドに公開 Maven ツリーで利用可能ではない依存関係が含まれ、別個のカスタム Maven リポジトリーが必要な場合、リポジトリーにアクセスできるようにパラメーターを設定する必要があります。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
カスタム Maven リポジトリーへのアクセスを設定するには、以下のパラメーターを設定します。
-
Maven リポジトリーの URL (
MAVEN_REPO_URL
): Maven リポジトリーの URL。 -
Maven リポジトリーの ID (
MAVEN_REPO_ID
): Maven リポジトリーの ID。デフォルト値はrepo-custom
です。 -
Maven repository username (
MAVEN_REPO_USERNAME
): Maven リポジトリーのユーザー名。 -
Maven リポジトリーのパスワード (
MAVEN_REPO_PASSWORD
): Maven リポジトリーのパスワード。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.6. S2I の使用によるイミュータブル Process Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定
S2I ビルドを使用してテンプレートをイミュータブル Process Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。
-
Maven mirror URL (
MAVEN_MIRROR_URL
): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。 Maven mirror of (
MAVEN_MIRROR_OF
): ミラーから取得されるアーティファクトを定める値。mirrorOf
値の設定方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値はexternal:*
です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。-
外部の Maven リポジトリー (
MAVEN_REPO_URL
) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。 -
ビルトイン Business Central Maven リポジトリー (
BUSINESS_CENTRAL_MAVEN_SERVICE
) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr
)。 -
両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように
MAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。
-
外部の Maven リポジトリー (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.7. S2I の使用によるイミュータブル Process Server 用の AMQ サーバーとの通信の設定
rhpam75-prod-immutable-kieserver-amq.yaml
テンプレートファイルを使用する場合、Process Server の JMS 機能が有効にされます。外部の AMQ メッセージブローカーを使用して、JMS API 経由でサーバーと対話できます。
環境に必要な場合は、JMS 設定を変更できます。
前提条件
-
rhpam75-prod-immutable-kieserver-amq.yaml
テンプレートファイルを使用して 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。
手順
必要に応じて、お使いの環境に以下のパラメーターのいずれかを設定します。
-
AMQ ユーザー名 (
AMQ_USERNAME
) および AMQ パスワード (AMQ_PASSWORD
): ブローカーのユーザー認証が環境で必要な場合の標準ブローカーユーザーのユーザー名およびパスワード。 -
AMQ ロール (
AMQ_ROLE
): 標準ブローカーユーザーのユーザーロール。デフォルトロールはadmin
です。 -
AMQ キュー (
AMQ_QUEUES
): コンマで区切られた AMQ キュー名。これらのキューはブローカーの起動時に自動的に作成され、JBoss EAP サーバーの JNDI リソースとしてアクセスできます。カスタムのキュー名を使用する場合は、同じキュー名をKIE_SERVER_JMS_QUEUE_RESPONSE
パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST
パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL
パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT
パラメーター、およびKIE_SERVER_JMS_QUEUE_EXECUTOR
パラメーターに設定する必要もあります。 -
AMQ グローバル最大サイズ (
AMQ_GLOBAL_MAX_SIZE
): メッセージデータが消費できるメモリーの最大量。値が指定されない場合は、Pod で利用可能なメモリーの半分が割り当てられます。 -
AMQ Protocols (
AMQ_PROTOCOL
): コンマで区切られた、Process Server が AMQ サーバーとの通信に使用できるブローカーのプロトコル。許可される値は、openwire
、amqp
、stomp
、およびmqtt
です。openwire
のみが JBoss EAP でサポートされます。デフォルト値はopenwire
です。 -
AMQ ブローカーイメージ (
AMQ_BROKER_IMAGESTREAM_NAME
): AMQ ブローカーイメージのイメージストリーム名。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.8. S2I の使用によるイミュータブル Process Server の RH-SSO 認証パラメーターの設定
RH-SSO 認証を使用する必要がある場合は、S2I ビルドを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
- Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。
-
Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。環境のパラメーターを設定するには、
kie-server,rest-all,admin
ロールを持つ管理者ユーザーが必要です。このユーザーのデフォルトユーザー名はadminUser
です。このユーザーは環境を管理し、これを使用できます。 - クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
-
テンプレートの
KIE_ADMIN_USER
およびKIE_ADMIN_PASSWORD
パラメーターを、RH-SSO 認証システムで作成したユーザー名およびパスワードに設定します。 以下のパラメーターを設定します。
-
RH-SSO URL (
SSO_URL
): RH-SSO の URL。 -
RH-SSO Realm name (
SSO_REALM
): Red Hat Process Automation Manager の RH-SSO レルム。 -
RH-SSO が無効な SSL 証明書の検証 (
SSO_DISABLE_SSL_CERTIFICATE_VALIDATION
): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合はtrue
に設定します。
-
RH-SSO URL (
以下の手順のいずれかを実行します。
RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。
-
Business Central or Business Central Monitoring RH-SSO Client name (
BUSINESS_CENTRAL_SSO_CLIENT
): Business Central または Business Central Monitoring の RH-SSO クライアント名。 -
KIE Server RH-SSO Client name (
KIE_SERVER_SSO_CLIENT
): Process Server の RH-SSO クライアント名。 -
KIE Server RH-SSO Client Secret (
KIE_SERVER_SSO_SECRET
): Process Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
-
Business Central or Business Central Monitoring RH-SSO Client name (
RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。
-
KIE Server RH-SSO Client name (
KIE_SERVER_SSO_CLIENT
): Process Server 向けに RH-SSO に作成するクライアント名。 -
KIE Server RH-SSO Client Secret (
KIE_SERVER_SSO_SECRET
): Process Server のクライアントに対して RH-SSO に設定するシークレットの文字列。 -
RH-SSO Realm Admin Username (
SSO_USERNAME
) および RH-SSO Realm Admin Password (SSO_PASSWORD
): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。
-
KIE Server RH-SSO Client name (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。
3.2.9. S2I の使用によるイミュータブル Process Server の LDAP 認証パラメーターの設定
LDAP 認証を使用する必要がある場合は、S2I ビルドを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
LDAP システムに Red Hat Process Automation Manager のユーザー名およびパスワードを作成していること。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。この環境のパラメーターを設定するために、少なくとも以下のユーザーを作成している必要があります。
-
kie-server,rest-all,admin
ロールを持つ管理者ユーザー。このユーザーは環境を管理し、これを使用できます。 -
kie-server,rest-all,user
ロールを持つサーバーユーザー。このユーザーは、Process Server に対する REST API 呼び出しを実行できます。
-
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
LDAP サービスでは、デプロイメントパラメーターですべてのユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名を使用してユーザーを作成します。作成したユーザーにはロールに割り当てる必要もあります。
-
KIE_ADMIN_USER
: デフォルトのユーザー名adminUser
、ロール:kie-server,rest-all,admin
KIE_SERVER_USER
: デフォルトのユーザー名executionUser
、ロールkie-server,rest-all,guest
LDAP で設定可能なユーザーロールについては、「ロール およびユーザー」を参照 してください。
-
テンプレートの
AUTH_LDAP*
パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP のLdapExtended
ログインモジュールの設定に対応します。これらの設定に関する説明は、「LdapExtended login module」を参照してください。LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。
-
RoleMapping rolesProperties ファイルパス (
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
):/opt/eap/standalone/configuration/rolemapping/rolemapping.properties
など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」 を参照してください。 -
RoleMapping replaceRole プロパティー (
AUTH_ROLE_MAPPER_REPLACE_ROLE
):true
に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false
に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定はfalse
です。
-
RoleMapping rolesProperties ファイルパス (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.10. S2I の使用によるイミュータブル Process Server 用に外部データベースサーバーを使用するためのパラメーターの設定
「S2I の使用によるイミュータブル Process Server のデプロイ用テンプレートの変更」 に説明されているように、Process Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合、S2I ビルドを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際に以下の追加の設定を行います。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
KIE Server External Database Driver (
KIE_SERVER_EXTERNALDB_DRIVER
): サーバーの種類に応じたサーバーのドライバー。-
mysql
-
postgresql
-
mariadb
-
mssql
-
db2
-
oracle
-
sybase
-
-
KIE Server External Database User (
KIE_SERVER_EXTERNALDB_USER
) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD
): 外部データベースサーバーのユーザー名およびパスワード。 -
KIE Server External Database URL (
KIE_SERVER_EXTERNALDB_URL
): 外部データベースサーバーの JDBC URL。 KIE Server External Database Dialect (
KIE_SERVER_EXTERNALDB_DIALECT
): サーバーの種類に応じたサーバーの Hibernate ダイアレクト。-
org.hibernate.dialect.MySQL5InnoDBDialect
(MySQL および MariaDB で使用される) -
org.hibernate.dialect.PostgreSQL82Dialect
-
org.hibernate.dialect.SQLServer2012Dialect
(MS SQL で使用される) -
org.hibernate.dialect.DB2Dialect
-
org.hibernate.dialect.Oracle10gDialect
-
org.hibernate.dialect.SybaseASE157Dialect
-
-
KIE Server External Database Host (
KIE_SERVER_EXTERNALDB_SERVICE_HOST
): 外部データベースサーバーのホスト名。 -
KIE Server External Database Port (
KIE_SERVER_EXTERNALDB_SERVICE_PORT
): 外部データベースサーバーのポート番号。 -
KIE Server External Database name (
KIE_SERVER_EXTERNALDB_DB
): 外部データベースサーバーで使用するデータベース名。 -
JDBC Connection Checker class (
KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER
): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。 -
JDBC Exception Sorter class (
KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER
): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
「外部データベースのカスタム Process Server 拡張イメージのビルド」 で説明されているように、MySQL または PostgreSQL 以外の外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。
-
Drivers Extension Image (
EXTENSIONS_IMAGE
): 拡張イメージの ImageStreamTag 定義 (例:jboss-kie-db2-extension-openshift-image:11.1.4.4
) -
Drivers ImageStream Namespace (
EXTENSIONS_IMAGE_NAMESPACE
): 拡張イメージのアップロード先の名前空間 (例:openshift
またはプロジェクト名前空間)
-
Drivers Extension Image (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
3.2.11. S2I の使用によるイミュータブル Process Server の Prometheus メトリクス収集の有効化
Process Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に Process Server でこの機能のサポートを有効にします。
前提条件
- 「S2I の使用によるイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED
) パラメーターを false
に設定します。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始」 の手順に従います。
Prometheus メトリクス収集の方法については、「 Process Server の管理および監視 」を参照してください。
3.2.12. S2I の使用によるイミュータブル Process Server テンプレートのデプロイの開始
OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。
手順
使用している方法に応じて、以下の手順を実行します。
OpenShift Web UI の場合は Create をクリックします。
-
This will create resources that may have security or project behavior implications
メッセージが表示された場合は、Create Anyway をクリックします。
-
- コマンドラインに入力して、Enter キーを押します。
3.3. S2I の使用によるイミュータブル Process Server のデプロイ用テンプレートの変更
デフォルトで、S2I を使用してイミュータブルサーバーをデプロイするためのテンプレートは、個別の PostgreSQL Pod を作成してそれぞれの複製可能な Process Server 用のデータベースサーバーを提供します。MySQL または外部サーバー(OpenShift プロジェクト外)を使用する場合は、サーバーをデプロイする前に rhpam75-prod-immutable-kieserver.yaml
または rhpam75-prod-immutable-kieserver-amq.yaml
テンプレートファイルを変更します。
OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。
コメントの中には、テンプレート内のブロックを表すもの (BEGIN
から END
まで) があります。たとえば、以下のブロックの名前は Sample block
です。
## Sample block BEGIN sample line 1 sample line 2 sample line 3 ## Sample block END
変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。
手順
PostgreSQL の代わりに MySQL を使用する場合は、ファイル内で、
BEGIN
コメントからEND
コメントまでの数ブロックを、rhpam75-kieserver-mysql.yaml ファイルのブロックに置き換えます。
-
PostgreSQL database parameters
ブロックを、MySQL database parameters
に置き換えます。(このブロックと後続のすべての置換ブロックをrhpam75-kieserver-postgresql.yaml
ファイルから取得します) -
PostgreSQL service
ブロックをMySQL service
ブロックに置き換えます。 -
PostgreSQL driver settings
ブロックをMySQL driver settings
ブロックに置き換えます。 -
PostgreSQL deployment config
ブロックを、MySQL deployment config
ブロックに置き換えます。 -
PostgreSQL persistent volume claim
ブロックを、MySQL persistent volume claim
ブロックに置き換えます。
-
外部データベースサーバーを使用する場合は、ファイル内で、
BEGIN
コメントからEND
コメントまでの数ブロックを、rhpam75-kieserver-externaldb.yaml
ファイルのブロックに置き換え、いくつかのブロックを削除します。-
PostgreSQL database parameters
ブロックを、External database parameters
ブロックに置き換えます。(このブロックと後続のすべての置換ブロックをrhpam75-kieserver-externaldb.yaml
ファイルから取得します) -
PostgreSQL driver settings
ブロックをExternal database driver settings
ブロックに置き換えます。 このファイルの以下のブロックから、
BEGIN
からEND
までのコメントを削除します。-
PostgreSQL service
-
PostgreSQL deployment config
-
PostgreSQL persistent volume claim
-
-
標準の Process Server イメージに外部データベースサーバー MySQL 用および PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの Process Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム Process Server 拡張イメージのビルド」 を参照してください。
3.4. KJAR サービスからのイミュータブル Process Server のデプロイ
KJAR ファイルとしてすでにビルドされているサービスを使用して、イミュータブル Process Server をデプロイできます。
サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動すると、これは KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスが更新したり、変更することはありません。Pod の毎回の再起動またはスケーリング時に、サーバーはリポジトリーからファイルを取得するため、デプロイメントをイミュータブルに保つには、それらのファイルが Maven リポジトリーで変更されないようにする必要があります。
実行中のイミュータブル Process Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。Process Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。
デフォルトで、このサーバーは Pod で PostgreSQL データベースサーバーを使用します。Pod で MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用するには、テンプレートを変更できます。
Business Central または Business Central Monitoring が同じ namespace にデプロイされる場合、これはイミュータブル Process Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル Process Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。
3.4.1. KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始
イミュータブル Process Server を KJAR サービスからデプロイするには、以下のテンプレートファイルのいずれかを使用します。
-
rhpam75-kieserver-postgresql.yaml
: 永続ストレージに PostgreSQL Pod を使用します。他のテンプレートを使用する特別な理由がない限り、このテンプレートを使用します。 -
rhpam75-kieserver-mysql.yaml
: 永続ストレージに MySQL Pod を使用します。 rhpam75-kieserver-externaldb.yaml
: 永続ストレージに外部データベースサーバーを使用します。重要外部データベースサーバーの標準 Process Server イメージには、MySQL および PostgreSQL 外部データベースサーバー用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの Process Server イメージをビルドする必要があります。手順は、「外部データベースのカスタム Process Server 拡張イメージのビルド」 を参照してください。
手順
-
Red Hat カスタマーポータルの Software Downloads ページから製品配信可能ファイル
rhpam-7.5.1-openshift-templates.zip
をダウンロードします。 - 必要なテンプレートファイルを展開します。
以下のいずれかの方法を使用してテンプレートのデプロイを開始します。
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから
<template-file-name>.yaml
ファイルを選択するか、貼り付けます。Add Template ウィンドウで、Process the template が選択されていることを確認し、Continue をクリックします。 OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。
oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value
このコマンドラインで、以下のように変更します。
-
<template-path>
を、ダウンロードしたテンプレートファイルのパスに置き換えます。 -
<template-file-name>
は、テンプレート名に置き換えます。 -
必要なパラメーターに設定するために必要な数だけ
-p PARAMETER=value
ペアを使用します。
-
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから
次のステップ
テンプレートのパラメーターを設定します。「KJAR サービスからのイミュータブル Process Server に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示して、すべてのパラメーターの説明を確認します。
3.4.2. KJAR サービスからのイミュータブル Process Server に必要なパラメーターの設定
イミュータブル Process Server を KJAR サービスからデプロイするようにテンプレートを設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
-
KIE Server Keystore Secret Name (
KIE_SERVER_HTTPS_SECRET
): 「Process Server にシークレットの作成」 で作成した Process Server のシークレットの名前。 -
KIE Server Certificate Name (
KIE_SERVER_HTTPS_NAME
): 「Process Server にシークレットの作成」 で作成したキーストアの証明書名。 -
KIE Server Keystore Password (
KIE_SERVER_HTTPS_PASSWORD
): 「Process Server にシークレットの作成」 で作成したキーストアのパスワード。 -
アプリケーション名 (
APPLICATION_NAME
): OpenShift アプリケーションの名前。これは、Business Central Monitoring および Process Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの別個のセットを作成します。同じテンプレートを同じプロジェクトで使用して複数のアプリケーションをデプロイすることもできますが、その場合はアプリケーション名を同じにすることはできません。また、アプリケーション名は、Process Server が Business Central または Business Central Monitoring で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の Process Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。 -
Maven repository URL (
MAVEN_REPO_URL
): Maven リポジトリーの URL。Process Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。 -
Maven リポジトリーの ID (
MAVEN_REPO_ID
): Maven リポジトリーの ID。デフォルト値はrepo-custom
です。 -
Maven repository username (
MAVEN_REPO_USERNAME
): Maven リポジトリーのユーザー名。 -
Maven リポジトリーのパスワード (
MAVEN_REPO_PASSWORD
): Maven リポジトリーのパスワード。 KIE Server コンテナーのデプロイメント (
KIE_SERVER_CONTAINER_DEPLOYMENT
): デプロイメントが Maven リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の識別情報。形式は<containerId>=<groupId>:<artifactId>:<version>
になります。また、コンテナーのエイリアス名で指定する場合には、形式は<containerId>(<aliasId>)=<groupId>:<artifactId>:<version>
になります。以下の例に示されるように、区切り文字|
を使用して 2 つ以上の KJAR ファイルを指定できます。containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2
-
KIE Server モード (
KIE_SERVER_MODE
):rhpam75-kieserver-*.yaml
テンプレートで、デフォルト値はPRODUCTION
です。PRODUCTION
モードでは、SNAPSHOT
バージョンの KJAR アーティファクトは Process Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更できません。PRODUCTION
モードで新規バージョンをデプロイするには、同じ Process Server で新規コンテナーを作成します。SNAPSHOT
バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターをDEVELOPMENT
に設定します。 -
ImageStream 名前空間 (
IMAGE_STREAM_NAMESPACE
): イメージストリームが利用可能な名前空間。OpenShift 環境でイメージストリームがすでに利用可能な場合( 「イメージストリームとイメージレジストリーの可用性確認」を参照)、名前空間はopenshift
になります。イメージストリームファイルをインストールしている場合は、名前空間が OpenShift プロジェクトの名前になります。
-
KIE Server Keystore Secret Name (
以下のユーザー名とパスワードを設定できます。デフォルトでは、デプロイすると、パスワードが自動生成されます。
-
KIE Server User (
KIE_SERVER_USER
) および KIE Server Password (KIE_SERVER_PWD
): いずれかの Process Server に接続するのにクライアントアプリケーションが使用できるユーザー名およびパスワード。
-
KIE Server User (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
3.4.3. KJAR サービスからのイミュータブル Process Server のイメージストリーム namespace の設定
openshift
ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。
すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream 名前 空間(IMAGE_STREAM_NAMESPACE
)パラメーターを OpenShift プロジェクトの名前に設定します。
3.4.4. KJAR サービスの使用によるイミュータブル Process Server 用の Business Central または Business Central Monitoring インスタンスについての情報の設定
同じ namespace で Business Central または Business Central Monitoring インスタンスから Process Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスについての情報を設定する必要があります。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
-
KIE Admin User (
KIE_ADMIN_USER
) および KIE Admin Password (KIE_ADMIN_PWD
): 管理者ユーザーのユーザー名およびパスワード。これらの値は Business Central または Business Central Monitoring のKIE_ADMIN_USER
およびKIE_ADMIN_PWD
設定と同じである必要があります。Business Central または Business Central Monitoring が RH-SSO または LDAP 認証を使用する場合、これらの値は Business Central または Business Central Monitoring の管理者ロールを使用して認証システムに設定されるユーザー名およびパスワードである必要があります。 -
Name of the Business Central service (
BUSINESS_CENTRAL_SERVICE
): Business Central または Business Central Monitoring の OpenShift サービス名。
-
KIE Admin User (
以下の設定が、Business Central または Business Central Monitoring と同じ設定と同じ値に設定されていることを確認します。
-
Maven repository URL (
MAVEN_REPO_URL
): サービスのデプロイに使用する必要のある外部 Maven リポジトリーの URL。 -
Maven repository username (
MAVEN_REPO_USERNAME
): Maven リポジトリーのユーザー名。 -
Maven リポジトリーのパスワード (
MAVEN_REPO_PASSWORD
): Maven リポジトリーのパスワード。
-
Maven repository URL (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
3.4.5. KJAR サービスの使用によるイミュータブル Process Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定
KJAR サービスを使用してテンプレートをイミュータブル Process Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。
-
Maven mirror URL (
MAVEN_MIRROR_URL
): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は、OpenShift 環境の Pod からアクセスできるようにする必要があります。 Maven mirror of (
MAVEN_MIRROR_OF
): ミラーから取得されるアーティファクトを定める値。mirrorOf
値の設定方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値はexternal:*
です。この値の場合、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。-
外部の Maven リポジトリー (
MAVEN_REPO_URL
) を設定する場合は、ミラーからこのリポジトリー内のアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。 -
ビルトイン Business Central Maven リポジトリー (
BUSINESS_CENTRAL_MAVEN_SERVICE
) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr
)。 -
両方のリポジトリーを設定している場合は、ミラーからこのリポジトリーを両方除外するように
MAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。
-
外部の Maven リポジトリー (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
3.4.6. KJAR サービスの使用によるイミュータブル Process Server の RH-SSO 認証パラメーターの設定
RH-SSO 認証を使用する必要がある場合は、テンプレートを KJAR サービスを使用してイミュータブル Process Server をデプロイするように設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
- Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されている。
-
Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されている。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。環境のパラメーターを設定するには、
kie-server,rest-all,admin
ロールを持つ管理者ユーザーが必要です。このユーザーのデフォルトユーザー名はadminUser
です。このユーザーは環境を管理し、これを使用できます。 - クライアントが、デプロイしている Red Hat Process Automation Manager 環境のすべてのコンポーネントについて RH-SSO 認証システムに作成されている。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認し、編集できます。または、Red Hat Process Automation Manager デプロイメントはクライアントを作成できます。ただし、このオプションの環境に対する制御の詳細度合はより低くなります。
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
-
テンプレートの
KIE_ADMIN_USER
およびKIE_ADMIN_PASSWORD
パラメーターを、RH-SSO 認証システムで作成したユーザー名およびパスワードに設定します。 以下のパラメーターを設定します。
-
RH-SSO URL (
SSO_URL
): RH-SSO の URL。 -
RH-SSO Realm name (
SSO_REALM
): Red Hat Process Automation Manager の RH-SSO レルム。 -
RH-SSO が無効な SSL 証明書の検証 (
SSO_DISABLE_SSL_CERTIFICATE_VALIDATION
): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合はtrue
に設定します。
-
RH-SSO URL (
以下の手順のいずれかを実行します。
RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。
-
Business Central or Business Central Monitoring RH-SSO Client name (
BUSINESS_CENTRAL_SSO_CLIENT
): Business Central または Business Central Monitoring の RH-SSO クライアント名。 -
KIE Server RH-SSO Client name (
KIE_SERVER_SSO_CLIENT
): Process Server の RH-SSO クライアント名。 -
KIE Server RH-SSO Client Secret (
KIE_SERVER_SSO_SECRET
): Process Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
-
Business Central or Business Central Monitoring RH-SSO Client name (
RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。
-
KIE Server RH-SSO Client name (
KIE_SERVER_SSO_CLIENT
): Process Server 向けに RH-SSO に作成するクライアント名。 -
KIE Server RH-SSO Client Secret (
KIE_SERVER_SSO_SECRET
): Process Server のクライアントに対して RH-SSO に設定するシークレットの文字列。 -
RH-SSO Realm Admin Username (
SSO_USERNAME
) および RH-SSO Realm Admin Password (SSO_PASSWORD
): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。
-
KIE Server RH-SSO Client name (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。
3.4.7. KJAR サービスの使用によるイミュータブル Process Server の LDAP 認証パラメーターの設定
LDAP 認証を使用する必要がある場合は、KJAR サービスを使用してイミュータブル Process Server をデプロイするようにテンプレートを設定する際に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
LDAP システムに Red Hat Process Automation Manager のユーザー名およびパスワードを作成していること。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。この環境のパラメーターを設定するために、少なくとも以下のユーザーを作成している必要があります。
-
kie-server,rest-all,admin
ロールを持つ管理者ユーザー。このユーザーは環境を管理し、これを使用できます。 -
kie-server,rest-all,user
ロールを持つサーバーユーザー。このユーザーは、Process Server に対する REST API 呼び出しを実行できます。
-
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
LDAP サービスでは、デプロイメントパラメーターですべてのユーザー名を作成します。パラメーターを設定しない場合には、デフォルトのユーザー名を使用してユーザーを作成します。作成したユーザーにはロールに割り当てる必要もあります。
-
KIE_ADMIN_USER
: デフォルトのユーザー名adminUser
、ロール:kie-server,rest-all,admin
KIE_SERVER_USER
: デフォルトのユーザー名executionUser
、ロールkie-server,rest-all,guest
LDAP で設定可能なユーザーロールについては、「ロール およびユーザー」を参照 してください。
-
テンプレートの
AUTH_LDAP*
パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP のLdapExtended
ログインモジュールの設定に対応します。これらの設定に関する説明は、「LdapExtended login module」を参照してください。LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合は、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。
-
RoleMapping rolesProperties ファイルパス (
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
):/opt/eap/standalone/configuration/rolemapping/rolemapping.properties
など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(任意) LDAP ロールマッピングファイルの指定」 を参照してください。 -
RoleMapping replaceRole プロパティー (
AUTH_ROLE_MAPPER_REPLACE_ROLE
):true
に設定した場合、マッピングしたロールは、LDAP サーバーに定義したロールに置き換えられます。false
に設定した場合は、LDAP サーバーに定義したロールと、マッピングしたロールの両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定はfalse
です。
-
RoleMapping rolesProperties ファイルパス (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
3.4.8. KJAR サービスの使用によるイミュータブル Process Server 用の外部データベースサーバーを使用するためのパラメーターの設定
rhpam75-kieserver-externaldb.yaml
テンプレートを使用して Process Server 用に外部データベースサーバーを使用する場合は、KJAR サービスからイミュータブル Process Server をデプロイするようにテンプレートを設定する際に以下の追加の設定を行います。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
以下のパラメーターを設定します。
KIE Server External Database Driver (
KIE_SERVER_EXTERNALDB_DRIVER
): サーバーの種類に応じたサーバーのドライバー。-
mysql
-
postgresql
-
mariadb
-
mssql
-
db2
-
oracle
-
sybase
-
-
KIE Server External Database User (
KIE_SERVER_EXTERNALDB_USER
) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD
): 外部データベースサーバーのユーザー名およびパスワード。 -
KIE Server External Database URL (
KIE_SERVER_EXTERNALDB_URL
): 外部データベースサーバーの JDBC URL。 KIE Server External Database Dialect (
KIE_SERVER_EXTERNALDB_DIALECT
): サーバーの種類に応じたサーバーの Hibernate ダイアレクト。-
org.hibernate.dialect.MySQL5InnoDBDialect
(MySQL および MariaDB で使用される) -
org.hibernate.dialect.PostgreSQL82Dialect
-
org.hibernate.dialect.SQLServer2012Dialect
(MS SQL で使用される) -
org.hibernate.dialect.DB2Dialect
-
org.hibernate.dialect.Oracle10gDialect
-
org.hibernate.dialect.SybaseASE157Dialect
-
-
KIE Server External Database Host (
KIE_SERVER_EXTERNALDB_SERVICE_HOST
): 外部データベースサーバーのホスト名。 -
KIE Server External Database Port (
KIE_SERVER_EXTERNALDB_SERVICE_PORT
): 外部データベースサーバーのポート番号。 -
KIE Server External Database name (
KIE_SERVER_EXTERNALDB_DB
): 外部データベースサーバーで使用するデータベース名。 -
JDBC Connection Checker class (
KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER
): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。 -
JDBC Exception Sorter class (
KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER
): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
「外部データベースのカスタム Process Server 拡張イメージのビルド」 で説明されているように、MySQL または PostgreSQL 以外の外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。
-
Drivers Extension Image (
EXTENSIONS_IMAGE
): 拡張イメージの ImageStreamTag 定義 (例:jboss-kie-db2-extension-openshift-image:11.1.4.4
) -
Drivers ImageStream Namespace (
EXTENSIONS_IMAGE_NAMESPACE
): 拡張イメージのアップロード先の名前空間 (例:openshift
またはプロジェクト名前空間)
-
Drivers Extension Image (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
3.4.9. KJAR サービスの使用によるイミュータブル Process Server からの Prometheus メトリクス収集の有効化
Process Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に Process Server でこの機能のサポートを有効にします。
前提条件
- 「KJAR サービスでのイミュータブル Process Server のテンプレート設定の開始」 に説明されているようにテンプレートの設定を開始していること。
手順
Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server 拡張無効 (PROMETHEUS_SERVER_EXT_DISABLED
) パラメーターを false
に設定します。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、「KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行」 の手順に従います。
Prometheus メトリクス収集の方法については、「 Process Server の管理および監視 」を参照してください。
3.4.10. KJAR サービスの使用によるイミュータブル Process Server テンプレートデプロイの実行
OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。
手順
使用している方法に応じて、以下の手順を実行します。
OpenShift Web UI の場合は Create をクリックします。
-
This will create resources that may have security or project behavior implications
メッセージが表示された場合は、Create Anyway をクリックします。
-
- コマンドラインに入力して、Enter キーを押します。
3.5. (任意) LDAP ロールマッピングファイルの指定
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
パラメーターを設定する場合は、ロールマッピングを定義するファイルを指定する必要があります。影響を受けるすべてのデプロイメント設定にこのファイルをマウントしてください。
手順
my-role-map
など、ロールマッピングのプロパティーファイルを作成します。ファイルには、次の形式のエントリーが含まれている必要があります。ldap_role = product_role1, product_role2...
以下に例を示します。
admins = kie-server,rest-all,admin
以下のコマンドを入力して、このファイルから OpenShift 設定ファイルのマッピングを作成します。
oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>
<new_name>
は、Pod に指定するファイルの名前 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES
ファイルで指定した名前と同じである必要があります) に置き換えます。また、<existing_name>
は、作成したファイル名に置き換えます。たとえば、以下のようになります。oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map
ロールマッピング用に指定した全デプロイメント設定に設定マップをマウントします。
以下のデプロイメント設定は、この環境で影響を受ける可能性があります。
-
myapp-rhpamcentrmon
: Business Central Monitoring -
myapp-kieserver
: Process Server
myapp
はアプリケーション名に置き換えます。複数の Process Server デプロイメントが異なるアプリケーション名で存在する場合があります。すべてのデプロイメント設定について、以下のコマンドを実行します。
oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping
<mapping_dir>
は、/opt/eap/standalone/configuration/rolemapping
など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES
で設定したディレクトリー名 (ファイル名なし) に置き換えます。-
第4章 Red Hat Process Automation Manager ロールおよびユーザー
Business Central または Process Server にアクセスするには、サーバーを起動する前にユーザーを作成して適切なロールを割り当てます。
Business Central および Process Server は、JAVA 認証承認サービス(JAAS)ログインモジュールを使用してユーザーを認証します。Business Central と Process Server の両方が単一のインスタンスで実行されている場合は、同じ JAAS サブジェクトとセキュリティードメインを共有します。したがって、Business Central に対して認証されたユーザーは、Process Server にもアクセスできます。
ただし、Business Central と Process Server が異なるインスタンスで実行されている場合、JAAS ログインモジュールは両方に対して個別にトリガーされます。したがって、Business Central に対して認証されたユーザーは、Process Server にアクセスするために個別に認証する必要があります(例: Business Central でプロセス定義を表示または管理する場合)。ユーザーが Process Server で認証されていない場合は、ログファイルに 401 エラーが記録され、Business Central に Invalid credentials to load data from remote server.Contact your system administrator.
メッセージが表示されます。
このセクションでは、利用可能な Red Hat Process Automation Manager ユーザーロールについて説明します。
admin
、analyst
、developer
、manager
、process-admin
、user
、および rest-all
のロールは Business Central に予約されています。kie-server
ロールは Process Server 用に予約されています。このため、Business Central または Process Server のいずれか、またはそれら両方がインストールされているかどうかによって、利用可能なロールは異なります。
-
admin
:admin
ロールを持つユーザーは Business Central 管理者です。管理者は、ユーザーの管理や、リポジトリーの作成、クローン作成、および管理ができます。アプリケーションで必要な変更をすべて利用できます。admin
ロールを持つユーザーは、Red Hat Process Automation Manager の全領域にアクセスできます。 -
analyst
:analyst
ロールを持つユーザーには、すべてのハイレベル機能へのアクセスがあります。これらは、プロジェクトのモデリングと実行を行うことができます。ただし、このユーザーは、Design → Projects ビューでスペースに貢献者を追加したり、スペースを削除したりできません。analyst
ロールを持つユーザーは、管理者向けの Deploy → Execution Servers ビューにアクセスできません。ただし、これらのユーザーは、ライブラリーパースペクティブにアクセスするときに Deploy ボタンを使用できます。 -
developer
:developer
ロールを持つユーザーは、ほぼすべての機能にアクセスができ、ルール、モデル、プロセスフロー、フォーム、およびダッシュボードを管理できます。アセットリポジトリーを管理し、プロジェクトを作成、ビルド、およびデプロイでき、Red Hat CodeReady Studio を使用してプロセスを表示できます。developer
ロールが割り当てられているユーザーには、新規リポジトリーの作成やクローン作成などの、特定の管理機能は表示されません。 -
manager
:manager
ロールを持つユーザーはレポートを表示できます。このユーザーは通常、ビジネスプロセス、そのパフォーマンス、ビジネスインジケーター、その他のビジネス関連のレポートに関する統計に関心があります。このルールを持つユーザーがアクセスできるのはプロセスおよびタスクのレポートに限られます。 -
process-admin
:process-admin
ロールを持つユーザーは、ビジネスプロセス管理者です。ビジネスプロセス、ビジネスタスク、および実行エラーへの完全アクセスがあります。このユーザーは、ビジネスレポートを表示でき、タスク受信箱リストにアクセスできます。 -
user
:user
ロールを持つユーザーは、タスクの受信箱リストで有効です。これには、現在実行しているプロセスの一部であるビジネスタスクも含まれます。このルールを持つユーザーはプロセスとタスクのレポートを確認して、プロセスを管理できます。 -
rest-all
:rest-all
ロールを持つユーザーは、Business Central REST 機能にアクセスできます。 -
kie-server
:kie-server
ロールを持つユーザーは Process Server (KIE サーバー) REST 機能へのアクセスがあります。このロールは、Business Central で Manage ビューおよび Track ビューにアクセスするユーザーにとって必須となります。
第5章 OpenShift テンプレートの参考資料
Red Hat Process Automation Manager は以下の OpenShift テンプレートを提供します。テンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから、rhpam-7.5.1-openshift-templates.zip
の製品配信可能ファイルをダウンロードし、これを展開します。
-
rhpam75-prod-immutable-monitor.yaml
は、イミュータブル Process Server で使用できる Business Central Monitoring インスタンスおよび Smart Router を提供します。このテンプレートをデプロイする際に、OpenShift はrhpam75-prod-immutable-kieserver.yaml
テンプレートのデプロイに使用する必要のある設定を表示します。このテンプレートの詳細は、「rhpam75-prod-immutable-monitor.yaml template」 を参照してください。 -
rhpam75-prod-immutable-kieserver.yaml
で、イミュータブル Process Server が設定されます。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが Process Server で実行される 1 つまたはいくつかのサーバーに対してトリガーされます。Process Server はrhpam75-prod-immutable-monitor.yaml
によって提供される Business Central Monitoring および Smart Router に接続されるようにオプションで設定できます。このテンプレートの詳細は、「rhpam75-prod-immutable-kieserver.yaml template」 を参照してください。 -
rhpam75-prod-immutable-kieserver-amq.yaml
は、イミュータブル Process Server を提供します。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが Process Server で実行される 1 つまたはいくつかのサーバーに対してトリガーされます。Process Server はrhpam75-prod-immutable-monitor.yaml
によって提供される Business Central Monitoring および Smart Router に接続されるようにオプションで設定できます。このバージョンのテンプレートには、JMS 統合が含まれます。このテンプレートの詳細は、「rhpam75-prod-immutable-kieserver-amq.yaml template」 を参照してください。 -
rhpam75-kieserver-externaldb.yaml
は、外部データベースを使用する Process Server を提供します。Process Server は Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで Process Server を外部データベースを使用するように設定できます。このテンプレートの詳細は、「rhpam75-kieserver-externaldb.yaml template」 を参照してください。 -
rhpam75-kieserver-mysql.yaml
は、Process Server および Process Server が使用する MySQL インスタンスを提供します。Process Server は Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで Process Server を MySQL を使用し、MySQL インスタンスを提供するように設定できます。このテンプレートの詳細は、「rhpam75-kieserver-mysql.yaml template」 を参照してください。 -
rhpam75-kieserver-postgresql.yaml
は、Process Server および Process Server が使用する PostgreSQL インスタンスを提供します。Process Server は Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで Process Server を PostgreSQL を使用し、PostgreSQL インスタンスを提供するように設定できます。このテンプレートの詳細は、「rhpam75-kieserver-mysql.yaml template」 を参照してください。
5.1. rhpam75-prod-immutable-monitor.yaml template
Red Hat Process Automation Manager 7.5 向けの、実稼働環境のルーターおよび監視コンソールのアプリケーションテンプレート(非推奨)
5.1.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。 | repo-custom | False |
|
| Maven リポジトリーまたはサービスへの完全修飾 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | False |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
|
| KIE 管理者のユーザ名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します) | executionUser | False |
|
| KEI サーバーへの接続に使用する KIE サーバーパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) | — | False |
|
| true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。 | false | False |
|
| Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します) | true | False |
|
| KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。 | 60000 | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | False |
| — | http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-smartrouter-<project>.<default-domain-suffix>)。 | — | False |
| — | https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-smartrouter-<project>.<default-domain-suffix>)。 | — | False |
|
| API 通信で使用されるルーター ID。(ルータープロパティー org.kie.server.router.id) | kie-server-router | True |
|
| KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用) | http | False |
|
| ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port > ;(ルータープロパティー org.kie.server.router.url.external) | — | False |
|
| Business Central ユーザーインターフェースで使用されるルーター名。(ルータープロパティー org.kie.server.router.name) | KIE Server ルーター | True |
| — | キーストアファイルを含むシークレット名。 | smartrouter-app-secret | True |
| — | シークレット内のキーストアファイルの名前。 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前。 | jboss | False |
|
| キーストアおよび証明書のパスワード。 | mykeystorepass | False |
|
| KIE サーバーモニターのユーザー名。(org.kie.server.controller.user システムプロパティーを設定) | monitorUser | False |
|
| KIE Server モニターのパスワード。(org.kie.server.controller.pwd システムプロパティーを設定) | — | False |
|
| ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定) | — | False |
|
| http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 | — | False |
| — | キーストアファイルを含むシークレット名。 | businesscentral-app-secret | True |
|
| シークレット内のキーストアファイル名 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
| — | Business Central コンテナーのメモリー制限。 | 2Gi | False |
| — | Smart Router コンテナーのメモリー制限 | 512Mi | False |
|
| RH-SSO URL。 | False | |
|
| RH-SSO レルム名。 | — | False |
|
| Business Central Monitoring RH-SSO クライアント名。 | — | False |
|
| Business Central Monitoring RH-SSO クライアントシークレット。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント。 | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール。 | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.1.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.1.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての Business Central Monitoring Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
| 9000 | http | smart router サーバーの http ポートおよび https ポート |
9443 | https |
5.1.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
insecure-${APPLICATION_NAME}-rhpamcentrmon-http | なし |
|
| TLS パススルー |
|
insecure-${APPLICATION_NAME}-smartrouter-http | なし |
|
| TLS パススルー |
|
5.1.2.3. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.1.2.3.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
| ImageChange |
5.1.2.3.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 1 |
| 2 |
5.1.2.3.3. Pod テンプレート
5.1.2.3.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
|
|
5.1.2.3.3.2. イメージ
デプロイメント | イメージ |
---|---|
| rhpam-businesscentral-monitoring-rhel8 |
| rhpam-smartrouter-rhel8 |
5.1.2.3.3.3. Readiness Probe
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/ready
5.1.2.3.3.4. Liveness Probe
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/healthy
5.1.2.3.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
| |
| http | 9000 |
|
5.1.2.3.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| — |
|
| — |
| |
| KIE 管理者のパスワード |
| |
| KIE 管理者のユーザ名 |
| |
| KEI サーバーへの接続に使用する KIE サーバーパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します) |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。 |
| |
| Maven リポジトリーまたはサービスへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| true に設定すると、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定)。 |
| |
| Business Central の OpenShift 統合がオンの場合は、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります。(org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します) |
| |
| KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。 |
| |
| — | true | |
| KIE サーバーモニターのユーザー名。(org.kie.server.controller.user システムプロパティーを設定) |
| |
| KIE Server モニターのパスワード。(org.kie.server.controller.pwd システムプロパティーを設定) |
| |
| ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定) |
| |
| — |
| |
| シークレット内のキーストアファイルの名前。 |
| |
| サーバー証明書に関連付けられている名前。 |
| |
| キーストアおよび証明書のパスワード。 |
| |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| Business Central Monitoring RH-SSO クライアントシークレット。 |
| |
| Business Central Monitoring RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトのホスト名を使用する場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合は空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
| |
| 認証用に接続する LDAP エンドポイント。 |
| |
| 認証に使用するバインド DN |
| |
| 認証に使用する LDAP の認証情報 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール。 |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
| — | — |
| — | 9000 | |
| — | 9443 | |
| ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port > ;(ルータープロパティー org.kie.server.router.url.external) |
| |
| API 通信で使用されるルーター ID。(ルータープロパティー org.kie.server.router.id) |
| |
| Business Central ユーザーインターフェースで使用されるルーター名。(ルータープロパティー org.kie.server.router.name) |
| |
| — |
| |
| — |
| |
| KIE Server ルーターのプロトコル。(org.kie.server.router.url.external プロパティーのビルドに使用) |
| |
| サーバー証明書に関連付けられている名前。 |
| |
| キーストアおよび証明書のパスワード。 |
| |
| — |
| |
| KIE サーバーモニターのユーザー名。(org.kie.server.controller.user システムプロパティーを設定) |
| |
| KIE Server モニターのパスワード。(org.kie.server.controller.pwd システムプロパティーを設定) |
| |
| ベアラー認証用の KIE Server モニタートークン。(org.kie.server.controller.token システムプロパティーを設定) |
| |
| — |
| |
| — | http | |
| — |
| |
| — | true |
5.1.2.3.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| businesscentral-keystore-volume |
| ssl certs | True |
|
|
| — | false |
5.1.2.4. 外部の依存関係
5.1.2.4.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
| ReadWriteMany |
| ReadWriteMany |
5.1.2.4.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
smartrouter-app-secret businesscentral-app-secret
5.2. rhpam75-prod-immutable-kieserver.yaml template
Red Hat Process Automation Manager 7.5 での実稼働環境におけるイミュータブル KIE Server 向けのアプリケーションテンプレート(非推奨)
5.2.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| KIE 管理者のユーザー名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) | executionUser | False |
|
| KEI サーバーへの接続に使用する KIE サーバーパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) | — | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 | rhpam-kieserver-rhel8 | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | True |
|
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) | java:/jboss/datasources/rhpam | False |
| — | PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。 | openshift | False |
| — | PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは「10」です。 | 10 | False |
|
| KIE サーバー PostgreSQL データベースのユーザー名。 | rhpam | False |
|
| KIE Server PostgreSQL データベースのパスワード。 | — | False |
|
| KIE Server PostgreSQL データベース名。 | rhpam7 | False |
|
| PostgreSQL による XA トランザクションの処理を許可します。 | 100 | True |
| — | データベースボリュームの永続ストレージのサイズ。 | 1Gi | True |
|
| KIE Server PostgreSQL Hibernate 方言。 | org.hibernate.dialect.PostgreSQLDialect | True |
|
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) | enabled | False |
|
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) | true | False |
|
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) | false | False |
|
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 | — | False |
| — | キーストアファイルを含むシークレット名 | kieserver-app-secret | True |
|
| シークレット内のキーストアファイル名 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
|
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) | false | False |
|
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.5.0-SNAPSHOT | True |
| — | アプリケーションの Git ソース URI。 | https://github.com/jboss-container-images/rhpam-7-openshift-image.git | True |
| — | Git ブランチ/タグ参照。 | 7.5.x | False |
| — | ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。 | quickstarts/library-process/library | False |
| — | GitHub トリガーシークレット。 | — | True |
| — | 汎用ビルドのトリガーシークレット。 | — | True |
|
| S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスをビルドして実行するために必要なすべてのアーティファクトが含まれる必要があります。 | — | False |
|
| KIE Server の Maven ミラー設定。 | external:* | False |
|
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 | repo-custom | False |
|
| Maven リポジトリーへの完全修飾 URL。 | — | False |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
| — | deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合は、全アーカイブまたはターゲットがコピーされます。 | — | False |
|
| EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 | 30000 | False |
| — | KIE Server のコンテナーのメモリー制限。 | 1Gi | False |
|
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定) | true | True |
|
| RH-SSO URL。 | False | |
|
| RH-SSO レルム名。 | — | False |
|
| KIE Server の RH-SSO クライアント名。 | — | False |
|
| KIE Server の RH-SSO クライアントシークレット。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント。 | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.2.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.2.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての KIE Server Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
| 5432 | — | データベースサーバーのポート。 |
5.2.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
insecure-${APPLICATION_NAME}-kieserver-http | なし |
|
| TLS パススルー |
|
5.2.2.3. ビルド設定
buildConfig
は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig
は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。
S2I イメージ | リンク | ビルドの出力 | BuildTriggers および設定 |
---|---|---|---|
rhpam-kieserver-rhel8:7.5.0 |
| GitHub、Generic、ImageChange、ConfigChange |
5.2.2.4. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.2.2.4.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
| ImageChange |
5.2.2.4.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 2 |
| 1 |
5.2.2.4.3. Pod テンプレート
5.2.2.4.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
5.2.2.4.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
|
| postgresql |
5.2.2.4.3.3. Readiness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container
5.2.2.4.3.4. Liveness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container --live
5.2.2.4.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
| |
| — | 5432 |
|
5.2.2.4.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
|
| KIE 管理者のユーザー名 |
| |
| KIE 管理者のパスワード |
| |
| — |
| |
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) |
| |
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) |
| |
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) |
| |
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) |
| |
| — | — | |
| — | insecure-${APPLICATION_NAME}-kieserver | |
| — |
| |
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) |
| |
| KEI サーバーへの接続に使用する KIE サーバーパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) |
| |
| S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスをビルドして実行するために必要なすべてのアーティファクトが含まれる必要があります。 |
| |
| KIE Server の Maven ミラー設定。 |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
| Maven リポジトリーへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — |
| |
| KIE Server PostgreSQL データベース名。 |
| |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — | true | |
| — | postgresql | |
| KIE Server PostgreSQL Hibernate 方言。 |
| |
| KIE サーバー PostgreSQL データベースのユーザー名。 |
| |
| KIE Server PostgreSQL データベースのパスワード。 |
| |
| — |
| |
| — | 5432 | |
| EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 |
| |
| — |
| |
| シークレット内のキーストアファイル名 |
| |
| サーバー証明書に関連付けられている名前 |
| |
| キーストアおよび証明書のパスワード |
| |
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定) |
| |
| — | OpenShiftStartupStrategy | |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| KIE Server の RH-SSO クライアントシークレット。 |
| |
| KIE Server の RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 |
| |
| 認証用に接続する LDAP エンドポイント。 |
| |
| 認証に使用するバインド DN |
| |
| 認証に使用する LDAP の認証情報 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
| KIE サーバー PostgreSQL データベースのユーザー名。 |
|
| KIE Server PostgreSQL データベースのパスワード。 |
| |
| KIE Server PostgreSQL データベース名。 |
| |
| PostgreSQL による XA トランザクションの処理を許可します。 |
|
5.2.2.4.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| ssl certs | True |
|
|
| postgresql | false |
5.2.2.5. 外部の依存関係
5.2.2.5.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
| ReadWriteOnce |
5.2.2.5.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
kieserver-app-secret
5.3. rhpam75-prod-immutable-kieserver-amq.yaml template
Red Hat Process Automation Manager 7.5 の ActiveMQ と統合された実稼働環境におけるイミュータブル KIE Server 向けのアプリケーションテンプレート(非推奨)
5.3.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| KIE 管理者のユーザー名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します) | executionUser | False |
|
| KIE サーバーのパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) | — | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 | rhpam-kieserver-rhel8 | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | True |
|
| KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定する) | java:/jboss/datasources/rhpam | False |
| — | PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。 | openshift | False |
| — | PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは「10」です。 | 10 | False |
|
| KIE サーバー PostgreSQL データベースのユーザー名 | rhpam | False |
|
| KIE Server PostgreSQL データベースのパスワード | — | False |
|
| KIE Server PostgreSQL データベース名 | rhpam7 | False |
|
| PostgreSQL による XA トランザクションの処理を許可します。 | 100 | True |
| — | データベースボリュームの永続ストレージのサイズ。 | 1Gi | True |
|
| KIE Server の mbeans の有効化/無効化 (システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)。 | enabled | False |
|
| KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定) | true | False |
|
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) | false | False |
|
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 | — | False |
| — | キーストアファイルを含むシークレット名 | kieserver-app-secret | True |
|
| シークレット内のキーストアファイルの名前。 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
|
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) | false | False |
|
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.5.0-SNAPSHOT | True |
| — | アプリケーションの Git ソース URI。 | https://github.com/jboss-container-images/rhpam-7-openshift-image.git | True |
| — | Git ブランチ/タグ参照。 | 7.5.x | False |
| — | ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。 | quickstarts/library-process/library | False |
| — | GitHub トリガーシークレット。 | — | True |
| — | 汎用ビルドのトリガーシークレット。 | — | True |
| — | S2I ビルドに使用する Maven ミラー | — | False |
|
| maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。 | my-repo-id | False |
|
| Maven リポジトリーへの完全修飾 URL。 | — | False |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
| — | deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合は、全アーカイブまたはターゲットがコピーされます。 | — | False |
|
| EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 | 30000 | False |
| — | KIE Server のコンテナーのメモリー制限 | 1Gi | False |
|
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定) | true | True |
|
| JMS エグゼキューターを有効にし、false に設定して無効にします。 | true | False |
|
| JMS executor のトランザクションを有効にします。デフォルトでは無効です | false | False |
|
| JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。 | queue/KIE.SERVER.REQUEST | False |
|
| JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。 | queue/KIE.SERVER.RESPONSE | False |
|
| JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。 | queue/KIE.SERVER.EXECUTOR | False |
|
| シグナル用の JMS キュー | true | False |
|
| JMS 経由でシグナル設定を有効にします。 | queue/KIE.SERVER.SIGNAL | False |
|
| JMS 経由で監査ロギングを有効にします。 | true | False |
|
| 監査ロギングの JMS キュー。 | queue/KIE.SERVER.AUDIT | False |
|
| JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。 | false | False |
|
| 標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。 | — | False |
|
| 標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。 | — | False |
|
| 標準ブローカーユーザーのユーザーロール。 | admin | True |
|
| コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。 | queue/KIE.SERVER.REQUEST,queue/KIE.SERVER.RESPONSE,queue/KIE.SERVER.EXECUTOR,queue/KIE.SERVER.SIGNAL,queue/KIE.SERVER.AUDIT | False |
|
| メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合は、システムのメモリーの半分が割り当てられます。 | 10 gb | False |
| — | AMQ SSL 関連のファイルが含まれるシークレット名。 | broker-app-secret | True |
|
| AMQ SSL トラストストアファイル名。 | broker.ts | False |
|
| AMQ トラストストアのパスワード。 | changeit | False |
|
| AMQ キーストアのファイル名。 | broker.ks | False |
|
| AMQ キーストアおよび証明書のパスワード。 | changeit | False |
|
|
コンマで区切られた、設定するブローカーのプロトコル。許可される値は、 | openwire | False |
| — | AMQ ブローカーイメージ。 | amq-broker:7.4 | True |
| — | Red Hat AMQ イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
|
| RH-SSO URL | False | |
|
| RH-SSO レルム名。 | — | False |
|
| KIE Server の RH-SSO クライアント名。 | — | False |
|
| KIE Server の RH-SSO クライアントシークレット | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN。 | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報。 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.3.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.3.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての KIE Server Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
| 8161 | amq-jolokia | ブローカーのコンソールおよび Jolokia ポート。 |
| 5672 | amq-amqp | ブローカーの AMQP ポート。 |
| 5671 | amq-amqp-ssl | ブローカーの AMQP SSL ポート。 |
| 1883 | amq-mqtt | ブローカーの MQTT ポート。 |
| 8883 | amq-mqtt-ssl | ブローカーの MQTT SSL ポート。 |
| 61613 | amq-stomp | ブローカーの STOMP ポート。 |
| 61612 | amq-stomp-ssl | ブローカーの STOMP SSL ポート。 |
| 61616 | amq-tcp | ブローカーの OpenWire ポート。 |
| 61617 | amq-tcp-ssl | ブローカーの OpenWire (SSL) ポート。 |
| 5432 | — | データベースサーバーのポート。 |
5.3.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
| なし |
|
| TLS パススルー |
|
| TLS パススルー | <default> |
| TLS パススルー | <default> |
5.3.2.3. ビルド設定
buildConfig
は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig
は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。
S2I イメージ | リンク | ビルドの出力 | BuildTriggers および設定 |
---|---|---|---|
rhpam-kieserver-rhel8:7.5.0 |
| GitHub、Generic、ImageChange、ConfigChange |
5.3.2.4. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.3.2.4.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
| ImageChange |
| ImageChange |
5.3.2.4.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 2 |
| 1 |
| 1 |
5.3.2.4.3. Pod テンプレート
5.3.2.4.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
5.3.2.4.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
|
| postgresql |
|
|
5.3.2.4.3.3. Readiness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container
${APPLICATION_NAME}-amq
/bin/bash -c /opt/amq/bin/readinessProbe.sh
5.3.2.4.3.4. Liveness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container --live
5.3.2.4.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
| |
| — | 5432 |
|
| console-jolokia | 8161 |
|
amqp | 5672 |
| |
amqp-ssl | 5671 |
| |
mqtt | 1883 |
| |
mqtt-ssl | 8883 |
| |
stomp | 61613 |
| |
stomp-ssl | 61612 |
| |
artemis | 61616 |
| |
amq-tcp-ssl | 61617 |
|
5.3.2.4.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
|
| KIE 管理者のユーザー名 |
| |
| KIE 管理者のパスワード |
| |
| — |
| |
| KIE Server の mbeans の有効化/無効化 (システムプロパティー kie.mbeans および kie.scanner.mbeans を設定)。 |
| |
| KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定) |
| |
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) |
| |
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) |
| |
| — | — | |
| — | insecure-${APPLICATION_NAME}-kieserver | |
| — |
| |
| KIE サーバーのユーザー名 (org.kie.server.user システムプロパティーを設定します) |
| |
| KIE サーバーのパスワード。このパラメーターが設定されていない場合、パスワードは自動的に生成されます。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) |
| |
| — | RHPAMCENTR,EXTERNAL | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| maven リポジトリーに使用する id (設定されている場合)。デフォルトは無作為に作成されます。 |
| |
| Maven リポジトリーへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定する) |
| |
| — |
| |
| KIE Server PostgreSQL データベース名 |
| |
| KIE Server の永続性データソース (org.kie.server.persistence.ds システムプロパティーを設定する) |
| |
| — | true | |
| — | postgresql | |
| — | org.hibernate.dialect.PostgreSQLDialect | |
| KIE サーバー PostgreSQL データベースのユーザー名 |
| |
| KIE Server PostgreSQL データベースのパスワード |
| |
| — |
| |
| — | 5432 | |
| — |
| |
| EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 |
| |
| JMS エグゼキューターを有効にし、false に設定して無効にします。 |
| |
| JMS executor のトランザクションを有効にします。デフォルトでは無効です |
| |
| JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。 |
| |
| JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。 |
| |
| JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。 |
| |
| シグナル用の JMS キュー |
| |
| JMS 経由でシグナル設定を有効にします。 |
| |
| JMS 経由で監査ロギングを有効にします。 |
| |
| 監査ロギングの JMS キュー。 |
| |
| JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。 |
| |
| — |
| |
| 標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。 |
| |
| 標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。 |
| |
|
コンマで区切られた、設定するブローカーのプロトコル。許可される値は、 | tcp | |
| コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。 |
| |
| — |
| |
| シークレット内のキーストアファイルの名前。 |
| |
| サーバー証明書に関連付けられている名前 |
| |
| キーストアおよび証明書のパスワード |
| |
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。(org.kie.server.mgmt.api.disabled プロパティーを true に設定) |
| |
| — | OpenShiftStartupStrategy | |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| KIE Server の RH-SSO クライアントシークレット |
| |
| KIE Server の RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 |
| |
| 認証用に接続する LDAP エンドポイント |
| |
| 認証に使用するバインド DN。 |
| |
| 認証に使用する LDAP の認証情報。 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
| KIE サーバー PostgreSQL データベースのユーザー名 |
|
| KIE Server PostgreSQL データベースのパスワード |
| |
| KIE Server PostgreSQL データベース名 |
| |
| PostgreSQL による XA トランザクションの処理を許可します。 |
| |
|
| 標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。 |
|
| 標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。 |
| |
| 標準ブローカーユーザーのユーザーロール。 |
| |
| — |
| |
|
コンマで区切られた、設定するブローカーのプロトコル。許可される値は、 |
| |
| コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、KIE_SERVER_JMS_QUEUE_RESPONSE パラメーター、KIE_SERVER_JMS_QUEUE_REQUEST パラメーター、KIE_SERVER_JMS_QUEUE_SIGNAL パラメーター、KIE_SERVER_JMS_QUEUE_AUDIT パラメーター、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。 |
| |
| メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合は、システムのメモリーの半分が割り当てられます。 |
| |
| — | true | |
| — | — | |
| — | — | |
| — |
| |
| AMQ SSL トラストストアファイル名。 |
| |
| AMQ トラストストアのパスワード。 |
| |
| AMQ キーストアのファイル名。 |
| |
| AMQ キーストアおよび証明書のパスワード。 |
|
5.3.2.4.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| ssl certs | True |
|
|
| postgresql | false |
| broker-secret-volume |
| ssl certs | True |
5.3.2.5. 外部の依存関係
5.3.2.5.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
| ReadWriteOnce |
5.3.2.5.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
kieserver-app-secret broker-app-secret
5.4. rhpam75-kieserver-externaldb.yaml template
Red Hat Process Automation Manager 7.5 向けの、外部データベースを備えた管理 KIE Server のアプリケーションテンプレート(非推奨)
5.4.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 | — | False |
|
| KIE Server の Maven ミラー設定。 | external:* | False |
|
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 | repo-custom | False |
|
| Maven リポジトリーまたはサービスへの完全修飾 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | True |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
|
| KIE 管理者のユーザー名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) | executionUser | False |
|
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) | — | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 | rhpam-kieserver-rhel8 | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | True |
|
| Hibernate 永続性スキーマ。 | bd.schema | False |
|
| KIE Server 外部データベース Hibernate 方言。 | org.hibernate.dialect.MySQL57Dialect | True |
|
| データソースサービスホストを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。 | 10.10.10.1 | False |
|
| データソースサービスポートを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。 | 4321 | False |
|
| データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。 | True | False |
|
| データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。 | jdbc:mysql://127.0.0.1:3306/rhpam | False |
|
| 事前定義のドライバー名。利用可能な値は mysql、postgresql、または外部ドライバーの事前に定義された名前です。 | mariadb | True |
|
| データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。 | java:jboss/datasources/jbpmDS | True |
|
| KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。 | rhpam | False |
|
| KIE サーバー外部データベースのユーザー名。 | rhpam | True |
|
| KIE Server 外部データベースのパスワード。 | — | True |
|
| 設定されたデータソースに xa-pool/min-pool-size を設定します。 | — | False |
|
| 設定されたデータソースに xa-pool/max-pool-size を設定します。 | — | False |
|
| 接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。 | org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker | False |
|
| 例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。 | org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter | False |
|
| sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。 | true | False |
|
| jdbc 接続の background-validation チェックの間隔を定義します。 | 10000 | False |
|
| DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。使用できる値は 4 (デフォルト) または 2 です。 | 4 | False |
| — | ドライバーおよび設定を含むイメージの ImageStreamTag 定義。たとえば、custom-driver-image:1.0 です。 | custom-driver-extension:1.0 | True |
| — | ドライバーおよび設定を含むイメージの ImageStream 定義がある名前空間。 | openshift | True |
| — | 拡張が含まれる拡張イメージ内のディレクトリーへの完全パス (例: install.sh、modules/ など)。 |
| True |
|
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| False |
|
| KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定) | enabled | False |
|
| KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定) | true | False |
|
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) | false | False |
|
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 | — | False |
| — | キーストアファイルを含むシークレット名 | kieserver-app-secret | True |
|
| シークレット内のキーストアファイル名 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
|
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) | false | False |
|
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 | 30000 | False |
| — | KIE Server のコンテナーのメモリー制限。 | 1Gi | False |
|
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.5.0-SNAPSHOT | False |
|
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 | true | False |
|
| RH-SSO URL。 | False | |
|
| RH-SSO レルム名。 | — | False |
|
| KIE Server の RH-SSO クライアント名。 | — | False |
|
| KIE Server の RH-SSO クライアントシークレット。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント。 | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール。 | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.4.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.4.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての KIE Server Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
5.4.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
insecure-${APPLICATION_NAME}-kieserver-http | なし |
|
| TLS パススルー |
|
5.4.2.3. ビルド設定
buildConfig
は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig
は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。
S2I イメージ | リンク | ビルドの出力 | BuildTriggers および設定 |
---|---|---|---|
rhpam-kieserver-rhel8:7.5.0 |
| ImageChange, ImageChange, ConfigChange |
5.4.2.4. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.4.2.4.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
5.4.2.4.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 1 |
5.4.2.4.3. Pod テンプレート
5.4.2.4.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
5.4.2.4.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
|
5.4.2.4.3.3. Readiness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
5.4.2.4.3.4. Liveness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
5.4.2.4.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
|
5.4.2.4.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
|
| KIE 管理者のユーザー名 |
| |
| KIE 管理者のパスワード |
| |
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| |
| KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定) |
| |
| KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定) |
| |
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) |
| |
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) |
| |
| — | — | |
| — |
| |
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) |
| |
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) |
| |
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
| KIE Server の Maven ミラー設定。 |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
| Maven リポジトリーまたはサービスへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 |
| |
| — | OpenShiftStartupStrategy | |
| データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。 |
| |
| Hibernate 永続性スキーマ。 |
| |
| KIE Server 外部データベース Hibernate 方言。 |
| |
| — |
| |
| KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。 |
| |
| データソースサービスホストを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。 |
| |
| データソースサービスポートを設定します。事前に定義された mysql データソースプロパティーまたは postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。 |
| |
| データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。 |
| |
| 事前定義のドライバー名。利用可能な値は mysql、postgresql、または外部ドライバーの事前に定義された名前です。 |
| |
| KIE サーバー外部データベースのユーザー名。 |
| |
| KIE Server 外部データベースのパスワード。 |
| |
| データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。 |
| |
| データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。 |
| |
| データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要がありません。 |
| |
| 設定されたデータソースに xa-pool/min-pool-size を設定します。 |
| |
| 設定されたデータソースに xa-pool/max-pool-size を設定します。 |
| |
| 接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。 |
| |
| 例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。 |
| |
| sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。 |
| |
| jdbc 接続の background-validation チェックの間隔を定義します。 |
| |
| DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。使用できる値は 4 (デフォルト) または 2 です。 |
| |
| — | true | |
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 |
| |
| — |
| |
| シークレット内のキーストアファイル名 |
| |
| サーバー証明書に関連付けられている名前 |
| |
| キーストアおよび証明書のパスワード |
| |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| KIE Server の RH-SSO クライアントシークレット。 |
| |
| KIE Server の RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 |
| |
| 認証用に接続する LDAP エンドポイント。 |
| |
| 認証に使用するバインド DN |
| |
| 認証に使用する LDAP の認証情報 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール。 |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
|
5.4.2.4.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| ssl certs | True |
5.4.2.5. 外部の依存関係
5.4.2.5.1. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
kieserver-app-secret
5.5. rhpam75-kieserver-mysql.yaml template
Red Hat Process Automation Manager 7.5 向けの、MySQL データベースを備えた管理 KIE Server のアプリケーションテンプレート(非推奨)
5.5.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 | — | False |
|
| KIE Server の Maven ミラー設定。 | external:* | False |
|
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 | repo-custom | False |
|
| Maven リポジトリーまたはサービスへの完全修飾 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | True |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
|
| KIE 管理者のユーザー名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) | executionUser | False |
|
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) | — | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 | rhpam-kieserver-rhel8 | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | True |
|
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) | java:/jboss/datasources/rhpam | False |
| — | MySQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。 | openshift | False |
| — | MySQL イメージのバージョン。これは MySQL バージョンに対応するように意図されています。これは MySQL バージョンに対応するように意図されており、デフォルトは「5.7」です。 | 5.7 | False |
|
| KIE サーバー MySQL データベースのユーザー名 | rhpam | False |
|
| KIE Server MySQL データベースのパスワード。 | — | False |
|
| KIE Server MySQL データベース名。 | rhpam7 | False |
| — | データベースボリュームの永続ストレージのサイズ。 | 1Gi | True |
|
| KIE Server MySQL Hibernate 方言。 | org.hibernate.dialect.MySQL57Dialect | True |
|
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| False |
|
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) | enabled | False |
|
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) | true | False |
|
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) | false | False |
|
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 | — | False |
| — | キーストアファイルを含むシークレット名 | kieserver-app-secret | True |
|
| シークレット内のキーストアファイル名 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
|
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) | false | False |
|
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 | 30000 | False |
| — | KIE Server のコンテナーのメモリー制限。 | 1Gi | False |
|
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.5.0-SNAPSHOT | False |
|
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 | true | False |
|
| RH-SSO URL。 | False | |
|
| RH-SSO レルム名。 | — | False |
|
| KIE Server の RH-SSO クライアント名。 | — | False |
|
| KIE Server の RH-SSO クライアントシークレット。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント。 | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール。 | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.5.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.5.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての KIE Server Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
| 3306 | — | データベースサーバーのポート。 |
5.5.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
insecure-${APPLICATION_NAME}-kieserver-http | なし |
|
| TLS パススルー |
|
5.5.2.3. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.5.2.3.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
| ImageChange |
5.5.2.3.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 1 |
| 1 |
5.5.2.3.3. Pod テンプレート
5.5.2.3.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
5.5.2.3.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
|
| mysql |
5.5.2.3.3.3. Readiness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-mysql
/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'
5.5.2.3.3.4. Liveness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-mysql
tcpSocket on port 3306
5.5.2.3.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
| |
| — | 3306 |
|
5.5.2.3.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
|
| KIE 管理者のユーザー名 |
| |
| KIE 管理者のパスワード |
| |
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| |
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) |
| |
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) |
| |
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) |
| |
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) |
| |
| — | — | |
| — |
| |
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) |
| |
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) |
| |
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
| KIE Server の Maven ミラー設定。 |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
| Maven リポジトリーまたはサービスへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 |
| |
| — | OpenShiftStartupStrategy | |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — |
| |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — | org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker | |
| — | org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter | |
| KIE Server MySQL データベース名。 |
| |
| — | mariadb | |
| KIE Server MySQL Hibernate 方言。 |
| |
| KIE サーバー MySQL データベースのユーザー名 |
| |
| KIE Server MySQL データベースのパスワード。 |
| |
| — |
| |
| — | 3306 | |
| — | true | |
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 |
| |
| — |
| |
| シークレット内のキーストアファイル名 |
| |
| サーバー証明書に関連付けられている名前 |
| |
| キーストアおよび証明書のパスワード |
| |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| KIE Server の RH-SSO クライアントシークレット。 |
| |
| KIE Server の RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 |
| |
| 認証用に接続する LDAP エンドポイント。 |
| |
| 認証に使用するバインド DN |
| |
| 認証に使用する LDAP の認証情報 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール。 |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
| KIE サーバー MySQL データベースのユーザー名 |
|
| KIE Server MySQL データベースのパスワード。 |
| |
| KIE Server MySQL データベース名。 |
|
5.5.2.3.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| ssl certs | True |
|
|
| mysql | false |
5.5.2.4. 外部の依存関係
5.5.2.4.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
| ReadWriteOnce |
5.5.2.4.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
kieserver-app-secret
5.6. rhpam75-kieserver-postgresql.yaml template
Red Hat Process Automation Manager 7.5 向けの、PostgreSQL データベースを備えた管理 KIE Server のアプリケーションテンプレート(非推奨)
5.6.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。この値は、パラメーターの参照時には、この値が代入されます。参照はオブジェクト一覧フィールドの任意のテキストフィールドで定義できます。詳細は、Openshift ドキュメント を参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
| — | アプリケーションの名前。 | myapp | True |
|
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 | — | False |
|
| KIE Server の Maven ミラー設定。 | external:* | False |
|
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 | repo-custom | False |
|
| Maven リポジトリーまたはサービスへの完全修飾 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | True |
|
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) | — | False |
|
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 | — | False |
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) | myapp-rhpamcentr | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 | mavenUser | False |
|
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード | maven1! | False |
|
| KIE 管理者のユーザー名 | adminUser | False |
|
| KIE 管理者のパスワード | — | False |
|
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) | executionUser | False |
|
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) | — | False |
| — | Red Hat Process Automation Manager イメージの ImageStream がインストールされている名前空間。これらの ImageStreams は通常 OpenShift の名前空間にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。 | openshift | True |
| — | KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 | rhpam-kieserver-rhel8 | True |
| — | イメージストリーム内のイメージへの名前付きポインター。デフォルトは「7.5.0」です。 | 7.5.0 | True |
|
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) | java:/jboss/datasources/rhpam | False |
|
| KIE サーバー PostgreSQL データベースのユーザー名。 | rhpam | False |
|
| KIE Server PostgreSQL データベースのパスワード。 | — | False |
|
| KIE Server PostgreSQL データベース名。 | rhpam7 | False |
| — | PostgreSQL イメージの ImageStream がインストールされている名前空間。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。 | openshift | False |
| — | PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されています。デフォルトは「10」です。 | 10 | False |
|
| PostgreSQL による XA トランザクションの処理を許可します。 | 100 | True |
| — | データベースボリュームの永続ストレージのサイズ。 | 1Gi | True |
|
| KIE Server PostgreSQL Hibernate 方言。 | org.hibernate.dialect.PostgreSQLDialect | True |
|
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| False |
|
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) | enabled | False |
|
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) | true | False |
|
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) | false | False |
|
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 | — | False |
|
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 | — | False |
| — | キーストアファイルを含むシークレット名 | kieserver-app-secret | True |
|
| シークレット内のキーストアファイル名 | keystore.jks | False |
|
| サーバー証明書に関連付けられている名前 | jboss | False |
|
| キーストアおよび証明書のパスワード | mykeystorepass | False |
|
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) | false | False |
|
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 | 30000 | False |
| — | KIE Server のコンテナーのメモリー制限。 | 1Gi | False |
|
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.5.0-SNAPSHOT | False |
|
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 | true | False |
|
| RH-SSO URL。 | False | |
|
| RH-SSO レルム名。 | — | False |
|
| KIE Server の RH-SSO クライアント名。 | — | False |
|
| KIE Server の RH-SSO クライアントシークレット。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) | — | False |
|
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 | — | False |
|
| RH-SSO が無効な SSL 証明書の検証。 | false | False |
|
| ユーザー名として使用する RH-SSO プリンシパル属性 | preferred_username | False |
|
| 認証用に接続する LDAP エンドポイント。 | ldap://myldap.example.com | False |
|
| 認証に使用するバインド DN | uid=admin,ou=users,ou=exmample,ou=com | False |
|
| 認証に使用する LDAP の認証情報 | パスワード | False |
|
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 | — | False |
|
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN | ou=users,ou=example,ou=com | False |
|
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 | (uid={0}) | False |
|
| 使用する検索範囲。 |
| False |
|
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 | 10000 | False |
|
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 | distinguishedName | False |
|
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 | true | False |
|
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 | — | False |
|
| ユーザーロールを含む属性の名前。 | memberOf | False |
|
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 | ou=groups,ou=example,ou=com | False |
|
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 | (memberOf={1}) | False |
|
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 | 1 | False |
|
| 認証された全ユーザーに対して含まれるロール | user | False |
|
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 | name | False |
|
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 | false | False |
|
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 | false | False |
|
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 | — | False |
|
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 | — | False |
|
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 | — | False |
5.6.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.6.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
サービス | ポート | 名前 | 説明 |
---|---|---|---|
| 8080 | http | すべての KIE Server Web サーバーのポート。 |
8443 | https | ||
| 8888 | ping | クラスタリング向けの JGroups ping ポート。 |
| 5432 | — | データベースサーバーのポート。 |
5.6.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートや、サービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (任意) で構成されます。詳細は、Openshift ドキュメント を参照してください。
サービス | セキュリティー | ホスト名 |
---|---|---|
insecure-${APPLICATION_NAME}-kieserver-http | なし |
|
| TLS パススルー |
|
5.6.2.3. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメント を参照してください。
5.6.2.3.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメント を参照してください。
Deployment | トリガー |
---|---|
| ImageChange |
| ImageChange |
5.6.2.3.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、コンテナーエンジンのドキュメント を参照してください。
Deployment | レプリカ |
---|---|
| 1 |
| 1 |
5.6.2.3.3. Pod テンプレート
5.6.2.3.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメント を参照してください。
Deployment | サービスアカウント |
---|---|
|
|
5.6.2.3.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
|
| postgresql |
5.6.2.3.3.3. Readiness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container
5.6.2.3.3.4. Liveness Probe
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container --live
5.6.2.3.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
| jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
ping | 8888 |
| |
| — | 5432 |
|
5.6.2.3.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
|
| KIE 管理者のユーザー名 |
| |
| KIE 管理者のパスワード |
| |
| KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、SNAPSHOT バージョンのアーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。(org.kie.server.mode システムプロパティーを設定) |
| |
| KIE Server の mbeans が有効/無効になっています。(システムプロパティー kie.mbeans および kie.scanner.mbeans を設定) |
| |
| KIE Server クラスのフィルタリング。(org.drools.server.filter.classes システムプロパティーを設定) |
| |
| false に設定すると、prometheus サーバー拡張が有効になります。(org.kie.prometheus.server.ext.disabled システムプロパティーを設定) |
| |
| KIE Server は、タスク関連の操作 (たとえばクエリー) については認証ユーザーをスキップできます。(org.kie.server.bypass.auth.user システムプロパティーを設定) |
| |
| — | — | |
| — |
| |
| KIE サーバーのユーザー名(org.kie.server.user システムプロパティーを設定) |
| |
| KIE サーバーのパスワード。(org.kie.server.pwd システムプロパティーを設定) |
| |
| KIE Server コンテナーのデプロイメント設定。任意でエイリアスあり。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2) |
| |
| KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
| KIE Server の Maven ミラー設定。 |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| maven リポジトリーの使用状況など、サービスのルックアップができるように任意の Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
| — |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのユーザー名 |
| |
| EAP 内の Business Central がホストする Maven サービスにアクセスするためのパスワード |
| |
| Maven リポジトリーに使用する ID。これが設定されている場合は、MAVEN_MIRROR_OF に追加して、必要に応じて設定したミラーから除外できます。たとえば、external:*,!repo-rhpamcentr,!repo-custom などがあります。MAVEN_MIRROR_URL に設定されていても MAVEN_MIRROR_ID が設定されていない場合は、ID が無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
| Maven リポジトリーまたはサービスへの完全修飾 URL。 |
| |
| Maven リポジトリーにアクセスするユーザー名 (必要な場合) |
| |
| Maven リポジトリーにアクセスするパスワード (必要な場合)。 |
| |
| 管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に設定し、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。 |
| |
| — | OpenShiftStartupStrategy | |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — |
| |
| KIE Server PostgreSQL データベース名。 |
| |
| — | postgresql | |
| KIE サーバー PostgreSQL データベースのユーザー名。 |
| |
| KIE Server PostgreSQL データベースのパスワード。 |
| |
| — |
| |
| — | 5432 | |
| KIE Server PostgreSQL Hibernate 方言。 |
| |
| — | true | |
| KIE Server 永続データソース。(org.kie.server.persistence.ds システムプロパティーを設定) |
| |
| — | org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLValidConnectionChecker | |
| — | org.jboss.jca.adapters.jdbc.extensions.postgres.PostgreSQLExceptionSorter | |
| EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。 |
| |
| — |
| |
| シークレット内のキーストアファイル名 |
| |
| サーバー証明書に関連付けられている名前 |
| |
| キーストアおよび証明書のパスワード |
| |
| — | openshift.DNS_PING | |
| — |
| |
| — | 8888 | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO レルム名。 |
| |
| KIE Server の RH-SSO クライアントシークレット。 |
| |
| KIE Server の RH-SSO クライアント名。 |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のユーザー名 (存在しない場合) |
| |
| クライアント作成に使用する RH-SSO レルムの管理者のパスワード。 |
| |
| RH-SSO が無効な SSL 証明書の検証。 |
| |
| ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
| http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。 |
| |
| https サービスルートのカスタムのホスト名。デフォルトホスト名の場合は空白にします (例: <application-name>-kieserver-<project>.<default-domain-suffix>。 |
| |
| 認証用に接続する LDAP エンドポイント。 |
| |
| 認証に使用するバインド DN |
| |
| 認証に使用する LDAP の認証情報 |
| |
| パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| |
| ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
| 認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
| 使用する検索範囲。 |
| |
| ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| |
| ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自体の DN に特殊文字 (たとえば、正しいユーザーマッピングを防ぐバックスラッシュ) が含まれている場合に必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
| DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定した場合には、 DN はユーザー名に対して解析されます。false に設定した場合には、 DN はユーザー名に対して解析されません。このオプションは、usernameBeginString および usernameEndString とともに使用されます。 |
| |
| DN の最初から削除される文字列を定義して、ユーザー名を表示します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
| ユーザーロールを含む属性の名前。 |
| |
| ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールがである DN ではなく、ユーザーロールを含むオブジェクトがある DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
| 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
| ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
| 認証された全ユーザーに対して含まれるロール |
| |
| ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
| クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定すると、DN は roleNameATtributeID に対して確認されません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
| roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
| リファーラル (referral) を使用しない場合はこのオプションを使用する必要はありません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
| このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
| 現在のロールを追加するか、マップされたロールに現在のロールを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
| KIE サーバー PostgreSQL データベースのユーザー名。 |
|
| KIE Server PostgreSQL データベースのパスワード。 |
| |
| KIE Server PostgreSQL データベース名。 |
| |
| PostgreSQL による XA トランザクションの処理を許可します。 |
|
5.6.2.3.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| ssl certs | True |
|
|
| postgresql | false |
5.6.2.4. 外部の依存関係
5.6.2.4.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS)、NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
| ReadWriteOnce |
5.6.2.4.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
kieserver-app-secret
5.7. OpenShift の使用に関するクイックリファレンス
Red Hat OpenShift Container Platform で Red Hat Process Automation Manager テンプレートをデプロイし、モニターし、管理し、デプロイ解除するには、OpenShift Web コンソールまたは oc
コマンドを使用できます。
Web コンソールの使用に関する説明は、「Web コンソールを使用したイメージの作成およびビルド」を参照してください。
oc
コマンドの使用方法に関する詳細は、『CLI リファレンス』を参照してください。次のコマンドが必要になる可能性があります。
プロジェクトを作成するには、以下のコマンドを使用します。
$ oc new-project <project-name>
詳細は、「CLI を使用したプロジェクトの作成」を参照してください。
テンプレートをデプロイするには (またはテンプレートからアプリケーションを作成するには)、以下のコマンドを実行します。
$ oc new-app -f <template-name> -p <parameter>=<value> -p <parameter>=<value> ...
詳細は、「CLI を使用したアプリケーションの作成」を参照してください。
プロジェクト内のアクティブな Pod の一覧を表示するには、以下のコマンドを使用します。
$ oc get pods
Pod のデプロイメントが完了し、実行中の状態になっているかどうかなど、Pod の現在のステータスを表示するには、以下のコマンドを使用します。
$ oc describe pod <pod-name>
oc describe
コマンドを使用して、他のオブジェクトの現在のステータスを表示できます。詳細は、「アプリケーションの変更操作」を参照してください。Pod のログを表示するには、以下のコマンドを使用します。
$ oc logs <pod-name>
デプロイメントログを表示するには、テンプレート参照で
DeploymentConfig
名を検索し、以下のコマンドを入力します。$ oc logs -f dc/<deployment-config-name>
詳細は、「デプロイメントログの表示」を参照してください。
ビルドログを表示するには、テンプレート参照で
BuildConfig
名を検索し、以下のコマンドを入力します。$ oc logs -f bc/<build-config-name>
詳細は、「ビルドログのアクセス」を参照してください。
アプリケーションの Pod をスケーリングするには、テンプレート参照で
DeploymentConfig
名を検索し、以下のコマンドを入力します。$ oc scale dc/<deployment-config-name> --replicas=<number>
詳細は、「手動スケーリング」を参照してください。
アプリケーションのデプロイメントを解除するには、以下のコマンドを使用してプロジェクトを削除します。
$ oc delete project <project-name>
または、
oc delete
コマンドを使用して、Pod またはレプリケーションコントローラーなど、アプリケーションの一部を削除できます。詳細は、「アプリケーションの修正操作」を参照してください。
付録A バージョン情報
本書の最終更新日: 2021 年 6 月 25 日(金)