Apache HTTP Server を Rational DOORS Web Access のリバース・プロキシーとして構成

Apache HTTP Server は Rational DOORS Web Access のリバース・プロキシーとして構成できます。 リバース・プロキシー・サーバーは、追加のセキュリティー層を提供し、ネットワーク内の HTTP サーバーを保護し、Secure Sockets Layer (SSL) 要求の パフォーマンスを向上させます。 リバース・プロキシーを使用すると、後で必要に応じてデプロイメント・トポロジーを変更できます。

始める前に

  1. Rational DOORS Web Access をインストールします。 ただし、Rational DOORS Web Access のコンポーネントもサーバーも始動しないでください。
  2. Apache HTTP Server をインストールします。

このタスクについて

リバース・プロキシー・サーバーは、コンテンツ HTTP サーバーに直接はアクセスできないようにする特殊な HTTP サーバーです。 コンテンツに対する要求はすべて、パブリック・リバース・プロキシー・サーバー URI を経由し、 プライベート Rational DOORS Web Access サーバー URI にリダイレクトされます。
リバース・プロキシー・サーバーを使用すると、以下のような利点があります。
  • 将来のデプロイメント・トポロジーの変更: デプロイメントでリバース・プロキシーを使用すると、 アプリケーションがデプロイされるマシン数やポート番号に関係なく、1 つのホスト名をパブリック URL に指定できます。 その結果、後でデプロイメント・トポロジーを変更することが可能になります。
  • セキュリティー: リバース・プロキシー・サーバーは、追加のセキュリティー層を提供するため、通信ネットワークにおける他の HTTP サーバーを保護できます。 リバース・プロキシー・サーバーとコンテンツ HTTP サーバーの間にファイアウォールを使用する場合は、 リバース・プロキシー・サーバーからの HTTP 要求のみを許可するようにファイアウォールを構成できます。
  • パフォーマンス: SSL 要求のパフォーマンスを向上させる可能性のある SSL 加速ハードウェアをリバース・プロキシー・サーバーに装備することができます。
この手順では、以下のステップを実行します。
  1. SSL 鍵ストアを準備します。
  2. httpd.conf ファイルおよび httpd-ssl.conf ファイルを変更します。
  3. Apache HTTP Server を始動します。
  4. Rational DOORS Web Access コンポーネントを開始します。
  5. Rational DOORS Web Access サーバーを始動します。

手順

  1. SSL 鍵ストアを準備します。
    1. 付属の IBM Key Management Utility (IKeyMan) SSL ツールで SSL 鍵ストアを作成するか、または開きます。
    2. 鍵ストアの保存時に、パスワードを stash ファイルに保存するオプションを選択します。
    3. 以下の情報を記録します。
      • デフォルト SSL 証明書ラベル
      • 鍵ストア・ファイルへのパス
      • stash ファイルへのパス
  2. httpd.conf ファイルを編集して、SSL 要求を処理するように Apache HTTP Server を構成します。 このファイルは、Apache インストール済み環境内の conf ディレクトリーにあります。
    1. 以下のモジュールのコメントを外します。
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
      • LoadModule ssl_module modules/mod_ssl.so
    2. SSL 構成セクション (#Secure (SSL/TLS) connections で始まるセクション) に移動します。
    3. このセクションで、以下の項目を追加します。
      #
      # reverse proxy
      #
      SSLProxyEngine On
      ProxyPreserveHost On
    4. ホスト・ドメインを識別するための項目を追加します。
      ProxyPass / https://host_domain:DWA_Tomcat_port/
      ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
      例えば、次のように指定します。
      ProxyPass / https://private_host.com:7443/
      ProxyPassReverse / https://private_host.com:7443/
      注: この例では、エンド・ユーザーが認識できるプロキシー・ポートは 8443 に設定されていて、 プロキシー要求は private_host サーバー上のポート 7443 にリダイレクトされます。 ご使用の環境によっては、プロキシー・サーバーと Apache Tomcat の構成において使用することになっているポートが、 ポート競合を避けるために別の値に設定されることもあります。
    5. 次の行のコメントを外します。
      Include conf/extra/httpd-ssl.conf
      リバース・プロキシーの構成について 詳しくは、The Apache Software Foundation 資料の「Apache モジュール mod_proxy」を 参照してください。
  3. httpd-ssl.conf ファイル (Apache インストール済み環境内の /conf/extra ディレクトリーにある) を編集します。
    1. SSL が構成されているホスト名とポートを更新します。
    2. 以下の設定などを必要に応じて更新します。
      • SSLCertificateFile
      • SSLCertificateKeyFile
      注: SSLCertificateKeyFile 鍵ファイルがパスワードで保護されている場合は、 サーバーを始動するたびにパスワードを入力する必要があります。 パスワードは削除できますが、パスワードを削除する前に、 パスワードを削除することによりご使用の環境で発生するセキュリティー関連事項について考慮してください。
      HTTP SSL ファイルの編集について 詳しくは、The Apache Software Foundation 資料の「Apache コア機能」および「Apache Module mod_ssl」を 参照してください。
  4. Apache HTTP Server を始動します。 エラーはすべて error.log ファイル(Apache インストール済み環境の /logs フォルダーにある) に書き込まれます。
  5. Rational DOORS Web Access コンポーネントを開始します。
  6. Rational DOORS Web Access サーバーを始動します。
  7. 次の dbadmin コマンドを入力して、Rational DOORS Web Access パブリック URL およびポートを リバース・プロキシー・サーバーに設定します。
    dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
    dbadmin コマンドについて 詳しくは、『Rational DOORS Database Server の構成』を参照してください。

フィードバック