MENU
  1. ホーム
  2. Apache
  3. ApacheとTomcatをmod_proxy_ajpで連携する方法【完全ガイド】

ApacheとTomcatをmod_proxy_ajpで連携する方法【完全ガイド】

Apache

ApacheとTomcatは多くのWebアプリケーションで利用される強力な組み合わせです。Apacheはリクエストの受け口として優れたスケーラビリティと安定性を提供し、TomcatはJava ServletやJSPの実行環境を担います。これらを連携させることで、動的コンテンツと静的コンテンツを効率よく処理する堅牢なシステムを構築できます。

mod_proxy_ajpは、ApacheからTomcatへの通信を最適化するプロトコルであり、HTTP通信よりも高速で効率的です。AJP(Apache JServ Protocol)を使用することで、リクエストをTomcatに直接転送し、パフォーマンス向上が期待できます。

本記事では、mod_proxy_ajpを活用してApacheとTomcatを連携する具体的な手順をわかりやすく解説します。構成例や設定ファイルの編集方法、トラブルシューティングなども含め、実際の環境構築に役立つ内容を網羅しています。ApacheとTomcatの連携に課題を抱えている方や、より高速な通信を求める方は、ぜひ最後までご覧ください。

目次

mod_proxy_ajpとは?概要と利点


mod_proxy_ajpは、Apache HTTPサーバーとTomcatアプリケーションサーバー間で高速通信を行うためのモジュールです。AJP(Apache JServ Protocol)というバイナリプロトコルを使用し、HTTP通信に比べて効率的にリクエストを転送します。

mod_proxy_ajpの概要


mod_proxy_ajpはApacheの標準モジュールであり、TomcatなどのJavaベースのサーバーと連携するために設計されています。Apacheがフロントエンドとして受け取ったリクエストをTomcatに中継し、Tomcatが処理した結果をApacheがクライアントに返します。

mod_proxy_ajpの利点

  1. 通信の高速化:AJPはバイナリプロトコルであるため、HTTPに比べてオーバーヘッドが少なく、高速な通信が可能です。
  2. 負荷分散の容易さ:mod_proxy_ajpは複数のTomcatインスタンスと連携でき、リクエストを分散させることで負荷分散が容易になります。
  3. セキュリティ強化:AJP通信は内部ネットワークで使用されることが多く、外部から直接アクセスできないため、セキュリティリスクが低減します。
  4. 設定の簡便さ:mod_proxy_ajpの設定はシンプルで、Apacheの設定ファイルに数行追加するだけで連携が完了します。
  5. 安定性の向上:Apacheがリクエスト処理を担うことで、Tomcatへの負荷が軽減し、アプリケーションの安定性が向上します。

HTTP通信との比較


通常のmod_proxy_httpを使った連携ではHTTPを利用しますが、mod_proxy_ajpはAJPを利用するため、通信速度が速く、リソースの消費も抑えられます。そのため、レスポンス速度やサーバー負荷を重視する場合にはmod_proxy_ajpが推奨されます。

mod_proxy_ajpの導入は、パフォーマンスの向上とシステムの安定性に大きく寄与します。次章では、具体的な環境構築方法について詳しく説明していきます。

ApacheとTomcatの連携構成図


ApacheとTomcatをmod_proxy_ajpで連携する際の全体構成を理解することは、スムーズな設定とトラブルシューティングに役立ちます。以下に、基本的な構成図を示します。

基本構成


以下は、Apacheがフロントエンドとして動作し、Tomcatがバックエンドでアプリケーション処理を担う構成例です。

構成図

[ クライアント ]  
       │  
       ▼  
[  Apache (mod_proxy_ajp) ]  
       │  
       ▼  
[  Tomcat (AJP Connector) ]  
       │  
       ▼  
[  アプリケーション ]

構成の役割

  • クライアント:WebブラウザやAPIクライアントなど、Apacheにリクエストを送るエンドユーザー側のシステムです。
  • Apache HTTPサーバー:クライアントからのリクエストを受け取り、静的コンテンツの処理やTomcatへのリクエスト転送を担当します。
  • mod_proxy_ajp:ApacheからTomcatに対してAJPプロトコルでリクエストを転送する役割を担います。HTTP転送と比べて高速かつ安定しています。
  • Tomcat:ServletやJSPなどのJavaアプリケーションを処理します。AJPコネクタを通じてApacheからのリクエストを受け取ります。
  • アプリケーション:Tomcat内で動作するWebアプリケーションです。処理結果をTomcatがApacheに返し、Apacheがクライアントにレスポンスを送ります。

通信の流れ

  1. クライアントがApacheにリクエストを送信。
  2. Apacheが静的コンテンツの場合は直接応答。動的コンテンツはmod_proxy_ajpを介してTomcatに転送。
  3. Tomcatがリクエストを処理し、応答をApacheに返す。
  4. Apacheがクライアントにレスポンスを返却。

この構成により、Apacheは静的コンテンツを処理しつつ、Tomcatは動的コンテンツの処理に専念できるため、パフォーマンスと効率が向上します。次章では、実際の環境設定に必要な要件について説明します。

必要な環境と前提条件


ApacheとTomcatをmod_proxy_ajpで連携させるには、必要なソフトウェアのバージョンやモジュールが適切にインストールされていることが重要です。本章では、連携構築前に確認すべき環境と前提条件を整理します。

必要なソフトウェアとバージョン

  • Apache HTTP Server
  • 推奨バージョン:2.4系以上
  • mod_proxy_ajpはApache 2.2以降で利用可能ですが、セキュリティと安定性を考慮し、Apache 2.4系以上を推奨します。
  • Tomcat
  • 推奨バージョン:8.x以上
  • Tomcat 8以降はAJPのセキュリティが強化され、最新の機能が利用可能です。Tomcat 9.xや10.xも安定しています。
  • Java
  • 推奨バージョン:Java 8以降
  • TomcatはJavaで動作するため、Javaランタイム環境(JRE)またはJava開発キット(JDK)が必要です。

必要なモジュール

  • mod_proxy(Apacheモジュール)
  • mod_proxy_ajp(Apacheモジュール)
    これらのモジュールがインストールされ、有効になっていることを確認してください。

事前準備

  1. Apacheのインストール確認
   apachectl -v


バージョンが表示されれば、Apacheがインストール済みです。

  1. Tomcatのインストール確認
   /path/to/tomcat/bin/version.sh


Tomcatのバージョンが表示されることを確認します。

  1. 必要ポートの開放
  • AJPのデフォルトポート:8009(Tomcat側)
  • HTTP通信ポート:80または443(Apache側)
  • ファイアウォールでAJPポートがブロックされていないことを確認します。
    bash firewall-cmd --add-port=8009/tcp --permanent firewall-cmd --reload

Tomcat側でのAJPコネクタの確認


Tomcatの設定ファイルserver.xmlにAJPコネクタが存在することを確認します。

<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" />


必要に応じて、このコネクタを有効にしてください。

前提条件の確認

  • ApacheとTomcatが同一サーバーまたは内部ネットワーク内に配置されていること。
  • ファイアウォール、SELinuxの設定でApacheからTomcatへの通信が遮断されていないこと。

これらの環境を整えた上で、次の章ではmod_proxy_ajpのインストールと有効化の手順を説明します。

mod_proxy_ajpモジュールのインストールと有効化


Apacheでmod_proxy_ajpを利用するには、該当モジュールのインストールおよび有効化が必要です。本章では、mod_proxy_ajpのインストール方法とApacheでの有効化手順を解説します。

mod_proxy_ajpのインストール


多くのLinuxディストリビューションでは、mod_proxy_ajpはデフォルトでApacheに含まれています。もしインストールされていない場合は、以下のコマンドでインストールを行います。

  • CentOS/RHEL
   sudo yum install httpd mod_proxy_ajp
  • Ubuntu/Debian
   sudo apt update
   sudo apt install apache2 libapache2-mod-proxy-ajp
  • Amazon Linux
   sudo yum install httpd mod_proxy_ajp

mod_proxy_ajpモジュールの有効化


Apacheがインストールされている場合でも、mod_proxy_ajpが無効になっていることがあります。有効化するには以下の手順を実行します。

  • Ubuntu/Debianの場合
   sudo a2enmod proxy proxy_ajp
   sudo systemctl restart apache2
  • CentOS/RHEL/Amazon Linuxの場合
    httpd.confに以下の記述を追加し、Apacheを再起動します。
   sudo vi /etc/httpd/conf/httpd.conf


追加する内容:

   LoadModule proxy_module modules/mod_proxy.so
   LoadModule proxy_ajp_module modules/mod_proxy_ajp.so


設定を反映するためにApacheを再起動します。

   sudo systemctl restart httpd

動作確認


モジュールが正しく読み込まれているかを確認します。

apachectl -M | grep proxy_ajp


proxy_ajp_moduleが表示されれば、有効化されています。

トラブルシューティング

  • エラー: モジュールが見つからない
  • Apacheが正しくインストールされているか確認します。
  • モジュールパッケージがリポジトリに存在するか確認し、手動でインストールを試みます。
  • エラー: Apacheが起動しない
  • 設定ファイルに誤りがないか、構文チェックを行います。
   apachectl configtest

mod_proxy_ajpが正常にインストール・有効化されたら、次はTomcat側のAJPコネクタ設定を行います。

Tomcat側の設定(AJPコネクタの有効化)


TomcatがApacheからのAJPリクエストを受け取るには、AJPコネクタを有効にする必要があります。本章では、Tomcatの設定ファイルを編集し、AJP通信を許可する手順を解説します。

AJPコネクタの設定ファイルを開く


TomcatのAJPコネクタ設定は、server.xmlに記述されています。このファイルを編集してAJPコネクタを有効化します。

sudo vi /path/to/tomcat/conf/server.xml

AJPコネクタの記述を確認・編集


デフォルトでAJPコネクタの記述がコメントアウトされています。以下のセクションを探し、必要に応じて修正します。

編集前

<!--  
<Connector protocol="AJP/1.3" 
           address="::1"
           port="8009" 
           redirectPort="8443" />  
-->

編集後

<Connector protocol="AJP/1.3"
           address="0.0.0.0"
           port="8009"
           redirectPort="8443"
           secretRequired="false" />

設定内容の説明

  • protocolAJP/1.3は、AJPプロトコルのバージョンを示します。Tomcat 8以降でサポートされています。
  • address:AJPのリクエストを受け付けるアドレスです。0.0.0.0はすべてのIPアドレスを許可します。特定のIPだけを許可したい場合は、127.0.0.1::1を指定します。
  • port:AJP通信で使用するポートです。デフォルトは8009です。必要に応じて変更します。
  • redirectPort:HTTPSリクエスト時にリダイレクトされるポート番号です。通常は8443を指定します。
  • secretRequired:Tomcat 9.0.31以降ではデフォルトでAJPにsecretが必須ですが、falseを指定することで無効化できます。セキュリティ向上のため、運用環境ではsecretの設定を推奨します。

AJP接続のセキュリティ強化


運用環境では、AJPコネクタにsecretを設定することが推奨されます。以下のように、シークレットキーを追加します。

<Connector protocol="AJP/1.3"
           address="0.0.0.0"
           port="8009"
           redirectPort="8443"
           secret="MySecretKey" />

Apache側の設定でも同じシークレットを指定することで、安全な通信が実現します。

Tomcatの再起動


編集後、Tomcatを再起動して設定を反映させます。

sudo systemctl restart tomcat

動作確認


Tomcatのcatalina.outログを確認し、エラーがないことを確認します。

tail -f /path/to/tomcat/logs/catalina.out

「AJP Connector on port 8009」が表示されれば、AJPコネクタが正常に有効化されています。

次章では、Apache側でAJPを利用したプロキシルールを記述し、連携を完了させます。

Apache側の設定(プロキシルールの記述)


TomcatでAJPコネクタを有効化したら、次はApache側でAJP通信のプロキシルールを設定します。Apacheが受け取ったリクエストをTomcatに転送し、処理結果をクライアントに返す仕組みを構築します。

httpd.confの編集


Apacheの設定ファイルhttpd.confにmod_proxy_ajpを利用するための設定を記述します。以下のコマンドでhttpd.confを編集します。

sudo vi /etc/httpd/conf/httpd.conf

プロキシルールの記述


Tomcatにリクエストを転送するための設定を追記します。以下は、/app以下のURLリクエストをTomcatに転送する例です。

# mod_proxy_ajpのロード
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so

# Tomcatへのプロキシ設定
<VirtualHost *:80>
    ServerName www.example.com

    # Apacheが処理するドキュメントルート
    DocumentRoot /var/www/html

    # AJPプロキシの設定
    ProxyRequests Off
    ProxyPass /app ajp://localhost:8009/app
    ProxyPassReverse /app ajp://localhost:8009/app

    # エラーページの設定
    ErrorLog logs/app-error.log
    CustomLog logs/app-access.log combined
</VirtualHost>

設定内容の説明

  • ProxyPass:Apacheが/app以下のリクエストをTomcat(AJPポート8009)に転送します。
  • ProxyPassReverse:Tomcatから返されるレスポンスヘッダをApache側で調整し、クライアントに適切に表示します。
  • ProxyRequests Off:Apacheがフォワードプロキシとして動作しないように設定します。
  • ErrorLog / CustomLog:エラーおよびアクセスログを記録する場所を指定します。

セキュリティ対策


AJP通信を外部から直接アクセスされないように、内部ネットワークに限定します。以下のように、Apacheがローカルホスト経由でのみTomcatと通信できるように制限します。

<Proxy *>
    Require ip 127.0.0.1
</Proxy>

SELinuxの設定(必要な場合)


SELinuxが有効な場合は、ApacheからAJPポートへの通信を許可します。

sudo setsebool -P httpd_can_network_connect on

Apacheの再起動


設定が完了したら、Apacheを再起動して反映します。

sudo systemctl restart httpd

動作確認


ブラウザからhttp://www.example.com/appにアクセスし、Tomcatのアプリケーションが表示されることを確認します。

  • 確認ポイント
  • Tomcatのウェルカムページやデプロイ済みアプリが正しく表示されるか。
  • Apacheのエラーログに問題が記録されていないか。

次章では、設定後の動作確認とトラブルシューティングについて解説します。

動作確認とトラブルシューティング


mod_proxy_ajpを利用したApacheとTomcatの連携設定が完了したら、正しく動作しているかを確認します。本章では、動作確認の方法と、問題が発生した際のトラブルシューティングについて詳しく解説します。

動作確認

  1. Apacheの設定確認
    設定ファイルにエラーがないかをチェックします。
   sudo apachectl configtest


Syntax OKと表示されれば問題ありません。

  1. ApacheとTomcatの起動確認
    ApacheとTomcatが正しく起動しているか確認します。
   sudo systemctl status httpd
   sudo systemctl status tomcat


active (running)と表示されていることを確認します。

  1. ブラウザでアクセス
    ブラウザを開き、以下のURLにアクセスします。
   http://www.example.com/app


Tomcatのアプリケーションが表示されることを確認します。Tomcatの管理画面なども表示可能であれば問題ありません。

  1. ログの確認
    ApacheとTomcatのログを確認し、エラーが出ていないかをチェックします。
   tail -f /var/log/httpd/error_log
   tail -f /path/to/tomcat/logs/catalina.out

トラブルシューティング

1. Tomcatのアプリケーションが表示されない場合


原因:AJPコネクタが正しく設定されていない。
対処法:Tomcatのserver.xmlを確認し、AJPコネクタが有効になっていることを確認します。

<Connector protocol="AJP/1.3" port="8009" address="0.0.0.0" />


Tomcatを再起動して設定を反映します。

sudo systemctl restart tomcat

2. Apacheのエラー「503 Service Unavailable」


原因:ApacheがTomcatに接続できない。
対処法:以下を確認します。

  • Tomcatが起動しているか確認。
  • AJPポートが正しく設定されているかチェック。
  • firewall-cmdで8009ポートが開放されているか確認します。
   sudo firewall-cmd --add-port=8009/tcp --permanent
   sudo firewall-cmd --reload

3. エラー「AH01114: No protocol handler was valid」


原因:mod_proxy_ajpが無効になっている可能性があります。
対処法:mod_proxy_ajpが有効か確認し、再度モジュールを有効化します。

sudo a2enmod proxy proxy_ajp
sudo systemctl restart apache2

4. SELinuxによるブロック


原因:SELinuxがApacheからTomcatへの通信をブロックしている。
対処法:以下のコマンドでAJP通信を許可します。

sudo setsebool -P httpd_can_network_connect on

最終確認


ブラウザでアプリケーションが正常に表示されれば設定は完了です。問題が解決しない場合は、ApacheとTomcatのログを細かく確認し、エラーメッセージをもとに原因を特定します。

次章では、AJP通信のセキュリティ強化の方法について説明します。

セキュリティ強化のポイント


AJP(Apache JServ Protocol)は高速で効率的な通信を実現しますが、そのままでは外部からの不正アクセスのリスクがあります。特にTomcat 8.5.51以降では、AJPのセキュリティ強化が求められています。本章では、AJP通信のセキュリティを強化するための具体的な設定方法を解説します。

AJPポートへの外部アクセス制限


デフォルトでは、TomcatのAJPコネクタはすべてのIPアドレスからの接続を許可しています。これを制限し、Apacheサーバーからのみアクセスできるようにします。

Tomcatのserver.xmlの設定例

<Connector protocol="AJP/1.3" 
           address="127.0.0.1"
           port="8009"
           redirectPort="8443" />
  • address=”127.0.0.1″:Apacheが同一サーバー上にある場合、localhost経由のみAJP通信を許可します。
  • 別サーバーのApacheと連携する場合は、ApacheサーバーのIPアドレスを指定します。
address="192.168.1.10"

AJPシークレットキーの設定


Tomcat 9.0.31以降では、AJPコネクタにsecretが必須となっています。これにより、不正なAJPリクエストを防ぐことができます。

server.xmlの設定例

<Connector protocol="AJP/1.3"
           address="0.0.0.0"
           port="8009"
           redirectPort="8443"
           secret="MySecretKey" />

Apache側でも同様のシークレットを設定します。

httpd.confの設定例

ProxyPass /app ajp://localhost:8009/app secret=MySecretKey
ProxyPassReverse /app ajp://localhost:8009/app secret=MySecretKey
  • ApacheからTomcatへの通信時に、シークレットキーが一致しない場合は接続が拒否されます。

ファイアウォールによるポート制限


AJPポート(8009)は外部からアクセスできないようにファイアウォールで制限します。

CentOS/RHELでの設定例

sudo firewall-cmd --permanent --add-rich-rule='
    rule family="ipv4"
    source address="192.168.1.10"
    port protocol="tcp" port="8009" accept'
sudo firewall-cmd --reload

Apache側でのアクセス制限


Apacheのプロキシ設定でも、特定のIPアドレスからのみAJP通信を許可するようにします。

httpd.confの設定例

<Proxy *>
    Require ip 127.0.0.1 192.168.1.0/24
</Proxy>
  • Require ip:ローカルホストおよび特定のサブネットからのみプロキシを許可します。

SELinuxポリシーの設定


SELinuxが有効な場合は、ApacheからTomcatへのAJP通信を許可する必要があります。

sudo setsebool -P httpd_can_network_connect on

AJPポートの無効化(不要な場合)


AJPが不要な場合は、AJPコネクタを完全に無効化します。

<!--
<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" />
-->

まとめ


AJP通信のセキュリティ強化は、外部からの不正アクセスを防ぎ、システムの安全性を高めます。特に、AJPのポート制限やシークレット設定は必須の対策です。運用環境に応じて適切に設定を行い、安全な通信環境を構築しましょう。

まとめ


本記事では、ApacheとTomcatをmod_proxy_ajpで連携させる方法について、環境構築からセキュリティ強化までの手順を詳しく解説しました。

mod_proxy_ajpを利用することで、高速かつ安定したAJP通信が可能になり、Apacheがフロントエンドとしてリクエストを処理し、Tomcatがバックエンドでアプリケーションを動作させる堅牢な構成を実現できます。

重要なポイント

  • mod_proxy_ajpの導入でApacheとTomcatを効率的に連携。
  • AJPコネクタの設定を通じて、リクエストの高速転送を可能に。
  • プロキシルールの記述で柔軟なリクエスト処理を実現。
  • トラブルシューティングによる問題解決方法を習得。
  • セキュリティ強化でシークレットキーやアクセス制限を適用し、安全な通信環境を構築。

これらの設定を正しく行うことで、ApacheとTomcatの連携がスムーズに行われ、パフォーマンスとセキュリティの両方を向上させることができます。AJPを適切に活用し、信頼性の高いWebアプリケーション環境を構築しましょう。

Apache
Apache Tomcat mod_proxy_ajp 連携設定

コメント

コメントする

目次