Java App Server AWS OpsWorks スタックレイヤー

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post または AWS Premium Support を通じて AWS Support チームにお問い合わせください。

注記

このレイヤーは、Linux ベースのスタックでのみ使用できます。

Java App Server レイヤーは、Java アプリケーションサーバーとして機能するインスタンスの設計図を提供する AWS OpsWorks スタックレイヤーです。このレイヤーは Apache Tomcat 7.0 と Open JDK 7 に基づいています。 AWS OpsWorks スタックは Java コネクタライブラリもインストールします。これにより、Java アプリケーションは JDBC DataSource オブジェクトを使用してバックエンドデータストアに接続できます。

インストール: Tomcat は /usr/share/tomcat7 にインストールされます。

[Add Layer] ページには、以下の設定オプションがあります。

Java VM Options

この設定を使用すると、カスタム Java VM オプションを指定できます。デフォルトオプションはありません。たとえば、一般的なオプションのセットは -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC です。Java VM オプション を使用する場合は、有効なオプションセットを渡してください。 AWS OpsWorks スタックは文字列を検証しません。無効なオプションを渡そうとすると、通常は Tomcat サーバーが開始に失敗し、セットアップが失敗します。その場合は、インスタンスのセットアップ Chef ログで詳細を確認できます。Chef ログを表示および解釈する方法の詳細については、「Chef ログ」を参照してください。

Custom security groups

この設定は、組み込みの AWS OpsWorks スタックセキュリティグループをレイヤーに自動的に関連付けないことを選択した場合に表示されます。レイヤーに関連付けるセキュリティグループを指定する必要があります。詳細については、「新しいスタックを作成する」を参照してください。

[Elastic Load Balancer]

レイヤーのインスタンスに、Elastic Load Balancing のロードバランサーをアタッチできます。詳細については、「Elastic ロードバランシングレイヤー」を参照してください。

カスタム JSON またはカスタム属性ファイルを使用して、その他の設定を指定できます。詳細については、「カスタム設定」を参照してください。

重要

Java アプリケーションが SSL を使用する場合は、CVE-2014-3566 で説明されている脆弱性に対応するために、可能であれば SSLv3 を無効にすることをお勧めします。詳細については、「Apache サーバーに対する SSLv3 の無効化」を参照してください。

トピック

• Apache サーバーに対する SSLv3 の無効化
• カスタム設定
• Java アプリケーションのデプロイ

Apache サーバーに対する SSLv3 の無効化

SSLv3 を無効にするには、Apache サーバーの ssl.conf ファイルの SSLProtocol 設定を変更する必要があります。そのためには、組み込みの apache2 cookbook's (apache2 クックブック) の ssl.conf.erb テンプレートファイルをオーバーライドする必要があります。このテンプレートファイルは、Java アプリケーションアプリケーションサーバーレイヤーの Setup レシピで ssl.conf を作成するために使用されます。詳細は、レイヤーのインスタンスに指定するオペレーティングシステムによって異なります。以下に、Amazon Linux または Ubuntu システムに必要な変更内容を示します。SSLv3 では、Red Hat Enterprise Linux (RHEL) システムが自動的に無効になっています。組み込みテンプレートのオーバーライドの詳細については、「カスタムテンプレートの使用」を参照してください。

Amazon Linux

これらのオペレーティングシステムの ssl.conf.erb ファイルは、apache2 クックブックの apache2/templates/default/mods ディレクトリにあります。組み込みファイルの関連する部分を次に示します。

...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

ssl.conf.erb をオーバーライドし、SSLProtocol 設定を次のように変更します。

...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>

Ubuntu 14.04 LTS

このオペレーティングシステムの ssl.conf.erb ファイルは、apache2 クックブックの apache2/templates/ubuntu-14.04/mods ディレクトリにあります。組み込みファイルの関連する部分を次に示します。

...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

この設定を次のように変更します。

...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...