Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 固定管理サーバー環境のデプロイ
Red Hat Customer Content Services
brms-docs@redhat.com
概要
前書き
システムエンジニアは、Red Hat OpenShift Container Platform に Red Hat Process Automation Manager 固定管理サーバー環境をデプロイして、プロセスおよびその他のビジネスアセットを実行するインフラストラクチャーを提供できます。この環境には、単一のデプロイメントには、一定数の KIE Server が含まれており、後でサーバーを追加したり削除したりできません。Business Central Monitoring を使用して、この環境内の KIE Server で実行するプロセスを管理して更新できます。
前提条件
- Red Hat OpenShift Container Platform バージョン 3.11 がデプロイされている。
- OpenShift クラスター/namespace で 4 ギガバイト以上のメモリーが利用可能である。
- デプロイメントする OpenShift プロジェクトが作成されている。
-
oc
コマンドを使用してプロジェクトにログインしている。oc
コマンドランツールに関する詳細は、『OpenShift CLI リファレンス』を参照してください。OpenShift Web コンソールを使用してテンプレートをデプロイするには、Web コンソールを使用してログインしている必要もあります。 動的永続ボリューム (PV) のプロビジョニングが有効にされている。または、動的 PV プロビジョニングが有効でない場合には、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、デプロイされるコンポーネントには以下の PV サイズが必要です。
- 複製された KIE Server Pod の各セットに、デフォルトでデータベースに 1 つの 1Gi PV が設定されている。データベース PV のサイズはテンプレートパラメーターで変更することができます。この要件は、外部データベースサーバーを使用する場合には適用されません。
- Business Central Monitoring には、1 つの 64Mi PV が必要です。
- Smart Router には、1 つの 64Mi PV が必要です。
-
お使いの OpenShift 環境で
ReadWriteMany
モードを使用した永続ボリュームをサポートしている。環境でこのモードをサポートしていない場合は、NFS を使用してボリュームをプロビジョニングできます。OpenShift パブリックおよび専用クラウドでのアクセスモードのサポートに関する情報は、「アクセスモード」を参照してください。
Red Hat Process Automation Manager バージョン 7.5 以降、Red Hat OpenShift Container Platform 3.x のサポートは非推奨となっています。これには、Red Hat Process Automation Manager のインストールに使用するテンプレートも含まれます。この機能は今後のリリースで削除されます。
Red Hat Process Automation Manager テンプレートを Red Hat OpenShift Container Platform 4.x と共に使用しないでください。Red Hat Process Automation Manager を Red Hat OpenShift Container Platform 4.x にデプロイするには、『Deploying a Red Hat Process Automation Manager environment on Red Hat OpenShift Container Platform using Operators』の説明を参照してください。
第1章 Red Hat OpenShift Container Platform における Red Hat Process Automation Manager の概要
Red Hat Process Automation Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。
この場合、Red Hat Process Automation Manager のコンポーネントは、別々の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。OpenShift の標準的な方法を使用して Pod を管理し、負荷を分散できます。
以下の Red Hat Process Automation Manager の主要コンポーネントが OpenShift で利用できます。
KIE Server (実行サーバー (Execution Server) とも呼ばれる) は、意思決定サービス、プロセスアプリケーションおよびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスのすべてのロジックは実行サーバーで実行されます。
通常、KIE Server にはデータベースサーバーが必要です。別の OpenShift Pod にデータベースサーバーを提供したり、別のデータベースサーバーを使用するように OpenShift で実行サーバーを設定したりできます。また、KIE Server では H2 データベースを使用できますが、使用する場合は、Pod をスケーリングできません。
一部のテンプレートでは、KIE Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じデータベースサーバーサービスを使用し、同じサービスを実行します。OpenShift には負荷分散機能があり、要求はいずれかの Pod で処理されます。
KIE Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の KIE Server Pod を必要な数だけ設定することができます。
Business Central は、オーサリングサービスに対する Web ベースのインタラクティブ環境で、管理および監視コンソールを提供します。 Business Central を使用してサービスを開発して KIE Server にそれらのサービスをデプロイできます。また、Business Central を使用してプロセスの実行を監視することもできます。
Business Central は一元化アプリケーションですが、同じデータを共有し、複数の Pod が実行できる、高可用性用に設定できます。
Business Central には開発するサービスののソースを保管する Git リポジトリーと、ビルドインの Maven リポジトリーが含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。
- Business Central Monitoring は Web ベースの管理および監視コンソールです。KIE Server へのサービスのデプロイメントを管理し、監視情報を提供しますが、オーサリング機能は含まれません。このコンポーネントを使用して、ステージングおよび実稼働環境を管理できます。
- Smart Router は、KIE Server と、KIE Server と対話するその他のコンポーネントとの間の任意のレイヤーです。環境に、複数の KIE Server で実行するサービスが多数含まれる場合、Smart Router はすべてのクライアントアプリケーションに対応するエンドポイントを 1 つ提供します。クライアントアプリケーションは、サービスを要求する REST API 呼び出しを実行できます。Smart Router は、特定の要求を処理できる KIE Server を自動的に呼び出します。
OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。
以下の環境タイプが一般的です。
- オーサリング: Business Central を使用してサービスを作成し、変更するために使用する環境です。これは、オーサリング作業用に Business Central を提供する Pod およびサービスのテスト実行用に KIE Server を提供する Pod で構成されます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager オーサリング環境のデプロイ』を参照してください。
管理対象のデプロイメント: ステージングおよび実稼働用として既存のサービスを実行するために使用する環境。この環境には、KIE Server Pod のいくつかのグループが含まれます。このようなすべてのグループに対してサービスのデプロイおよびデプロイ解除を実行します。必要に応じてこれらのグループのスケールアップおよびスケールダウンを実行できます。Business Central Monitoring を使用してサービスをデプロイし、実行し、停止し、またそれらの実行を監視します。
2 種類の管理環境をデプロイすることができます。自由形式 のサーバー環境では、最初に Business 2 種類の管理環境をデプロイすることができます。自由形式 のサーバー環境では、最初に Business Central Monitoring と 1 つの KIE Server をデプロイします。その後、追加として任意の数の KIE Server をデプロイできます。Business Central Monitoring は同じ namespace のすべてのサーバーに接続できます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager フリーフォーム環境のデプロイ』を参照してください。
または、固定の 管理サーバー環境をデプロイすることもできます。単一デプロイメントには、Business Central Monitoring、 Smart Router、および事前に設定された数の KIE Server (デフォルトでは 2 サーバーですが、テンプレートを変更して数を変更することができます) が含まれます。サーバーの追加や削除は後のプロセスでは容易に行えなくなります。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 固定管理サーバー環境のデプロイ』を参照してください。
- イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行するための代替の環境です。この環境では、KIE Server Pod のデプロイ時に、サービスまたはサービスのグループをロードし、起動するイメージをビルドします。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する必要がある場合は、新規のサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、KIE Server は OpenShift 環境の Pod のように実行されるので、任意のコンテナーベースの統合ワークフローを使用することができ、他のツールを使用して Pod を管理する必要はありません。オプションとして、Business Central Monitoring を使用して環境のパフォーマンスを監視できますが、追加のサービスを Process Server にデプロイしたり、既存のサービスのデプロイを解除したりすることはできません (コンテナーの追加または削除はできません)。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager イミュータブルサーバー環境のデプロイメント』を参照してください。
試用 または評価環境をデプロイすることも可能です。この環境には、Business Central と KIE Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、この環境でのいずれの作業も保存されません。この環境のデプロイ方法については、『 Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 試用環境のデプロイ』を参照してください。
OpenShift に Red Hat Process Automation Manager 環境をデプロイするには、Red Hat Process Automation Manager で提供されるテンプレートを使用できます。設定が環境に適したものになるようにテンプレートを変更できます。
第2章 OpenShift 環境に Red Hat Process Automation Manager をデプロイする準備
OpenShift 環境に Red Hat Process Automation Manager をデプロイする前に、タスクをいくつか完了する必要があります。追加イメージ (たとえば、プロセスの新しいバージョン、または別のプロセス) をデプロイする場合は、このタスクを繰り返す必要はありません。
2.1. イメージストリームとイメージレジストリーの可用性確認
Red Hat Process Automation Manager コンポーネントを Red Hat OpenShift Container Platform にデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認する必要があります。これらのイメージをダウンロードするために、OpenShift ではイメージの場所情報が含まれる イメージストリーム が必要になります。また、OpenShift はお使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーで認証できるように設定される必要があります。
OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合には、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。
それ以外の方法として、レジストリー認証を独自のプロジェクトで設定し、イメージストリームをそのプロジェクトにインストールすることができます。
手順
- Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用に、ユーザー名とパスワードで設定されているかを判断します。必須の設定に関する詳細は、「レジストリーの場所の設定」を参照してください。OpenShift オンラインサブスクリプションを使用する場合には、Red Hat レジストリー用のアクセスはすでに設定されています。
Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されている場合は、以下のコマンドを実行します。
$ oc get imagestreamtag -n openshift | grep rhpam-businesscentral | grep 7.7 $ oc get imagestreamtag -n openshift | grep rhpam-kieserver | grep 7.7
両コマンドの出力が空でない場合は、必要なイメージストリームが
openshift
namespace にあるので、これ以外の操作は必要ありません。コマンドの 1 つまたは複数の出力が空白の場合や、Red Hat レジストリーにアクセスするために、OpenShift をユーザー名およびパスワードで設定していない場合には、以下の手順を実行してください。
-
oc
コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。 - 「Registry Service Accounts for Shared Environments」に記載されている手順を実行します。Red Hat カスタマーポータルにログインし、レジストリーサービスアカウントを作成する手順を実行する必要があります。
- OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
-
ダウンロードしたファイルを確認して、
name:
エントリーに記載の名前をメモします。 以下のコマンドを実行します。
oc create -f <file_name>.yaml oc secrets link default <secret_name> --for=pull oc secrets link builder <secret_name> --for=pull
<file_name>
はダウンロードしたファイルに、<secret_name>
はファイルのname:
のエントリーに記載されている名前に置き換えてください。-
Software Downloads ページから
rhpam-7.7.0-openshift-templates.zip
の製品配信可能ファイルをダウンロードし、rhpam77-image-streams.yaml
ファイルを展開します。 以下のコマンドを入力します。
$ oc apply -f rhpam77-image-streams.yaml
注記上記の手順を完了したら、イメージストリームをプロジェクトの namespace にインストールします。この場合、テンプレートをデプロイする際に
IMAGE_STREAM_NAMESPACE
パラメーターをこのプロジェクトの名前に設定する必要があります。
-
2.2. KIE Server のシークレットの作成
OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、OpenShift ドキュメントの「シークレット」の章を参照してください。
KIE Server への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
手順
KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、想定されている KIE Server の URL と一致する、有効な署名済み証明書を生成します。
-
keystore.jks
というファイルにキーストアを保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットkieserver-app-secret
を生成します。$ oc create secret generic kieserver-app-secret --from-file=keystore.jks
2.3. Business Central へのシークレットの作成
Business Central への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
Business Central と KIE Server に同じ証明書およびキーストアを使用しないでください。
手順
KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、Business Central の予想される URL と一致する有効な署名済み証明書を生成します。
-
keystore.jks
というファイルにキーストアを保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットbusinesscentral-app-secret
を生成します。$ oc create secret generic businesscentral-app-secret --from-file=keystore.jks
2.4. Smart Router のシークレットの作成
Smart Router への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。
Smart Router の証明書およびキーストアに、KIE Server または Business Central で使用されているものと同じものを指定しないでください。
手順
KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。
注記実稼働環境で、Smart Router の予想される URL と一致する有効な署名済み証明書を生成します。
-
keystore.jks
というファイルにキーストアを保存します。 -
証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は
jboss
です。 -
キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は
mykeystorepass
です。 oc
コマンドを使用して、新しいキーストアファイルからシークレットsmartrouter-app-secret
を生成します。$ oc create secret generic smartrouter-app-secret --from-file=keystore.jks
2.5. 管理ユーザーのシークレットの作成
Red Hat Process Automation Manager 管理ユーザーアカウントのユーザー名とパスワードを含む汎用シークレットを作成する必要があります。このシークレットは、試用版テンプレート以外のテンプレートを使用して Red Hat Process Automation Manager をデプロイするのに必要です。
シークレットには、リテラルのユーザー名とパスワードが含まれている必要があります。ユーザー名のキー名は KIE_ADMIN_USER
です。パスワードのキー名は KIE_ADMIN_PWD
です。
複数のテンプレートを使用して Red Hat Process Automation Manager のコンポーネントをデプロイする場合、これらすべてのデプロイメントに同じシークレットを使用します。コンポーネントは、このユーザーアカウントを利用して相互に通信します。
このユーザーアカウントを使用して Business Central Monitoring にログインすることもできます。
RH-SSO または LDAP 認証を使用する場合は、同じパスワードを持つ同じユーザーを Red Hat Process Automation Manager の kie-server,rest-all,admin
ロールを使用して認証システムで設定する必要があります。
手順
oc
コマンドを使用し、ユーザー名およびパスワードの kie-admin-user-secret
という汎用シークレットを生成します。
$ oc create secret generic rhpam-credentials --from-literal=KIE_ADMIN_USER=adminUser --from-literal=KIE_ADMIN_PWD=adminPassword
このコマンドで、adminPassword を管理ユーザーのパスワードに置き換えます。オプションで、adminUser を管理ユーザーの別のユーザー名に置き換えることができます。
2.6. NFS を使用した ReadWriteMany
アクセスモードの永続ボリュームのプロビジョニング
Business Central Monitoring をデプロイする場合には、ご使用の環境は ReadWriteMany
アクセスモードで永続ボリュームをプロビジョニングする必要があります。
お使いの設定で ReadWriteMany
アクセスモードの永続ボリュームのプロビジョニングが必要であるものの、環境がそのようなプロビジョニングに対応しない場合、NFS を使用してボリュームをプロビジョニングします。それ以外の場合は、この手順は省略します。
手順
NFS サーバーをデプロイし、NFS を使用して永続ボリュームをプロビジョニングします。NFS を使用して永続ボリュームをプロビジョニングする方法については、『クラスターの設定』の「NFS を使用した永続ストレージ」を参照してください。
2.7. オフラインで使用する Maven ミラーリポジトリーの用意
Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。
Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合にはこの手順を実行する必要はありません。
前提条件
- 公開インターネットへの送信アクセスが設定されているコンピューターが利用可能であること。
手順
書き込みアクセス権がある Maven リリースリポジトリーを設定します。リポジトリーは認証なしで読み取りアクセスを許可する必要があり、OpenShift 環境にはこのリポジトリーへのネットワークアクセスが必要です。
OpenShift 環境に Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、Red Hat OpenShift Container Platform 3.11 ドキュメントの「Nexus の設定」を参照してください。このリポジトリーを別個のミラーリポジトリーとして使用します。
または、サービスにカスタムの外部リポジトリー (Nexus など) を使用する場合、同じリポジトリーをミラーリポジトリーとして使用できます。
公開インターネットに送信アクセスができるコンピューターで、以下のアクションを実行します。
-
Red Hat カスタマーポータルの Software Downloads ページから、利用可能な
rhpam-7.7.0-offliner.zip
の製品配信可能ファイルをダウンロードします。 -
rhpam-7.7.0-offliner.zip
ファイルの内容を任意のディレクトリーに展開します。 ディレクトリーに移動し、以下のコマンドを入力します。
./offline-repo-builder.sh offliner.txt
このコマンドは、
repository
サブディレクトリーを作成し、必要なアーティファクトをこのサブディレクトリーにダウンロードします。一部のダウンロードが失敗したことを示すメッセージが表示された場合は、同じコマンドを再度実行してください。ダウンロードが再び失敗する場合は、Red Hat サポートに連絡してください。
-
repository
サブディレクトリーのすべてのアーティファクトを、作成した Maven ミラーリポジトリーにアップロードします。アーティファクトをアップロードするには、Maven repository tools Git リポジトリーから利用できる Maven Repository Provisioner ユーティリティーを使用できます。
-
Red Hat カスタマーポータルの Software Downloads ページから、利用可能な
Business Central 外でサービスを開発し、追加の依存関係がある場合には、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして開発した場合には、以下の手順を使用し、これらの依存関係を自動的に用意します。公開インターネットへに送信接続できるコンピューターで、この手順を実行します。
-
ローカルの Maven キャッシュディレクトリー (
~/.m2/repository
) のバックアップを作成して、ディレクトリーを削除します。 -
mvn clean install
コマンドを使用してプロジェクトのソースをビルドします。 すべてのプロジェクトで以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。
mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true
/path/to/project/pom.xml
は、プロジェクトのpom.xml
ファイルへの正しいパスに置き換えます。- ローカル Maven キャッシュディレクトリーのすべてのアーティファクトを、作成した Maven ミラーリポジトリーにアップロードします。アーティファクトをアップロードするには、Maven repository tools Git リポジトリーから利用できる Maven Repository Provisioner ユーティリティーを使用できます。
-
ローカルの Maven キャッシュディレクトリー (
第3章 固定管理サーバー環境
単一のデプロイメントで固定管理サーバー環境をデプロイし、KIE Server を実行する異なる Pod を複数含めることができます。デフォルトでは、最初にサーバーにプロセスは読み込まれていません。また、データベースサーバーは、デフォルトで Pod で実行します。KIE Server の各 Pod は必要に応じて個別にスケールできます。
Business Central Monitoring を使用する Pod と、Smart Router を使用する Pod もデプロイできます。KIE Server にプロセスをデプロイ、ロード、アンロードするには、Business Central Monitoring が必要になります。また、監視情報を表示することもできます。
Smart Router は、クライアントアプリケーションからプロセスへのコールを受け取れる単一エンドポイントで、プロセスを実行するサーバーへの各コールのルートを自動的に決定します。
デフォルトでは、テンプレートは 2 つの独立した KIE Server を作成します。テンプレートを変更して、デプロイメント前に KIE Server の数を変更できます。後で KIE Server を簡単に追加したり、削除したりすることはできません。
サーバーにデプロイするプロセス (KJAR ファイル) がある Maven リポジトリーを提供する必要があります。統合プロセスは、必要なバージョンのプロセスが Maven リポジトリーにアップロードされるようにする必要があります。開発環境で Business Central を使用してプロセスを作成し、Maven リポジトリーにアップロードできます。
3.1. 固定管理サーバー環境のデプロイ
テンプレート 1 つで固定管理サーバー環境をデプロイできます。テンプレートファイル名は rhpam77-prod.yaml
です。
このテンプレートには、2 つの KIE Server Pod (および PostgreSQL データベース Pod)、高可用性設定の Smart Router、高可用性設定の Business Central Monitoring が含まれます。
デプロイメントの設定時に、全コンポーネントのレプリカ数を変更できます。独立した KIE Server Pod の数を変更するか、別のデータベースサーバーを使用する場合には、テンプレートを変更する必要があります。テンプレートの変更に関する説明は、「管理環境のテンプレートの修正」を参照してください。
固定管理環境テンプレートは、Red Hat Process Automation Manager 7.7 で非推奨になり、今後のリリースで削除される予定です。
3.1.1. 固定管理サーバー環境用のテンプレートの設定開始
固定管理サーバー環境をデプロイするには、rhpam77-prod.yaml
テンプレートファイルを使用します。
手順
-
Red Hat カスタマーポータルの Software Downloads ページから利用可能な
rhpam-7.7.0-openshift-templates.zip
の製品配信可能ファイルをダウンロードします。 -
rhpam77-prod.yaml
テンプレートファイルを展開します。 - デフォルトで、テンプレートには 2 つの KIE Server が含まれます。それぞれのサーバーは Pod で PostgreSQL データベースサーバーを使用します。KIE Server の数を変更するか、または Pod で MySQL データサーバーをするか、または外部データベースサーバーを使用するには、「管理環境のテンプレートの修正」 で説明されているようにテンプレートを変更します。
以下のいずれかの方法を使用してテンプレートのデプロイを開始します。
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、
rhpam77-prod.yaml
ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで Process the template が選択されていることを確認し、Continue をクリックします。 OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。
oc new-app -f <template-path>/rhpam77-prod.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value
このコマンドラインで、以下のように変更します。
-
<template-path>
を、ダウンロードしたテンプレートファイルのパスに置き換えます。 -
必須のパラメーターの設定に必要な数の
-p PARAMETER = value
のペアを使用します。
-
-
OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、
次のステップ
テンプレートのパラメーターを設定します。「固定管理サーバー環境に必要なパラメーターの設定 」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。
3.1.2. 固定管理サーバー環境に必要なパラメーターの設定
テンプレートを使用して固定管理サーバー環境をデプロイするように設定するには、いずれの場合でも以下のパラメーターを設定する必要があります。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
以下の必須パラメーターを設定します。
-
Credentials secret (
CREDENTIALS_SECRET
): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。 -
Business Central Monitoring Server Keystore Secret Name (
BUSINESS_CENTRAL_HTTPS_SECRET
): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。 -
KIE Server Keystore Secret Name (
KIE_SERVER_HTTPS_SECRET
): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。 -
Smart Router Keystore Secret Name (
KIE_SERVER_ROUTER_HTTPS_SECRET
): 「Smart Router のシークレットの作成」で作成した Smart Router のシークレットの名前。 -
Business Central Monitoring Server Certificate Name (
BUSINESS_CENTRAL_HTTPS_NAME
): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。 -
Business Central Monitoring Server Keystore Password (
BUSINESS_CENTRAL_HTTPS_PASSWORD
): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。 -
KIE Server Certificate Name (
KIE_SERVER_HTTPS_NAME
): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。 -
KIE Server Keystore Password (
KIE_SERVER_HTTPS_PASSWORD
): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。 -
Smart Router Certificate Name (
KIE_SERVER_ROUTER_HTTPS_NAME
): 「Smart Router のシークレットの作成」で作成したキーストアの証明書名。 -
Smart Router Keystore Password (
KIE_SERVER_ROUTER_HTTPS_PASSWORD
): 「Smart Router のシークレットの作成」で作成したキーストアのパスワード。 -
Application Name (
APPLICATION_NAME
): OpenShift アプリケーションの名前。これは Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用してデプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの個別のセットを作成できます。別々のアプリケーション名を使用する限り、同じテンプレートを使用して複数のアプリケーションを同じプロジェクトにデプロイできます。また、アプリケーション名は、KIE Server が Business Central Monitoring で参加するサーバーの設定 (サーバーテンプレート) の名前を決定するものとなります。複数の KIE Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。 -
Maven repository URL (
MAVEN_REPO_URL
): Maven リポジトリーの URL。KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。 -
Maven repository ID (
MAVEN_REPO_ID
): Maven リポジトリーの ID。デフォルト値はrepo-custom
です。 -
Maven リポジトリーのユーザー名 (
MAVEN_REPO_USERNAME
): Maven リポジトリーのユーザー名。 -
Maven リポジトリーのパスワード (
MAVEN_REPO_PASSWORD
): Maven リポジトリーのパスワード。 -
KIE Server Mode (
KIE_SERVER_MODE
):rhpam77-kieserver-*.yaml
テンプレートで、デフォルト値はPRODUCTION
です。PRODUCTION
モードでは、SNAPSHOT
バージョンの KJAR アーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION
モードで新規バージョンをデプロイするには、同じ KIE Server で新規コンテナーを作成します。SNAPSHOT
バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターをDEVELOPMENT
に設定します。 -
ImageStream Namespace (
IMAGE_STREAM_NAMESPACE
): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、namespace はopenshift
になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。
-
Credentials secret (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
3.1.3. 固定管理サーバー環境用のイメージストリーム namespace の設定
openshift
ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。
すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE
) パラメーターを OpenShift プロジェクトの名前に設定します。
3.1.4. 固定管理対象サーバー環境の Pod レプリカ数の設定
固定管理サーバー環境をデプロイするようにテンプレートを設定する時に、KIE Server、Business Central Monitoring、Smart Router のレプリカの初期数を設定できます。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
レプリカの数を設定するには、次のパラメーターを設定します。
-
Business Central Monitoring Container Replicas (
BUSINESS_CENTRAL_MONITORING_CONTAINER_REPLICAS
): デプロイメント時に最初に Business Central Monitoring 用に最初に作成されるレプリカ数。Business Central Monitoring に高可用性設定を使用しない場合は、この数値を 1 に設定します。 -
KIE Server Container Replicas (
KIE_SERVER_CONTAINER_REPLICAS
): The number of replicas that the deployment initially creates for KIE Server. -
Smart Router Container Replicas (
SMART_ROUTER_CONTAINER_REPLICAS
): デプロイメント時に最初に Smart Router 用に作成されるレプリカ数。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
3.1.5. 固定管理サーバー環境の公開インターネットへの接続のない環境に Maven ミラーへのアクセスを設定する手順
固定管理サーバー環境をデプロイするようにテンプレートを設定する時に、OpenShift 環境が公開インターネットに接続されていない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。
-
Maven mirror URL (
MAVEN_MIRROR_URL
): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は OpenShift 環境の Pod からアクセスできる必要があります。 Maven mirror of (
MAVEN_MIRROR_OF
): ミラーから取得されるアーティファクトを定める値。mirrorOf
の値を設定する方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値はexternal:*
です。この値で、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。-
外部の Maven リポジトリー (
MAVEN_REPO_URL
) を設定する場合には、ミラーからこのリポジトリー内のアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。 -
ビルトイン Business Central Maven リポジトリー (
BUSINESS_CENTRAL_MAVEN_SERVICE
) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するようにMAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr
)。 -
両方のリポジトリーを設定している場合には、ミラーからそれらのリポジトリーを除外するように
MAVEN_MIRROR_OF
を変更します (例:external:*,!repo-rhpamcentr,!repo-custom
)。repo-custom
は、MAVEN_REPO_ID
で設定した ID に置き換えます。
-
外部の Maven リポジトリー (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
3.1.6. 固定管理サーバー環境用の RH-SSO 認証パラメーターの設定
RH-SSO 認証を使用する必要がある場合には、固定管理サーバー環境をデプロイするようにテンプレートを設定する時に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
- Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されていること。
Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。
「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには
kie-server,rest-all,admin
ロールが必要です。- デプロイ中の Red Hat Process Automation Manager 環境の全コンポーネントに対して、RH-SSO 認証システムにクライアントが作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL の確認と編集が可能です。または、Red Hat Process Automation Manager デプロイメントを使用して、クライアントを作成できますが、このオプションは、環境を制御する粒度が低くなります。
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
以下の必須パラメーターを設定します。
-
RH-SSO URL (
SSO_URL
): RH-SSO の URL。 -
RH-SSO Realm name (
SSO_REALM
): Red Hat Process Automation Manager の RH-SSO レルム。 -
RH-SSO が無効な SSL 証明書の検証 (
SSO_DISABLE_SSL_CERTIFICATE_VALIDATION
): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合にはtrue
に設定します。
-
RH-SSO URL (
以下の手順のいずれかを実行します。
RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。
-
Business Central Monitoring RH-SSO Client name (
BUSINESS_CENTRAL_SSO_CLIENT
): Business Central Monitoring の RH-SSO クライアント名。 テンプレートで定義した各 KIE Server の場合:
-
KIE Server n RH-SSO Client name (
KIE_SERVERn_SSO_CLIENT
): この KIE Server の RH-SSO クライアント名 -
KIE Server n RH-SSO Client Secret (
KIE_SERVERn_SSO_SECRET
): この KIE Server のクライアントに対して RH-SSO で設定したシークレットの文字列
-
KIE Server n RH-SSO Client name (
-
Business Central Monitoring RH-SSO Client name (
RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。
テンプレートで定義した各 KIE Server の場合:
-
KIE Server n RH-SSO Client name (
KIE_SERVERn_SSO_CLIENT
): この KIE Server に対して RH-SSO で作成したクライアント名 -
KIE Server n RH-SSO Client Secret (
KIE_SERVERn_SSO_SECRET
): この KIE Server のクライアントに対して RH-SSO で設定するシークレットの文字列
-
KIE Server n RH-SSO Client name (
-
RH-SSO Realm Admin Username (
SSO_USERNAME
) および RH-SSO Realm Admin Password (SSO_PASSWORD
): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。
3.1.7. 固定管理サーバー環境用の LDAP 認証パラメーターの設定
LDAP 認証を使用する必要がある場合には、固定管理サーバー環境をデプロイするようにテンプレートを設定する時に追加の設定を実行します。
LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。
前提条件
LDAP システムに Red Hat Process Automation Manager のユーザー名およびパスワードを作成していること。利用可能なロールの一覧は、4章Red Hat Process Automation Manager ロールおよびユーザーを参照してください。
「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには
kie-server,rest-all,admin
ロールが必要です。- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
テンプレートの
AUTH_LDAP*
パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP のLdapExtended
ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended login module」を参照してください。LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。
-
RoleMapping rolesProperties file path (
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
):/opt/eap/standalone/configuration/rolemapping/rolemapping.properties
など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。 -
RoleMapping replaceRole プロパティー (
AUTH_ROLE_MAPPER_REPLACE_ROLE
):true
に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false
に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定はfalse
です。
-
RoleMapping rolesProperties file path (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
3.1.8. 固定管理サーバー環境用に外部データベースサーバーを使用するためのパラメーターの設定
「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているように、KIE Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合、 固定管理サーバー環境をデプロイするようにテンプレートを設定する時に以下の追加の設定を行います。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
以下の必須パラメーターを設定します。
KIE Server External Database Driver (
KIE_SERVER_EXTERNALDB_DRIVER
): サーバーの種類に応じたサーバーのドライバー。-
mysql
-
postgresql
-
mariadb
-
mssql
-
db2
-
oracle
-
sybase
-
-
KIE Server External Database User (
KIE_SERVER_EXTERNALDB_USER
) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD
): 外部データベースサーバーのユーザー名およびパスワード。 -
KIE Server External Database URL (
KIE_SERVER_EXTERNALDB_URL
): 外部データベースサーバーの JDBC URL。 -
KIE Server External Database Host (
KIE_SERVER_EXTERNALDB_SERVICE_HOST
) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT
): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL
パラメーターを設定する代わりに設定できます。 KIE Server External Database Dialect (
KIE_SERVER_EXTERNALDB_DIALECT
): サーバーの種類に応じたサーバーの Hibernate ダイアレクト。-
org.hibernate.dialect.MySQL5InnoDBDialect
(MySQL および MariaDB で使用される) -
org.hibernate.dialect.PostgreSQL82Dialect
-
org.hibernate.dialect.SQLServer2012Dialect
(MS SQL で使用される) -
org.hibernate.dialect.DB2Dialect
-
org.hibernate.dialect.Oracle10gDialect
-
org.hibernate.dialect.SybaseASE157Dialect
-
-
KIE Server External Database name (
KIE_SERVER_EXTERNALDB_DB
): 外部データベースサーバーで使用するデータベース名。 -
JDBC Connection Checker class (
KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER
): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。 -
JDBC Exception Sorter class (
KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER
): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、MySQL または PostgreSQL 以外の外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。
-
Drivers Extension Image (
EXTENSIONS_IMAGE
): 拡張イメージの ImageStreamTag 定義 (例:jboss-kie-db2-extension-openshift-image:11.1.4.4
) -
Drivers ImageStream Namespace (
EXTENSIONS_IMAGE_NAMESPACE
): 拡張イメージのアップロード先の namespace (例:openshift
またはプロジェクト namespace)
-
Drivers Extension Image (
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
3.1.9. 固定管理サーバー環境用の Prometheus メトリクス収集の有効化
KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に KIE Server でこの機能のサポートを有効にします。
前提条件
- 「固定管理サーバー環境用のテンプレートの設定開始」 に説明されているテンプレートの設定を開始していること。
手順
Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server Extension Disabled (PROMETHEUS_SERVER_EXT_DISABLED
) パラメーターを false
に設定します。
次のステップ
必要な場合は、追加のパラメーターを設定します。
デプロイを完了するには、??? の手順に従います。
Prometheus メトリクス収集の方法については、「Managing and monitoring KIE Server」を参照してください。
3.1.10. 固定管理サーバー環境のテンプレートのデプロイメント実行
OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。
手順
使用している方法に応じて、以下の手順を実行します。
OpenShift Web UI の場合は Create をクリックします。
-
This will create resources that may have security or project behavior implications
のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
-
- コマンドラインに入力して、Enter キーを押します。
3.2. (オプション) LDAP ロールマッピングファイルの指定
AUTH_ROLE_MAPPER_ROLES_PROPERTIES
パラメーターを設定する場合には、ロールマッピングを定義するファイルを指定する必要があります。影響を受けるデプロイメント設定すべてにこのファイルをマウントしてください。
手順
my-role-map
など、ロールマッピングのプロパティーファイルを作成します。このファイルには、以下の形式のエントリーを含める必要があります。ldap_role = product_role1, product_role2...
以下は例になります。
admins = kie-server,rest-all,admin
以下のコマンドを入力して、このファイルから OpenShift 設定ファイルのマッピングを作成します。
oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>
<new_name>
は、Pod に指定するファイルの名前 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES
ファイルで指定した名前と同じである必要があります) に、<existing_name>
は作成したファイル名に置き換えます。以下に例を示します。oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map
ロールマッピング用に指定した全デプロイメント設定に設定マップをマウントします。
以下のデプロイメント設定は、この環境で影響を受ける可能性があります。
-
myapp-rhpamcentrmon
: Business Central Monitoring -
myapp-kieserver-n
: KIE Server の数 n。デフォルトでは、この数字は、1 と 2 です。
myapp
はアプリケーション名に置き換えます。複数の KIE Server デプロイメントが異なるアプリケーション名で存在する場合があります。すべてのデプロイメント設定について、以下のコマンドを実行します。
oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping
<mapping_dir>
は、/opt/eap/standalone/configuration/rolemapping
など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES
で設定したディレクトリー名 (ファイル名なし) に置き換えます。-
3.3. 管理環境のテンプレートの修正
ニーズに応じて管理環境を調整するには、rhpam77-prod.yaml
テンプレートを変更してから、環境をデプロイする必要があります。
デフォルトでは、テンプレートはレプリケートした 2 つの KIE Server Pod を作成します。各 Pod に異なるプロセスをデプロイできます。レプリケートした KIE Server Pod をさらに追加するには、環境をデプロイする前にテンプレートを修正する必要があります。
デフォルトでは、テンプレートは、PostgreSQL Pod を作成して、レプリケートした各 KIE Server にデータベースサーバーを提供します。代わりに PostgreSQL、または (OpenShift プロジェクト外の) 外部サーバーを使用する場合は、環境をデプロイする前にテンプレートを修正する必要があります。
rhpam77-prod.yaml
テンプレートでは、Business Central Monitoring におけるレプリカの初期数も調整できます。
OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。
コメントの中には、テンプレート内のブロックを表すもの (BEGIN
から END
まで) があります。たとえば、以下のブロックの名前は Sample block
です。
## Sample block BEGIN sample line 1 sample line 2 sample line 3 ## Sample block END
変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。
名前付きブロックはネストできます。
手順
レプリケートした KIE Server Pod をさらに追加する場合は、追加するすべての Pod で以下の手順を繰り返します。
-
新しい Pod の番号を選択します。デフォルトの Pod の番号は
1
および2
ですが、新しい最初の Pod に3
、次の Pod に4
というように指定することもできます。 ファイルから、以下のブロックの
BEGIN
コメントからEND
コメントまでを、コピーします。-
KIE server services 1
-
PostgreSQL service 1
-
KIE server routes 1
-
KIE server deployment config 1
-
PostgreSQL deployment config 1
-
PostgreSQL persistent volume claim 1
-
-
作成したコピーで、
-1
のすべてのインスタンスを新しい Pod 番号 (例:-3
) に置き換えます。
-
新しい Pod の番号を選択します。デフォルトの Pod の番号は
PostgreSQL の代わりに MySQL を使用する場合は、ファイル内で、
BEGIN
コメントからEND
コメントまでの数ブロックを、rhpam77-kieserver-externaldb.yaml
ファイルのブロックに置き換え、新たに追加したブロックの一部を修正します。MySQL database parameters
ブロックを、PostgreSQL database parameters
ブロックに置き換えます (rhpam77-kieserver-postgresql.yaml
内のこのブロックと、その後の置換ブロックを使用します)。レプリケートしたすべての KIE Server の Pod 番号で以下の手順を繰り返します。たとえば、
1
および2
は未修正のテンプレートです。N
は Pod 番号 (例:1
) です。-
PostgreSQL service N
ブロックをMySQL service
ブロックに置き換えます。 -
PostgreSQL driver settings N
ブロックをMySQL driver settings
ブロックに置き換えます。 -
PostgreSQL deployment config N
ブロックをMySQL deployment config
ブロックに置き換えます。 -
PostgreSQL persistent volume claim N
ブロックをMySQL persistent volume claim
ブロックに置き換えます。 新たに追加したブロックで、以下の置換を手動で行います。
N
は Pod の番号になります。-
-mysql
を-mysql-N
に置き換えます (ただし、-mysql-pvol
と-mysql-claim
の-mysql
は 除く)。 -
-mysql-claim
を-mysql-claim-N
に置き換えます。
-
-
外部データベースサーバーを使用する場合は、ファイル内で、
BEGIN
コメントからEND
コメントまでの数ブロックを、rhpam77-kieserver-externaldb.yaml
ファイルのブロックに置き換え、いくつかのブロックを削除し、新たに追加したブロックの一部を修正します。MySQL database parameters
ブロックをExternal database parameters
ブロックに置き換えます (rhpam77-kieserver-external.yaml
内のこのブロックと、その後の置換ブロックを使用します)。レプリケートしたすべての KIE Server の Pod 番号で以下の手順を繰り返します。たとえば、
1
および2
は未修正のテンプレートです。N
は Pod 番号 (例:1
) です。-
PosgreSQL service N
ブロックを削除します。 -
PosgreSQL deployment config N
ブロックを削除します。 -
PosgreSQL persistent volume claim N
ブロックを削除します。 -
PostgreSQL driver settings N
ブロックをExternal database driver settings
ブロックに置き換えます。 新しい
External database driver settings
ブロックで、以下のいずれかの値が、別の KIE Server Pod と異なる場合は、対象の Pod の値を設定します。-
RHPAM_USERNAME
: データベースサーバーにログインするユーザー名 -
RHPAM_PASSWORD
: データベースサーバーにログインするためのパスワード -
RHPAM_XA_CONNECTION_PROPERTY_URL
: データベースサーバーにログインするための完全 URL -
RHPAM_SERVICE_HOST
: データベースサーバーのホスト名 -
RHPAM_DATABASE
: データベースの名前
-
-
標準の KIE Server イメージに外部データベースサーバー MySQL 用および PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は「外部データベースのカスタム KIE Server 拡張イメージのビルド」を参照してください。
-
## Replicas for Business Central Monitoring
コメントの下の行に、Business Central Monitoring に最初に作成したレプリカの数を変更する場合は、レプリカの数を希望する値に変更します。
3.4. 外部データベースのカスタム KIE Server 拡張イメージのビルド
KIE Server に外部データベースサーバーを使用し、そのデータベースサーバーが MySQL または PostgreSQL 以外の場合は、環境をデプロイする前にこのサーバー用のドライバーを使用するカスタムの KIE Server 拡張イメージをビルドする必要があります。
このビルド手順を実行して、以下のデータベースサーバーのドライバーを指定できます。
- Microsoft SQL Server
- MariaDB
- IBM DB2
- Oracle データベース
- Sybase
データベースサーバーのサポートされるバージョンについては、「Red Hat Process Automation Manager 7 でサポートされる構成」を参照してください。
ビルド手順では、既存の KIE Server イメージを拡張するカスタム拡張イメージを作成します。このカスタム拡張イメージは OpenShift 環境にインポートしてから、EXTENSION_IMAGE
パラメーターで参照する必要があります。
前提条件
-
oc
コマンドを使用して OpenShift 環境にログインしている。OpenShift ユーザーにはregistry-editor
ロールが必要です。 - Oracle Database または Sybase の場合は、データベースサーバーベンダーから JDBC ドライバーをダウンロードしている。
以下の必要なソフトウェアをインストールしている。
- Docker
- Cekit バージョン 3.2
Cekit の以下のライブラリーおよび拡張機能:
-
odcs-client
:python3-odcs-client
パッケージまたは同様のパッケージで提供される。 -
docker
:python3-docker
パッケージまたは同様のパッケージで提供される。 -
docker-squash
:python3-docker-squash
または同様のパッケージで提供される。 -
behave
:python3-behave
パッケージまたは同様のパッケージで提供される。 -
s2i
:source-to-image
パッケージまたは同様のパッケージで提供される。
-
手順
- IBM DB2、Oracle Database または Sybase の場合、 JDBC ドライバー JAR ファイルをローカルディレクトリーに指定します。
-
Red Hat カスタマーポータルの Software Downloads ページから利用可能な
rhpam-7.7.0-openshift-templates.zip
の製品配信可能ファイルをダウンロードします。 -
ファイルを展開し、コマンドラインを使用して展開されたファイルの
templates/contrib/jdbc
ディレクトリーに切り替えます。このディレクトリーには、カスタムビルドのソースコードが含まれます。 データベースサーバーのタイプに応じて、以下のコマンドのいずれかを実行します。
Microsoft SQL Server の場合:
make build mssql
MariaDB の場合:
make build mariadb
IBM DB2 の場合:
make build db2
Oracle Database の場合:
make build oracle artifact=/tmp/ojdbc7.jar version=7.0
このコマンドで、
/tmp/ojdbc7.jar
をダウンロードされた Oracle Database ドライバーのパス名に、7.0
をドライバーのバージョンに置き換えます。Sybase の場合:
make build sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05
このコマンドで、
/tmp/jconn4-16.0_PL05.jar
をダウンロードされた Sybase ドライバーのパス名に、16.0_PL05
をドライバーのバージョンに置き換えます。
以下のコマンドを実行して、ローカルで利用可能な Docker イメージを一覧表示します。
docker images
ビルドされたイメージの名前 (例:
jboss-kie-db2-extension-openshift-image
) およびイメージのバージョンタグ (11.1.4.4
など。latest
タグではない) をメモします。-
OpenShift 環境のレジストリーに直接アクセスし、イメージをレジストリーにプッシュします。ユーザーパーミッションに応じて、イメージを
openshift
namespace またはプロジェクト namespace にプッシュできます。レジストリーへのアクセスおよびイメージのプッシュの手順については、Red Hat OpenShift Container Platform 製品ドキュメントの「Accessing the Registry Directly」を参照してください。 外部データベースサーバーをサポートするテンプレートを使って KIE Server デプロイメントを設定する場合、以下のパラメーターを設定します。
-
Drivers Extension Image (
EXTENSIONS_IMAGE
): 拡張イメージの ImageStreamTag 定義 (例:jboss-kie-db2-extension-openshift-image:11.1.4.4
) -
Drivers ImageStream Namespace (
EXTENSIONS_IMAGE_NAMESPACE
): 拡張イメージのアップロード先の namespace (例:openshift
またはプロジェクト namespace)
-
Drivers Extension Image (
第4章 Red Hat Process Automation Manager ロールおよびユーザー
Business Central または KIE Server にアクセスするには、サーバーを起動する前にユーザーを作成して適切なロールを割り当てます。本セクションは、利用可能な Red Hat Process Automation Manager ユーザーロールを説明します。
admin
、analyst
、developer
、manager
、process-admin
、user
、および rest-all
のロールは Business Central に予約されており、kie-server
ロールは KIE Server に予約されています。このため、利用可能なロールは、インストールされているシステムが、Business Central、KIE Server、またはその両方かによって異なります。
-
admin
:admin
ロールを持つユーザーは Business Central 管理者です。管理者は、ユーザーの管理や、リポジトリーの作成、クローン作成、および管理ができます。アプリケーションで必要な変更にすべてアクセスできます。admin
ロールを持つユーザーは、Red Hat Process Automation Manager の全領域にアクセスできます。 -
analyst
:analyst
ロールを持つユーザーには、すべてのハイレベル機能へのアクセスがあり、プロジェクトのモデル化および実行が可能です。ただし、このユーザーは、Design → Projects ビューでスペースにコントリビューターを追加したり、スペースを削除したりできません。Deploy → Execution Servers ビューへのアクセスは管理者を対象にしており、analyst
ロールを持つユーザーは利用できません。ただし、Deploy ボタンは、このユーザーが Library パースペクティブにアクセスする時に利用できます。 -
developer
:developer
ロールを持つユーザーは、ほぼすべての機能にアクセスができ、ルール、モデル、プロセスフロー、フォーム、およびダッシュボードを管理できます。アセットリポジトリーを管理し、プロジェクトを作成、ビルド、およびデプロイでき、Red Hat CodeReady Studio を使用してプロセスを表示できます。developer
ロールが割り当てられているユーザーには、新規リポジトリーの作成やクローン作成などの、特定の管理機能は表示されません。 -
manager
:manager
ロールを持つユーザーはレポートを表示できます。このユーザーは通常、ビジネスプロセス、そのパフォーマンス、ビジネスインジケーター、その他のビジネス関連のレポートに関する統計に関心があります。このルールを持つユーザーがアクセスできるのはプロセスおよびタスクのレポートに限られます。 -
process-admin
:process-admin
ロールを持つユーザーは、ビジネスプロセス管理者です。ビジネスプロセス、ビジネスタスク、および実行エラーへの完全アクセスがあります。このユーザーは、ビジネスレポートを表示でき、タスク受信箱リストにアクセスできます。 -
user
: Users with theuser
role can work on the Task Inbox list, which contains business tasks that are part of currently running processes. Users with this role can view process and task reports and manage processes. -
rest-all
:rest-all
ロールを持つユーザーは、Business Central REST 機能にアクセスできます。 -
kie-server
:kie-server
ロールを持つユーザーは、KIE Server REST 機能へのアクセスがあります。このロールは、Business Central で Manage ビューおよび Track ビューにアクセスするユーザーにとって必須となります。
第5章 OpenShift テンプレートの参考資料
Red Hat Process Automation Manager は以下の OpenShift テンプレートを提供します。テンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから、rhpam-7.7.0-openshift-templates.zip
の製品配信可能ファイルをダウンロードし、これを展開します。
-
rhpam77-prod.yaml
では、高可用性の Business Central Monitoring インスタンス、Smart Router 1 つ、Business Central と Smart Router に接続した異なる KIE Server 2 台、PostgreSQL インスタンス 2 つが提供されます。各 KIE Server は独自の PostgreSQL インスタンスを使用します。この環境を使用して、実稼働またはステージング環境でビジネスアセットを実行できます。コンポーネントごとに、レプリカ数を設定できます。このテンプレートの詳細は、「rhpam77-prod.yaml テンプレート」を参照してください。
5.1. rhpam77-prod.yaml テンプレート
Red Hat Process Automation Manager 7.7 向けの、管理 HA 実稼働ランタイム環境のアプリケーションテンプレート (非推奨)
5.1.1. パラメーター
テンプレートを使用すると値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクトリストフィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。
変数名 | イメージの環境変数 | 説明 | 値の例 | 必須 |
---|---|---|---|---|
|
— |
アプリケーションの名前 |
myapp |
True |
|
|
KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
— |
False |
|
|
KIE サーバーの Maven ミラー設定 |
external:* |
False |
|
|
Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
repo-custom |
False |
|
|
Maven リポジトリーまたはサービスへの完全修飾 URL |
http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ |
True |
|
|
Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。 |
— |
False |
|
|
Maven リポジトリーにアクセスするパスワード (必要な場合) |
— |
False |
|
|
maven リポジトリーの使用状況など、サービスのルックアップができるようにオプションの Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
myapp-rhpamcentr |
False |
|
— |
KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。 |
rhpam-credentials |
True |
|
— |
Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。 |
openshift |
True |
|
— |
KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。 |
rhpam-kieserver-rhel8 |
True |
|
— |
イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.7.0」です。 |
7.7.0 |
True |
|
— |
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-smartrouter-<project>.<default-domain-suffix>')。 |
— |
False |
|
— |
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-smartrouter-<project>.<default-domain-suffix>')。 |
— |
False |
|
|
コントローラーに接続する場合に使用されるルーター ID (ルータープロパティー org.kie.server.router.id)。 |
kie-server-router |
True |
|
|
KIE サーバールータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。 |
http |
False |
|
|
ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external) |
— |
False |
|
|
コントローラーに接続するときに使用されるルーター名 (ルータープロパティー org.kie.server.router.name)。 |
KIE サーバールーター |
True |
|
|
Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します) |
— |
False |
|
|
KIE サーバーの persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。 |
java:/jboss/datasources/rhpam |
False |
|
— |
PostgreSQL イメージの ImageStream がインストールされている namespace。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。 |
openshift |
False |
|
— |
PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されており、デフォルトは「10」です。 |
10 |
False |
|
|
KIE サーバー PostgreSQL データベースのユーザー名。 |
rhpam |
False |
|
|
KIE サーバー PostgreSQL データベースのパスワード。 |
— |
False |
|
|
KIEサーバー PostgreSQL データベース名。 |
rhpam7 |
False |
|
|
PostgreSQL による XA トランザクションの処理を許可します。 |
100 |
True |
|
— |
データベースボリュームの永続ストレージのサイズ。 |
1Gi |
True |
|
|
KIE サーバー PostgreSQL Hibernate ダイアレクト。 |
org.hibernate.dialect.PostgreSQLDialect |
True |
|
|
KIE サーバーモード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE サーバーにデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。 |
|
False |
|
|
KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します) |
enabled |
False |
|
|
KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します) |
true |
False |
|
|
False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。 |
false |
False |
|
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
— |
False |
|
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
— |
False |
KIE_SERVER1_HOSTNAME_HTTP |
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix> |
— |
False |
KIE_SERVER1_HOSTNAME_HTTPS |
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix> |
— |
False |
KIE_SERVER1_USE_SECURE_ROUTE_NAME |
|
true の場合は KIE サーバーは、レポートする Business Central の KIE サーバールートエンドポイントとして secure-<application-name>-kieserver (vs. <application-name>-kieserver) を使用します。そのため、Business Central はユーザーにセキュアなリンクを表示します。 |
false |
False |
KIE_SERVER2_HOSTNAME_HTTP |
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix> |
— |
False |
KIE_SERVER2_HOSTNAME_HTTPS |
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix> |
— |
False |
KIE_SERVER2_USE_SECURE_ROUTE_NAME |
|
true の場合は、ルート名として secure-APPLICATION_NAME-kieserver-2 (vs. APPLICATION_NAME-kieserver-2 ) を使用します。 |
false |
False |
|
— |
Business Central のキーストアファイルが含まれるシークレットの名前 |
businesscentral-app-secret |
True |
|
|
シークレット内のキーストアファイル名 |
keystore.jks |
False |
|
|
サーバー証明書に関連付けられている名前 |
jboss |
False |
|
|
キーストアおよび証明書のパスワード |
mykeystorepass |
False |
|
— |
Smart Router のキーストアファイルが含まれるシークレットの名前 |
smartrouter-app-secret |
True |
|
— |
シークレット内のキーストアファイル名 |
keystore.jks |
False |
|
|
サーバー証明書に関連付けられている名前 |
jboss |
False |
|
|
キーストアおよび証明書のパスワード |
mykeystorepass |
False |
|
— |
KIE サーバーのキーストアファイルが含まれるシークレットの名前 |
kieserver-app-secret |
True |
|
|
シークレット内のキーストアファイル名 |
keystore.jks |
False |
|
|
サーバー証明書に関連付けられている名前 |
jboss |
False |
|
|
キーストアおよび証明書のパスワード |
mykeystorepass |
False |
|
|
KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します) |
false |
False |
|
|
EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 |
30000 |
False |
|
— |
Business Central Monitoring コンテナーのメモリー制限 |
2Gi |
False |
|
— |
KIE サーバーコンテナーのメモリー制限 |
1Gi |
False |
|
— |
Smart Router コンテナーのメモリー制限 |
512Mi |
False |
|
— |
Business Central Monitoring Container Replicas は、起動する Business Central Monitoring コンテナー数を定義します。 |
3 |
True |
|
— |
Smart Router Container Replicas は、起動する Smart Router コンテナー数を定義します。 |
2 |
True |
|
— |
KIE Server Container Replicas は、起動する KIE サーバーのコンテナー数を定義します。 |
3 |
True |
|
|
RH-SSO URL |
https://rh-sso.example.com/auth |
False |
|
|
RH-SSO レルム名 |
— |
False |
|
|
Business Central Monitoring RH-SSO クライアント名 |
— |
False |
|
|
Business Central Monitoring RH-SSO クライアント名 |
252793ed-7118-4ca8-8dab-5622fa97d892 |
False |
KIE_SERVER1_SSO_CLIENT |
|
KIE サーバー 1 の RH-SSO クライアント名 |
— |
False |
KIE_SERVER1_SSO_SECRET |
|
KIE サーバー 1 の RH-SSO クライアントシークレット |
252793ed-7118-4ca8-8dab-5622fa97d892 |
False |
KIE_SERVER2_SSO_CLIENT |
|
KIE サーバー 2 の RH-SSO クライアント名 |
— |
False |
KIE_SERVER2_SSO_SECRET |
|
KIE サーバー 2 の RH-SSO クライアントシークレット |
252793ed-7118-4ca8-8dab-5622fa97d892 |
False |
|
|
クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合) |
— |
False |
|
|
クライアント作成に使用する RH-SSO レルムの管理者のパスワード |
— |
False |
|
|
RH-SSO が無効な SSL 証明書の検証 |
false |
False |
|
|
ユーザー名として使用する RH-SSO プリンシパル属性 |
preferred_username |
False |
|
|
認証用に接続する LDAP エンドポイント |
ldap://myldap.example.com |
False |
|
|
認証に使用するバインド DN |
uid=admin,ou=users,ou=example,ou=com |
False |
|
|
認証に使用する LDAP の認証情報 |
パスワード |
False |
|
|
パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName |
— |
False |
|
|
ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
ou=users,ou=example,ou=com |
False |
|
|
認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
(uid={0}) |
False |
|
|
使用する検索範囲。 |
|
False |
|
|
ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。 |
10000 |
False |
|
|
ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
distinguishedName |
False |
|
|
DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。 |
true |
False |
|
|
ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。 |
— |
False |
|
|
ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
— |
False |
|
|
ユーザーロールを含む属性の名前。 |
memberOf |
False |
|
|
ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
ou=groups,ou=example,ou=com |
False |
|
|
認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
(memberOf={1}) |
False |
|
|
ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
1 |
False |
|
|
認証された全ユーザーに対して含まれるロール |
user |
False |
|
|
ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
name |
False |
|
|
クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
false |
False |
|
|
roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
false |
False |
|
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
— |
False |
|
|
このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
— |
False |
|
|
現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。 |
— |
False |
5.1.2. オブジェクト
CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。
5.1.2.1. サービス
サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。
Service | ポート | 名前 | 説明 |
---|---|---|---|
|
8080 |
http |
すべての Business Central Monitoring Web サーバーのポート |
8443 |
https | ||
|
8888 |
ping |
クラスタリング向けの JGroups ping ポート |
|
9000 |
http |
smart router サーバー http および https ポート |
9443 |
https | ||
|
8080 |
http |
全 KIE サーバーの Web サーバーのポート (最初の KIE サーバー) |
8443 |
https | ||
|
8888 |
ping |
クラスタリング向けの JGroups ping ポート |
|
8080 |
http |
全 KIE サーバーの Web サーバーのポート (2 つ目 の KIE サーバー) |
8443 |
https | ||
|
8888 |
ping |
クラスタリング向けの JGroups ping ポート |
|
5432 |
— |
最初のデータベースサーバーのポート。 |
|
5432 |
— |
2 番目のデータベースサーバーのポート。 |
5.1.2.2. ルート
ルートとは、www.example.com
など、外部から到達可能なホスト名を指定して、サービスを公開する手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。
Service | セキュリティー | ホスト名 |
---|---|---|
|
なし |
|
|
TLS パススルー |
|
|
なし |
|
|
TLS パススルー |
|
|
なし |
|
|
TLS パススルー |
|
|
なし |
|
|
TLS パススルー |
|
5.1.2.3. デプロイメント設定
OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをもとにするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、トリガーされたイベントに対応するために作成されます。詳細は、Openshift ドキュメントを参照してください。
5.1.2.3.1. トリガー
トリガーは、OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。
デプロイメント | トリガー |
---|---|
|
ImageChange |
|
ImageChange |
|
ImageChange |
|
ImageChange |
|
ImageChange |
|
ImageChange |
5.1.2.3.2. レプリカ
レプリケーションコントローラーを使用すると、指定した数だけ、Pod の「レプリカ」を一度に実行させることができます。レプリカが増えると、レプリケーションコントローラーが Pod の一部を終了させます。レプリカが足りない場合には、起動させます。詳細は、「コンテナーエンジンのドキュメント」を参照してください。
デプロイメント | レプリカ |
---|---|
|
3 |
|
2 |
|
3 |
|
1 |
|
3 |
|
1 |
5.1.2.3.3. Pod テンプレート
5.1.2.3.3.1. サービスアカウント
サービスアカウントは、各プロジェクト内に存在する API オブジェクトで、他の API オブジェクトのように、作成または削除できます。詳細は、「Openshift ドキュメント」を参照してください。
デプロイメント | サービスアカウント |
---|---|
|
|
|
|
|
|
5.1.2.3.3.2. イメージ
デプロイメント | イメージ |
---|---|
|
rhpam-businesscentral-monitoring-rhel8 |
|
rhpam-smartrouter-rhel8 |
|
|
|
postgresql |
|
|
|
postgresql |
5.1.2.3.3.3. Readiness Probe
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/ready
${APPLICATION_NAME}-kieserver-1
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql-1
/usr/libexec/check-container
${APPLICATION_NAME}-kieserver-2
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql-2
/usr/libexec/check-container
5.1.2.3.3.4. Liveness プローブ
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/healthy
${APPLICATION_NAME}-kieserver-1
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql-1
/usr/libexec/check-container --live
${APPLICATION_NAME}-kieserver-2
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql-2
/usr/libexec/check-container --live
5.1.2.3.3.5. 公開されたポート
デプロイメント | 名前 | ポート | プロトコル |
---|---|---|---|
|
jolokia |
8778 |
|
http |
8080 |
| |
https |
8443 |
| |
ping |
8888 |
| |
|
http |
9000 |
|
|
jolokia |
8778 |
|
http |
8080 |
| |
https |
8443 |
| |
ping |
8888 |
| |
|
— |
5432 |
|
|
jolokia |
8778 |
|
http |
8080 |
| |
https |
8443 |
| |
ping |
8888 |
| |
|
— |
5432 |
|
5.1.2.3.3.6. イメージの環境変数
デプロイメント | 変数名 | 説明 | 値の例 |
---|---|---|---|
|
|
— |
|
|
— |
| |
|
— |
— | |
|
— |
— | |
|
KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
|
Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
|
Maven リポジトリーまたはサービスへの完全修飾 URL |
| |
|
Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。 |
| |
|
Maven リポジトリーにアクセスするパスワード (必要な場合) |
| |
|
Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します) |
| |
|
— |
| |
|
シークレット内のキーストアファイル名 |
| |
|
サーバー証明書に関連付けられている名前 |
| |
|
キーストアおよび証明書のパスワード |
| |
|
— |
openshift.DNS_PING | |
|
— |
| |
|
— |
8888 | |
|
RH-SSO URL |
| |
|
— |
ROOT.war | |
|
RH-SSO レルム名 |
| |
|
Business Central Monitoring RH-SSO クライアント名 |
| |
|
Business Central Monitoring RH-SSO クライアント名 |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合) |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者のパスワード |
| |
|
RH-SSO が無効な SSL 証明書の検証 |
| |
|
ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
| |
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: secure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。 |
| |
|
認証用に接続する LDAP エンドポイント |
| |
|
認証に使用するバインド DN |
| |
|
認証に使用する LDAP の認証情報 |
| |
|
パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName |
| |
|
ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
|
認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
|
使用する検索範囲。 |
| |
|
ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。 |
| |
|
ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
|
DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。 |
| |
|
ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザーロールを含む属性の名前。 |
| |
|
ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
|
認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
|
ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
|
認証された全ユーザーに対して含まれるロール |
| |
|
ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
|
クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
|
roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
|
このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
|
現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
|
— |
— |
|
— |
— | |
|
— |
— | |
|
— |
9000 | |
|
— |
9443 | |
|
ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external) |
| |
|
コントローラーに接続する場合に使用されるルーター ID (ルータープロパティー org.kie.server.router.id)。 |
| |
|
コントローラーに接続するときに使用されるルーター名 (ルータープロパティー org.kie.server.router.name)。 |
| |
|
— |
| |
|
— |
| |
|
KIE サーバールータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。 |
| |
|
サーバー証明書に関連付けられている名前 |
| |
|
キーストアおよび証明書のパスワード |
| |
|
— |
| |
|
Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します) |
| |
|
— |
| |
|
— |
http | |
|
— |
| |
|
— |
true | |
|
|
— |
— |
|
— |
— | |
|
KIE サーバーモード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE サーバーにデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。 |
| |
|
KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します) |
| |
|
KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します) |
| |
|
False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。 |
| |
|
KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します) |
| |
|
Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します) |
| |
|
— |
| |
|
— |
ws | |
|
— |
| |
|
— |
| |
|
true の場合は KIE サーバーは、レポートする Business Central の KIE サーバールートエンドポイントとして secure-<application-name>-kieserver (vs. <application-name>-kieserver) を使用します。そのため、Business Central はユーザーにセキュアなリンクを表示します。 |
| |
|
— | ||
|
KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
|
KIE サーバーの Maven ミラー設定 |
| |
|
— |
RHPAMCENTR,EXTERNAL | |
|
— |
repo-rhpamcentr | |
|
maven リポジトリーの使用状況など、サービスのルックアップができるようにオプションの Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
|
— |
| |
|
Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
|
Maven リポジトリーまたはサービスへの完全修飾 URL |
| |
|
Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。 |
| |
|
Maven リポジトリーにアクセスするパスワード (必要な場合) |
| |
|
— |
| |
|
— |
9000 | |
|
KIE サーバールータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。 |
| |
|
KIE サーバーの persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。 |
| |
|
— |
| |
|
KIE サーバーの persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。 |
| |
|
— |
true | |
|
KIEサーバー PostgreSQL データベース名。 |
| |
|
— |
postgresql | |
|
KIE サーバー PostgreSQL Hibernate ダイアレクト。 |
| |
|
KIE サーバー PostgreSQL データベースのユーザー名。 |
| |
|
KIE サーバー PostgreSQL データベースのパスワード。 |
| |
|
— |
| |
|
— |
5432 | |
|
— |
| |
|
EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 |
| |
|
— |
| |
|
シークレット内のキーストアファイル名 |
| |
|
サーバー証明書に関連付けられている名前 |
| |
|
キーストアおよび証明書のパスワード |
| |
|
— |
openshift.DNS_PING | |
|
— |
| |
|
— |
8888 | |
|
RH-SSO URL |
| |
|
— |
ROOT.war | |
|
RH-SSO レルム名 |
| |
|
KIE サーバー 1 の RH-SSO クライアントシークレット |
| |
|
KIE サーバー 1 の RH-SSO クライアント名 |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合) |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者のパスワード |
| |
|
RH-SSO が無効な SSL 証明書の検証 |
| |
|
ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix> |
| |
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix> |
| |
|
認証用に接続する LDAP エンドポイント |
| |
|
認証に使用するバインド DN |
| |
|
認証に使用する LDAP の認証情報 |
| |
|
パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName |
| |
|
ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
|
認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
|
使用する検索範囲。 |
| |
|
ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。 |
| |
|
ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
|
DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。 |
| |
|
ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザーロールを含む属性の名前。 |
| |
|
ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
|
認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
|
ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
|
認証された全ユーザーに対して含まれるロール |
| |
|
ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
|
クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
|
roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
|
このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
|
現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
|
KIE サーバー PostgreSQL データベースのユーザー名。 |
|
|
KIE サーバー PostgreSQL データベースのパスワード。 |
| |
|
KIEサーバー PostgreSQL データベース名。 |
| |
|
PostgreSQL による XA トランザクションの処理を許可します。 |
| |
|
|
— |
— |
|
— |
— | |
|
KIE サーバーモード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE サーバーにデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。 |
| |
|
KIE サーバーの mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します) |
| |
|
KIE サーバーのクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します) |
| |
|
False に設定している場合には、Prometheus サーバーの拡張は有効化されます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。 |
| |
|
KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します) |
| |
|
Bearer 認証用の KIE サーバーコントローラーのトークン (org.kie.server.controller.token システムプロパティーを設定します) |
| |
|
— |
| |
|
— |
ws | |
|
— |
| |
|
— |
| |
|
true の場合は、ルート名として secure-APPLICATION_NAME-kieserver-2 (vs. APPLICATION_NAME-kieserver-2 ) を使用します。 |
| |
|
— | ||
|
KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。 |
| |
|
KIE サーバーの Maven ミラー設定 |
| |
|
— |
RHPAMCENTR,EXTERNAL | |
|
— |
repo-rhpamcentr | |
|
maven リポジトリーの使用状況など、サービスのルックアップができるようにオプションの Business Central に到達可能な場合に使用するサービス名 (必要な場合) |
| |
|
— |
| |
|
Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。 |
| |
|
Maven リポジトリーまたはサービスへの完全修飾 URL |
| |
|
Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。 |
| |
|
Maven リポジトリーにアクセスするパスワード (必要な場合) |
| |
|
— |
| |
|
— |
9000 | |
|
KIE サーバールータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。 |
| |
|
KIE サーバーの persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。 |
| |
|
— |
| |
|
KIE サーバーの persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。 |
| |
|
— |
true | |
|
KIEサーバー PostgreSQL データベース名。 |
| |
|
— |
postgresql | |
|
KIE サーバー PostgreSQL Hibernate ダイアレクト。 |
| |
|
KIE サーバー PostgreSQL データベースのユーザー名。 |
| |
|
KIE サーバー PostgreSQL データベースのパスワード。 |
| |
|
— |
| |
|
— |
5432 | |
|
— |
| |
|
EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。 |
| |
|
— |
| |
|
シークレット内のキーストアファイル名 |
| |
|
サーバー証明書に関連付けられている名前 |
| |
|
キーストアおよび証明書のパスワード |
| |
|
— |
openshift.DNS_PING | |
|
— |
| |
|
— |
8888 | |
|
RH-SSO URL |
| |
|
— |
ROOT.war | |
|
RH-SSO レルム名 |
| |
|
KIE サーバー 2 の RH-SSO クライアントシークレット |
| |
|
KIE サーバー 2 の RH-SSO クライアント名 |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合) |
| |
|
クライアント作成に使用する RH-SSO レルムの管理者のパスワード |
| |
|
RH-SSO が無効な SSL 証明書の検証 |
| |
|
ユーザー名として使用する RH-SSO プリンシパル属性 |
| |
|
http サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix> |
| |
|
https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: secure-<application-name>-kieserver-<project>.<default-domain-suffix> |
| |
|
認証用に接続する LDAP エンドポイント |
| |
|
認証に使用するバインド DN |
| |
|
認証に使用する LDAP の認証情報 |
| |
|
パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName |
| |
|
ユーザー検索を開始する最上位コンテキストの LDAP ベース DN |
| |
|
認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。 |
| |
|
使用する検索範囲。 |
| |
|
ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。 |
| |
|
ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。 |
| |
|
DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。 |
| |
|
ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。 |
| |
|
ユーザーロールを含む属性の名前。 |
| |
|
ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。 |
| |
|
認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| |
|
ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。 |
| |
|
認証された全ユーザーに対して含まれるロール |
| |
|
ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| |
|
クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。 |
| |
|
roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| |
|
リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。 |
| |
|
このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。 |
| |
|
現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。 |
| |
|
|
KIE サーバー PostgreSQL データベースのユーザー名。 |
|
|
KIE サーバー PostgreSQL データベースのパスワード。 |
| |
|
KIEサーバー PostgreSQL データベース名。 |
| |
|
PostgreSQL による XA トランザクションの処理を許可します。 |
|
5.1.2.3.3.7. ボリューム
デプロイメント | 名前 | mountPath | 目的 | readOnly |
---|---|---|---|---|
|
businesscentral-keystore-volume |
|
ssl certs |
True |
|
|
|
— |
false |
|
kieserver-keystore-volume |
|
ssl certs |
True |
|
|
|
postgresql |
false |
|
kieserver-keystore-volume |
|
ssl certs |
True |
|
|
|
postgresql |
false |
5.1.2.4. 外部の依存関係
5.1.2.4.1. ボリューム要求
PersistentVolume
オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume
オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。
名前 | アクセスモード |
---|---|
|
ReadWriteOnce |
|
ReadWriteOnce |
|
ReadWriteMany |
|
ReadWriteMany |
5.1.2.4.2. シークレット
このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。
businesscentral-app-secret smartrouter-app-secret kieserver-app-secret
5.2. OpenShift の使用に関するクイックリファレンス
Red Hat OpenShift Container Platform で Red Hat Process Automation Manager テンプレートをデプロイし、モニターし、管理し、デプロイ解除するには、OpenShift Web コンソールまたは oc
コマンドを使用できます。
Web コンソールの使用に関する説明は、「Web コンソールを使用したイメージの作成およびビルド」を参照してください。
oc
コマンドの使用方法に関する詳細は、『CLI リファレンス』を参照してください。以下のコマンドが必要になる可能性が高いです。
プロジェクトを作成するには、以下のコマンドを使用します。
$ oc new-project <project-name>
詳細は、「CLI を使用したプロジェクトの作成」を参照してください。
テンプレートをデプロイするには (またはテンプレートからアプリケーションを作成するには)、以下のコマンドを実行します。
$ oc new-app -f <template-name> -p <parameter>=<value> -p <parameter>=<value> ...
詳細は、「CLI を使用したアプリケーションの作成」を参照してください。
プロジェクト内のアクティブな Pod の一覧を表示するには、以下のコマンドを使用します。
$ oc get pods
Pod のデプロイメントが完了し、実行中の状態になっているかどうかなど、Pod の現在のステータスを表示するには、以下のコマンドを使用します。
$ oc describe pod <pod-name>
oc describe
コマンドを使用して、他のオブジェクトの現在のステータスを表示できます。詳細は、「アプリケーションの変更操作」を参照してください。Pod のログを表示するには、以下のコマンドを使用します。
$ oc logs <pod-name>
デプロイメントログを表示するには、テンプレート参照で
DeploymentConfig
名を検索し、以下のコマンドを入力します。$ oc logs -f dc/<deployment-config-name>
詳細は、「デプロイメントログの表示」を参照してください。
ビルドログを表示するには、テンプレート参照で
BuildConfig
名を検索し、以下のコマンドを入力します。$ oc logs -f bc/<build-config-name>
詳細は、「ビルドログのアクセス」を参照してください。
アプリケーションの Pod をスケーリングするには、テンプレート参照で
DeploymentConfig
名を検索し、以下のコマンドを入力します。$ oc scale dc/<deployment-config-name> --replicas=<number>
詳細は、「手動スケーリング」を参照してください。
アプリケーションのデプロイメントを解除するには、以下のコマンドを使用してプロジェクトを削除します。
$ oc delete project <project-name>
または、
oc delete
コマンドを使用して、Pod またはレプリケーションコントローラーなど、アプリケーションの一部を削除できます。詳細は、「アプリケーションの修正操作」を参照してください。
付録A バージョン情報
本ドキュメントの最終更新日: 2020 年 3 月 18 日 (水)