Apache Web Server の使用

Application Server 9.1 に付属のロードバランサプラグインは、Apache Web Server 2.0.x をサポートしています。Apache Web Server を使用するには、ロードバランサプラグインのインストールの前後に、特定の設定手順を実行する必要があります。また、ロードバランサプラグインのインストールによっても、Apache Web Server に追加の変更が加えられます。プラグインをインストールしてから、追加の設定手順を実行する必要があります。

--with-mpm=worker オプションを使用してコンパイルした場合、Apache 2 は動作をマルチスレッド化します。

• 「Apache Web Server を使用するための要件」

• 「ロードバランサプラグインをインストールする前の Apache の設定」

• 「ロードバランサプラグインインストーラによって加えられる変更」

• 「ロードバランサプラグインをインストールしたあとの Apache の設定」

• 「Solaris および Linux 上での Apache の起動」

Apache Web Server を使用するための要件

Apache Web Server を使用するには、インストール環境が最小要件を満たしている必要があります。

Apache では、ロードバランサプラグインに次のものが必要です。

• openssl-0.9.7e (ソース)

• httpd-2.0.59 (ソース)

• gcc-3.3-sol9-sparc-local パッケージ (Solaris 9 SPARC の場合)

• gcc-3.3-sol9-intel-local パッケージ (Solaris 9 x86 の場合)

• プリインストールされた gcc (Solaris 10 の場合)

• flex-2.5.4a-sol9-sparc-local パッケージ (Solaris 9 SPARC の場合)

• flex-2.5.4a-sol9-intel-local パッケージ (Solaris 9 x86 の場合)

• プリインストールされた flex (Solaris 10 の場合)

ソフトウェアソースは、http://www.sunfreeware.com で入手できます。

さらに、Apache をコンパイルする前に、次の操作をしてください。

• Linux プラットフォームでは、同じマシンに Sun Java System Application Server をインストールします。

• Solaris 9 オペレーティングシステムでは、pkgadd を使用して gcc および flex をインストールします。pkgadd にはルートのアクセスが必要です。

• Solaris 9 オペレーティングシステムでは、gcc バージョン 3.3 と make が PATH に含まれており、flex がインストールされていることを確認してください。

• Solaris 10 オペレーティングシステムでは、OpenSSL 用の make を実行する前に、Solaris SPARC の場合は /usr/local/lib/gcc-lib/sparc-sun-solaris2.9/3.3/install-tools に、Solaris x86 の場合は /usr/local/lib/gcc-lib/i386-pc-solaris2.9/3.3/install-tools に格納されている mkheaders を実行します。

• Red Hat Enterprise Linux Advanced Server 2.1 上で gcc を使用する場合、そのバージョンは gcc 3.0 以降である必要があります。

gcc 以外の C 言語のコンパイラを使用するには、PATH 環境変数内でその C 言語のコンパイラと make ユーティリティーのパスを設定します。

Apache Web Server パッチの適用

Apache 用ロードバランサプラグインをインストールする前に、Apache Web Server の問題 12355 を修正するパッチを適用します。この問題の詳細については、http://issues.apache.org/bugzilla/show_bug.cgi?id=12355 を参照してください。このパッチは、自動適用機能が正常に機能するために必要です。パッチを適用するには、次の手順を実行します。

1. http-2.0.59.tar を展開し、httpd-2.0.59 ディレクトリに移動します。

2. http://issues.apache.org/bugzilla/attachment.cgi?id=16495 からパッチをダウンロードし、12355.diff のような名前のファイルとしてパッチを保存します。

3. httpd-2.0.59/modules/ssl ディレクトリから、次のコマンドを実行します。

   patch < 12355.diff

ロードバランサプラグインをインストールする前の Apache の設定

Apache ソースをコンパイルし、SSL で動作するようにビルドする必要があります。この節では、ロードバランサプラグインが実行されるように Apache Web Server を正常にコンパイルするために必要な最小要件と手順の概要について説明します。これらの要件と手順は、ソフトウェアの Solaris および Linux バージョンにのみ適用されます。Apache の Windows バージョンについては、Apache の Web サイトを参照してください。

ここで説明する手順は、http://httpd.apache.org/docs に示されている手順から抜粋したものです。SSL 対応の Apache の詳細なインストール方法については、この Web サイトを参照してください。

SSL 対応の Apache をインストールする

始める前に

Apache ソフトウェアがすでにダウンロードされ、圧縮解除されている必要があります。

1. OpenSSL ソースを http://openssl.org からダウンロードし、展開します。

2. OpenSSL をコンパイルしてビルドします。

   完全なインストール手順については、OpenSSL を圧縮解除したディレクトリにある INSTALL という名前のファイルを参照してください。このファイルには、OpenSSL をユーザー指定の場所にインストールする方法に関する情報が含まれています。

   OpenSSL の詳細については、http://www.openssl.org/を参照してください。

3. Apache をダウンロードし、展開します。

   Apache は http://httpd.apache.org から入手できます。

4. Apache をコンパイルしてビルドします。ソースツリーを設定します。

   1. cd http-2.0_x.

   2. 次のコマンドを実行します。

      ./configure --with-ssl= OpenSSL-install-path --prefix= Apache-install-path --enable-ssl --enable-so

      このコマンドの中で、x は Apache のバージョン番号、open-ssl-install-path は OpenSSL がインストールされているディレクトリへの絶対パス、および Apache-install-path は Apache をインストールするディレクトリです。

      Apache 2 サーバーが HTTPS 要求を受け入れる場合、--enable-ssl --enable-so オプションを使う必要があるだけです。

5. Linux 2.1 上の Apache の場合は、コンパイルの前に次の手順を実行します。

   1. src/MakeFile を開き、自動的に生成されるセクションの最後を見つけます。

   2. 自動的に生成されるセクションのあとの最初の 4 行のあとに、次の行を追加します。

      LIBS+= -licuuc -licui18n -lnspr4 -lpthread -lxerces-c 
      -lsupport -lnsprwrap -lns-httpd40
      LDFLAGS+= -L/application-server-install-dir/lib -L/opt/sun/private/lib

      -L/opt/sun/private/lib は、Application Server を Java Enterprise System インストールの一部としてインストールした場合にのみ必要であることに注意してください。

      次に例を示します。

      ## (End of automatically generated section)
      ## 
      CFLAGS=$(OPTIM) $(CFLAGS1) $(EXTRA_CFLAGS)
      LIBS=$(EXTRA_LIBS) $(LIBS1)
      INCLUDES=$(INCLUDES1) $(INCLUDES0) $(EXTRA_INCLUDES)
      LDFLAGS=$(LDFLAGS1) $(EXTRA_LDFLAGS)
      "LIBS+= -licuuc -licui18n -lnspr4 -lpthread 
      -lxerces-c -lsupport -lnsprwrap -lns-httpd40
      LDFLAGS+= -L/application-server-install-dir /lib -L/opt/sun/private/lib

   3. 環境変数 LD_LIBRARY_PATH を設定します。

      スタンドアロンのインストールでは、これを Application Server に次のように設定します。as-install/lib

      Java Enterprise System インストールでは、これを Application Server に次のように設定します。as-install/lib:opt/sun/private/lib。

      Solaris 9 を使用している場合、LD_LIBRARY_PATH に/usr/local/lib を追加します。

6. 使用しているバージョンのインストール手順で説明されている方法で、Apache をコンパイルします。

   詳細については、http://httpd.apache.org/を参照してください。

   一般的な手順は次のとおりです。

   1. make

   2. make install

7. Apache の ssl.conf および httpd.conf ファイル内に、ユーザーの環境に対応する正しい値が格納されていることを確認します。

   • ssl.conf では、VirtualHost default:port に対して、デフォルトのホスト名とポートを、Apache がインストールされているローカルシステムのホスト名とサーバーのポート番号に置き換えます。

     この変更を行わないと、ロードバランサは機能しません。Solaris Apache が起動しない可能性があり、Linux では HTTPS 要求が機能しない可能性があります。

   • ssl.conf では、ServerName www.example.com:443 の www.example.com を、Apache がインストールされているローカルシステムのホスト名に置き換えます。

     この変更を行わないと、セキュリティー証明書がインストールされている場合に Apache を起動すると次の警告が表示されます。

     [warn] RSA server certificate CommonName (CN) hostname does NOT match server name!

     Apache に対する証明書のインストールについては、「Apache のセキュリティー証明書を作成する」を参照してください。

   • httpd.conf では、ServerName www.example.com:80 に対して、www.example.com を Apache がインストールされているローカルシステムのホスト名に置き換えます。

     この変更を行わないと、Apache を起動したときに、システムがサーバーの完全修飾ドメイン名を特定できなかったことと、重複する VirtualHost エントリが存在することを示す警告が表示されます。

8. Apache ユーザーが、apache-install-location/conf/ ディレクトリとそのディレクトリ内のファイルに対する必要なアクセス許可を持っていることを確認します。

   Apache ユーザーとは、その配下で Apache サーバーが要求に応答する UNIX ユーザーのことです。このユーザーはファイル httpd.conf で定義されます。

   root ユーザーとして Apache をインストールした場合は、apache-install-location/conf/httpd.conf 内の、Apache ユーザーおよびグループの設定に関する注意事項に目を通します。

   ---

   注 –

   ユーザーおよびグループの設定が、このディレクトリに対するセキュリティー要件を満たしていることを確認します。たとえば、このディレクトリへのアクセスを制限するには、同じユーザーグループにディレクトリの所有者として Apache ユーザーを追加します。

   ---

   1. 自動適用機能が正常に動作することを保証するには、apache-install-location/conf/ ディレクトリに対する読み取り、書き込み、および実行のアクセス権を Apache ユーザーに付与します。

      • Apache ユーザーがこのディレクトリの所有者と同じグループに属している場合は、モードを 775 に変更します。

      • Apache ユーザーがこのディレクトリの所有者と異なるグループに属している場合は、モードを 777 に変更します。

   2. Apache の起動時にロードバランサプラグインが初期化されることを保証するには、次のファイルに対する読み取りおよび書き込みアクセス権を Apache ユーザーに付与します。

      • apache-install-location/conf/loadbalancer.xml

      • apache-install-location/conf/sun-loadbalancer_1_2.dtd

DAS 証明書のエクスポートとインポート

次のコマンドを使用して、DAS 証明書を手動でエクスポートする必要があります。

appserver-install-dir/lib/upgrade/certutil -L -d appserver-instance-dir/config -n s1as -a -o sjsas.crt

この証明書は、ロードバランサプラグインのインストール時に必要になります。

Application Server 9.1 のインストールプログラムは、次のタスクをユーザーに代わって実行します。

• sjsas.crt を apache-install-dir/conf/ssl.crt ディレクトリにコピーすることにより、DAS 証明書をインポートします。

• httpd.conf に次の行を追加します。

  <Location /lbconfigupdate>
  SSLVerifyClient require
  SSLVerifyDepth 1
  SSLRequireSSL
  SSLCACertificateFile apache-install-dir//conf/ssl.crt/sjsas.crt
  SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
  and %{SSL_CLIENT_S_DN_O} eq "Sun Microsystems" \
  and %{SSL_CLIENT_S_DN_OU} eq "Sun Java System Application Server" \
  and %{SSL_CLIENT_M_SERIAL} eq "<*serial number*>" )
  </Location>
  <Location /getmonitordata>
  SSLVerifyClient require
  SSLVerifyDepth 1
  SSLRequireSSL
  SSLCACertificateFile apache-install-dir/conf/ssl.crt/sjsas.crt
  SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
  and %{SSL_CLIENT_S_DN_O} eq "Sun Microsystems" \
  and %{SSL_CLIENT_S_DN_OU} eq "Sun Java System Application Server" \
  and %{SSL_CLIENT_M_SERIAL} eq "<*serial number*>" )
  </Location>

ロードバランサプラグインインストーラによって加えられる変更

ロードバランサプラグインのインストールプログラムは、必要なファイルを、Web サーバーのルートディレクトリ内の modules ディレクトリに展開します。

インストールプログラムは、Web サーバーインスタンスの httpd.conf ファイルに次のエントリを追加します。

##BEGIN EE LB Plugin Parameters
LoadModule apachelbplugin_module modules/mod_loadbalancer.so
#AddModule mod_apachelbplugin.cpp
<IfModule mod_apachelbplugin.cpp> 
  config-file webserver-instance/httpd/conf/loadbalancer.xml
  locale en
</IfModule>
<VirtualHost machine-ip-address>
  DocumentRoot "webserver-instance/httpd/htdocs"
  ServerName server-name
</VirtualHost>
##END EE LB Plugin Parameters

ロードバランサプラグインをインストールしたあとの Apache の設定

Apache Web Server は、ロードバランサプラグインと連動するために正しいセキュリティーファイルを保持している必要があります。ロードバランサは、これらのセキュリティーデータベースファイルを必要とする NSS (Network Security Service) ライブラリに依存しています。これらのセキュリティーデータベースファイルを Application Server から取得する必要があるため、Application Server のインストールは、Web Server によってアクセス可能な場所で実行される必要があります。

ロードバランサと連動するために Apache セキュリティーファイルを設定するには、次の手順を実行します。

Apache-install-dir/bin/apachectl スクリプト内の LD_LIBRARY_PATH に、/usr/lib/mps を追加します。

Apache のセキュリティー証明書を作成する

次の手順は、Apache で HTTPS 要求をサポートするために必要となるものです。

Apache でのセキュリティー証明書の設定については、http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html および http://www.modssl.org/docs/2.8/ssl_faq.html の手順を参照してください。次の手順は、これらの Web サイトから抜粋したものです。

1. 次の環境変数を設定します。

   OPENSSL_CONF=OpenSSL-installation-directory/apps/openssl.cnf

2. 次のコマンドを実行して、サーバー証明書とキーを作成します。

   openssl req -new -x509 -keyout newreq.pem -out newreq.pem -days 365

   共通名を求められたら、Apache を実行する予定のホスト名を入力します。その他のすべてのプロンプトに対しては、環境ごとの特定の要件を満たす値を入力してください。

   このコマンドによって newreq.pem が作成されます。

3. openssl コマンドを実行した場所から、新しく作成した newreq.pem を開きます。

4. BEGIN CERTIFICATE で始まり END CERTIFICATE で終わる部分の行をすべてコピーして、Apache-install-dir /conf/ssl.crt/server.crt に貼り付けます。次に例を示します。

   -----BEGIN CERTIFICATE----- .... ... -----END CERTIFICATE-----

5. BEGIN RSA PRIVATE KEY で始まる行から END RSA PRIVATE KEY で終わる行までをコピーして、Apache-install-dir /conf/ssl.key/server.key に貼り付けます。次に例を示します。

   -----BEGIN RSA PRIVATE KEY----- ... ... ... -----END RSA PRIVATE KEY-----

6. Apache-install-dir /conf/ssl.conf 内の変数 SSLCertificateKeyFile および SSLCertificateFile に正しい値が設定されていることを確認します。

7. ServerName が www.example.com でないことを確認します。ServerName を Apache を実行する実際のホスト名にして、サーバー証明書とキーを作成するときに入力した Common Name と一致させます。

スティッキラウンドロビンを有効にするための httpd.conf パラメータの変更

スティッキラウンドロビンを機能させるためには、httpd.conf ファイル内の prefork MPM セクション下で、パラメータ StartServers および maxclients の値が 1 に設定されていることを確認します。このように設定されていないと、新しいセッション要求のたびに新しい Apache プロセスが生成され、ロードバランサプラグインが初期化されます。その結果として、要求は新しいインスタンスに送られます。

Solaris および Linux 上での Apache の起動

一般的に、Apache は、Application Server をインストールしたユーザーと同じユーザーで起動します。次の条件にあてはまる場合は、Apache をルートとして起動する必要があります。

• Java Enterprise System ユーザーである場合。

• 1024 より小さいポート番号を使用した場合。

• Apache を起動したユーザーとは異なるユーザーとして実行する場合。

Apache を SSL モードで起動するには、次のコマンドのいずれかを使用します。

apachetl startssl または apachetl -k start -DSSL

必要に応じて、Apache サーバーの起動に関する最新情報を Apache の Web サイトで確認してください。

設定の確認

1. ロードバランサプラグインをインストールします。プラグインの詳細なインストール手順については、『Sun Java System Application Server 9.1 Installation Guide』を参照してください。インストールの間に、DAS 証明書へのパスを指定します。

2. Application Server 管理コンソールにログインし、新しいクラスタを作成します。新しいクラスタを作成する手順については、管理コンソールのオンラインヘルプを参照してください。

3. 新しい HTTP ロードバランサを作成します。ロードバランサの作成中、デバイスのホスト名として Web サーバーホストの FQDN を、デバイスポートとしてサーバーの SSL ポートを指定し、前の手順で作成したクラスタをターゲットとして選択します。新しい HTTP ロードバランサを作成するための詳細な手順については、管理コンソールのオンラインヘルプを参照してください。

4. DAS と Web サーバーの間の通信が正常に機能していることを確認するには、管理コンソールで「HTTP ロードバランサ」ノードに移動して「HTTP ロードバランサ」をクリックします。表示された「ロードバランサデバイス設定」ページで、「テスト接続」ボタンをクリックします。

   ロードバランサの作成中に「変更を自動的に適用」オプションを有効にしなかった場合は、「エクスポート」タブに移動して「今すぐ適用」をクリックすることによって、ロードバランサの設定を手動でエクスポートする必要があります。

5. テスト接続に失敗した場合は、Application Server ドメインログおよび Web サーバーのログを確認して問題に対処します。また、すべての接続手順が正しく実行されたかどうかを確認します。