Tomcat-5.0系になり、本番環境で利用できるレベルまで来たと思います。が、初期状態では何かと都合が悪い部分もあるので、ここで運用のための設定をあれこれしてみたいと思います。
|
| 1.前提条件 |
まずは前提条件として以下の点はクリアしといてください。
・mod_jk2を利用してApacheと連係する。(Tomcatの簡易Webサーバ:8080は利用しない)
mod_jk2の設定
・server.xmlの設定をする。
server.xmlの設定
・GUIツールを利用できるよう設定する。
GUI管理ツールの設定
これらの各ページで取り上げていない部分に付いて言及していきます。
|
| 2.GUI管理ツールのアクセス制御 |
GUI管理ツールは非常に便利なんですが、デフォルトのままだと世界中の人がアクセスできちゃいます。
そこで、アクセス制御をして特定のIPアドレスを持ったPCからのみ利用できるようにします。そのために、Tomcatのバルブを設定します。
|
|
|
これはGUI上からもできます。その場合は、adminツールにアクセスし、以下の手順で行います。
1.[サービス]から[コンテキスト(/admin)]を選択。
2.右上の[----利用可能なアクション----]から、[新しいバルブの作成]を選択。
3."種類"から、[RemoteAddValue]を選択
4."許可するIPアドレス"に、ローカルホストと許可したいIPをカンマで区切って入力します。(127.0.0.1,192.168.0.10)
5."拒否するIPアドレス"は空白にします。
6.設定が終了したら、[保存]ボタンを押して設定終了です。
この設定で、adminのContextにアクセス制御が追加されます。マネージャツールも同様に設定しましょう。
|
|
|
adminツールの設定ファイルは"$CATALINA_HOME/conf/Catalina/localhost/admin"です。
マネージャツールの設定ファイルは"$CATALINA_HOME/conf/Catalina/localhost/manager"になります。
このファイルのContextにバルブを追加します。
adminの(例)
<Context path="/admin" docBase="${catalina.home}/server/webapps/admin" debug="0" privileged="true">
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="127.0.0.1,192.168.0.10" deny=""/> <--<Valve class -中略- deny=""/>を追加
<Logger className="org.apache.catalina.logger.FileLogger"
prefix="localhost_admin_log." suffix=".txt" timestamp="true"/>
</Context>
|
マネージャツールも同様に設定してください。
|
| 3.利用しないWEBアプリケーションを無効にする |
exampleアプリケーションなど運用上必要無いデモアプリケーションが含まれていますので、これらを削除します。
実際は、8080を無効にして、mod_jk2に設定していなければアクセスできませんので、それでも構いませんが、、。
削除対象は以下の通りです。
・/jsp-example
・/servlets-example
・/tomcat-doc
・/webdav
せっかくですからマネージャツールから削除してみましょう。
http://localhost/manager/htmlにアクセスし、対象アプリの[配備解除]を押してください。
[配備解除]を押すと、さっくり関連ファイルが削除されます。[停止]は一旦停止するだけでTomcatを再起動すると対象のアプリも再度動き出します。
|
| 4.mod_jk2の設定変更 |
大したことはしませんが、設定を見直しておきましょう。
[jkstatus]の設定変更、無用なアプリの[url]削除、ログ設定。こんなとこです。(以下参照)
#Log
[logger.file:0]
level=ERROR
file=${serverRoot}/logs/mod_jk2.log
#Srarus
[status:]
[uri:/推測されにくい文字列に変更/*]
group=status:
#Memory
[shm:]
disabled=1
#Channel
[channel.socket:localhost:8009]
#URI
[uri:/利用アプリケーションを設定/*]
|
|
