Java アプリケーションサーバー AWS OpsWorks スタックレイヤー

重要

AWS OpsWorks Stacks は新規顧客を受け付けなくなりました。既存のお客様は、2024 年 5 月 26 日までは、通常どおり OpsWorks コンソール、API、CLI、および CloudFormation リソースを使用できます。その時点で廃止されます。この移行に備えて、できるだけ早くスタックを AWS Systems Manager に移行することをおすすめします。詳細については、「AWS OpsWorks Stacks サポート終了に関する FAQ」および「AWS Systems Manager アプリケーションマネージャへの AWS OpsWorks Stacks アプリケーションの移行」を参照してください。

注記

このレイヤーは、Linux ベースのスタックでのみ使用できます。

Java アプリケーションサーバーレイヤーは、Java アプリケーションサーバーとして機能するインスタンスのブループリントとなる AWS OpsWorks スタックレイヤーです。このレイヤーは、Apache Tomcat 7.0 および Open JDK 7 に基づいています。AWS OpsWorksスタックは、Java コネクターライブラリもインストールします。これにより、Java アプリケーションが JDBC DataSource オブジェクトを使用してバックエンドデータストアに接続できるようになります。

インストール: Tomcat は /usr/share/tomcat7 にインストールされます。

[Add Layer] ページには、以下の設定オプションがあります。

Java VM Options

この設定を使用すると、カスタム Java VM オプションを指定できます。デフォルトオプションはありません。たとえば、一般的なオプションのセットは -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC です。[Java VM Options (Java VM オプション)] を使用する場合は、必ず有効なオプションのセットを渡します。AWS OpsWorks スタックはその文字列を検証しません。無効なオプションを渡そうとすると、通常は Tomcat サーバーが開始に失敗し、セットアップが失敗します。その場合は、インスタンスのセットアップ Chef ログで詳細を確認できます。Chef ログを表示および解釈する方法の詳細については、「Chef ログ」を参照してください。

Custom security groups

この設定は、AWS OpsWorks スタックの組み込みセキュリティグループをレイヤーと自動的に関連付けないことを選択している場合に表示されます。レイヤーに関連付けるセキュリティグループを指定する必要があります。詳細については、「新しいスタックを作成する」を参照してください。

[Elastic Load Balancer]

レイヤーのインスタンスに、Elastic Load Balancing のロードバランサーをアタッチできます。詳細については、「Elastic ロードバランシングレイヤー」を参照してください。

カスタム JSON またはカスタム属性ファイルを使用して、その他の設定を指定できます。詳細については、「カスタム設定」を参照してください。

重要

Java アプリケーションが SSL を使用する場合は、CVE-2014-3566 で説明されている脆弱性に対応するために、可能であれば SSLv3 を無効にすることをお勧めします。詳細については、「Apache サーバーに対する SSLv3 の無効化」を参照してください。

トピック

• Apache サーバーに対する SSLv3 の無効化
• カスタム設定
• Java アプリケーションのデプロイ

Apache サーバーに対する SSLv3 の無効化

SSLv3 を無効にするには、Apache サーバーの ssl.conf ファイルの SSLProtocol 設定を変更する必要があります。そのためには、組み込みの apache2 cookbook's (apache2 クックブック) の ssl.conf.erb テンプレートファイルをオーバーライドする必要があります。このテンプレートファイルは、Java アプリケーションアプリケーションサーバーレイヤーの Setup レシピで ssl.conf を作成するために使用されます。詳細は、レイヤーのインスタンスに指定するオペレーティングシステムによって異なります。以下に、Amazon Linux または Ubuntu システムに必要な変更内容を示します。SSLv3 では、Red Hat Enterprise Linux (RHEL) システムが自動的に無効になっています。組み込みテンプレートのオーバーライドの詳細については、「カスタムテンプレートの使用」を参照してください。

Amazon Linux

これらのオペレーティングシステムの ssl.conf.erb ファイルは、apache2 クックブックの apache2/templates/default/mods ディレクトリにあります。組み込みファイルの関連する部分を次に示します。

...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

ssl.conf.erb をオーバーライドし、SSLProtocol 設定を次のように変更します。

...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>

Ubuntu 14.04 LTS

このオペレーティングシステムの ssl.conf.erb ファイルは、apache2 クックブックの apache2/templates/ubuntu-14.04/mods ディレクトリにあります。組み込みファイルの関連する部分を次に示します。

...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

この設定を次のように変更します。

...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...