Menu Close

Red Hat OpenShift Container Platform への Red Hat Process Automation Manager イミュータブルサーバー環境のデプロイメント

Red Hat Process Automation Manager 7.8

Red Hat Customer Content Services

概要

本書は、Red Hat OpenShift Container Platform に Red Hat Process Automation Manager 7.8 イミュータブルサーバー環境をデプロイする方法を説明します。

前書き

システムエンジニアは、Red Hat OpenShift Container Platform に Red Hat Process Automation Manager イミュータブルサーバー環境をデプロイして、サービス、プロセスアプリケーションおよびその他のビジネスアセットを実行するインフラストラクチャーを提供します。イミュータブル KIE Server イメージを管理する標準統合ツールを使用できます。新しいサーバーイメージを作成して、ビジネスアセットを追加および更新できます。

前提条件

  • Red Hat OpenShift Container Platform バージョン 3.11 がデプロイされている。
  • OpenShift クラスター/namespace で 4 ギガバイト以上のメモリーが利用可能である。

    • 監視インフラストラクチャーをデプロイせず、イミュータブル KIE Server のみをデプロイする場合には、3 ギガバイトで十分です。
  • デプロイメントする OpenShift プロジェクトが作成されている。
  • oc コマンドを使用してプロジェクトにログインしている。oc コマンドランツールに関する詳細は、『OpenShift CLI リファレンス』を参照してください。OpenShift Web コンソールを使用してテンプレートをデプロイするには、Web コンソールを使用してログインしている必要もあります。
  • 動的永続ボリューム (PV) のプロビジョニングが有効にされている。または、動的 PV プロビジョニングが有効でない場合には、十分な永続ボリュームが利用できる状態でなければなりません。デフォルトでは、デプロイされるコンポーネントには以下の PV サイズが必要です。

    • それぞれのイミュータブルサーバーのデプロイメントに KIE Server Pod の複製されたセットが含まれている。これには、デフォルトでデータベースに 1 つの 1Gi PV が必要になります。データベース PV のサイズはテンプレートパラメーターで変更できます。複数のイミュータブルサーバーをデプロイでき、それぞれには別個のデータベース PV が必要になります。この要件は、外部データベースサーバーを使用する場合には適用されません。
    • イミュータブル監視テンプレートをデプロイする場合、2 つの 64Mi PV も必要になります (Business Central Monitoring および Smart Router 用に 1 つずつ)。
  • イミュータブル監視テンプレートをデプロイする予定の場合、お使いの OpenShift 環境で ReadWriteMany モードを使用した永続ボリュームをサポートしている。お使いの環境でこのモードをサポートしていない場合は、NFS を使用してボリュームをプロビジョニングできる。OpenShift のパブリックおよび専用クラウドでのアクセスモードのサポートに関する情報は、「アクセスモード」を参照してください。
注記

Red Hat Process Automation Manager バージョン 7.5 以降では、Red Hat OpenShift Container Platform 3.x 向けのイメージとテンプレートが非推奨になりました。上記のイメージとテンプレートには新機能は追加されませんが、Red Hat OpenShift Container Platform バージョン 3.x の完全サポートが終了するまでサポートは継続されます。Red Hat OpenShift Container Platform バージョン 3.x の完全なサポートライフサイクルフェーズに関する詳細は、「Red Hat OpenShift Container Platform のライフサイクルポリシー (最新バージョン以外)」を参照してください。

注記

Red Hat Process Automation Manager テンプレートを Red Hat OpenShift Container Platform 4.x と共に使用しないでください。Red Hat Process Automation Manager を Red Hat OpenShift Container Platform 4.x にデプロイするには、『 Operator を使用した Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 環境のデプロイ』の説明を参照してください。

第1章 Red Hat OpenShift Container Platform における Red Hat Process Automation Manager の概要

Red Hat Process Automation Manager は、Red Hat OpenShift Container Platform 環境にデプロイすることができます。

この場合、Red Hat Process Automation Manager のコンポーネントは、別々の OpenShift Pod としてデプロイされます。各 Pod のスケールアップおよびスケールダウンを個別に行い、特定のコンポーネントに必要な数だけコンテナーを提供できます。OpenShift の標準的な方法を使用して Pod を管理し、負荷を分散できます。

以下の Red Hat Process Automation Manager の主要コンポーネントが OpenShift で利用できます。

  • KIE Server (実行サーバー (Execution Server) とも呼ばれる) は、デシジョンサービス、プロセスアプリケーションおよびその他のデプロイ可能なアセット (サービス と総称される) を実行するインフラストラクチャー要素です。サービスのすべてのロジックは実行サーバーで実行されます。

    通常、KIE Server にはデータベースサーバーが必要です。別の OpenShift Pod にデータベースサーバーを提供したり、別のデータベースサーバーを使用するように OpenShift で実行サーバーを設定したりできます。また、KIE Server では H2 データベースを使用できますが、使用する場合は、Pod をスケーリングできません。

    一部のテンプレートでは、KIE Server Pod をスケールアップして、同一または異なるホストで実行するコピーを必要な数だけ提供できます。Pod をスケールアップまたはスケールダウンすると、そのコピーはすべて同じデータベースサーバーサービスを使用し、同じサービスを実行します。OpenShift には負荷分散機能があり、要求はいずれかの Pod で処理されます。

    KIE Server Pod を個別にデプロイし、サービスの異なるグループを実行することができます。この Pod もスケールアップやスケールダウンが可能です。複製された個別の KIE Server Pod を必要な数だけ設定することができます。

  • Business Central は、オーサリングサービスに対する Web ベースのインタラクティブ環境で、管理および監視コンソールを提供します。 Business Central を使用してサービスを開発して KIE Server にそれらのサービスをデプロイできます。また、Business Central を使用してプロセスの実行を監視することもできます。

    Business Central は一元化アプリケーションですが、同じデータを共有し、複数の Pod が実行できる、高可用性用に設定できます。

    Business Central には開発するサービスののソースを保管する Git リポジトリーと、ビルドインの Maven リポジトリーが含まれます。設定に応じて、Business Central はコンパイルしたサービス (KJAR ファイル) をビルドイン Maven リポジトリーに配置できます (設定した場合は外部 Maven リポジトリーにも可能)。

  • Business Central Monitoring は Web ベースの管理および監視コンソールです。KIE Server へのサービスのデプロイメントを管理し、監視情報を提供しますが、オーサリング機能は含まれません。このコンポーネントを使用して、ステージングおよび実稼働環境を管理できます。
  • Smart Router は、KIE Server と、KIE Server と対話するその他のコンポーネントとの間の任意のレイヤーです。環境に、複数の KIE Server で実行するサービスが多数含まれる場合、Smart Router はすべてのクライアントアプリケーションに対応するエンドポイントを 1 つ提供します。クライアントアプリケーションは、サービスを要求する REST API 呼び出しを実行できます。Smart Router は、特定の要求を処理できる KIE Server を自動的に呼び出します。

OpenShift 内でさまざまな環境設定にこのコンポーネントおよびその他のコンポーネントを配置できます。

以下の環境タイプが一般的です。

  • オーサリング: Business Central を使用してサービスを作成し、変更するために使用する環境です。これは、オーサリング作業用に Business Central を提供する Pod およびサービスのテスト実行用に KIE Server を提供する Pod で構成されます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager オーサリング環境のデプロイ』を参照してください。
  • 管理対象のデプロイメント: ステージングおよび実稼働用として既存のサービスを実行するために使用する環境。この環境には、KIE Server Pod のいくつかのグループが含まれます。このようなすべてのグループに対してサービスのデプロイおよびデプロイ解除を実行します。必要に応じてこれらのグループのスケールアップおよびスケールダウンを実行できます。Business Central Monitoring を使用してサービスをデプロイし、実行し、停止し、またそれらの実行を監視します。

    2 種類の管理環境をデプロイすることができます。フリーフォーム のサーバー環境では、最初に Business 2 種類の管理環境をデプロイすることができます。フリーフォーム のサーバー環境では、最初に Business Central Monitoring と 1 つの KIE Server をデプロイします。その後、追加として任意の数の KIE Server をデプロイできます。Business Central Monitoring は同じ namespace のすべてのサーバーに接続できます。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager フリーフォーム環境のデプロイ』を参照してください。

    または、固定の 管理サーバー環境をデプロイすることもできます。単一デプロイメントには、Business Central Monitoring、 Smart Router、および事前に設定された数の KIE Server (デフォルトでは 2 サーバーですが、テンプレートを変更して数を変更することができます) が含まれます。サーバーの追加や削除は後のプロセスでは容易に行えなくなります。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 固定管理サーバー環境のデプロイ』を参照してください。

  • イミュータブルサーバーを使用するデプロイメント: ステージングおよび実稼働目的で既存のサービスを実行するための代替の環境です。この環境では、KIE Server Pod のデプロイ時に、サービスまたはサービスのグループをロードし、起動するイメージをビルドします。この Pod でサービスを停止したり、新しいサービスを追加したりすることはできません。サービスの別のバージョンを使用したり、別の方法で設定を変更する必要がある場合は、新規のサーバーイメージをデプロイして、古いサーバーと入れ替えます。このシステムでは、KIE Server は OpenShift 環境の Pod のように実行されるので、任意のコンテナーベースの統合ワークフローを使用することができ、他のツールを使用して Pod を管理する必要はありません。オプションとして、Business Central Monitoring を使用して環境のパフォーマンスを監視できますが、追加のサービスを Process Server にデプロイしたり、既存のサービスのデプロイを解除したりすることはできません (コンテナーの追加または削除はできません)。この環境のデプロイメント手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager イミュータブルサーバー環境のデプロイ』を参照してください。

試用 または評価環境をデプロイすることも可能です。この環境には、Business Central と KIE Server が含まれます。この環境はすばやく設定でき、これを使用して、アセットの開発や実行を評価し、体験できます。ただし、この環境では永続ストレージを使用せず、この環境でのいずれの作業も保存されません。この環境のデプロイ方法については、『 Red Hat OpenShift Container Platform への Red Hat Process Automation Manager 試用環境のデプロイ』を参照してください。

OpenShift に Red Hat Process Automation Manager 環境をデプロイするには、Red Hat Process Automation Manager で提供されるテンプレートを使用できます。設定が環境に適合するようにテンプレートを変更できます。

第2章 OpenShift 環境に Red Hat Process Automation Manager をデプロイする準備

OpenShift 環境に Red Hat Process Automation Manager をデプロイする前に、タスクをいくつか完了する必要があります。追加イメージ (たとえば、プロセスの新しいバージョン、または別のプロセス) をデプロイする場合は、このタスクを繰り返す必要はありません。

2.1. イメージストリームとイメージレジストリーの可用性確認

Red Hat Process Automation Manager コンポーネントを Red Hat OpenShift Container Platform にデプロイするには、OpenShift が Red Hat レジストリーから適切なイメージをダウンロードできることを確認する必要があります。これらのイメージをダウンロードするために、OpenShift ではイメージの場所情報が含まれる イメージストリーム が必要になります。また、OpenShift はお使いのサービスアカウントのユーザー名とパスワードを使用して Red Hat レジストリーで認証できるように設定される必要があります。

OpenShift 環境のバージョンによっては、必要なイメージストリームが含まれている場合があります。イメージストリームが提供されているかどうかを確認する必要があります。デフォルトでイメージストリームが OpenShift に含まれている場合には、OpenShift インフラストラクチャーがレジストリー認証サーバー用に設定されているのであれば、使用できます。管理者は、OpenShift 環境のインストール時に、レジストリーの認証設定を完了する必要があります。

それ以外の方法として、レジストリー認証を独自のプロジェクトで設定し、イメージストリームをそのプロジェクトにインストールすることができます。

手順

  1. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されているかどうかを判別します。必須の設定に関する詳細は、「レジストリーの場所の設定」を参照してください。OpenShift Online サブスクリプションを使用している場合は、Red Hat レジストリーへのアクセス用の設定はすでに行われています。
  2. Red Hat OpenShift Container Platform が Red Hat レジストリーへのアクセス用のユーザー名とパスワードで設定されている場合は、以下のコマンドを実行します。

    $ oc get imagestreamtag -n openshift | grep rhpam-businesscentral | grep 7.8
    $ oc get imagestreamtag -n openshift | grep rhpam-kieserver | grep 7.8

    両コマンドの出力が空でない場合は、必要なイメージストリームが openshift namespace にあるので、これ以外の操作は必要ありません。

  3. コマンドの 1 つまたは複数の出力が空白の場合や、Red Hat レジストリーにアクセスするために、OpenShift をユーザー名およびパスワードで設定していない場合には、以下の手順を実行してください。

    1. oc コマンドで OpenShift にログインして、プロジェクトがアクティブであることを確認します。
    2. Registry Service Accounts for Shared Environments」に記載されている手順を実行します。Red Hat カスタマーポータルにログインし、レジストリーサービスアカウントを作成する手順を実行する必要があります。
    3. OpenShift Secret タブを選択し、Download secret のリンクをクリックして、YAML シークレットファイルをダウンロードします。
    4. ダウンロードしたファイルを確認して、name: エントリーに記載の名前をメモします。
    5. 以下のコマンドを実行します。

      oc create -f <file_name>.yaml
      oc secrets link default <secret_name> --for=pull
      oc secrets link builder <secret_name> --for=pull

      <file_name> はダウンロードしたファイルに、<secret_name> はファイルの name: のエントリーに記載されている名前に置き換えてください。

    6. Software Downloads ページから rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードし、rhpam78-image-streams.yaml ファイルを展開します。
    7. 以下のコマンドを入力します。

      $ oc apply -f rhpam78-image-streams.yaml
      注記

      上記の手順を完了したら、イメージストリームをプロジェクトの namespace にインストールします。この場合、テンプレートをデプロイする際に IMAGE_STREAM_NAMESPACE パラメーターをこのプロジェクトの名前に設定する必要があります。

2.2. KIE Server のシークレットの作成

OpenShift は シークレット と呼ばれるオブジェクトを使用してパスワードやキーストアなどの機密情報を保持します。OpenShift のシークレットに関する詳細は、Red Hat OpenShift Container Platform ドキュメントの「シークレット」の章を参照してください。

KIE Server への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

    注記

    実稼働環境で、想定されている KIE Server の URL と一致する、有効な署名済み証明書を生成します。

  2. keystore.jks というファイルにキーストアを保存します。
  3. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  4. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。
  5. oc コマンドを使用して、新しいキーストアファイルからシークレット kieserver-app-secret を生成します。

    $ oc create secret generic kieserver-app-secret --from-file=keystore.jks

2.3. Business Central へのシークレットの作成

Business Central への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。

Business Central と KIE Server に同じ証明書およびキーストアを使用しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

    注記

    実稼働環境で、想定されている Business Central の URL と一致する、有効な署名済み証明書を生成します。

  2. keystore.jks というファイルにキーストアを保存します。
  3. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  4. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。
  5. oc コマンドを使用して、新しいキーストアファイルからシークレット businesscentral-app-secret を生成します。

    $ oc create secret generic businesscentral-app-secret --from-file=keystore.jks

2.4. Smart Router のシークレットの作成

Smart Router への HTTP アクセス用に SSL 証明書を作成し、これをシークレットとして OpenShift 環境に指定する必要があります。

Smart Router の証明書およびキーストアに、KIE Server または Business Central で使用されているものと同じものを指定しないでください。

手順

  1. KIE Server の SSL 暗号化向けの秘密鍵と公開鍵で SSL キーストアを生成します。自己署名または購入した SSL 証明書でキーストアを作成する方法は、「SSL 暗号化キーおよび証明書」を参照してください。

    注記

    実稼働環境で、Smart Router の予想される URL と一致する有効な署名済み証明書を生成します。

  2. keystore.jks というファイルにキーストアを保存します。
  3. 証明書の名前をメモします。Red Hat Process Automation Manager 設定におけるこのデフォルト名は jboss です。
  4. キーストアファイルのパスワードをメモします。Red Hat Process Automation Manager 設定におけるこのデフォルトの値は mykeystorepass です。
  5. oc コマンドを使用して、新しいキーストアファイルからシークレット smartrouter-app-secret を生成します。

    $ oc create secret generic smartrouter-app-secret --from-file=keystore.jks

2.5. 管理ユーザーのシークレットの作成

Red Hat Process Automation Manager 管理ユーザーアカウントのユーザー名とパスワードを含む汎用シークレットを作成する必要があります。このシークレットは、試用版テンプレート以外のテンプレートを使用して Red Hat Process Automation Manager をデプロイするのに必要です。

シークレットには、リテラルのユーザー名とパスワードが含まれている必要があります。ユーザー名のキー名は KIE_ADMIN_USER です。パスワードのキー名は KIE_ADMIN_PWD です。

複数のテンプレートを使用して Red Hat Process Automation Manager のコンポーネントをデプロイする場合、これらすべてのデプロイメントに同じシークレットを使用します。コンポーネントは、このユーザーアカウントを利用して相互に通信します。

イミュータブル監視テンプレートをデプロイする場合、このユーザーアカウントを使用してBusiness Central Monitoring にログインすることもできます。

重要

RH-SSO または LDAP 認証を使用する場合は、同じパスワードを持つ同じユーザーを Red Hat Process Automation Manager の kie-server,rest-all,admin ロールを使用して認証システムで設定する必要があります。

手順

oc コマンドを使用し、ユーザー名およびパスワードの kie-admin-user-secret という汎用シークレットを生成します。

$ oc create secret generic rhpam-credentials --from-literal=KIE_ADMIN_USER=adminUser --from-literal=KIE_ADMIN_PWD=adminPassword

このコマンドで、adminPassword を管理ユーザーのパスワードに置き換えます。オプションで、adminUser を管理ユーザーの別のユーザー名に置き換えることができます。

2.6. 外部データベースのカスタム KIE Server 拡張イメージのビルド

KIE Server に外部データベースサーバーを使用し、そのデータベースサーバーが MySQL または PostgreSQL 以外の場合は、環境をデプロイする前にこのサーバー用のドライバーを使用するカスタムの KIE Server 拡張イメージをビルドする必要があります。

このビルド手順を実行して、以下のデータベースサーバーのドライバーを指定できます。

  • Microsoft SQL Server
  • IBM DB2
  • Oracle データベース
  • Sybase

オプションで、この手順を使用して、以下のデータベースサーバーのいずれかに対応する、新しいバージョンのドライバーをビルドできます。

  • MySQL
  • MariaDB
  • PostgreSQL

データベースサーバーのサポートされるバージョンについては、「Red Hat Process Automation Manager 7 でサポートされる構成」を参照してください。

ビルド手順では、既存の KIE Server イメージを拡張するカスタム拡張イメージを作成します。このカスタム拡張イメージは OpenShift 環境にインポートしてから、EXTENSION_IMAGE パラメーターで参照する必要があります。

前提条件

  • oc コマンドを使用して OpenShift 環境にログインしている。OpenShift ユーザーには registry-editor ロールが必要です。
  • Oracle Database、IBM DB2 または Sybase の場合は、データベースサーバーベンダーから JDBC ドライバーをダウンロードしている。
  • 以下の必要なソフトウェアをインストールしている。

    • Docker
    • Cekit バージョン 3.2
    • Cekit の以下のライブラリーおよび拡張機能:

      • odcs-client: python3-odcs-client パッケージまたは同様のパッケージで提供される。
      • docker: python3-docker パッケージまたは同様のパッケージで提供される。
      • docker-squash: python3-docker-squash または同様のパッケージで提供される。
      • behave: python3-behave パッケージまたは同様のパッケージで提供される。
      • s2i: source-to-image パッケージまたは同様のパッケージで提供される。

手順

  1. IBM DB2、Oracle Database または Sybase の場合、 JDBC ドライバー JAR ファイルをローカルディレクトリーに指定します。
  2. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  3. ファイルを展開し、コマンドラインを使用して展開されたファイルの templates/contrib/jdbc/cekit ディレクトリーに切り替えます。このディレクトリーには、カスタムビルドのソースコードが含まれます。
  4. データベースサーバーのタイプに応じて、以下のコマンドのいずれかを入力します。

    • Microsoft SQL Server の場合:

      make mssql
    • MySQL の場合:

      make mysql
    • PostgreSQL の場合:

      make postgresql
    • MariaDB の場合:

      make mariadb
    • IBM DB2 の場合:

      make db2 artifact=/tmp/db2jcc4.jar version=10.2

      このコマンドで、/tmp/db2jcc4.jar をダウンロードされた Oracle Database ドライバーのパス名に、10.2 をドライバーのバージョンに置き換えます。

    • Oracle Database の場合:

      make oracle artifact=/tmp/ojdbc7.jar version=7.0

      このコマンドで、/tmp/ojdbc7.jar をダウンロードされた Oracle Database ドライバーのパス名に、7.0 をドライバーのバージョンに置き換えます。

    • Sybase の場合:

      make build sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05

      このコマンドで、/tmp/jconn4-16.0_PL05.jar をダウンロードされた Sybase ドライバーのパス名に、 16.0_PL05 をドライバーのバージョンに置き換えます。

      または、Sybase ドライバーのドライバークラスまたはドライバーの XA クラスを更新する必要がある場合には、以下のコマンドに DRIVER_CLASS または DRIVER_XA_CLASS 変数を設定してください。

      export DRIVER_CLASS=another.class.Sybase && make sybase artifact=/tmp/jconn4-16.0_PL05.jar version=16.0_PL05
  5. 以下のコマンドを入力して、ローカルで利用可能な Docker イメージを一覧表示します。

    docker images

    ビルドされたイメージの名前 (例: jboss-kie-db2-extension-openshift-image) およびイメージのバージョンタグ (11.1.4.4 など。 latest タグではない) をメモします。

  6. OpenShift 環境のレジストリーに直接アクセスし、イメージをレジストリーにプッシュします。ユーザーパーミッションに応じて、イメージを openshift namespace またはプロジェクト namespace にプッシュできます。レジストリーへのアクセスおよびイメージのプッシュの手順については、Red Hat OpenShift Container Platform 製品ドキュメントの「Accessing the Registry Directly」を参照してください。
  7. 外部データベースサーバーをサポートするテンプレートを使って KIE Server デプロイメントを設定する場合、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の namespace (例: openshift またはプロジェクト namespace)

2.7. NFS を使用した ReadWriteMany アクセスモードの永続ボリュームのプロビジョニング

Business Central Monitoring をデプロイする場合には、ご使用の環境は ReadWriteMany アクセスモードで永続ボリュームをプロビジョニングする必要があります。

お使いの設定で ReadWriteMany アクセスモードの永続ボリュームのプロビジョニングが必要であるものの、環境がそのようなプロビジョニングに対応しない場合、NFS を使用してボリュームをプロビジョニングします。それ以外の場合は、この手順は省略します。

手順

NFS サーバーをデプロイし、NFS を使用して永続ボリュームをプロビジョニングします。NFS を使用して永続ボリュームをプロビジョニングする方法については、Red Hat OpenShift Container Platform 3.11 ドキュメントの『クラスターの設定』の「NFS を使用した永続ストレージ」を参照してください。

2.8. S2I ビルドに使用する Business Central からのソースコードの展開

Source-to-Image (S2I) プロセスを使用してイミュータブル KIE Server を作成する予定の場合には、Git リポジトリーにサービスのソースコードを提供する必要があります。オーサリングサービスに Business Central を使用する場合は、サービスのソースコードを展開して、S2I ビルドを使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

S2I プロセスを使用する予定がない場合や、サービスのオーサリングに Business Central を使用していない場合は、この手順をスキップしてください。

手順

  1. 以下のコマンドを使用してソースコードを展開します。

    git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>

    このコマンドでは、以下の変数を置き換えてください。

    • <business-central-host>: Business Central を実行しているホスト
    • <MySpace>: プロジェクトが配置された Business Central 領域の名前
    • <MyProject>: プロジェクトの名前
    注記

    Business Central でプロジェクトの完全な URL を表示するには、MenuDesign<MyProject>Settings の順にクリックします。

    注記

    HTTPS 通信に自己署名証明書を使用している場合には、このコマンドは SSL certificate problem というエラーメッセージが表示され、失敗する可能性があります。このような場合には、GIT_SSL_NO_VERIFY 環境変数を使用するなど、git で SSL 証明書の検証を無効にします。

    env GIT_SSL_NO_VERIFY=true git clone https://<business-central-host>:443/git/<MySpace>/<MyProject>
  2. S2I ビルドの別の Git リポジトリー (GitHub または GitLab など) へのソースコードのアップロード

2.9. オフラインで使用する Maven ミラーリポジトリーの用意

Red Hat OpenShift Container Platform 環境に公開インターネットへの送信アクセスが設定されていない場合には、必要なアーティファクトすべてのミラーが含まれる Maven リポジトリーを用意して、このリポジトリーを使用できるようにする必要があります。

注記

Red Hat OpenShift Container Platform 環境がインターネットに接続されている場合にはこの手順を実行する必要はありません。

前提条件

  • 公開インターネットへの送信アクセスが設定されているコンピューターが利用できる。

手順

  1. 書き込み可能な Maven リリースリポジトリーを設定します。このリポジトリーは、認証なしに読み込みアクセスを許可する必要があります。OpenShift 環境は、このリポジトリーへのアクセスが必要です。OpenShift 環境に、Nexus リポジトリーマネージャーをデプロイできます。OpenShift への Nexus の設定方法は、「Nexus の設定」を参照してください。このリポジトリーをミラーリポジトリーとして使用します。また、KJAR サービスからイミュータブルサーバーを作成する予定の場合や、Business Central Monitoring をデプロイする予定の場合は、サービスをこのリポジトリーに配置します。このリポジトリーを外部 Maven リポジトリーとして設定する必要があります。イミュータブル環境に別個のミラーリポジトリーを設定することはできません。
  2. 公開インターネットに送信アクセスができるコンピューターで、以下のアクションを実行します。

    1. Red Hat Process Automation Manager 7.8.0 Offliner Content List をクリックして、Red Hat カスタマーポータルの Software Downloads ページから rhpam-7.8.0-offliner.zip の製品配信可能ファイルをダウンロードします。
    2. rhpam-7.8.0-offliner.zip ファイルの内容を任意のディレクトリーに展開します。
    3. ディレクトリーに移動し、以下のコマンドを入力します。

      ./offline-repo-builder.sh offliner.txt

      このコマンドは、repository サブディレクトリーを作成し、必要なアーティファクトをこのサブディレクトリーにダウンロードします。

      一部のダウンロードが失敗したことを示すメッセージが表示された場合は、同じコマンドを再度実行してください。ダウンロードが再び失敗する場合は、Red Hat サポートに連絡してください。

    4. repository サブディレクトリーのすべてのアーティファクトを、作成した Maven ミラーリポジトリーにアップロードします。アーティファクトをアップロードするには、Maven repository tools Git リポジトリーから利用できる Maven Repository Provisioner ユーティリティーを使用できます。
  3. Business Central 外でサービスを開発し、追加の依存関係がある場合には、ミラーリポジトリーにその依存関係を追加します。サービスを Maven プロジェクトとして作成している場合には、以下の手順を使用すると、これらの依存関係を自動的に準備できます。公開インターネットへの送信接続のあるコンピューターで、この手順を実行します。

    1. ローカルの Maven キャッシュディレクトリー (~/.m2/repository) のバックアップを作成して、ディレクトリーを削除します。
    2. mvn clean install コマンドを使用してプロジェクトのソースをビルドします。
    3. すべてのプロジェクトで以下のコマンドを入力し、Maven を使用してプロジェクトで生成したすべてのアーティファクトのランタイムの依存関係をすべてダウンロードするようにします。

      mvn -e -DskipTests dependency:go-offline -f /path/to/project/pom.xml --batch-mode -Djava.net.preferIPv4Stack=true

      /path/to/project/pom.xml は、プロジェクトの pom.xml ファイルへの正しいパスに置き換えます。

    4. ローカル Maven キャッシュディレクトリー (~/.m2/repository) から、作成した Maven ミラーリポジトリーに、すべてのアーティファクトをアップロードします。アーティファクトをアップロードするには、Maven repository tools Git リポジトリーで提供されている Maven Repository Provisioner ユーティリティーを使用できます。

第3章 イミュータブルサーバーを使用した環境

事前定義プロセスを使用して イミュータブル KIE Server を実行する 1つ以上の Pod を含む環境をデプロイできます。データベースサーバーは、デフォルトで Pod で実行されます。KIE Server の各 Pod は、必要に応じて個別にスケーリングできます。

イメージの作成時に、イミュータブル KIE Server ですべてのサービスをサーバーに読み込む必要があります。実行中のイミュータブル KIE Server でサービスのデプロイやデプロイ解除を実行することはできません。このアプローチの利点は、サービスが含まれる KIE Server はコンテナー化されたサービスのように実行され、特別な管理を必要としない点にあります。KIE Server は OpenShift 環境の 1 つの Pod として実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

KIE Server イメージを作成する場合は、S2I (Source to Image) を使用してサービスをビルドする必要があります。サービスのソースおよびその他のビジネスアセットを使用して Git リポジトリーを提供します。Business Central でサービスまたはアセットを開発する場合は、S2I ビルドの個別のリポジトリーにソースをコピーします。OpenShift は自動的にソースをビルドし、KIE Server イメージにサービスをインストールして、このサービスでコンテナーを起動します。

オーサリングサービスに Business Central を使用する場合は、プロセスのソースを展開して、S2I ビルドで使用する別の Git リポジトリー (GitHub や GitLab のオンプレミスインストールなど) に配置できます。

または、KJAR ファイルとしてすでにビルドされているサービスを使用して同様の KIE Server デプロイメントを作成できます。この場合には、サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動されると、KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスは更新されたり、変更されたりすることはありません。Pod が再起動またはスケーリングされるたびに、サーバーは KJAR ファイルをリポジトリーから取得するため、デプロイメントをイミュータブルに保つには、これらのファイルが Maven リポジトリーで変更されないようにする必要があります。

イミュータブルのイメージを作成する方法はいずれも、イメージの管理が必要ありません。サービスの新規バージョンを使用する場合には、新規イメージをビルドできます。

オプションで、Business Central Monitoring のある Pod と Smart Router のある Pod もデプロイできます。

Business Central Monitoring を使用して KIE Server でサービスの起動および停止 (デプロイでない) を実行でき、監視データを表示できます。 Business Central Monitoring インスタンスは、イミュータブル KIE Server および管理 KIE Server を含む、同じ namespace にあるすべての KIE Server を自動的に検出します。この機能には、固定された管理インフラストラクチャーにデプロイされたものを除くすべての KIE Server に対して有効にされた OpenShiftStartupStrategy 設定が必要です。OpenShiftStartupStrategy 設定が有効な状態で管理 KIE Server をデプロイする手順については、『Red Hat OpenShift Container Platform への Red Hat Process Automation Manager フリーフォーム管理サーバー環境のデプロイ』を参照してください。

Smart Router は、クライアントアプリケーションからのサービスに対する呼び出しを受信できる単一エンドポイントであり、それぞれの呼び出しのルートをサービスを実際に実行するサーバーに対して自動的に指定します。

Business Central Monitoring を使用する必要がある場合は、Maven リポジトリーを指定する必要があります。統合プロセスで、KIE Server イメージにビルドした KJAR ファイルのすべてのバージョンが Maven リポジトリーでも利用できるようにする必要があります。

3.1. イミュータブルサーバーを使用する環境への Business Central Monitoring および Smart Router のデプロイ

イミュータブルサーバーを使用する環境に Business Central Monitoring および Smart Router をデプロイすることができます。

Business Central Monitoring を使用して KIE Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。 Business Central Monitoring は、イミュータブル Process Server および管理 Process Server を含む、同じ namespace にあるすべての KIE Server を自動的に検出します。この機能には、固定された管理インフラストラクチャーにデプロイされたものを除くすべての KIE Server に対してデフォルトで有効にされた OpenShiftStartupStrategy 設定が必要です。OpenShiftStartupStrategy 設定が有効にされた状態で管理 KIE Server をデプロイする手順については、『Red Hat OpenShift Container Platform での Red Hat Process Automation Manager フリーフォーム管理サーバー環境のデプロイ』を参照してください。

Smart Router は、クライアントアプリケーションからのサービスに対する呼び出しを受信できる単一エンドポイントであり、それぞれの呼び出しのルートをサービスを実際に実行するサーバーに対して自動的に指定します。

Business Central Monitoring を使用する必要がある場合は、Maven リポジトリーを指定する必要があります。統合プロセスで、KIE Server イメージにビルドした KJAR ファイルのすべてのバージョンが Maven リポジトリーでも利用できるようにする必要があります。

3.1.1. Monitoring および Smart Router 用のテンプレート設定の開始

イミュータブルサーバーを使用する環境に Monitoring および Smart Router をデプロイするには、rhpam78-immutable-monitor.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  2. rhpam78-immutable-monitor.yaml テンプレートファイルを展開します。
  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから、rhpam78-immutable-monitor.yaml ファイルを選択するか、または貼り付けます。Add Template ウィンドウで、 Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/rhpam78-immutable-monitor.yaml -p BUSINESS_CENTRAL_HTTPS_SECRET=businesscentral-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • 必須のパラメーターの設定に必要な数の -p PARAMETER = value のペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「Monitoring および Smart Router に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。

3.1.2. Monitoring および Smart Router に必要なパラメーターの設定

テンプレートを、Monitoring および Smart Router をイミュータブルサーバーを使用する環境にデプロイするように設定する場合、いずれの場合も以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • Business Central Monitoring Server Keystore Secret Name (BUSINESS_CENTRAL_HTTPS_SECRET): 「Business Central へのシークレットの作成」 で作成した Business Central のシークレットの名前。
    • Smart Router Keystore Secret Name (KIE_SERVER_ROUTER_HTTPS_SECRET): 「Smart Router のシークレットの作成」で作成した Smart Router のシークレットの名前。
    • Business Central Monitoring Server Certificate Name (BUSINESS_CENTRAL_HTTPS_NAME): 「Business Central へのシークレットの作成」 で作成したキーストアの証明書の名前。
    • Business Central Monitoring Server Keystore Password (BUSINESS_CENTRAL_HTTPS_PASSWORD): 「Business Central へのシークレットの作成」 で作成したキーストアのパスワード。
    • Smart Router Certificate Name (KIE_SERVER_ROUTER_HTTPS_NAME): 「Smart Router のシークレットの作成」で作成したキーストアの証明書名。
    • Smart Router Keystore Password (KIE_SERVER_ROUTER_HTTPS_PASSWORD): 「Smart Router のシークレットの作成」で作成したキーストアのパスワード。
    • Application Name (APPLICATION_NAME): OpenShift アプリケーションの名前。これは、Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用して、デプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの別個のセットを作成します。
    • Enable KIE server global discovery (KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED): 同じ namespace 内にある OpenShiftStartupStrategy が指定された KIE Server をすべて、Business Central Monitoring に検出させるには、このパラメーターを true に設定します。デフォルトでは、 Business Central Monitoring は APPLICATION_NAME パラメーターが Business Central Monitoring と同じ値でデプロイされた KIE Server のみを検出します。
    • Maven repository URL (MAVEN_REPO_URL): Maven リポジトリーの URL。お使いの環境の KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven repository ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • ImageStream Namespace (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、namespace は openshift になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」の手順に従います。

3.1.3. Monitoring および Smart Router のイメージストリーム namespace の設定

openshift ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

3.1.4. Monitoring および Smart Router の RH-SSO 認証用パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されていること。
  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • デプロイしている Red Hat Process Automation Manager 環境の全コンポーネントに対して、クライアントが RH-SSO 認証システムに作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認して編集できます。または、Red Hat Process Automation Manager デプロイメントを使用して、クライアントを作成できますが、このオプションでは、環境を制御する詳細度が低くなります。
  • 「Monitoring および Smart Router 用のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. 以下の必須パラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO クライアント名。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO で設定するシークレット文字列。
    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central Monitoring の RH-SSO で作成するクライアントの名前。
      • Business Central Monitoring RH-SSO Client Secret (BUSINESS_CENTRAL_SSO_SECRET): Business Central Monitoring のクライアント向けに RH-SSO で設定するシークレット文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

3.1.5. Monitoring および Smart Router の LDAP 認証用パラメーターの設定

LDAP 認証を使用する必要がある場合は、Monitoring および Smart Router をイミュータブルサーバーを使用する環境用にデプロイするようにテンプレートを設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties file path (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「Monitoring および Smart Router 用のテンプレートのデプロイ」の手順に従います。

3.1.6. Monitoring および Smart Router 用のテンプレートのデプロイ

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

3.2. S2I ビルドの使用によるイミュータブル KIE Server のデプロイ

S2I ビルドを使用してイミュータブル KIE Server をデプロイできます。サーバーをデプロイする際、デプロイメント手順ではこのサーバーで実行される必要のあるすべてのサービスのソースコードを取得し、サービスをビルドし、それらをサービスイメージに組み込みます。

実行中のイミュータブル KIE Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。KIE Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

イミュータブル KIE Server の JMS 機能を有効にできます。JMS 機能を使用すると、外部 AMQ メッセージブローカーを使用し、JMS API 経由でサーバーと対話できます。

デフォルトで、このサーバーは Pod で PostgreSQL データベースサーバーを使用します。Pod で MySQL データベースサーバーを使用するか、または外部データベースサーバーを使用するには、テンプレートを変更できます。

Business Central または Business Central Monitoring が同じ namespace にデプロイされる場合、これはイミュータブル KIE Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル KIE Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。

3.2.1. S2I の使用によるイミュータブル KIE Server のテンプレート設定の開始

S2I ビルドを使用してイミュータブル KIE Server をデプロイするには、JMS 機能を有効にする必要がある場合には rhpam78-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用します。そうでない場合には、rhpam78-prod-immutable-kieserver.yaml テンプレートファイルを使用します。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  2. 必要なテンプレートファイルを展開します。
  3. デフォルトで、テンプレートには 2 つの KIE Server が含まれます。それぞれのサーバーは Pod で PostgreSQL データベースサーバーを使用します。KIE Server の数を変更するか、または Pod で MySQL データサーバーをするか、または外部データベースサーバーを使用するには、「S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更」 で説明されているようにテンプレートを変更します。
  4. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレート名に置き換えます。
      • 必須のパラメーターの設定に必要な数の -p PARAMETER = value のペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「S2I の使用によるイミュータブル KIE Server に必要なパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。

3.2.2. S2I の使用によるイミュータブル KIE Server に必要なパラメーターの設定

テンプレートをイミュータブル KIE Server を S2I ビルドを使用してデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • Application Name (APPLICATION_NAME): OpenShift アプリケーションの名前。これは Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用してデプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの個別のセットを作成できます。別々のアプリケーション名を使用する限り、同じテンプレートを使用して複数のアプリケーションを同じプロジェクトにデプロイできます。また、アプリケーション名は、KIE Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) または Business Central Monitoring の名前を決定するものとなります。複数の KIE Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • KIE Server Container Deployment (KIE_SERVER_CONTAINER_DEPLOYMENT): ソースのビルド後にデプロイメントでローカルまたは外部リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の ID 情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。または、コンテナーのエイリアス名で指定する場合には、形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> です。以下の例に示されるように、区切り文字 | を使用して 2 つ以上の KJAR ファイルを指定できます。

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2

      コンテナー ID の重複を防ぐには、アーティファクトビルドごとに、またはプロジェクト内で、一意のアーティファクト ID を指定する必要があります。

    • Git Repository URL (SOURCE_REPOSITORY_URL): サービスのソースを含む Git リポジトリーの URL。
    • Git Reference (SOURCE_REPOSITORY_REF): Git リポジトリーのブランチ。
    • Context Directory (CONTEXT_DIR): Git リポジトリーからダウンロードしたプロジェクト内のソースへのパス。
    • Artifact Directory (ARTIFACT_DIR): Maven の正常なビルド後に必要なバイナリーファイル (KJAR ファイルその他の必要なファイル) を含むプロジェクト内のパス。通常、このディレクトリーはビルドのターゲットディレクトリーですが、Git リポジトリーのこのディレクトリーに事前に設定されたバイナリーを指定できます。
    • ImageStream Namespace (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、namespace は openshift になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.3. S2I の使用によるイミュータブル KIE Server のイメージストリーム namespace の設定

openshift ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

3.2.4. S2I の使用によるイミュータブル KIE Server 用の Business Central または Business Central Monitoring インスタンスについての情報の設定

同じ namespace で Business Central または Business Central Monitoring インスタンスから KIE Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスについての情報を設定する必要があります。

Business Central または Business Central Monitoring インスタンスは、KIE Server と同じ認証情報シークレット((CREDENTIALS_SECRET) を使用して設定される必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • Name of the Business Central service (BUSINESS_CENTRAL_SERVICE): Business Central または Business Central Monitoring の OpenShift サービス名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.5. S2I の使用によるイミュータブル KIE Server のオプションの Mavenリポジトリーの設定

S2I ビルドを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、ソースビルドに公開 Maven ツリーで利用可能ではない依存関係が含まれ、別個のカスタム Maven リポジトリーが必要な場合、リポジトリーにアクセスできるようにパラメーターを設定する必要があります。

前提条件

手順

カスタム Maven リポジトリーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven repository URL (MAVEN_REPO_URL): Maven リポジトリーの URL。
  • Maven repository ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
  • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
  • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.6. S2I の使用によるイミュータブル KIE Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

S2I ビルドを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven mirror URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は OpenShift 環境の Pod からアクセスできる必要があります。
  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf の値を設定する方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値は external:* です。この値で、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合には、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合には、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.7. S2I の使用によるイミュータブル KIE Server 用の AMQ サーバーとの通信の設定

rhpam78-prod-immutable-kieserver-amq.yaml テンプレートファイルを使用する場合、KIE Server の JMS 機能が有効にされます。外部の AMQ メッセージブローカーを使用して、JMS API 経由でサーバーと対話できます。

環境に必要な場合は、JMS 設定を変更できます。

前提条件

手順

必要に応じて、お使いの環境に以下のパラメーターのいずれかを設定します。

  • AMQ Username (AMQ_USERNAME) および AMQ Password (AMQ_PASSWORD): ブローカーのユーザー認証が環境で必要な場合の、標準ブローカーユーザーのユーザー名およびパスワード。
  • AMQ Role (AMQ_ROLE): 標準ブローカーユーザーのユーザーロール。デフォルトロールは admin です。
  • AMQ Queues (AMQ_QUEUES): コンマで区切られた AMQ キュー名。これらのキューは、ブローカーが起動し、JBoss EAP サーバーで JNDI リソースとしてアクセス可能になると自動的に作成されます。カスタムのキュー名を使用する場合、同じキュー名を KIE_SERVER_JMS_QUEUE_RESPONSEKIE_SERVER_JMS_QUEUE_REQUESTKIE_SERVER_JMS_QUEUE_SIGNALKIE_SERVER_JMS_QUEUE_AUDIT、および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターに設定する必要もあります。
  • AMQ Global Max Size (AMQ_GLOBAL_MAX_SIZE): メッセージデータが消費できるメモリーの最大量。値が指定されない場合は、Pod で利用可能なメモリーの半分が割り当てられます。
  • AMQ Protocols (AMQ_PROTOCOL): コンマで区切られた、KIE Server が AMQ サーバーとの通信に使用できるブローカーのプロトコル。許可される値は、openwireamqpstomp、および mqtt です。 openwire のみが JBoss EAP でサポートされます。デフォルト値は openwire です。
  • AMQ Broker Image (AMQ_BROKER_IMAGESTREAM_NAME): AMQ ブローカーイメージのイメージストリーム名。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.8. S2I の使用によるイミュータブル KIE Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを S2I ビルドを使用してイミュータブル KIE Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されていること。
  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • デプロイしている Red Hat Process Automation Manager 環境の全コンポーネントに対して、クライアントが RH-SSO 認証システムに作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認して編集できます。または、Red Hat Process Automation Manager デプロイメントを使用して、クライアントを作成できますが、このオプションでは、環境を制御する詳細度が低くなります。
  • 「S2I の使用によるイミュータブル KIE Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. 以下の必須パラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central or Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central または Business Central Monitoring の RH-SSO クライアント名。
      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

3.2.9. S2I の使用によるイミュータブル KIE Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する場合には、S2I ビルドを使用してイミュータブル KIE Server をデプロイするテンプレートを設定する時に、以下の追加設定を行います。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties file path (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.10. S2I の使用によるイミュータブル KIE Server 用に外部データベースサーバーを使用するためのパラメーターの設定

「S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更」 に説明されているように、KIE Server 用に外部データベースサーバーを使用するようにテンプレートを変更した場合、 S2I を使用してイミュータブル KIE Server をデプロイするようにテンプレートを設定する際に以下の追加の設定を行います。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。
    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。
    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。
    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect
      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の全一覧については、Red Hat JBoss EAP ドキュメントの「Hibernate properties」の表 A.7 を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の namespace (例: openshift またはプロジェクト namespace)
  3. MySQL バージョン 8 の外部データベース・サーバーを使用する場合には、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

3.2.11. S2I の使用によるイミュータブル KIE Server の Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server Extension Disabled (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始」 の手順に従います。

Prometheus メトリクス収集の方法については、「KIE Server の管理および監視」を参照してください。

3.2.12. S2I の使用によるイミュータブル KIE Server テンプレートのデプロイの開始

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

3.3. S2I の使用によるイミュータブル KIE Server のデプロイ用テンプレートの変更

デフォルトで、S2I を使用してイミュータブルサーバーをデプロイするためのテンプレートは、個別の PostgreSQL Pod を作成してそれぞれの複製可能な KIE Server 用のデータベースサーバーを提供します。MySQL または外部サーバー (OpenShift プロジェクト外) を使用する場合は、サーバーをデプロイする前に rhpam78-prod-immutable-kieserver.yaml または rhpam78-prod-immutable-kieserver-amq.yaml テンプレートファイルを変更します。

OpenShift テンプレートは、OpenShift が作成できる一連のオブジェクトを定義します。環境設定を変更するには、このオブジェクトの修正、追加、または削除が必要になります。このタスクを簡単にするために、Red Hat Process Automation Manager テンプレートにコメントが提供されます。

コメントの中には、テンプレート内のブロックを表すもの (BEGIN から END まで) があります。たとえば、以下のブロックの名前は Sample block です。

## Sample block BEGIN
sample line 1
sample line 2
sample line 3
## Sample block END

変更内容によっては、1 つのテンプレートファイルのブロックを、Red Hat Process Automation Manager で提供されている別のテンプレートファイルのブロックに置き換える必要があります。その場合は、ブロックを削除して新しいブロックを正しい場所に貼り付けます。

手順

  • PostgreSQL の代わりに MySQL を使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam78-kieserver-mysql.yaml ファイルのブロックに置き換えます。

    1. PostgreSQL database parameters ブロックを、MySQL database parameters ブロックに置き換えます (rhpam78-kieserver-postgresql.yaml 内のこのブロックと、その後の置換ブロックを使用します)。
    2. PostgreSQL service ブロックを MySQL service ブロックに置き換えます。
    3. PostgreSQL driver settings ブロックを MySQL driver settings ブロックに置き換えます。
    4. PostgreSQL deployment config ブロックを MySQL deployment config ブロックに置き換えます。
    5. PostgreSQL persistent volume claim ブロックを MySQL persistent volume claim ブロックに置き換えます。
  • 外部データベースサーバーを使用する場合は、ファイル内で、BEGIN コメントから END コメントまでの数ブロックを、rhpam78-kieserver-externaldb.yaml ファイルのブロックに置き換え、いくつかのブロックを削除します。

    1. PostgreSQL database parameters ブロックを External database parameters ブロックに置き換えます (rhpam78-kieserver-externaldb.yaml 内のこのブロックと、その後の置換ブロックを使用します)。
    2. PostgreSQL driver settings ブロックを External database driver settings ブロックに置き換えます。
    3. ファイルから、以下のブロックの BEGIN コメントから END コメントまでを削除します。

      • PostgreSQL service
      • PostgreSQL deployment config
      • PostgreSQL persistent volume claim
重要

標準の KIE Server イメージに外部データベースサーバー MySQL 用、MariaDB 用、PostgreSQL 用のドライバーが含まれます。別のデータベースサーバーを使用する場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は「外部データベースのカスタム KIE Server 拡張イメージのビルド」を参照してください。

3.4. KJAR サービスからのイミュータブル KIE Server のデプロイ

KJAR ファイルとしてすでにビルドされているサービスを使用して、イミュータブル KIE Server をデプロイできます。

サービスを Maven リポジトリーに指定する必要があります。Business Central のビルトインリポジトリーまたは独自のリポジトリーを使用できます (例: Nexus デプロイメント)。サーバー Pod が起動されると、KJAR サービスを Maven リポジトリーから取得します。Pod 上のサービスは更新されたり、変更されたりすることはありません。Pod が再起動またはスケーリングされるたびに、サーバーは KJAR ファイルをリポジトリーから取得するため、デプロイメントをイミュータブルに保つには、これらのファイルが Maven リポジトリーで変更されないようにする必要があります。

実行中のイミュータブル KIE Server でサービスのデプロイまたはデプロイ解除を行うことはできません。Business Central または Business Central Monitoring を使用すると、モニター情報を表示できます。KIE Server は OpenShift 環境で 1 つの Pod のように実行されます。必要に応じて、コンテナーベースの統合ワークフローを使用できます。

Business Central または Business Central Monitoring が同じ namespace にデプロイされる場合、これはイミュータブル KIE Server を自動的に検出します。Business Central または Business Central Monitoring を使用してイミュータブル KIE Server でサービスの起動および停止 (デプロイではない) を実行でき、監視データを表示できます。

3.4.1. KJAR サービスでのイミュータブル KIE Server のテンプレート設定の開始

イミュータブル KIE Server を KJAR サービスからデプロイするには、以下のテンプレートファイルのいずれかを使用します。

  • rhpam78-kieserver-postgresql.yaml: 永続ストレージに PostgreSQL Pod を使用します。他のテンプレートを使用する特別な理由がない限り、このテンプレートを使用します。
  • rhpam78-kieserver-mysql.yaml: 永続ストレージに MySQL Pod を使用します。
  • rhpam78-kieserver-externaldb.yaml: 永続ストレージに外部データベースサーバーを使用します。

    重要

    外部データベースサーバーの標準 KIE Server イメージには、MySQL および PostgreSQL 外部データベースサーバー用のドライバーが含まれます。別のデータベースサーバーを使用する必要がある場合は、カスタムの KIE Server イメージをビルドする必要があります。手順は「外部データベースのカスタム KIE Server 拡張イメージのビルド」を参照してください。

手順

  1. Red Hat カスタマーポータルの Software Downloads ページから利用可能な rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードします。
  2. 必要なテンプレートファイルを展開します。
  3. 以下のいずれかの方法を使用してテンプレートのデプロイを開始します。

    • OpenShift Web UI を使用するには、OpenShift アプリケーションコンソールで Add to Project → Import YAML / JSON を選択してから <template-file-name>.yaml ファイルを選択するか、またはこれを貼り付けます。Add Template ウィンドウで Process the template が選択されていることを確認し、Continue をクリックします。
    • OpenShift コマンドラインコンソールを使用するには、以下のコマンドラインを準備します。

      oc new-app -f <template-path>/<template-file-name>.yaml -p KIE_SERVER_HTTPS_SECRET=kieserver-app-secret -p PARAMETER=value

      このコマンドラインで、以下のように変更します。

      • <template-path> を、ダウンロードしたテンプレートファイルのパスに置き換えます。
      • <template-file-name> は、テンプレート名に置き換えます。
      • 必須のパラメーターの設定に必要な数の -p PARAMETER = value のペアを使用します。

次のステップ

テンプレートのパラメーターを設定します。「KJAR サービスからのイミュータブル KIE Server のパラメーターの設定」 の手順を実行し、共通のパラメーターを設定します。テンプレートファイルを表示し、すべてのパラメーターの説明を参照できます。

3.4.2. KJAR サービスからのイミュータブル KIE Server のパラメーターの設定

テンプレートをイミュータブル KIE Server を KJAR サービスからデプロイするように設定する際、いずれの場合でも以下のパラメーターを設定する必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • Credentials secret (CREDENTIALS_SECRET): 「管理ユーザーのシークレットの作成」で作成される管理ユーザーの認証情報を含むシークレットの名前。
    • KIE Server Keystore Secret Name (KIE_SERVER_HTTPS_SECRET): 「KIE Server のシークレットの作成」で作成した KIE Server のシークレットの名前。
    • KIE Server Certificate Name (KIE_SERVER_HTTPS_NAME): 「KIE Server のシークレットの作成」で作成したキーストアの証明書名。
    • KIE Server Keystore Password (KIE_SERVER_HTTPS_PASSWORD): 「KIE Server のシークレットの作成」で作成したキーストアのパスワード。
    • Application Name (APPLICATION_NAME): OpenShift アプリケーションの名前。これは Business Central Monitoring および KIE Server のデフォルト URL で使用されます。OpenShift はアプリケーション名を使用してデプロイメント設定、サービス、ルート、ラベルおよびアーティファクトの個別のセットを作成できます。別々のアプリケーション名を使用する限り、同じテンプレートを使用して複数のアプリケーションを同じプロジェクトにデプロイできます。また、アプリケーション名は、KIE Server が Business Central で参加するサーバーの設定 (サーバーテンプレート) または Business Central Monitoring の名前を決定するものとなります。複数の KIE Server をデプロイしている場合、それぞれのサーバーに異なるアプリケーション名があることを確認する必要があります。
    • Maven repository URL (MAVEN_REPO_URL): Maven リポジトリーの URL。KIE Server にデプロイするすべてのプロセス (KJAR ファイル) をこのリポジトリーにアップロードする必要があります。
    • Maven repository ID (MAVEN_REPO_ID): Maven リポジトリーの ID。デフォルト値は repo-custom です。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。
    • KIE Server Container Deployment (KIE_SERVER_CONTAINER_DEPLOYMENT): デプロイメントが Maven リポジトリーからプルする必要のあるデシジョンサービス (KJAR ファイル) の識別情報。形式は <containerId>=<groupId>:<artifactId>:<version> になります。コンテナーのエイリアス名を指定する場合は、 形式は <containerId>(<aliasId>)=<groupId>:<artifactId>:<version> です。以下の例で示されるようにセパレーター | を使用して 2 つ以上の KJAR ファイルを指定できます。

      containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2
    • KIE Server Mode (KIE_SERVER_MODE): rhpam78-kieserver-*.yaml テンプレートで、デフォルト値は PRODUCTION です。PRODUCTION モードでは、SNAPSHOT バージョンの KJAR アーティファクトは KIE Server にデプロイできず、既存のコンテナーでアーティファクトのバージョンを変更することはできません。PRODUCTION モードで新規バージョンをデプロイするには、同じ KIE Server で新規コンテナーを作成します。SNAPSHOT バージョンをデプロイするか、または既存コンテナーのアーティファクトのバージョンを変更するには、このパラメーターを DEVELOPMENT に設定します。
    • ImageStream Namespace (IMAGE_STREAM_NAMESPACE): イメージストリームが利用可能な namespace。OpenShift 環境でイメージストリームがすでに利用可能な場合 (「イメージストリームとイメージレジストリーの可用性確認」 を参照)、namespace は openshift になります。イメージストリームファイルをインストールしている場合は、namespace が OpenShift プロジェクトの名前になります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

3.4.3. イミュータブル KIE Server のイメージストリーム namespace の設定

openshift ではない namespace でイメージストリームを作成した場合、テンプレートで namespace を設定する必要があります。

すべてのイメージストリームが Red Hat OpenShift Container Platform 環境ですでに利用可能な場合は、この手順を省略できます。

前提条件

手順

「イメージストリームとイメージレジストリーの可用性確認」 の説明に従ってイメージストリームファイルをインストールした場合は、ImageStream Namespace (IMAGE_STREAM_NAMESPACE) パラメーターを OpenShift プロジェクトの名前に設定します。

3.4.4. KJAR サービスの使用によるイミュータブル KIE Server 用の Business Central または Business Central Monitoring インスタンスについての情報の設定

同じ namespace で Business Central または Business Central Monitoring インスタンスから KIE Server への接続を有効にする必要がある場合は、Business Central または Business Central Monitoring インスタンスについての情報を設定する必要があります。

Business Central または Business Central Monitoring インスタンスは、KIE Server と同じ認証情報シークレット((CREDENTIALS_SECRET) を使用して設定される必要があります。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • Name of the Business Central service (BUSINESS_CENTRAL_SERVICE): Business Central または Business Central Monitoring の OpenShift サービス名。
  2. 以下の設定が Business Central または Business Central Monitoring の同じ設定と同じ値に設定されていることを確認します。

    • Maven repository URL (MAVEN_REPO_URL): サービスのデプロイに使用する必要のある外部 Maven リポジトリーの URL。
    • Maven リポジトリーのユーザー名 (MAVEN_REPO_USERNAME): Maven リポジトリーのユーザー名。
    • Maven リポジトリーのパスワード (MAVEN_REPO_PASSWORD): Maven リポジトリーのパスワード。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

3.4.5. KJAR サービスを使用したイミュータブル KIE Server の公開インターネットへの接続のない環境での Maven ミラーへのアクセスの設定

KJAR サービスを使用してテンプレートをイミュータブル KIE Server をデプロイするように設定する際に、OpenShift 環境に公開インターネットへの接続がない場合は、「オフラインで使用する Maven ミラーリポジトリーの用意」 に従って設定した Maven ミラーへのアクセスを設定する必要があります。

前提条件

手順

Maven ミラーへのアクセスを設定するには、以下のパラメーターを設定します。

  • Maven mirror URL (MAVEN_MIRROR_URL): 「オフラインで使用する Maven ミラーリポジトリーの用意」 で設定した Maven ミラーリポジトリーの URL。この URL は OpenShift 環境の Pod からアクセスできる必要があります。
  • Maven mirror of (MAVEN_MIRROR_OF): ミラーから取得されるアーティファクトを定める値。mirrorOf の値を設定する方法は、Apache Maven ドキュメントの「Mirror Settings」を参照してください。デフォルト値は external:* です。この値で、Maven はミラーから必要なアーティファクトをすべて取得し、他のリポジトリーにクエリーを送信しません。

    • 外部の Maven リポジトリー (MAVEN_REPO_URL) を設定する場合には、ミラーからこのリポジトリー内のアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。
    • ビルトイン Business Central Maven リポジトリー (BUSINESS_CENTRAL_MAVEN_SERVICE) を設定する場合には、ミラーからこのリポジトリーのアーティファクトを除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr)。
    • 両方のリポジトリーを設定している場合には、ミラーからこのリポジトリーを両方除外するように MAVEN_MIRROR_OF を変更します (例: external:*,!repo-rhpamcentr,!repo-custom)。repo-custom は、MAVEN_REPO_ID で設定した ID に置き換えます。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

3.4.6. KJAR サービスの使用によるイミュータブル KIE Server の RH-SSO 認証パラメーターの設定

RH-SSO 認証を使用する必要がある場合は、テンプレートを KJAR サービスを使用してイミュータブル KIE Server をデプロイするように設定する際に追加の設定を実行します。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

  • Red Hat Process Automation Manager のレルムが RH-SSO 認証システムに作成されていること。
  • Red Hat Process Automation Manager のユーザー名およびパスワードが RH-SSO 認証システムに作成されていること。利用可能なロールの一覧については、4章Red Hat Process Automation Manager ロールおよびユーザー を参照してください。

    「管理ユーザーのシークレットの作成」 で説明されているように、管理ユーザーのシークレットで設定されたユーザー名およびパスワードを使用してユーザーを作成する必要があります。このユーザーには kie-server,rest-all,admin ロールが必要です。

  • デプロイしている Red Hat Process Automation Manager 環境の全コンポーネントに対して、クライアントが RH-SSO 認証システムに作成されていること。クライアントのセットアップには、コンポーネントの URL が含まれます。環境のデプロイ後に URL を確認して編集できます。または、Red Hat Process Automation Manager デプロイメントを使用して、クライアントを作成できますが、このオプションでは、環境を制御する詳細度が低くなります。
  • 「KJAR サービスでのイミュータブル KIE Server のテンプレート設定の開始」 に説明されているテンプレートの設定を開始していること。

手順

  1. 以下の必須パラメーターを設定します。

    • RH-SSO URL (SSO_URL): RH-SSO の URL。
    • RH-SSO Realm name (SSO_REALM): Red Hat Process Automation Manager の RH-SSO レルム。
    • RH-SSO が無効な SSL 証明書の検証 (SSO_DISABLE_SSL_CERTIFICATE_VALIDATION): RH-SSO インストールで有効な HTTPS 証明書を使用していない場合には true に設定します。
  2. 以下の手順のいずれかを実行します。

    1. RH-SSO で Red Hat Process Automation Manager のクライアントを作成した場合は、テンプレートで以下のパラメーターを設定します。

      • Business Central or Business Central Monitoring RH-SSO Client name (BUSINESS_CENTRAL_SSO_CLIENT): Business Central または Business Central Monitoring の RH-SSO クライアント名。
      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): KIE Server の RH-SSO クライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
    2. RH-SSO で Red Hat Process Automation Manager のクライアントを作成するには、テンプレートで以下のパラメーターを設定します。

      • KIE Server RH-SSO Client name (KIE_SERVER_SSO_CLIENT): KIE Server 向けに RH-SSO に作成するクライアント名。
      • KIE Server RH-SSO Client Secret (KIE_SERVER_SSO_SECRET): KIE Server のクライアントに対して RH-SSO に設定するシークレットの文字列。
      • RH-SSO Realm Admin Username (SSO_USERNAME) および RH-SSO Realm Admin Password (SSO_PASSWORD): Red Hat Process Automation Manager の RH-SSO レルムのレルム管理者ユーザーのユーザー名およびパスワード。必要なクライアントを作成するためにこのユーザー名およびパスワードを指定する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

デプロイの完了後に、RH-SSO 認証システムで Red Hat Process Automation Manager のコンポーネントの URL が正しいことを確認してください。

3.4.7. KJAR サービスの使用によるイミュータブル KIE Server の LDAP 認証パラメーターの設定

LDAP 認証を使用する必要がある場合は、KJAR サービスからイミュータブル KIE Server をデプロイするようにテンプレートを設定するには、以下のように追加で設定を行います。

重要

LDAP 認証および RH-SSO 認証を同じデプロイメントに設定しないようにしてください。

前提条件

手順

  1. テンプレートの AUTH_LDAP* パラメーターを設定します。これらのパラメーターは、Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応します。これらの設定の使用方法については、「LdapExtended ログインモジュール」を参照してください。

    LDAP サーバーでデプロイメントに必要なすべてのロールが定義されていない場合には、Red Hat Process Automation Manager ロールに LDAP グループをマップできます。LDAP のロールマッピングを有効にするには、以下のパラメーターを設定します。

    • RoleMapping rolesProperties file path (AUTH_ROLE_MAPPER_ROLES_PROPERTIES): /opt/eap/standalone/configuration/rolemapping/rolemapping.properties など、ロールのマッピングを定義するファイルの完全修飾パス名。このファイルを指定して、該当するすべてのデプロイメント設定でこのパスにマウントする必要があります。これを実行する方法については、「(オプション) LDAP ロールマッピングファイルの指定」を参照してください。
    • RoleMapping replaceRole プロパティー (AUTH_ROLE_MAPPER_REPLACE_ROLE): true に設定した場合には、LDAP サーバーに定義したロールは、マッピングしたロールに置き換えられます。false に設定した場合には、LDAP サーバーに定義したロールと、マッピングしたロール両方がユーザーアプリケーションロールとして設定されます。デフォルトの設定は false です。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

3.4.8. KJAR サービスの使用によるイミュータブル KIE Server 用の外部データベースサーバーを使用するためのパラメーターの設定

rhpam78-kieserver-externaldb.yaml テンプレートを使用して KIE Server 用に外部データベースサーバーを使用する場合、KJAR サービスからイミュータブル KIE Server をデプロイするようにテンプレートを設定するには、以下のように追加で設定を行います。

前提条件

手順

  1. 以下の必須パラメーターを設定します。

    • KIE Server External Database Driver (KIE_SERVER_EXTERNALDB_DRIVER): サーバーの種類に応じたサーバーのドライバー。

      • mysql
      • postgresql
      • mariadb
      • mssql
      • db2
      • oracle
      • sybase
    • KIE Server External Database User (KIE_SERVER_EXTERNALDB_USER) および KIE Server External Database Password (KIE_SERVER_EXTERNALDB_PWD): 外部データベースサーバーのユーザー名およびパスワード。
    • KIE Server External Database URL (KIE_SERVER_EXTERNALDB_URL): 外部データベースサーバーの JDBC URL。
    • KIE Server External Database Host (KIE_SERVER_EXTERNALDB_SERVICE_HOST) および KIE Server External Database Port (KIE_SERVER_EXTERNALDB_SERVICE_PORT): 外部データベースサーバーのホスト名およびポート番号。これらのパラメーターを、KIE_SERVER_EXTERNALDB_URL パラメーターを設定する代わりに設定できます。
    • KIE Server External Database Dialect (KIE_SERVER_EXTERNALDB_DIALECT): サーバーの種類に応じたサーバーの Hibernate 方言。共通の設定は以下のとおりです。

      • org.hibernate.dialect.MySQL5InnoDBDialect
      • org.hibernate.dialect.MySQL8Dialect
      • org.hibernate.dialect.MariaDB102Dialect
      • org.hibernate.dialect.PostgreSQL95Dialect
      • org.hibernate.dialect.PostgresPlusDialect (EntrepriseDB Postgres Advanced Server で使用される)
      • org.hibernate.dialect.SQLServer2012Dialect (MS SQL で使用される)
      • org.hibernate.dialect.DB2Dialect
      • org.hibernate.dialect.Oracle10gDialect
      • org.hibernate.dialect.SybaseASE15Dialect

        サポートされる方言の全一覧については、Red Hat JBoss EAP ドキュメントの「Hibernate properties」の表 A.7 を参照してください。

    • KIE Server External Database name (KIE_SERVER_EXTERNALDB_DB): 外部データベースサーバーで使用するデータベース名。
    • JDBC Connection Checker class (KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER): データベースサーバーの JDBC connection checker class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
    • JDBC Exception Sorter class (KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER): データベースサーバーの JDBC exception sorter class の名前。この情報がないと、データベースサーバー接続は、データベースサーバーの再起動時などで接続が失われた後に復元することができません。
  2. 「外部データベースのカスタム KIE Server 拡張イメージのビルド」 で説明されているように、外部データベースサーバーを使用するためにカスタムイメージを作成している場合は、以下のパラメーターを設定します。

    • Drivers Extension Image (EXTENSIONS_IMAGE): 拡張イメージの ImageStreamTag 定義 (例: jboss-kie-db2-extension-openshift-image:11.1.4.4)
    • Drivers ImageStream Namespace (EXTENSIONS_IMAGE_NAMESPACE): 拡張イメージのアップロード先の namespace (例: openshift またはプロジェクト namespace)
  3. MySQL バージョン 8 の外部データベース・サーバーを使用する場合には、mysql_native_password プラグインを有効にして、認証に使用してください。このプラグインに関する詳細は、MySQL 8.0 Reference ManualNative Pluggable Authentication を参照してください。

    Red Hat on Red Hat OpenShift Container Platform が提供する MySQL バージョン 8 のイメージを使用してプラグインを有効にするには、MYSQL_DEFAULT_AUTHENTICATION_PLUGIN 環境変数を mysql_native_password に設定してください。

    MySQL バージョン 8 サーバーでユーザーを作成してから mysql_native_password プラグインを有効にした場合には、プラグインを有効にしてから mysql-user テーブルを更新する必要があります。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

3.4.9. KJAR サービスの使用によるイミュータブル KIE Server からの Prometheus メトリクス収集の有効化

KIE Server デプロイメントを Prometheus を使用してメトリクスを収集し、保存するように設定する必要がある場合、デプロイ時に KIE Server でこの機能のサポートを有効にします。

前提条件

手順

Prometheus メトリクス収集のサポートを有効にするには、Prometheus Server Extension Disabled (PROMETHEUS_SERVER_EXT_DISABLED) パラメーターを false に設定します。

次のステップ

必要な場合は、追加のパラメーターを設定します。

デプロイを完了するには、「KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行」 の手順に従います。

Prometheus メトリクス収集の方法については、「KIE Server の管理および監視」を参照してください。

3.4.10. KJAR サービスの使用によるイミュータブル KIE Server テンプレートデプロイの実行

OpenShift Web UI またはコマンドラインで必要なすべてのパラメーターを設定した後に、テンプレートのデプロイを実行します。

手順

使用している方法に応じて、以下の手順を実行します。

  • OpenShift Web UI の場合は Create をクリックします。

    • This will create resources that may have security or project behavior implications のポップアップメッセージが表示された場合には、Create Anyway をクリックします。
  • コマンドラインに入力して、Enter キーを押します。

3.5. (オプション) 自己署名証明書で HTTPS サーバーにアクセスするためのトラストストアの提供

Red Hat Decision Manager インフラストラクチャーのコンポーネントは、自己署名の HTTPS 証明書を使用するサーバーにアクセスするのに、HTTPS アクセスを使用する必要がある場合があります。たとえば、Business Central Monitoring および KIE Server は、自己署名の HTTPS サーバー証明書を使用する内部の Nexus リポジトリーと対話する必要がある場合があります。

このような場合には、HTTPS 接続が正常に完了するようにするには、トラストストアを使用してこれらのサービスのクライアント証明書を指定する必要があります。

Red Hat Process Automation Manager のコンポーネントが自己署名の HTTPS サーバー証明書を使用するサーバーと通信する必要がない場合は、この手順をスキップしてください。

注記

Red Hat Process Automation Manager 7.8では、この手順は S2I ビルドを使用するイミュータブルデプロイメントには有効ではありません。

手順

  1. 対象の証明書を使用してトラストストアを準備します。次のコマンドを使用して、トラストストアを作成するか、証明書を既存のトラストストアに追加します。必要なすべての証明書を 1 つのトラストストアに追加します。

    keytool -importcert -file certificate-file -alias alias -keyalg algorithm -keysize size -trustcacerts -noprompt -storetype JKS -keypass truststore-password -storepass truststore-password -keystore keystore-file

    以下の値を置き換えてください。

    • certificate-file: トラストストアに追加する証明書のパス名。
    • alias: トラストストアの証明書のエイリアス。トラストストアに複数の証明書を追加する場合には、全証明書に一意のエイリアスが必要です。
    • algorithm: 証明書に使用する暗号化アルゴリズム。通常は RSA です。
    • size: バイト単位での証明書キーの単位 (例: 2048)。
    • truststore-password: トラストストアのパスワード。
    • keystore-file: トラストストアファイルのパス名。ファイルが存在しない場合には、このコマンドにより、新規トラストストアが作成されます。

      次のコマンド例は、/var/certs/nexus.cer ファイルから /var/keystores/custom-trustore.jks ファイルのトラストストアに証明書を追加します。トラストストアのパスワードは mykeystorepass です。

      keytool -importcert -file /var/certs/nexus.cer -alias nexus-cert -keyalg RSA -keysize 2048 -trustcacerts -noprompt -storetype JKS -keypass mykeystorepass -storepass mykeystorepass -keystore /var/keystores/custom-trustore.jks
  2. 以下のように oc コマンドを使用して、トラストストアファイルでシークレットを作成します。

    oc create secret generic truststore-secret --from-file=/var/keystores/custom-trustore.jks
  3. お使いのインフラストラクチャーに必要なコンポーネントをデプロイする場合には、以下の例のように、シークレットをマウントしてから JAVA_OPTS_APPEND オプションを設定して Java アプリケーションのインフラストラクチャーがトラストストアを使用できるようにします。

    oc set volume dc/myapp-rhpamcentr --add --overwrite --name=custom-trustore-volume --mount-path /etc/custom-secret-volume --secret-name=custom-secret
    
    oc set env dc/myapp-rhpamcentr JAVA_OPTS_APPEND='-Djavax.net.ssl.trustStore=/etc/custom-secret-volume/custom-trustore.jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=mykeystorepass'
    oc set volume dc/myapp-kieserver --add --overwrite --name=custom-trustore-volume --mount-path /etc/custom-secret-volume --secret-name=custom-secret
    
    oc set env dc/myapp-kieserver JAVA_OPTS_APPEND='-Djavax.net.ssl.trustStore=/etc/custom-secret-volume/custom-trustore.jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=mykeystorepass'

    myapp をテンプレートの設定時に指定したアプリケーション名に置き換えます。

3.6. (オプション) LDAP ロールマッピングファイルの指定

AUTH_ROLE_MAPPER_ROLES_PROPERTIES パラメーターを設定する場合には、ロールマッピングを定義するファイルを指定する必要があります。影響を受けるデプロイメント設定すべてにこのファイルをマウントしてください。

手順

  1. my-role-map など、ロールマッピングのプロパティーファイルを作成します。このファイルには、以下の形式のエントリーを含める必要があります。

    ldap_role = product_role1, product_role2...

    以下は例になります。

    admins = kie-server,rest-all,admin
  2. 以下のコマンドを入力して、このファイルから OpenShift 設定ファイルのマッピングを作成します。

    oc create configmap ldap-role-mapping --from-file=<new_name>=<existing_name>

    <new_name> は、Pod に指定するファイルの名前 (AUTH_ROLE_MAPPER_ROLES_PROPERTIES ファイルで指定した名前と同じである必要があります) に、<existing_name> は作成したファイル名に置き換えます。以下に例を示します。

    oc create configmap ldap-role-mapping --from-file=rolemapping.properties=my-role-map
  3. ロールマッピング用に指定した全デプロイメント設定に設定マップをマウントします。

    以下のデプロイメント設定は、この環境で影響を受ける可能性があります。

    • myapp-rhpamcentrmon: Business Central Monitoring
    • myapp-kieserver: KIE Server

    myapp はアプリケーション名に置き換えます。複数の KIE Server デプロイメントが異なるアプリケーション名で存在する場合があります。

    すべてのデプロイメント設定について、以下のコマンドを実行します。

     oc set volume dc/<deployment_config_name> --add --type configmap --configmap-name ldap-role-mapping --mount-path=<mapping_dir> --name=ldap-role-mapping

    <mapping_dir> は、/opt/eap/standalone/configuration/rolemapping など、AUTH_ROLE_MAPPER_ROLES_PROPERTIES で設定したディレクトリー名 (ファイル名なし) に置き換えます。

第4章 Red Hat Process Automation Manager ロールおよびユーザー

Business Central または KIE Server にアクセスするには、サーバーを起動する前にユーザーを作成してこれらのユーザーに適切なロールを割り当てる必要があります。

Business Central と KIE Server は、JAVA 認証承認サービス (JAAS) ログインモジュールを使用してユーザーを認証します。Business Central と KIE Server の両方が単一のインスタンスで実行されている場合、同じ JAAS サブジェクトとセキュリティードメインを共有します。したがって、Business Central に対して認証されたユーザーは、KIE Server にもアクセスできます。

ただし、Business Central と KIE Server が異なるインスタンスで実行されている場合、JAAS ログインモジュールは両方に対して個別にトリガーされます。したがって、Business Central で認証されたユーザーは、KIE Server にアクセス (Business Central でプロセス定義を表示または管理など) するための個別認証が必要となります。ユーザーが KIE Server で認証されていない場合は、ログファイルに 401 エラーが記録され、Business Central に Invalid credentials to load data from remote server. Contact your system administrator. のメッセージが表示されます。

このセクションでは、利用可能な Red Hat Process Automation Manager ユーザーロールについて説明します。

注記

adminanalystdevelopermanagerprocess-adminuser、および rest-all のロールは Business Central に予約されており、kie-server ロールは KIE Server に予約されています。このため、利用可能なロールは、インストールされているシステムが、Business Central、KIE Server、またはその両方かによって異なります。

  • admin: admin ロールを持つユーザーは Business Central 管理者です。管理者は、ユーザーの管理や、リポジトリーの作成、クローン作成、および管理ができます。アプリケーションで必要な変更にすべてアクセスできます。admin ロールを持つユーザーは、Red Hat Process Automation Manager の全領域にアクセスできます。
  • analyst: analyst ロールを持つユーザーには、すべてのハイレベル機能へのアクセスがあり、プロジェクトのモデル化および実行が可能です。ただし、このユーザーは、Design → Projects ビューでスペースにコントリビューターを追加したり、スペースを削除したりできません。Deploy → Execution Servers ビューへのアクセスは管理者を対象にしており、analyst ロールを持つユーザーは利用できません。ただし、Deploy ボタンは、このユーザーが Library パースペクティブにアクセスする時に利用できます。
  • developer: developer ロールを持つユーザーは、ほぼすべての機能にアクセスができ、ルール、モデル、プロセスフロー、フォーム、およびダッシュボードを管理できます。アセットリポジトリーを管理し、プロジェクトを作成、ビルド、およびデプロイでき、Red Hat CodeReady Studio を使用してプロセスを表示できます。developer ロールが割り当てられているユーザーには、新規リポジトリーの作成やクローン作成などの、特定の管理機能は表示されません。
  • manager: manager ロールを持つユーザーはレポートを表示できます。このユーザーは通常、ビジネスプロセス、そのパフォーマンス、ビジネスインジケーター、その他のビジネス関連のレポートに関する統計に関心があります。このルールを持つユーザーがアクセスできるのはプロセスおよびタスクのレポートに限られます。
  • process-admin: process-admin ロールを持つユーザーは、ビジネスプロセス管理者です。ビジネスプロセス、ビジネスタスク、および実行エラーへの完全アクセスがあります。このユーザーは、ビジネスレポートを表示でき、タスク受信箱リストにアクセスできます。
  • user: user ロールが割り当てられたユーザーは、タスクインボックスリストで作業できます。このリストには、現在実行中のプロセスの一部であるビジネスタスクなどが含まれます。このロールが割り当てられたユーザーは、タスクレポートやプロセスの表示、プロセスの管理ができます。
  • rest-all: rest-all ロールを持つユーザーは、Business Central REST 機能にアクセスできます。
  • kie-server: kie-server ロールを持つユーザーは、KIE Server REST 機能へのアクセスがあります。このロールは、Business Central で Manage ビューおよび Track ビューにアクセスするユーザーにとって必須となります。

第5章 OpenShift テンプレートの参考資料

Red Hat Process Automation Manager は以下の OpenShift テンプレートを提供します。テンプレートにアクセスするには、Red Hat カスタマーポータルの Software Downloads ページから、rhpam-7.8.0-openshift-templates.zip の製品配信可能ファイルをダウンロードし、これを展開します。

  • rhpam78-prod-immutable-monitor.yaml は、イミュータブル KIE Server で使用できる Business Central Monitoring インスタンスおよび Smart Router を提供します。このテンプレートをデプロイする際に、OpenShift は rhpam78-prod-immutable-kieserver.yaml テンプレートのデプロイに使用する必要のある設定を表示します。このテンプレートについての詳細は、「rhpam78-prod-immutable-monitor.yaml テンプレート」 を参照してください。
  • rhpam78-prod-immutable-kieserver.yaml は、イミュータブル KIE Server を提供します。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが KIE Server で実行される 1 つまたはいくつかのサーバーに対してトリガーされます。KIE Server は rhpam78-prod-immutable-monitor.yaml によって提供される Business Central Monitoring および Smart Router に接続されるようにオプションで設定できます。このテンプレートについての詳細は、「rhpam78-prod-immutable-kieserver.yaml template」 を参照してください。
  • rhpam78-prod-immutable-kieserver-amq.yaml は、イミュータブル KIE Server を提供します。このテンプレートのデプロイ時に、S2I (source-to-image) ビルドが KIE Server で実行される 1 つまたはいくつかのサーバーに対してトリガーされます。KIE Server は rhpam78-prod-immutable-monitor.yaml によって提供される Business Central Monitoring および Smart Router に接続されるようにオプションで設定できます。このバージョンのテンプレートには、JMS 統合が含まれます。このテンプレートについての詳細は、「rhpam78-prod-immutable-kieserver-amq.yaml テンプレート」 を参照してください。
  • rhpam78-kieserver-externaldb.yaml は、外部データベースを使用する KIE Server を提供します。KIE Server は Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで KIE Server を外部データベースを使用するように設定できます。このテンプレートについての詳細は、「rhpam78-kieserver-externaldb.yaml テンプレート」 を参照してください。
  • rhpam78-kieserver-mysql.yaml は、KIE Server および KIE Server が使用する MySQL インスタンスを提供します。KIE Server を Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで KIE Server を MySQL を使用し、MySQL インスタンスを提供するように設定できます。このテンプレートについての詳細は、「rhpam78-kieserver-mysql.yaml テンプレート」 を参照してください。
  • rhpam78-kieserver-postgresql.yaml は、KIE Server および KIE Server が使用する PostgreSQL インスタンスを提供します。KIE Server を Business Central に接続するように設定できます。さらに、このテンプレートのセクションを別のテンプレートにコピーして、他のテンプレートで KIE Server を PostgreSQL を使用し、PostgreSQL インスタンスを提供するように設定できます。このテンプレートについての詳細は、「rhpam78-kieserver-mysql.yaml テンプレート」 を参照してください。

5.1. rhpam78-prod-immutable-monitor.yaml テンプレート

Red Hat Process Automation Manager 7.8 向けの、実稼働環境のルーターおよび監視コンソールのアプリケーションテンプレート (非推奨)

5.1.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクト一覧フィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

BUSINESS_CENTRAL_SERVICE

RHPAMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定される場合は、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定します)。

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合に、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります (org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)。

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。

5000

False

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。

openshift

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.8.0」です。

7.8.0

False

SMART_ROUTER_HOSTNAME_HTTP

 — 

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-smartrouter-<project>.<default-domain-suffix>)。

 — 

False

SMART_ROUTER_HOSTNAME_HTTPS

 — 

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-smartrouter-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_ROUTER_ID

KIE_SERVER_ROUTER_ID

API 通信で使用されるルーターID (ルータープロパティーorg.kie.server.router.id)

kie-server-router

True

KIE_SERVER_ROUTER_PROTOCOL

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。

http

False

KIE_SERVER_ROUTER_URL_EXTERNAL

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

 — 

False

KIE_SERVER_ROUTER_NAME

KIE_SERVER_ROUTER_NAME

Business Central ユーザーインターフェースで使用されるルーター名 (ルータープロパティー org.kie.server.router.name)

KIE Server ルーター

True

KIE_SERVER_ROUTER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

smartrouter-app-secret

True

KIE_SERVER_ROUTER_HTTPS_KEYSTORE

 — 

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_ROUTER_HTTPS_NAME

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_ROUTER_HTTPS_PASSWORD

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_MONITOR_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE Server モニターのトークン (org.kie.server.controller.token システムプロパティーを設定します)

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

businesscentral-app-secret

True

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central コンテナーのメモリー制限

2Gi

False

SMART_ROUTER_MEMORY_LIMIT

 — 

Smart Router コンテナーのメモリー制限

512Mi

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central Monitoring RH-SSO クライアント名

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

5.1.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.1.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-rhpamcentrmon

8080

http

すべての Business Central Monitoring Web サーバーのポート

8443

https

${APPLICATION_NAME}-rhpamcentrmon-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-smartrouter

9000

http

smart router サーバー http および https ポート

9443

https

5.1.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-rhpamcentrmon-http

なし

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentrmon-https

TLS パススルー

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-smartrouter-http

なし

${SMART_ROUTER_HOSTNAME_HTTP}

${APPLICATION_NAME}-smartrouter-https

TLS パススルー

${SMART_ROUTER_HOSTNAME_HTTPS}

5.1.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.1.2.3.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-rhpamcentrmon

ImageChange

${APPLICATION_NAME}-smartrouter

ImageChange

5.1.2.3.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-rhpamcentrmon

1

${APPLICATION_NAME}-smartrouter

2

5.1.2.3.3. Pod テンプレート
5.1.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-rhpamcentrmon

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

5.1.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-rhpamcentrmon

rhpam-businesscentral-monitoring-rhel8

${APPLICATION_NAME}-smartrouter

rhpam-smartrouter-rhel8

5.1.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/ready

5.1.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-rhpamcentrmon

Http Get on http://localhost:8080/rest/healthy

5.1.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-rhpamcentrmon

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-smartrouter

http

9000

TCP

5.1.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-rhpamcentrmon

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

true に設定される場合は、KIE Server のグローバル検出機能はオンになります (org.kie.server.controller.openshift.global.discovery.enabled システムプロパティーを設定します)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

Business Central の OpenShift 統合がオンの場合に、このパラメーターを true に設定すると、OpenShift 内部サービスエンドポイント経由での KIE Server への接続が有効になります (org.kie.server.controller.openshift.prefer.kieserver.service システムプロパティーを設定します)。

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate Cache TTL (ミリ秒単位)(org.kie.server.controller.template.cache.ttl システムプロパティーを設定します)。

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE Server モニターのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_MONITOR_TOKEN}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentrmon-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

Business Central Monitoring RH-SSO クライアント名

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central Monitoring RH-SSO クライアント名

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白にします (例: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします (例: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix>)。

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_HOST

 — 

 — 

KIE_SERVER_ROUTER_PORT

 — 

9000

KIE_SERVER_ROUTER_PORT_TLS

 — 

9443

KIE_SERVER_ROUTER_URL_EXTERNAL

ルーターを見つけることのできるパブリック URL。形式: http://<host>:<port> (ルータープロパティー org.kie.server.router.url.external)

${KIE_SERVER_ROUTER_URL_EXTERNAL}

KIE_SERVER_ROUTER_ID

API 通信で使用されるルーターID (ルータープロパティーorg.kie.server.router.id)

${KIE_SERVER_ROUTER_ID}

KIE_SERVER_ROUTER_NAME

Business Central ユーザーインターフェースで使用されるルーター名 (ルータープロパティー org.kie.server.router.name)

${KIE_SERVER_ROUTER_NAME}

KIE_SERVER_ROUTER_ROUTE_NAME

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_ROUTER_PROTOCOL

KIE Server ルータープロトコル (org.kie.server.router.url.external プロパティーをビルドするために使用されます)。

${KIE_SERVER_ROUTER_PROTOCOL}

KIE_SERVER_ROUTER_TLS_KEYSTORE_KEYALIAS

サーバー証明書に関連付けられている名前

${KIE_SERVER_ROUTER_HTTPS_NAME}

KIE_SERVER_ROUTER_TLS_KEYSTORE_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_ROUTER_HTTPS_PASSWORD}

KIE_SERVER_ROUTER_TLS_KEYSTORE

 — 

/etc/smartrouter-secret-volume/${KIE_SERVER_ROUTER_HTTPS_KEYSTORE}

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

KIE_SERVER_CONTROLLER_TOKEN

Bearer 認証用の KIE Server モニターのトークン (org.kie.server.controller.token システムプロパティーを設定します)

${KIE_SERVER_MONITOR_TOKEN}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentrmon

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

http

KIE_SERVER_ROUTER_REPO

 — 

/opt/rhpam-smartrouter/data

KIE_SERVER_ROUTER_CONFIG_WATCHER_ENABLED

 — 

true

5.1.2.3.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-rhpamcentrmon

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

ssl certs

True

${APPLICATION_NAME}-smartrouter

${APPLICATION_NAME}-smartrouter

/opt/rhpam-smartrouter/data

 — 

false

5.1.2.4. 外部の依存関係

5.1.2.4.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-smartrouter-claim

ReadWriteMany

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

5.1.2.4.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

smartrouter-app-secret businesscentral-app-secret

5.2. rhpam78-prod-immutable-kieserver.yaml template

Red Hat Process Automation Manager 7.8 向けの、実稼働環境におけるイミュータブル KIE Server のアプリケーションテンプレート (非推奨)

5.2.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクト一覧フィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.8.0」です。

7.8.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている namespace。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されており、デフォルトは「10」です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_POSTGRESQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

org.hibernate.dialect.PostgreSQLDialect

True

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI。

https://github.com/jboss-container-images/rhpam-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照。

master

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/library-process/library

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット

 — 

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスを実行するために必要なすべてのアーティファクトが含まれる必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

myapp-rhpamcentr

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合には、全アーカイブまたはターゲットがコピーされます。

 — 

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限

1Gi

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします (プロパティー org.kie.server.mgmt.api.disabled を true に設定します)。

true

True

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアント名

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

5.2.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.2.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-postgresql

5432

 — 

データベースサーバーのポート。

5.2.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

5.2.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.8.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

5.2.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.2.2.4.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

5.2.2.4.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-postgresql

1

5.2.2.4.3. Pod テンプレート
5.2.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.2.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-postgresql

postgresql

5.2.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

5.2.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

5.2.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

5.2.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

S2I ビルドに使用する Maven ミラー。有効な場合、ミラーには必要なサービスを実行するために必要なすべてのアーティファクトが含まれる必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_PERSISTENCE_DS

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_JNDI

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server PostgreSQL Hibernate 方言。

${KIE_SERVER_POSTGRESQL_DIALECT}

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします (プロパティー org.kie.server.mgmt.api.disabled を true に設定します)。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアント名

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード。

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名。

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

5.2.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

5.2.2.5. 外部の依存関係

5.2.2.5.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

5.2.2.5.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret

5.3. rhpam78-prod-immutable-kieserver-amq.yaml テンプレート

Red Hat Process Automation Manager 7.8 向けの、ActiveMQ と統合された実稼働環境におけるイミュータブル KIE Server のアプリケーションテンプレート (非推奨)

5.3.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクト一覧フィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.8.0」です。

7.8.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

java:/jboss/datasources/rhpam

False

POSTGRESQL_IMAGE_STREAM_NAMESPACE

 — 

PostgreSQL イメージの ImageStream がインストールされている namespace。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこれを変更する必要があります。デフォルトは「openshift」です。

openshift

False

POSTGRESQL_IMAGE_STREAM_TAG

 — 

PostgreSQL イメージのバージョン。これは PostgreSQL バージョンに対応するように意図されており、デフォルトは「10」です。

10

False

KIE_SERVER_POSTGRESQL_USER

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

rhpam

False

KIE_SERVER_POSTGRESQL_PWD

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード

 — 

False

KIE_SERVER_POSTGRESQL_DB

RHPAM_DATABASE

KIE Server PostgreSQL データベース名

rhpam7

False

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

100

True

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

True

SOURCE_REPOSITORY_URL

 — 

アプリケーションの Git ソース URI

https://github.com/jboss-container-images/rhpam-7-openshift-image.git

True

SOURCE_REPOSITORY_REF

 — 

Git ブランチ/タグ参照

master

False

CONTEXT_DIR

 — 

ビルドする Git プロジェクト内のパス。ルートプロジェクトディレクトリーの場合は空になります。

quickstarts/library-process/library

False

GITHUB_WEBHOOK_SECRET

 — 

GitHub トリガーシークレット

 — 

True

GENERIC_WEBHOOK_SECRET

 — 

汎用ビルドのトリガーシークレット

 — 

True

MAVEN_MIRROR_URL

 — 

S2I ビルドに使用する Maven ミラー

 — 

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

my-repo-id

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

 — 

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

myapp-rhpamcentr

False

ARTIFACT_DIR

 — 

deploymento フォルダーにコピーするアーカイブ取得元のディレクトリー一覧。指定されていない場合には、全アーカイブまたはターゲットがコピーされます。

 — 

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限

1Gi

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします (プロパティー org.kie.server.mgmt.api.disabled を true に設定します)。

true

True

KIE_SERVER_EXECUTOR_JMS

KIE_SERVER_EXECUTOR_JMS

JMS エグゼキューターを有効にし、false に設定して無効にします。

true

False

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

JMS executor のトランザクションを有効にします。デフォルトでは無効です

false

False

KIE_SERVER_JMS_QUEUE_REQUEST

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

queue/KIE.SERVER.REQUEST

False

KIE_SERVER_JMS_QUEUE_RESPONSE

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

queue/KIE.SERVER.RESPONSE

False

KIE_SERVER_JMS_QUEUE_EXECUTOR

KIE_SERVER_JMS_QUEUE_EXECUTOR

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

queue/KIE.SERVER.EXECUTOR

False

KIE_SERVER_JMS_ENABLE_SIGNAL

KIE_SERVER_JMS_ENABLE_SIGNAL

JMS 経由でシグナル設定を有効にします。

true

False

KIE_SERVER_JMS_QUEUE_SIGNAL

KIE_SERVER_JMS_QUEUE_SIGNAL

シグナル用の JMS キュー

queue/KIE.SERVER.SIGNAL

False

KIE_SERVER_JMS_ENABLE_AUDIT

KIE_SERVER_JMS_ENABLE_AUDIT

JMS 経由で監査ロギングを有効にします。

true

False

KIE_SERVER_JMS_QUEUE_AUDIT

KIE_SERVER_JMS_QUEUE_AUDIT

監査ロギングの JMS キュー。

queue/KIE.SERVER.AUDIT

False

KIE_SERVER_JMS_AUDIT_TRANSACTED

KIE_SERVER_JMS_AUDIT_TRANSACTED

JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。

false

False

AMQ_USERNAME

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_PASSWORD

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

 — 

False

AMQ_ROLE

AMQ_ROLE

標準ブローカーユーザーのユーザーロール

admin

True

AMQ_QUEUES

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、 KIE_SERVER_JMS_QUEUE_RESPONSE、 KIE_SERVER_JMS_QUEUE_REQUEST、 KIE_SERVER_JMS_QUEUE_SIGNAL、 KIE_SERVER_JMS_QUEUE_AUDIT および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

queue/KIE.SERVER.REQUEST,queue/KIE.SERVER.RESPONSE,queue/KIE.SERVER.EXECUTOR,queue/KIE.SERVER.SIGNAL,queue/KIE.SERVER.AUDIT

False

AMQ_GLOBAL_MAX_SIZE

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合には、システムのメモリーの半分が割り当てられます。

10 gb

False

AMQ_SECRET

 — 

AMQ SSL 関連のファイルが含まれるシークレット名

broker-app-secret

True

AMQ_TRUSTSTORE

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名

broker.ts

False

AMQ_TRUSTSTORE_PASSWORD

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード

changeit

False

AMQ_KEYSTORE

AMQ_KEYSTORE

AMQ キーストアのファイル名

broker.ks

False

AMQ_KEYSTORE_PASSWORD

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード

changeit

False

AMQ_PROTOCOL

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

openwire

False

AMQ_BROKER_IMAGESTREAM_NAME

 — 

AMQ ブローカーイメージ

amq-broker:7.6

True

AMQ_IMAGE_STREAM_NAMESPACE

 — 

Red Hat AMQ イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStreams を別の namespace/プロジェクトにインストールしている場合には、これを変更するだけで結構です。

openshift

True

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

5.3.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.3.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-amq-jolokia

8161

amq-jolokia

ブローカーのコンソールおよび Jolokia ポート

${APPLICATION_NAME}-amq-amqp

5672

amq-amqp

ブローカーの AMQP ポート

${APPLICATION_NAME}-amq-amqp-ssl

5671

amq-amqp-ssl

ブローカーの AMQP SSL ポート

${APPLICATION_NAME}-amq-mqtt

1883

amq-mqtt

ブローカーの MQTT ポート

${APPLICATION_NAME}-amq-mqtt-ssl

8883

amq-mqtt-ssl

ブローカーの MQTT SSL ポート

${APPLICATION_NAME}-amq-stomp

61613

amq-stomp

ブローカーの STOMP ポート

${APPLICATION_NAME}-amq-stomp-ssl

61612

amq-stomp-ssl

ブローカーの STOMP SSL ポート

${APPLICATION_NAME}-amq-tcp

61616

amq-tcp

ブローカーの OpenWire ポート

${APPLICATION_NAME}-amq-tcp-ssl

61617

amq-tcp-ssl

ブローカーの OpenWire (SSL) ポート

${APPLICATION_NAME}-postgresql

5432

 — 

データベースサーバーのポート。

5.3.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

${APPLICATION_NAME}-amq-jolokia-console

TLS パススルー

<default>

${APPLICATION_NAME}-amq-tcp-ssl

TLS パススルー

<default>

5.3.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.8.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

GitHub、Generic、ImageChange、ConfigChange

5.3.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.3.2.4.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-postgresql

ImageChange

${APPLICATION_NAME}-amq

ImageChange

5.3.2.4.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-postgresql

1

${APPLICATION_NAME}-amq

1

5.3.2.4.3. Pod テンプレート
5.3.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.3.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-postgresql

postgresql

${APPLICATION_NAME}-amq

${AMQ_BROKER_IMAGESTREAM_NAME}

5.3.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container

${APPLICATION_NAME}-amq

/bin/bash -c /opt/amq/bin/readinessProbe.sh

5.3.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-postgresql

/usr/libexec/check-container --live

5.3.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-postgresql

 — 

5432

TCP

${APPLICATION_NAME}-amq

console-jolokia

8161

TCP

amqp

5672

TCP

amqp-ssl

5671

TCP

mqtt

1883

TCP

mqtt-ssl

8883

TCP

stomp

61613

TCP

stomp-ssl

61612

TCP

artemis

61616

TCP

amq-tcp-ssl

61617

TCP

5.3.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

 — 

DEVELOPMENT

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_ROUTER_SERVICE

 — 

${APPLICATION_NAME}-smartrouter

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

maven リポジトリーに使用する id。デフォルトは無作為に作成されます。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_PERSISTENCE_DS

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

${KIE_SERVER_PERSISTENCE_DS}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server PostgreSQL データベース名

${KIE_SERVER_POSTGRESQL_DB}

RHPAM_JNDI

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

RHPAM_DRIVER

 — 

postgresql

KIE_SERVER_PERSISTENCE_DIALECT

 — 

org.hibernate.dialect.PostgreSQLDialect

RHPAM_USERNAME

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

RHPAM_PASSWORD

KIE Server PostgreSQL データベースのパスワード

${KIE_SERVER_POSTGRESQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-postgresql

RHPAM_SERVICE_PORT

 — 

5432

TIMER_SERVICE_DATA_STORE

 — 

${APPLICATION_NAME}-postgresql

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーサービスのデータベースデータストアの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

KIE_SERVER_EXECUTOR_JMS

JMS エグゼキューターを有効にし、false に設定して無効にします。

${KIE_SERVER_EXECUTOR_JMS}

KIE_SERVER_EXECUTOR_JMS_TRANSACTED

JMS executor のトランザクションを有効にします。デフォルトでは無効です

${KIE_SERVER_EXECUTOR_JMS_TRANSACTED}

KIE_SERVER_JMS_QUEUE_REQUEST

JMS の要求キューの JNDI 名。デフォルト値は queue/KIE.SERVER.REQUEST です。

${KIE_SERVER_JMS_QUEUE_REQUEST}

KIE_SERVER_JMS_QUEUE_RESPONSE

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

${KIE_SERVER_JMS_QUEUE_RESPONSE}

KIE_SERVER_JMS_QUEUE_EXECUTOR

JMS の応答キューの JNDI 名。デフォルト値は queue/KIE.SERVER.RESPONSE です。

${KIE_SERVER_JMS_QUEUE_EXECUTOR}

KIE_SERVER_JMS_ENABLE_SIGNAL

JMS 経由でシグナル設定を有効にします。

${KIE_SERVER_JMS_ENABLE_SIGNAL}

KIE_SERVER_JMS_QUEUE_SIGNAL

シグナル用の JMS キュー

${KIE_SERVER_JMS_QUEUE_SIGNAL}

KIE_SERVER_JMS_ENABLE_AUDIT

JMS 経由で監査ロギングを有効にします。

${KIE_SERVER_JMS_ENABLE_AUDIT}

KIE_SERVER_JMS_QUEUE_AUDIT

監査ロギングの JMS キュー。

${KIE_SERVER_JMS_QUEUE_AUDIT}

KIE_SERVER_JMS_AUDIT_TRANSACTED

JMS セッションのトランザクションが処理されるかどうかを決定します。デフォルトは true です。

${KIE_SERVER_JMS_AUDIT_TRANSACTED}

MQ_SERVICE_PREFIX_MAPPING

 — 

${APPLICATION_NAME}-amq7=AMQ

AMQ_USERNAME

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_PROTOCOL

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

tcp

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、 KIE_SERVER_JMS_QUEUE_RESPONSE、 KIE_SERVER_JMS_QUEUE_REQUEST、 KIE_SERVER_JMS_QUEUE_SIGNAL、 KIE_SERVER_JMS_QUEUE_AUDIT および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

${AMQ_QUEUES}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします (プロパティー org.kie.server.mgmt.api.disabled を true に設定します)。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアントシークレット

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-postgresql

POSTGRESQL_USER

KIE Server PostgreSQL データベースのユーザー名。

${KIE_SERVER_POSTGRESQL_USER}

POSTGRESQL_PASSWORD

KIE Server PostgreSQL データベースのパスワード

${KIE_SERVER_POSTGRESQL_PWD}

POSTGRESQL_DATABASE

KIE Server PostgreSQL データベース名

${KIE_SERVER_POSTGRESQL_DB}

POSTGRESQL_MAX_PREPARED_TRANSACTIONS

PostgreSQL による XA トランザクションの処理を許可します。

${POSTGRESQL_MAX_PREPARED_TRANSACTIONS}

${APPLICATION_NAME}-amq

AMQ_USER

標準ブローカーユーザーのユーザー名。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_USERNAME}

AMQ_PASSWORD

標準ブローカーユーザーのパスワード。ブローカーに接続するために必要です。空白の場合は生成されます。

${AMQ_PASSWORD}

AMQ_ROLE

標準ブローカーユーザーのユーザーロール

${AMQ_ROLE}

AMQ_NAME

 — 

${APPLICATION_NAME}-broker

AMQ_TRANSPORTS

コンマで区切られた、設定するブローカーのプロトコル。許可される値は、openwireamqpstomp および mqtt です。openwire のみが EAP でサポートされます。

${AMQ_PROTOCOL}

AMQ_QUEUES

コンマで区切られたキュー名。これらのキューは、ブローカーの起動時に自動的に作成されます。さらに、これらは EAP で JNDI リソースとしてアクセス可能になります。これらのキューは KIE Server が必要とするデフォルトキューです。カスタムキューを使用する場合は、 KIE_SERVER_JMS_QUEUE_RESPONSE、 KIE_SERVER_JMS_QUEUE_REQUEST、 KIE_SERVER_JMS_QUEUE_SIGNAL、 KIE_SERVER_JMS_QUEUE_AUDIT および KIE_SERVER_JMS_QUEUE_EXECUTOR パラメーターと同じ値を使用します。

${AMQ_QUEUES}

AMQ_GLOBAL_MAX_SIZE

メッセージデータが使用可能な最大メモリー量を指定します。値が指定されていない場合には、システムのメモリーの半分が割り当てられます。

${AMQ_GLOBAL_MAX_SIZE}

AMQ_REQUIRE_LOGIN

 — 

true

AMQ_ANYCAST_PREFIX

 — 

 — 

AMQ_MULTICAST_PREFIX

 — 

 — 

AMQ_KEYSTORE_TRUSTSTORE_DIR

 — 

/etc/amq-secret-volume

AMQ_TRUSTSTORE

AMQ SSL トラストストアファイル名

${AMQ_TRUSTSTORE}

AMQ_TRUSTSTORE_PASSWORD

AMQ トラストストアのパスワード

${AMQ_TRUSTSTORE_PASSWORD}

AMQ_KEYSTORE

AMQ キーストアのファイル名

${AMQ_KEYSTORE}

AMQ_KEYSTORE_PASSWORD

AMQ キーストアおよび証明書のパスワード

${AMQ_KEYSTORE_PASSWORD}

5.3.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

${APPLICATION_NAME}-postgresql

${APPLICATION_NAME}-postgresql-pvol

/var/lib/pgsql/data

postgresql

false

${APPLICATION_NAME}-amq

broker-secret-volume

/etc/amq-secret-volume

ssl certs

True

5.3.2.5. 外部の依存関係

5.3.2.5.1. ボリューム要求

PersistentVolume オブジェクトは、OpenShift クラスターのストレージリソースです。管理者が GCE Persistent Disks、AWS Elastic Block Store (EBS) および NFS マウントなどのソースから PersistentVolume オブジェクトを作成して、ストレージをプロビジョニングします。詳細情報は、Openshift ドキュメント を参照してください。

名前アクセスモード

${APPLICATION_NAME}-postgresql-claim

ReadWriteOnce

5.3.2.5.2. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret broker-app-secret

5.4. rhpam78-kieserver-externaldb.yaml テンプレート

Red Hat Process Automation Manager 7.8 向けの、外部データベースを備えた管理 KIE Server のアプリケーションテンプレート (非推奨)

5.4.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクト一覧フィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.8.0」です。

7.8.0

True

KIE_SERVER_PERSISTENCE_SCHEMA

KIE_SERVER_PERSISTENCE_SCHEMA

Hibernate 永続性スキーマ。

bd.schema

False

KIE_SERVER_EXTERNALDB_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server 外部データベース Hibernate 方言。

org.hibernate.dialect.MySQL57Dialect

True

KIE_SERVER_EXTERNALDB_SERVICE_HOST

RHPAM_SERVICE_HOST

データソースサービスホストを設定します。事前に定義された mysql または postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

10.10.10.1

False

KIE_SERVER_EXTERNALDB_SERVICE_PORT

RHPAM_SERVICE_PORT

データソースサービスポートを設定します。事前に定義された mysql または postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

4321

False

KIE_SERVER_EXTERNALDB_NONXA

RHPAM_NONXA

データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。

True

False

KIE_SERVER_EXTERNALDB_URL

RHPAM_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。 SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要はありません。

jdbc:mysql://127.0.0.1:3306/rhpam

False

KIE_SERVER_EXTERNALDB_DRIVER

RHPAM_DRIVER

事前定義のドライバー名。利用可能な値は mysql、postgresql または外部ドライバーの事前に定義された名前です。

mariadb

True

KIE_SERVER_EXTERNALDB_JNDI

KIE_SERVER_PERSISTENCE_DS

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

java:jboss/datasources/jbpmDS

True

KIE_SERVER_EXTERNALDB_DB

RHPAM_DATABASE

KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

rhpam

False

KIE_SERVER_EXTERNALDB_USER

RHPAM_USERNAME

KIE Server 外部データベースのユーザー名。

rhpam

True

KIE_SERVER_EXTERNALDB_PWD

RHPAM_PASSWORD

KIE Server 外部データベースのパスワード。

 — 

True

KIE_SERVER_EXTERNALDB_MIN_POOL_SIZE

RHPAM_MIN_POOL_SIZE

設定されたデータソースに xa-pool/min-pool-size を設定します。

 — 

False

KIE_SERVER_EXTERNALDB_MAX_POOL_SIZE

RHPAM_MAX_POOL_SIZE

設定されたデータソースに xa-pool/max-pool-size を設定します。

 — 

False

KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER

RHPAM_CONNECTION_CHECKER

接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLValidConnectionChecker

False

KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER

RHPAM_EXCEPTION_SORTER

例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するためのブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。

org.jboss.jca.adapters.jdbc.extensions.mysql.MySQLExceptionSorter

False

KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION

RHPAM_BACKGROUND_VALIDATION

sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。

true

False

KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION_MILLIS

RHPAM_VALIDATION_MILLIS

jdbc 接続の background-validation チェックの間隔を定義します。

10000

False

KIE_SERVER_EXTERNALDB_DRIVER_TYPE

RHPAM_DRIVER_TYPE

DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。 使用できる値は 4 (デフォルト) または 2 です。

4

False

EXTENSIONS_IMAGE

 — 

ドライバーおよび設定を含むイメージの ImageStreamTag 定義 (例: custom-driver-image:7.8.0)。

custom-driver-extension:7.8.0

True

EXTENSIONS_IMAGE_NAMESPACE

 — 

ドライバーおよび設定を含むイメージの ImageStream 定義がある namespace。

openshift

True

EXTENSIONS_INSTALL_DIR

 — 

拡張が含まれる拡張イメージ内のディレクトリーへの完全パス (例: install.sh、modules/、など)。

/extensions

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE Server にデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限

1Gi

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアント名

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

5.4.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.4.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

5.4.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

5.4.2.3. ビルド設定

buildConfig は、単一のビルド定義と、新規ビルドを作成する必要のあるタイミングについての一連のトリガーを記述します。buildConfig は REST オブジェクトで、API サーバーへの POST で使用して新規インスタンスを作成できます。詳細は、Openshift ドキュメント を参照してください。

S2I イメージリンクビルドの出力BuildTriggers および設定

rhpam-kieserver-rhel8:7.8.0

rhpam-7/rhpam-kieserver-rhel8

${APPLICATION_NAME}-kieserver:latest

ImageChange, ImageChange, ConfigChange

5.4.2.4. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.4.2.4.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

5.4.2.4.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

5.4.2.4.3. Pod テンプレート
5.4.2.4.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.4.2.4.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

5.4.2.4.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

5.4.2.4.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

5.4.2.4.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

5.4.2.4.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE Server にデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans および kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

${APPLICATION_NAME}-kieserver

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

${KIE_SERVER_CONTAINER_DEPLOYMENT}

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

認証情報のシークレットに合わせて設定

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

認証情報のシークレットに合わせて設定

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

${MAVEN_REPO_PASSWORD}

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

${KIE_SERVER_MGMT_DISABLED}

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

KIE_SERVER_PERSISTENCE_DS

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

${KIE_SERVER_EXTERNALDB_JNDI}

KIE_SERVER_PERSISTENCE_SCHEMA

Hibernate 永続性スキーマ。

${KIE_SERVER_PERSISTENCE_SCHEMA}

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server 外部データベース Hibernate 方言。

${KIE_SERVER_EXTERNALDB_DIALECT}

DATASOURCES

 — 

RHPAM

RHPAM_DATABASE

KIE Server 外部データベース名。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_DB}

RHPAM_SERVICE_HOST

データソースサービスホストを設定します。事前に定義された mysql または postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL パラメーターが設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_SERVICE_HOST}

RHPAM_SERVICE_PORT

データソースサービスポートを設定します。事前に定義された mysql または postgresql データソースプロパティーを使用する必要がある場合に使用します。KIE_SERVER_EXTERNALDB_URL が設定されている場合は空白のままにします。

${KIE_SERVER_EXTERNALDB_SERVICE_PORT}

RHPAM_JNDI

データソースを解決するためにアプリケーションで使用されるデータベース JNDI 名 (例: java:/jboss/datasources/ExampleDS)。

${KIE_SERVER_EXTERNALDB_JNDI}

RHPAM_DRIVER

事前定義のドライバー名。利用可能な値は mysql、postgresql または外部ドライバーの事前に定義された名前です。

${KIE_SERVER_EXTERNALDB_DRIVER}

RHPAM_USERNAME

KIE Server 外部データベースのユーザー名。

${KIE_SERVER_EXTERNALDB_USER}

RHPAM_PASSWORD

KIE Server 外部データベースのパスワード。

${KIE_SERVER_EXTERNALDB_PWD}

RHPAM_NONXA

データソースタイプを設定します。XA または NONXA にすることができます。XA 以外の場合は、これを true に設定します。デフォルト値は true です。

${KIE_SERVER_EXTERNALDB_NONXA}

RHPAM_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。 SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要はありません。

${KIE_SERVER_EXTERNALDB_URL}

RHPAM_XA_CONNECTION_PROPERTY_URL

データソース jdbc 接続 url を設定します。PostgreSQL を使用している場合は、このフィールドを使用せず、SERVICE_HOST および PORT を使用することに注意してください。 SERVICE_PORT および HOST を使用している場合は、このパラメーターを設定する必要はありません。

${KIE_SERVER_EXTERNALDB_URL}

RHPAM_MIN_POOL_SIZE

設定されたデータソースに xa-pool/min-pool-size を設定します。

${KIE_SERVER_EXTERNALDB_MIN_POOL_SIZE}

RHPAM_MAX_POOL_SIZE

設定されたデータソースに xa-pool/max-pool-size を設定します。

${KIE_SERVER_EXTERNALDB_MAX_POOL_SIZE}

RHPAM_CONNECTION_CHECKER

接続が有効であるかどうかを確認するために SQLException isValidConnection(Connection e) メソッドを提供する org.jboss.jca.adapters.jdbc.ValidConnectionChecker。

${KIE_SERVER_EXTERNALDB_CONNECTION_CHECKER}

RHPAM_EXCEPTION_SORTER

例外が connectionErrorOccurred としてすべての javax.resource.spi.ConnectionEventListener にブロードキャストされるかどうかを確認するためのブール値の isExceptionFatal(SQLException e) メソッドを提供する org.jboss.jca.adapters.jdbc.ExceptionSorter。

${KIE_SERVER_EXTERNALDB_EXCEPTION_SORTER}

RHPAM_BACKGROUND_VALIDATION

sql 検証メソッドを background-validation に設定します。false に設定される場合、validate-on-match メソッドが使用されます。

${KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION}

RHPAM_VALIDATION_MILLIS

jdbc 接続の background-validation チェックの間隔を定義します。

${KIE_SERVER_EXTERNALDB_BACKGROUND_VALIDATION_MILLIS}

RHPAM_DRIVER_TYPE

DB2 にのみ適用可能な KIE Server 外部データベースドライバータイプ。 使用できる値は 4 (デフォルト) または 2 です。

${KIE_SERVER_EXTERNALDB_DRIVER_TYPE}

RHPAM_JTA

 — 

true

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

サーバー証明書に関連付けられている名前

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

${KIE_SERVER_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

openshift.DNS_PING

OPENSHIFT_DNS_PING_SERVICE_NAME

 — 

${APPLICATION_NAME}-kieserver-ping

OPENSHIFT_DNS_PING_SERVICE_PORT

 — 

8888

SSO_URL

RH-SSO URL

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO レルム名

${SSO_REALM}

SSO_SECRET

KIE Server の RH-SSO クライアント名

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE Server の RH-SSO クライアント名

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

${SSO_USERNAME}

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このプロパティーは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

5.4.2.4.3.7. ボリューム
デプロイメント名前mountPath目的readOnly

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

ssl certs

True

5.4.2.5. 外部の依存関係

5.4.2.5.1. シークレット

このテンプレートでは、アプリケーションを実行するために以下のシークレットをインストールする必要があります。

kieserver-app-secret

5.5. rhpam78-kieserver-mysql.yaml テンプレート

Red Hat Process Automation Manager 7.8 向けの、MySQL データベースを備えた管理 KIE Server のアプリケーションテンプレート (非推奨)

5.5.1. パラメーター

テンプレートを使用すると、値を引き継ぐパラメーターを定義でき、パラメーターの参照時には、この値が代入されます。参照は、オブジェクト一覧フィールドのテキストフィールドで定義できます。詳細情報は、Openshift ドキュメントを参照してください。

変数名イメージの環境変数説明値の例必須

APPLICATION_NAME

 — 

アプリケーションの名前

myapp

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

KIE Server が使用する必要のある Maven ミラー。ミラーを設定する場合には、このミラーにはサービスのデプロイに必要なすべてのアーティファクトを含める必要があります。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE Server の Maven ミラー設定

external:*

False

MAVEN_REPO_ID

EXTERNAL_MAVEN_REPO_ID

Maven リポジトリーに使用する ID。これが設定されている場合には、MAVEN_MIRROR_OF に追加して、オプションで設定したミラーから除外できます (例: external:*,!repo-rhpamcentr,!repo-custom)。MAVEN_MIRROR_URL が設定されているが MAVEN_MIRROR_ID が設定されていない場合には、ID は無作為に生成され、MAVEN_MIRROR_OF では使用できません。

repo-custom

False

MAVEN_REPO_URL

EXTERNAL_MAVEN_REPO_URL

Maven リポジトリーまたはサービスへの完全修飾 URL

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

EXTERNAL_MAVEN_REPO_USERNAME

Maven リポジトリーにアクセスするためのユーザー名 (必要な場合)。

 — 

False

MAVEN_REPO_PASSWORD

EXTERNAL_MAVEN_REPO_PASSWORD

Maven リポジトリーにアクセスするパスワード (必要な場合)

 — 

False

BUSINESS_CENTRAL_SERVICE

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

myapp-rhpamcentr

False

CREDENTIALS_SECRET

 — 

KIE_ADMIN_USER および KIE_ADMIN_PWD 値を含むシークレット。

rhpam-credentials

True

IMAGE_STREAM_NAMESPACE

 — 

Red Hat Process Automation Manager イメージの ImageStream がインストールされている namespace。これらの ImageStreams は通常 OpenShift の namespace にインストールされています。ImageStream を別の namespace/プロジェクトにインストールしている場合のみ、このパラメーターを変更する必要があります。

openshift

True

KIE_SERVER_IMAGE_STREAM_NAME

 — 

KIE Server に使用するイメージストリームの名前。デフォルトは「rhpam-kieserver-rhel8」です。

rhpam-kieserver-rhel8

True

IMAGE_STREAM_TAG

 — 

イメージストリーム内のイメージへの名前付きのポインター。デフォルトは「7.8.0」です。

7.8.0

True

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE Server の persistence datasource (org.kie.server.persistence.ds システムプロパティーを設定します)。

java:/jboss/datasources/rhpam

False

MYSQL_IMAGE_STREAM_NAMESPACE

 — 

MySQL イメージの ImageStream がインストールされている namespace。ImageStream は openshift namespace にすでにインストールされています。ImageStream を異なる namespace/プロジェクトにインストールしている場合にのみこのパラメーターを変更する必要があります。デフォルトは「openshift」です。

openshift

False

MYSQL_IMAGE_STREAM_TAG

 — 

MySQL イメージのバージョン。これは MySQL バージョンに対応するように意図されており、デフォルトは「8.0」です。

8.0

False

KIE_SERVER_MYSQL_USER

RHPAM_USERNAME

KIE Server MySQL データベースのユーザー名

rhpam

False

KIE_SERVER_MYSQL_PWD

RHPAM_PASSWORD

KIE Server MySQL データベースのパスワード

 — 

False

KIE_SERVER_MYSQL_DB

RHPAM_DATABASE

KIE Server MySQL データベース名

rhpam7

False

DB_VOLUME_CAPACITY

 — 

データベースボリュームの永続ストレージのサイズ。

1Gi

True

KIE_SERVER_MYSQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate 方言。

org.hibernate.dialect.MySQL8Dialect

True

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE Server にデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。

PRODUCTION

False

KIE_MBEANS

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE Server のクラスフィルター (org.drools.server.filter.classes システムプロパティーを設定します)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

false に設定されている場合に、Prometheus サーバーの拡張は有効にされます (org.kie.prometheus.server.ext.disabled システムプロパティーを設定します)。

false

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

http サービスルートのカスタムホスト名。デフォルトホスト名の場合は空白のままにします (例: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>)。

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

https サービスルートのカスタムのホスト名。デフォルトのホスト名を使用する場合には空白にします。例: <application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HTTPS_SECRET

 — 

キーストアファイルを含むシークレット名

kieserver-app-secret

True

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

シークレット内のキーストアファイル名

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

サーバー証明書に関連付けられている名前

jboss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

キーストアおよび証明書のパスワード

mykeystorepass

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

KIE Server による、クエリーなどのタスク関連の操作についての認証済みユーザーのバイパスを許可 (org.kie.server.bypass.auth.user システムプロパティーを設定します)

false

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

EJB タイマーのデータベースデータストアサービスの更新間隔を設定します。

30000

False

KIE_SERVER_MEMORY_LIMIT

 — 

KIE Server のコンテナーのメモリー制限

1Gi

False

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE_SERVER_CONTAINER_DEPLOYMENT

KIE Server コンテナーのデプロイメント設定。オプションでエイリアスあり (形式: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2)

rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT

False

KIE_SERVER_MGMT_DISABLED

KIE_SERVER_MGMT_DISABLED

管理 api を無効にして、KIE コントローラーがデプロイ/デプロイ解除または起動/停止できないようにします。org.kie.server.mgmt.api.disabled プロパティーを true に、org.kie.server.startup.strategy プロパティー を LocalContainersStartupStrategy に設定します。

true

False

SSO_URL

SSO_URL

RH-SSO URL

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO レルム名

 — 

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE Server の RH-SSO クライアント名

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE Server の RH-SSO クライアント名

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

クライアント作成に使用する RH-SSO レルムの管理者ユーザー名 (存在しない場合)

 — 

False

SSO_PASSWORD

SSO_PASSWORD

クライアント作成に使用する RH-SSO レルムの管理者のパスワード

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO が無効な SSL 証明書の検証

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

ユーザー名として使用する RH-SSO プリンシパル属性

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

認証用に接続する LDAP エンドポイント

ldap://myldap.example.com

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

認証に使用するバインド DN

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

認証に使用する LDAP の認証情報

パスワード

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

パスワードの復号化に使用する JaasSecurityDomain の JMX ObjectName

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

ユーザー検索を開始する最上位コンテキストの LDAP ベース DN

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

認証するユーザーのコンテキストの検索に使用する LDAP 検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名またはログインモジュールコールバックから取得された入力ユーザー名または userDN が置換されます。検索フィルターの一般的な例は (uid={0}) です。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

使用する検索範囲。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

ユーザーの DN を含むユーザーエントリーの属性の名前。これは、ユーザー自身の DN に正しいユーザーマッピングを妨げる特殊文字 (バックスラッシュなど) が含まれる場合に、必要になることがあります。属性が存在しない場合は、エントリーの DN が使用されます。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

DN がユーザー名に対して解析されるかどうかを示すフラグ。true に設定されている場合には、 DN はユーザー名に対して解析されます。false に設定されている場合には、 DN はユーザー名に対して解析されません。このオプションは usernameBeginString および usernameEndString と共に使用されます。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

ユーザー名を公開するため、DN の最初から削除される文字列を定義します。このオプションは usernameEndString と併用され、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

ユーザー名を公開するため、DN の最後から削除される文字列を定義します。このオプションは usernameEndString と合わせて使用し、parseUsername が true に設定されている場合にのみ考慮されます。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

ユーザーロールを含む属性の名前。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

ユーザーロールを検索するコンテキストの固定 DN。これは、実際のロールが存在する DN ではなく、ユーザーロールを含むオブジェクトが存在する DN です。たとえば、Microsoft Active Directory サーバーでは、これは、ユーザーアカウントが存在する DN です。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。入力ユーザー名またはログインモジュールコールバックから取得される userDN は、{0} 式が使用されたフィルターに置換されます。認証済み userDN は {1} が使用されたフィルターに置換されます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

ロール検索が一致するコンテキストで行われる再帰のレベル数。再帰を無効にするには、これを 0 に設定します。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

認証された全ユーザーに対して含まれるロール

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーが true に設定された場合には、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

クエリーによって返された DN に roleNameAttributeID が含まれるかどうかを示すフラグ。true に設定した場合には、DN は roleNameATtributeID に対してチェックされます。false に設定した場合、DN は roleNameATtributeID に対してチェックされません。このフラグは LDAP クエリーのパフォーマンスを向上できます。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

リファーラル (referral) を使用しない場合はこのオプションを無視してもかまいません。リファーラルを使用し、ロールオブジェクトがリファーラル内部にある場合、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対してチェックされます。このオプションが設定されていないとチェックは常に失敗するため、ロールオブジェクトはリファーラルツリーに保存できません。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

このパラメーターがある場合には、RoleMapping のログインモジュールで、指定したファイルを使用するように設定します。このパラメーターは、ロールを置換ロールに対してマップするプロパティーファイルまたはリソースの完全修飾ファイルパスまたはファイル名を定義します。形式は original_role=role1,role2,role3 になります。

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

現在のロールを追加するか、マップされたロールに現在のマップを置き換えるか。true に設定した場合は、置き換えられます。

 — 

False

5.5.2. オブジェクト

CLI はさまざまなオブジェクトタイプをサポートします。これらのオブジェクトタイプの一覧や略語については、Openshift ドキュメント を参照してください。

5.5.2.1. サービス

サービスは、Pod の論理セットや、Pod にアクセスするためのポリシーを定義する抽象概念です。詳細は、コンテナーエンジンのドキュメント を参照してください。

サービスポート名前説明

${APPLICATION_NAME}-kieserver

8080

http

すべての KIE Server Web サーバーのポート

8443

https

${APPLICATION_NAME}-kieserver-ping

8888

ping

クラスタリング向けの JGroups ping ポート

${APPLICATION_NAME}-mysql

3306

 — 

データベースサーバーのポート。

5.5.2.2. ルート

ルートは、www.example.com などの外部から到達可能なホスト名を指定してサービスを公開する 1 つの手段です。ルーターは、定義したルートやサービスで特定したエンドポイントを使用して、外部のクライアントからアプリケーションに名前付きの接続を提供します。各ルートは、ルート名、サービスセレクター、セキュリティー設定 (オプション) で構成されます。詳細は、Openshift ドキュメント を参照してください。

サービスセキュリティーホスト名

insecure-${APPLICATION_NAME}-kieserver-http

なし

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS パススルー

${KIE_SERVER_HOSTNAME_HTTPS}

5.5.2.3. デプロイメント設定

OpenShift のデプロイメントは、デプロイメント設定と呼ばれるユーザー定義のテンプレートをベースとするレプリケーションコントローラーです。デプロイメントは手動で作成されるか、またはトリガーされるイベントに対応して作成されます。詳細は、Openshift ドキュメントを参照してください。

5.5.2.3.1. トリガー

トリガーは OpenShift 内外を問わず、イベントが発生すると新規デプロイメントを作成するように促します。詳細は、Openshift ドキュメントを参照してください。

デプロイメントトリガー

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-mysql

ImageChange

5.5.2.3.2. レプリカ

レプリケーションコントローラーは、指定した数の Pod の「レプリカ」が一度に実行されるようにします。レプリカが増えると、レプリケーションコントローラーが Pod の一部を強制終了します。レプリカが足りない場合には、追加で起動します。詳細は、コンテナーエンジンのドキュメントを参照してください。

デプロイメントレプリカ

${APPLICATION_NAME}-kieserver

1

${APPLICATION_NAME}-mysql

1

5.5.2.3.3. Pod テンプレート
5.5.2.3.3.1. サービスアカウント

サービスアカウントは、各プロジェクト内に存在する API オブジェクトです。他の API オブジェクトのように作成し、削除できます。詳細は、Openshift ドキュメントを参照してください。

デプロイメントサービスアカウント

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-kieserver

5.5.2.3.3.2. イメージ
デプロイメントイメージ

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-mysql

mysql

5.5.2.3.3.3. Readiness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-mysql

/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'

5.5.2.3.3.4. Liveness Probe

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-mysql

tcpSocket on port 3306

5.5.2.3.3.5. 公開されたポート
デプロイメント名前ポートプロトコル

${APPLICATION_NAME}-kieserver

jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

ping

8888

TCP

${APPLICATION_NAME}-mysql

 — 

3306

TCP

5.5.2.3.3.6. イメージの環境変数
デプロイメント変数名説明値の例

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

必要な場合かつ到達可能な場合にサービスルックアップ (maven リポジトリーの使用状況など) を許可するために使用されるオプションの Business Central のサービス名

${BUSINESS_CENTRAL_SERVICE}

KIE_ADMIN_USER

管理ユーザー名

認証情報のシークレットに合わせて設定

KIE_ADMIN_PWD

管理ユーザーのパスワード

認証情報のシークレットに合わせて設定

KIE_SERVER_MODE

KIE Server モード。有効な値は 'DEVELOPMENT' または 'PRODUCTION' です。実稼働モードでは、アーティファクトの SNAPSHOT バージョンを KIE Server にデプロイできず、既存コンテナーでアーティファクトのバージョンを変更することはできません (org.kie.server.mode システムプロパティーを設定します)。

${KIE_SERVER_MODE}

KIE_MBEANS

KIE Server の mbeans の有効化/無効化 (kie.mbeans and kie.scanner.mbeans システムプロパティーを設定します)

${KIE_MBEANS}