8.4 負荷分散機の接続環境の設定
(1) アクセスリスト(ACL)の設定内容(ACOSの場合)
ACOSのバージョンが「2.4.3-P7」より前の場合は,運用管理サーバ(Management Server)または仮想サーバマネージャが稼働するサーバマシンで,アクセスリストを作成する必要があります。設定内容を次に示します。作成方法の詳細については,ACOSのドキュメントを参照してください。
- ID:「1」
- アクション:「許可」※
- 送信元アドレス:「複数」※
- 注※
- 負荷分散機に対して接続制限をする場合は,アクションおよび送信元アドレスに任意の値を設定してください。
- 注意
- IDに「1」以外を設定してACLを作成した場合,API(RESTアーキテクチャ)を使用した直接接続が使用できません。
(2) cookieパーシステンステンプレートの作成
cookieを利用してセッションを維持する場合,運用管理機能が稼働するホストでcookieパーシステンステンプレートを作成する必要があります。設定内容を次に示します。なお,作成方法の詳細は,負荷分散機のドキュメントを参照してください。
- cookie名:「任意の値」
- expire:「0」
expireに0を指定すると,現在のセッションだけが保持されます。
(3) トラストストアの設定
APIによる直接接続を使用すると,負荷分散機とHTTPまたはHTTPSで通信します。HTTPS 通信をする場合には,信頼できる証明書を登録したトラストストアが必要になります。HTTPS通信をする場合は,次のファイルのプロパティでhttpsを指定または省略します。
- Management Serverで負荷分散機を制御する場合
- lb.propertiesのlb.API.protocol.<負荷分散機の管理IPアドレス>
- 仮想サーバマネージャで負荷分散機を制御する場合
- <LB接続情報の識別名>.propertiesのlb.API.protocol
- tierlb.propertiesのlb.API.protocol
HTTPS通信をする場合には,あらかじめ,次の作業を実施してトラストストアを設定しておいてください。
- 負荷分散機からSSLサーバ証明書を取得します。
取得方法の詳細は,負荷分散機のドキュメントを参照してください。
- 運用管理機能が稼働するホストでJDKのkeytoolコマンドを実行して,手順1で取得したSSLサーバ証明書をトラストストアに登録します。
JDKのkeytoolコマンドの実行例を次に示します。
<Application Serverのインストールディレクトリ>/jdk/bin/keytool -import -file loadbalancer.cer -alias loadbalancer -keystore C:¥work¥loadbalancer.keystore -storepass keystore_pass |
JDKのkeytoolコマンドについては,JDKのドキュメントを参照してください。
- 注意
- JDKのデフォルトのトラストストア(cacerts)以外に証明書を登録した場合は,lb.propertiesのjavax.net.ssl.trustStoreパラメタにSSLサーバ証明書の絶対パスを指定してください。デフォルトのトラストストア(cacerts)に登録した場合は指定する必要はありません。
- BIG-IPの場合,デフォルトのトラストストア(cacerts)以外は設定できません。
- JDKのデフォルトのトラストストア(cacerts)は,<Application Serverのインストールディレクトリ>/jdk/jre/lib/security下にあります。パスワードの初期値は,「changeit」です。
(4) hostsファイルの設定(BIG-IPの場合)
Management Serverまたは仮想サーバマネージャからBIG-IPを制御する場合,hostsファイルにBIG-IPのホスト名とIPアドレスを登録してください。ただし,BIG-IPへの接続方法にsshプロトコルを使用した直接接続を選択した場合は,hostsファイルへ登録する必要はありません。