• AJPの設定
  • enableLookups
    • ログを記録する際に生IPかDNSからlookupした名前にするかを決める。遅くなるので基本的にdiabledで。デフォルトはdisabled
  • allowTrace
    • HTTPのTrace Methodを利用できるようにするか否か。TRACEを有効にしておくと攻撃者に余計な情報を与えるため、apacheがtomcatの前に立っている場合はapache側でtrace methodが効かないようにしておきましょう。デフォルトはfalse
  • useBodyEncodingForURI
    • Tomcat 5.xではGETにより受信したパラメータに対して、setCharacterEncodingメソッドの文字コードを「適用しない」という仕様変更がなされているため、Request.setCharacterEncodingの文字コードをURLに適用するようにするために用いる。デフォルトはfalse。
  • secure
    • request.isSecure()でtrueを返すか否か。cookieのsecure属性がtrueになる。ロードバランサ配下にあるtomcatではSSL用のAJPコネクタを作っておき、secure=trueにしておく。
  • redirectPort
    • redirectPortの設定。response.sendRedirectしたときに設定されるポートを指定する。こちらもロードバランサ配下にあるtomcatではSSL用のAJPコネクタを作っておき、443を返却するようにしておくとよい。
  • scheme
    • このAJPConnectorに対するスキーマ（http / https)の設定。SSL用のAJPコネクタを用意している場合はhttpsにすること。

• AJPの接続数などの設定
  • maxThreads
    • リクエスト処理スレッド最大数。デフォルトは200
  • minSpareThreads
    • 最小プールサイズ。デフォルトは10
  • connectionTimeout
    • アクセスを受信したときのタイムアウトする時間をミリ秒で設定。デフォルトは60000(60sec)。下記の問題があったからであろうか、tomcat7ではajpのコネクションタイムアウトにデフォルト値が設定されているようだ。
    • http://d.hatena.ne.jp/TrinityT/20080909/1220932636
  • acceptCount
    • 処理できるthreadがすべて利用中である場合の、キューの大きさ。このキューの大きさをも超えるとリクエストがrefuseされる。デフォルトは100

参考

• tomcat7.0 docs
• AJP

• proxyされた先でIP制限
  • apacheA-apacheB-tomcatという構成では、apacheBではソースIPが全てapacheAのIPになってしまう。
  • apacheBではX-Forwarded-ForというヘッダにIPアドレスが格納されているのでこのIPを使ってIP制限を行う方法を紹介する。

SetEnvIf X-Forwarded-For "192\.168\.51\.1" checkip
Order deny,allow
Deny from all
Allow from env=checkip

• • 複数IPを指定する場合は以下のようにしてできました。

SetEnvIf X-Forwarded-For "192\.168\.51\.1" checkip1
SetEnvIf X-Forwarded-For "192\.168\.51\.15" checkip2
Order deny,allow
Deny from all
Allow from env=checkip1
Allow from env=checkip2

• • マスク(/24)で指定した場合は以下のような正規表現で書くことができました。

SetEnvIf X-Forwarded-For "192\.168\.51\.[0-9]{1,3}" checkip
Order deny,allow
Deny from all
Allow from env=checkip

• • SetEnvIfはAllowOverrideでFileInfoが指定されていることが前提となります。
  • 参考
    • apache2.2ドキュメント mod_setenvif SetEnvIf
    • apache2.2ドキュメント mod_authz_host Allow From

• jconsoleの設定方法(tomcatのリソースを確認する方法）
  • VMの起動パラメータを設定します。（catalina.bat）

set JAVA_OPTS=-Dcom.sun.management.jmxremote.authenticate=false
set JAVA_OPTS="%JAVA_OPTS%" -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.port=8999

• • • ここでは認証をしないようにしていますが、ユーザID・PWでの認証が行えます。
  • $JAVA_HOME/bin/jconsoleを起動すれば終了です。
• プログラムからリソースにアクセスしてみます。
  • VMのパラメータを設定しておけばRMIでJMXに接続することが可能です。

public class JmxRmiSample {

	public static void main(String[] args) throws Exception {

		JMXServiceURL u = new JMXServiceURL(
				"service:jmx:rmi:///jndi/rmi://localhost:8999/jmxrmi");
		JMXConnector c = JMXConnectorFactory.connect(u);
		MBeanServerConnection pfServer = c.getMBeanServerConnection();

		OperatingSystemMXBean osbean = ManagementFactory
				.newPlatformMXBeanProxy(pfServer,
						ManagementFactory.OPERATING_SYSTEM_MXBEAN_NAME,
						OperatingSystemMXBean.class);

		System.out.println("Arch = " + osbean.getArch());

	}
}