Blog Xebia France » Cyrille Le Clerc

Mise en place d’une organisation DevOps

Cyrille Le Clerc — Mon, 09 Jan 2012 07:38:41 +0000

Comme le mouvement Agile a rapproché donneurs d’ordre et équipes de réalisation autour d’une vision commune orientée « produit », le mouvement DevOps rapproche aujourd’hui les équipes de développement (DEV) et d’exploitation (OPS) autour d’une vision commune orientée « service », afin de mieux concilier réactivité et qualité de service.

DevOps aborde le paradoxe entre des équipes projets qui cherchent à livrer toujours plus fréquemment des nouvelles fonctionnalités d’une part et d’autre part des équipes d’exploitation qui cherchent à stabiliser et fiabiliser les systèmes tout en maitrisant leur coût.

On peut décrire DevOps selon trois axes :

Aligner l’exploitation sur les enjeux métiers comme l’agilité a déjà aligné le développement sur le métier.
Aligner le développement sur les réalités de l’exploitation pour rendre possible la mise en production, la disponibilité et la fiabilité des fonctionnalités métier.
La transformation du métier d’OPS pour gérer des topologies chaque jour plus grosses et plus complexes avec l’adoption d’infrastructure as code et d’outils comme Chef ou Puppet. Les nouveaux OPS sont des programmeurs ! Ils débattent à la machine à café de TDD, de Ruby vs. DSL, de choix d’IDE, de Git vs. SVN, …

DevOps est souvent associé à la mise en place d’un processus de Continuous Delivery qui, dans la mouvance Lean, vise à déployer les fonctionnalités en production au plus vite et de maximiser les feedbacks. Nous reviendrons dans un autre billet sur les processus de Continuous Delivery.

La mise en place d’une culture DevOps touche les humains, les processus et les outils. Nous proposons une démarche englobant ces trois aspects en prenant comme point d’entrée les processus et, de proche en proche, faire évoluer les humains et les outils.

Les processus

Tous les processus impliquant la collaboration des équipes de développement et d’exploitation sont sujets à la mise en place d’une culture « DevOps ». Nous proposons pour la première étape de nous focaliser sur les processus de livraison, de déploiement et de troubleshooting.

Processus de livraison

Le processus de livraison (aka processus de packaging de la release) est la première interaction entre les équipes de développement et de production. Ses défauts causent l’allongement des projets et des interruptions de service. A l’inverse, l’automatisation du processus de livraison concilie « time to market » et diminution des risques en déployant plus fréquemment des changements au périmètre limité.

Nous proposons d’accorder les équipes de développement et d’exploitation sur les points suivants :

Périmètre du package pour éviter les transformations et manipulations de mise en production : binaires identiques sur tous les environnements, fichiers de configurations épurées, etc.
Rôles et responsabilités des équipes de développement et d’exploitation dans le packaging : binaires pour les développeurs, scripts et paramètres de configuration gouvernés par l’exploitation, etc.
Définition des outils et techniques de packaging : tag Subversion/Git, build Maven, repository Maven Nexus, etc.
Alignement des environnements de développement, d’intégration et de production pour éviter les écarts dev/prod : on doit tester sur un environnement le plus iso-prod possible.

Processus déploiement

Une fois le packaging clarifié, nous proposons d’automatiser et d’unifier les processus de déploiement du dev à la prod. Les bénéfices sont :

L’accélération des feedbacks des équipes de Q&A par des déploiements plus fréquents sur les environnements de validation.
La fiabilisation des déploiements en les testant avant la mise en production.

L’objectif est la banalisation : les déploiements deviennent des « non événements ».

Processus de troubleshooting et de diagnostique

Réussir l’analyse de problèmes en production nécessite une préparation et un entrainement conjoints des équipes d’exploitation et de développement.

Des répétitions impliquant à la fois OPS et DEV permettront de valider :

Que les applications sont debuggables : clarté des messages de log, clarté des exceptions, indicateurs de monitoring (JMX), etc.
Que les outils de diagnostique sont installés : activation et collecte de logs, accès sans problèmes de firewall, disponibilité des outils sur les serveurs (curl, screen, jstat, jmap, etc.).
Que les OPS et les DEV ont les bons outils de collaboration lors de problèmes en production : accès en lecture seule pour les DEV, messagerie instantanée, partage d’écran, micro-casques, etc.

Amélioration continue dev/prod

Les sujets d’amélioration continue transverse développement / exploitation sont gérés à la fois dans la continuité avec des réunions « dev/prod », et lors d’événements particuliers sous forme de points « post mortem » (panne, mise en production importante, etc.). Les sujets abordés relèvent d’enjeux à court, moyen et long terme :

Monitoring & KPI : mise en place d’indicateurs techniques et métiers de bonne santé des applications (choix des outils, adaptation du code métier, health checks, etc.).
Gestion des logs et des exceptions : amélioration des messages, outils de concentration et d’analyse de logs.
Robustesse, tenue à la charge et capacity planning : suppression des points de faiblesse, mise en place de modes dégradés et de mécanismes de protection contre les saturations (e.g. : circuit breaker pattern), plans d’action de test en charge, plan d’ajout de capacité.
Sécurité : patchs à appliquer, règles de sécurité de l’entreprise, etc.
Fiabilisation des mises en production : activation progressive (feature toggle) ou partielle (canary testing) de fonctionnalités, etc.
Processus et outillage : amélioration des processus dev/prod, alignement et partage des outils.
Suivi du schéma directeur : gestion des montées de version des middlewares, migrations techniques, rationalisation des environnements.
Evolutions de l’application et de l’infrastructure : refactoring de l’infrastructure, introduction de nouvelles technologies, plan de montée en compétence.

L’organisation : You build it, you run it ?

L’organisation est le sujet le plus complexe à aborder dans la mise en place d’une culture « DevOps ». Certaines entreprises comme Amazon ont intégré les équipes de développement et de production au point d’avoir pour devise « You build it, you run it ».

Un point essentiel est de s’assurer que les objectifs des différents acteurs soient alignés vers une amélioration de la disponibilité et de l’évolutivité des applications. Si les intérêts des uns et des autres sont contradictoires et ne sont pas alignés sur ce même objectif, l’adoption d’une culture « DevOps » touchera vite ses limites.

Nous proposons d’étudier les changement organisationnels au fur et à mesure de la mise en place des principes DevOps dans les processus que nous avons cité en veillant à prendre en compte les réalités de chaque entreprise.

Soiree Cloud avec Sacha Labourey, CEO and Founder CloudBees

Cyrille Le Clerc — Thu, 10 Nov 2011 07:28:26 +0000

Public Cloud, Private Cloud, Hybrid Cloud, Infrastructure as a Service, Platform as a Service, Software as a Service, …

Nous vous invitons le 23 Novembre 2011 à 19h30 à décrypter ces mots à la mode avec Sacha Labourey, CEO et fondateur CloudBees, ex CTO JBoss.
Après une présentation du Cloud Computing et (brièvement) de l’offre CloudBees, Sacha Labourey répondra à vos questions.

Voici notre première série :

Pourquoi le cloud est-il arrivé ?
Quels bénéfices attendre du cloud ? Pour les départements études / développement ? Pour les départements exploitation / production ?
A quel rythme les organisations vont-elle être impactées par le cloud ? Les changements à court terme ? Les transformations à long terme ?
Comment préparer son organisation à l’arrivée du cloud ? Côté développement ? Côté exploitation ?

Sans oublier nos questions provocatrices :

Le cloud, est-ce la mort du métier d’administrateur système ?
Le PaaS est magique ? Les middlewares sont devenus zero-administration et self-tuning ?
Rupture totale ou évolution dans la lignée de tendances comme la virtualisation ?

La soirée terminera par un cocktail pendant lequel des consultants CloudBees et Xebia pourront vous faire des démonstrations.

L’inscription sur EventBrite est ici. Retrouvez les événements Xebia sur blog.xebia.fr/tech-event.

Les vidéos de la soirées :

Atelier – Concevez une application DataGrid NoSQL hautement scalable avec Nati Shalom

Cyrille Le Clerc — Tue, 04 Oct 2011 12:16:51 +0000

Vous aimez regarder les présentations NoSQL et Data Grid sur Internet ?
Nous aussi mais nous voulions plus !

C’est pourquoi nous avons demandé à Nati Shalom, CTO et fondateur Gigaspaces, de venir animer une session de design d’une application DataGrid / NoSQL hautement scalable en reprenant un cas d’utilisation de la vraie vie.

Ce ne sera pas la conception d’un autre, ce sera notre design influencé par une des stars du domaine !

Cet atelier aura lieu le lundi 5 décembre. Nous travaillons avec Nati pour préciser le type d’application à modéliser et les détails de l’événement. Pour le cas d’utilisation, nous pensons bien sûr à modéliser le cas d’école Twitter mais nous réfléchissons aussi aux systèmes de réservation de trains et d’avions, aux jeux d’argent en ligne, aux jeux massivement parallèles ou encore à l’electronic trading. Nous vous tiendrons informés par Twitter et sur la page des Tech Event Xebia.

Gestion des ressources par Cyrille Le Clerc

Cyrille Le Clerc — Wed, 06 Jul 2011 14:06:24 +0000

Si vous êtes lecteur de notre blog, vous avez probablement entendu parler des journées XKE. Organisées une fois par mois, cette journée est dédiée aux échanges techniques et humains entre les consultants. Nous souhaitons partager avec vous l’une de ces sessions en vidéo. La session, animée par Cyrille Le Clerc, concerne la gestion des ressources en Java, et plus particulièrement leur fermeture.

Gestion des ressources par Cyrille Le Clerc

Tous les podcasts Xebia France :

Deployer un artefact sur repo1.maven.org

Cyrille Le Clerc — Wed, 22 Jun 2011 17:30:28 +0000

Vous avez peut-être eu l’obsession de voir « maven » en train de télécharger vos propres artefacts à partir de son repository central. Du moins vous vous êtes sûrement posé la question : mon projet est mavenisé, open source, sur une forge publique (github, googlecode, etc.) et il est destiné à être utilisé par le plus grand nombre ; pourquoi ne pas le publier sur le Maven Central Repository (http://repo1.maven.org) ?

Au lieu de penser à ouvrir votre Nexus sur Internet ou encore à créer votre propre repository sur Google Code ou autre, nous vous proposons de directement déployer sur le Maven Central Repository, ce qui, en plus de vous épargner l’installation d’un repository, facilitera l’utilisation de votre artefact.

Le but de ce billet est de décrire la marche à suivre pour la publication d’un artefact en passant par le repository de Sonatype. Ce dernier étant un repository approuvé pour tout projet OSS comme c’est le cas du repository Apache (pour les projets Apache) et celui du Codehaus (pour les projets Codehaus). Le fait de passer par Sonatype vous garantit d’une part, un processus de validation structurant qui impose un ensemble de points de contrôle (licence, copyright, traçabilité, etc.) augmentant ainsi la qualité des métadonnées, et d’autre part une synchronisation rapide avec le Maven Central Repository.

Il s’agit également de vous faire profiter de notre expérience sur le sujet avec le déploiement de quelques artefacts tels que mindmap-maven-plugin, xebia-management-extras, xebia-spring-security-extras et xebia-servlet-extras.

Ce qui est présenté par la suite est basé principalement sur le guide officiel fourni par Sonatype: https://docs.sonatype.org/display/Repository/Sonatype+OSS+Maven+Repository+Usage+Guide

Choix de la licence du projet

Chacun appliquera sur son code la licence qui lui convient. C’est à la fois un choix « tactique » pour cibler ses utilisateurs et « philosophique » selon ses convictions. Pour résumer ce sujet qui mériterait un billet complet, il y a deux grandes familles de licences :

les licences « business friendly » (Apache Software Licence, MIT, BSD, etc) qui facilitent l’intégration dans toute programme (y compris « close source » et commercial)
les licences « business unfriendly » (GPL, Aferro GPL, etc) qui sont qualifiées de virales et ne permettent pas l’intégration dans des logiciels « close source »

Pour aller plus loin sur le sujet, nous vous recommandons 451 Chaos Group – 06/2011 : The trend towards permissive licensing et notre récent billet Réponses au Quizz Licences Open Source.

Application de la licence sur les fichiers de son projet

Tous les fichiers doivent porter le header de la licence
Un fichier LICENSE (exemple) à la racine doit être reporté dans les artefacts générés
Un fichier NOTICE (exemple) à la racine doit mentionner les copyrights des dépendances

Si vous êtes dans le cas d’une licence APV2, vous pouvez toujours vous référer à ce lien : Applying the license to new software.

Le apache-rat-plugin permet de vérifier la conformité du projet et peut casser le build dans le cas contraire.

Exemple de déclaration des ressources dans un pom maven pour intégrer les fichiers LICENSE et NOTICE dans les artefacts:


 ...
 
  
   ${basedir}/src/main/resources
   true
  
  
   ${basedir}
   META-INF
   
    LICENSE
    NOTICE
   
  
 
 ...

Exemple d’utilisation du apache-rat-plugin dans un pom maven:


   ...
   
    org.apache.rat
    apache-rat-plugin
    0.7
    
     
      verify
      
       check
      
     
    
   
   ...

Mise en conformité du pom maven

Le fichier pom.xml doit obligatoirement porter les informations suivantes:

Pour faciliter le déploiement des artifacts sur le repository http://oss.sonatype.org qui sert de bac à sable de validation, le plus simple est de référencer le pom parent « org.sonatype.oss:oss-parent » fourni par sonatype. Exemple :


  
    org.sonatype.oss
    oss-parent
    7
  
  ...

(?) De plus, il est fortement recommandé que le pom.xml ne référence pas de repository (cf. Why Putting Repositories in your POMs is a Bad Idea)

Signature des artefacts avec GPG

Les artefacts publiés sur repo1.maven.org doivent être signés.

Le pom parent org.sonatype.oss:oss-parent utilise le maven-gpg-plugin qui se base sur l’implémentation GnuPG du standard OpenPGP pour la signature des artefacts. Pour s’appuyer dessus, vous devez :

Installer un client GPG (e.g. Mac GNU Privacy Guard)
Créer votre paire de clés GPG (privée/publique) (cf GPG Quick Start par Paul Heinlein)
Distribuer votre clé publique sur un serveur de clé PGP:

gpg --keyserver hkp://pool.sks-keyservers.net --send-keys your_public_key_ID

Tester votre clé avec maven-gpg-plugin:

mvn package gpg:sign -Dgpg.passphrase=PASSPHRASE

Création d’un compte sur oss.sonatype.org

La création d’un compte pour déployer sur oss.sonatype.org se fait en créant un compte https://issues.sonatype.org/ .

Création d’un ticket Jira de demande d’autorisation : obligatoire pour la première publication

Il vous faut faire une demande à Sonatype en créant un ticket Jira de demande de publication d’artefact dans lequel on précise :

Summary : description rapide du projet
GroupId : groupId du projet Maven. Ce groupe doit reprendre le nom de domaine du projet (e.g. : fr.xebia, com.googlecode.myproject, etc.)
Project URL : l’url du projet (e.g. http://xebia-france.googlecode.com/
SCM URL : l’url du gestionnaire de source (e.g. http://xebia-france.googlecode.com/svn/)
Nexus Username : le ou les logins de connexion au JIRA : https://issues.sonatype.org/
Already Sync To Central : indique si des versions de l’artefact ont déjà été déployées sur le Maven Central Repository (si oui, Sonatype les réintégrera dans le fichier maven-metadata.xml)
Description : toute information complémentaire

Exemple de demande : OSSRH-995 : Managements extras : jmx-ification of util.concurrent / dbcp / jms, @Profiled annotation, etc

Déploiement des snapshots et des staging releases avec maven

Compléter l’élément SCM avec les informations de votre repository

Subversion:


  ...
  
    scm:svn:http://host_name/svn/path_to_project/trunk/
    scm:svn:https://host_name/svn/path_to_project/trunk/
    http://host_name/svn/path_to_project/
  
  ...

Github:


  ...
  
    scm:git:git@github.com:user/project_name.git
    scm:git:git@github.com:user/project_name.git
    git@github.com:user/project_name.git
  
  ...

Configurer le fichier settings.xml

Accès au repository nexus de sonatype:


  ...
  
    
      sonatype-nexus-snapshots
      your_jira_id
      your_jira_pwd
    
    
      sonatype-nexus-staging
      your_jira_id
      your_jira_pwd
    
  
  ...

Accès au repository du code source


  ...
  
    
      host_name_of_your_scm_url
      user_name
      password
    
  ...

Préparer la release: Création d’un nouveau tag sur le repository du code source

mvn release:prepare -Dresume=false (alternativement mvn release:clean release:prepare)

Déployer le nouveau tag dans le staging repository

mvn release:perform -Darguments=-Dgpg.passphrase=<>

Publication de votre artefact : utilisation de nexus-maven-plugin

Ajouter org.sonatype.plugins dans la section du fichier settings.xml


  ...
  
    org.sonatype.plugins
  
  ...

Afficher la liste des staging repositories : un staging repository par artefact

mvn nexus:staging-list

Ce qui vous permettra d’obtenir la liste des repositories ouverts et clôturés si il en existe :

Clôturer un staging repository

mvn nexus:staging-close

Sélectionnez à partir de la liste le repository à clôturer et suivre les instructions:

Publier l’artefact : action irréversible (aucun update ou delete ne sera possible)

mvn nexus:staging-promote

Sélectionnez le repository à publier:

Vous pouvez maintenant retrouver votre actefact sur le releases repository de Sonatype en attendant la synchronisation avec le repo1.maven.org qui vous permettra après quelques heures de le voir à partir du Maven Central Repository Browser

Activer la synchronisation avec le repository central repo1.maven.org

Pour une première publication, vous avez besoin de compléter le ticket JIRA précédemment créé par un commentaire afin de communiquer à Sonatype que votre staging repository est passé en « released ». Après étude, Sonatype activera la synchronisation centrale et fermera votre ticket.

Désormais, vos futures publications seront synchronisées automatiquement (pas besoin de création de ticket JIRA pour les prochaines releases).

Et l’impact du clash entre Sonatype et la Fondation Apache dans tout ça ?

La Fondation Apache et la société Sonatype sont en grand froid en ce moment (Maven Dev Mailing List : PMC change explanation). Nous ne polémiquerons pas sur le sujet. Nous n’avons pas vu d’impact sur la publication d’artefacts sur la Maven Central Repository (maven.org est géré par Sonatype, et non par la Fondation Apache).

Présentation « In Memory Data Grids in Action » au Paris NoSQL User Group

Cyrille Le Clerc — Fri, 27 May 2011 06:36:25 +0000

Voici la présentation « In Memory Data Grids in Action with Oracle Coherence » que j’ai faite lundi 23 Mai au Paris No SQL User Group.

Pour la partie « transactions & eXtreme Transaction Processing (XTP) » qui est une caractéristique remarquable des datagrids et que nous n’avons hélas pas eu le temps d’aborder, je vais voir avec Olivier Malassi si nous pouvons trouver une autre date.

Merci encore à tous ceux qui sont venus, merci pour toutes les questions et remarques qui ont permis d’enrichir la soirée. J’espère que vous avez passé un aussi bon moment que moi.

Paris NoSQL User Group – In Memory Data Grids in Action (without transactions chapter)

View more presentations from Xebia France

Présentation « NoSQL and In Memory Data Grids from a developer perspective » à GeeCon 2011

Cyrille Le Clerc — Thu, 26 May 2011 14:20:34 +0000

Vous trouverez ci dessous les slides de « NoSQL and In Memory Data Grids from a developer perspective », le sujet que nous avons présenté à GeeCon 2011.

Merci encore à tous ceux qui sont venus, merci aux organisateurs. Et pour tous ceux qui ne sont pas venus à Cracovie, nous vous recommandons cette très belle conférence !

Here is the « NoSQL and In Memory Data Grids from a developer perspective » presentation we made at GeeCon 2011.

Thanks to all the people who came to listen to us, thanks to the organization team and for those who didn’t come to Krakow, we recommend you this wonderful conference!

GeeCon 2011 – NoSQL and In Memory Data Grids from a developer perspective

View more presentations from Xebia France

Soirée Oracle Coherence et In Memory Data Grid inter-continentales au Paris NoSQL User Group le 23 mai

Cyrille Le Clerc — Tue, 17 May 2011 12:17:36 +0000

Les grilles de données mémoire sont de plus en plus utilisées en finance de marché et dans le monde de l’eXtreme Transaction Processing (gestion de stock de sites de eCommerce, systèmes de réservation informatiques / GDS , etc).

Je présenterai lundi 23 Mai au Paris NoSQL User Group un retour d’expérience sur un projet de grille de données inter-continentale avec Oracle Coherence.

Au programme

Valeur ajoutée d’une In Memory Data Grid (IMDG) dans une application d’informatique de gestion
Intégration d’une IMDG dans une application existante :
- Adaptation d’impédance : « modèle relationnel » versus « modèle hashtable / key-value store ».
- Réutilisation des services métiers et asynchronisme des écritures en SGBD.
Patterns de programmation avec une IMDG :
- Modélisation des données, Domain Driven Design et traitements au cœur des données.
- Search = code !
Évolutivité d’une IMDG : « alter table add column » versus « versionning des structures de données ».
Réplication inter-continentale :
- Mise en œuvre du théorème CAP : l’abaissement de la consistance.
- Techniques de réplication et de résolution des collisions.
Conclusion – Maturité des In Memory Data Grids :
- Quelle place dans le Système d’Information ? Entrepôts de données durable ou représentations optimisées de données stockées ailleurs ?
- Technologie réservée à une élite chevronnée ou accessible à tous ?

Logistique

L’heure : lundi 23 mai à 19h00.
L’adresse : OCTO Technology, 50 avenue des champs E lysées, 75008 Paris.
L’annonce sur le site du Paris NoSql User Group In Memory Data Grids – Retour d’expérience Oracle Coherence.
Inscriptions : nous vérifions mais il ne semble pas y avoir de mécanisme d’inscription.

Réponses au Quizz Licences Open Source

Cyrille Le Clerc — Mon, 16 May 2011 15:42:42 +0000

A l’occasion de la rétrospective de notre XKE de Mai (notre journée mensuelle de partage de la connaissance), nous vous avions proposé un Quizz sur les licences Open Source. Merci à Noël Rocher (Red Hat / Jboss) pour l’éclairage officiel sur RHEL, à Bertrand Dechoux pour ses investigations sur iText, à Steve Klouvi pour les licences Linux, gcc autre posix. Voici les réponses !

Réponse 1 : Comment des éditeurs commerciaux peuvent-ils distribuer des programmes « close source » pour Linux alors que Linux utilise la licence « business unfriendly » GPL qui est censée être « contaminante » ?
Réponse 2 : Comment CentOS peut-il distribuer gratuitement une version de Linux qui reprend quasiment toute la distribution payante Red Hat Enterprise Linux ?
Réponse 3 : Pourquoi ai-je le droit de distribuer un logiciel « close source » qui embarque une JVM OpenJDK alors que celle-ci utilise la licence « contaminante » dérivée de la GPL ? Ai-je ce droit sur toutes les plateformes ? Y compris sur les terminaux mobiles ?
Réponse 4 : L’Affero General Public License (aka Affero GPL) étend la notion de distribution de la licence GPL à la distribution sur le réseau. Quel est l’impact sur des sites web accessibles sur Internet ? Citer une librairie Java très connue licenciée sous AGPL ? Utilisez-vous iText ?

Comment des éditeurs commerciaux peuvent-ils distribuer des programmes « close source » pour Linux alors que Linux utilise la licence « business unfriendly » GPL qui est censée être « contaminante » ?

L’essentiel du code source de Linux est distribué sous la licence business unfriendly GPL qui est contaminante et requiert donc que le code qui lui est linké soit distribué sous une licence compatible GPL avec le code source disponible.

Cependant, pour s’exécuter sur Linux, un programme n’a pas besoin d’être compilé et/ou linké à ce code contaminant ; il lui suffit d’être compilé et linké sur les API POSIX / « Portable Operating System Interface for Unix » (e.g. cpio.h) qui ont une licence non contaminante BSD (en plus de licences LGPL et GPL) ou sur des librairies aux licences non contaminantes comme glibc (licence LGPL). Quant au compilateur GCC, il ne contamine pas non plus avec sa GCC Runtime Library Exception.

Comment CentOS peut-il distribuer gratuitement une version de Linux qui reprend quasiment toute la distribution payante Red Hat Enterprise Linux ?

Comme Noel Rocher (Red Hat / JBoss) nous l’a expliqué, Red Hat tient à disposition de ses clients RHEL le code source de l’OS ; c’est conforme à la licence GPL de Linux. En revanche, les logos et les termes Red Hat, RHEL, etc sont sous copyright Red Hat.

Il suffit aux membres du projet CentOS d’acheter une licence RHEL, de demander le source et de faire disparaitre les logos et termes copyrightés (RHEL, Red Hat, etc) pour constituer une version qu’ils ont le droit de distribuer gratuitement.

Il est donc possible d’obtenir une quasi-RHEL gratuitement mais on perd alors le support et les services que Red Hat propose à ses clients.

Pourquoi ai-je le droit de distribuer un logiciel « close source » qui embarque une JVM OpenJDK alors que celle-ci utilise la licence « contaminante » dérivée de la GPL ? Ai-je ce droit sur toutes les plateformes ? Y compris sur les terminaux mobiles ?

La JVM OpenJDK est disponible sous GNU General Public License, version 2, with the Classpath Exception. Le classpath exception protège le code qui s’exécute sur la JVM de la contamination habituelle des licences GPL. Une application peut donc être livrée avec une JVM OpenJDK sans être contaminée et donc sans devoir rendre son code source disponible sous licence compatible GPL.

Cela ressemble presque plus à une licence LGPL qu’à une licence GPL.

Pour ce qui est du monde mobile, Oracle (à l’époque Sun) n’a pas posé de classpath exception à la JVM ME (aka Mobile Edition). De ce fait, une application qui embarque une JVM ME open source d’Oracle est contaminée et doit proposer son code source sous licence compatible GPL. Cette disposition a incité les fabricants de téléphones mobiles et systèmes embarqués qui utilisaient Java ME à continuer à utiliser des JVM ME commerciale.

En revanche, rien n’interdit de bénéficier de la classpath exception en utilisant un Open JDK sur téléphone mobile ou tout autre embedded device. Le OpenJDK : Zero – Assembler Project travaille justement à porter OpenJDK sur les processeurs ARM qui sont communément utilisés dans les smartphones.

L’Affero General Public License (aka Affero GPL) étend la notion de distribution de la licence GPL à la distribution sur le réseau. Quel est l’impact sur des sites web accessibles sur Internet ? Citer une librairie Java très connue licenciée sous AGPL ? Utilisez-vous iText ?

L’Affero General Public License a été introduite en complément de la GPL pour combler l’oubli des Application Service Providers.

Cette licence stipule que la distribution ne se limite pas à la forme de binaires comme le définit la licence GPL mais concerne aussi la fourniture en mode service de ce logiciel au travers d’un réseau.

De ce fait, exposer un logiciel à des clients sous forme de services web relève d’une distribution aux yeux de l’Affero GPL. Par conséquent, une application web visible sur internet qui embarque une librairie Affero GPL est contaminée et doit rendre tout son code source disponible sous licence compatible AGPL !

Avis aux utilisateurs d’iText : la librairie est passée en dual licensing Affero GPL / commercial depuis la version 5. Si vous voulez continuer à bénéficier de la business friendly Mozilla Public License, il faut rester sur la version 2.1.7 d’iText (merci à Bertrand Dechoux pour l’historique).

NoSQL & DataGrids à GeeCon 2011

Cyrille Le Clerc — Fri, 06 May 2011 14:25:45 +0000

Les bases de données relationnelles constituent le stockage de facto pour les applications d’entreprises. Toutefois, pendant les années 2000, des solutions alternatives ont émergé.
Du coté des applications d’entreprises, les in-memory datagrids ont été développées pour offrir une très faible latence pour l’accès aux données, principalement pour satisfaire les besoins du marché de la finance.
Du coté du Web, des bases de données distribuées, plus tard baptisées NoSQL, ont été créées pour palier à des besoins extrêmes en termes de scalabilité et de disponibilité de quelques très grands sites. Ces deux familles de technologies méritent maintenant d’être prises en compte lors du design des applications d’entreprises.

A partir de mercredi prochain se déroulera à Cracovie en Pologne la conférence GeeCon qui s’affirme année après année comme un rendez-vous incontournable de la communauté Java en Europe de l’Est. Cyrille Le Clerc et Michaël Figuière y présenteront une session titrée « NoSQL & DataGrid from a Developer Perspective« , qui aura pour but d’offrir une vision claire des spécificités de ces deux technologies afin de faciliter leur choix et leur intégration au sein d’un projet.

Les bases de données NoSQL et les DataGrids sont encore rarement étudiées simultanément, aussi nous aurons très probablement l’occasion de vous reparler de ce sujet à l’avenir !

14 Avril – Soirée Monitoring Pragmatique d’Applications Java avec le Fondateur et CTO d’AppDynamics

Cyrille Le Clerc — Mon, 04 Apr 2011 11:48:30 +0000

Cyrille Le Clerc et Pablo Lopez ont le plaisir de vous inviter Jeudi 14 Avril à 19h00 pour une « Soirée Monitoring d’Applications Java avec le Fondateur et CTO d’AppDynamics » .

Nous avons profité du passage en Europe de Jyoti Bansal pour organiser avec les équipes d’AppDynamics un événement autour du monitoring de la « vraie vie » .

A l’heure où l’architecture des applications d’entreprise devient de plus en plus complexe et distribuée, l’outillage dans le domaine du monitoring et du troubleshooting est un élément clé du système d’information. Notre objectif est que chacun en retire des idées immédiatement applicables et se forge une vision des problématiques que les systèmes de monitoring gèrent aujourd’hui et traiteront demain.

Après avoir consulté des Dev et des Ops des secteurs Telcos, Finance, Retail et Voyage, nous avons établi un programme reprenant des cas de notre vie quotidienne illustrés dans une application transactionnelle de eCommerce « réaliste » (1) que nous avons déployée en cluster sur 5 serveurs Amazon EC2., que nous soumettrons à diverses déconvenues courantes.

Programme

15 minutes de présentation de la nouvelle génération de systèmes de monitoring d’applications Java (AppDynamics, dynaTrace, JXInsight)
60 minutes de démonstration de cas concrets de monitoring :
- Installation et configuration : mise en place du monitoring, auto découverte, déclaration d’indicateurs applicatifs, ajout de nouveaux serveurs au cluster,
- Mise en place de tableaux de bord pour les équipes d’exploitation mais aussi de marketing et de développement,
- Monitoring durant les situations de crise : tableaux de bord « sur mesure » temporaires pour le management, le marketing et les équipes de troubleshooting,
- Monitoring au service du marketing : nous simulerons la mise en place de la sécurisation 3-D Secure des paiements carte bleue en mode A/B Testing,
La place dans l’infrastructure du système de monitoring : synergies et chevauchement avec les serveurs d’application, les systèmes de gestion de logs, etc
La vision de Jyoti Bansal sur les tendances du monitoring d’application, ce à quoi nous devons nous attendre
Les internes des systèmes de monitoring de nouvelles génération :
- « java agent embarqué » versus « agent autonome » versus « sans agent »,
- les tableaux de bords, comment faciliter leur développement et leur utilisation à l’heure des widgets Open Social ?
- scalabilité des systèmes de monitoring à l’heure où le nombre de serveurs s’envole.
Coktail avec Jyoti et son équipe.

N’hésitez pas à nous proposer des questions ou des cas d’utilisation que nous ajouterons à nos préparations (cleclerc@xebia.fr et plopez@xebia.fr).

Bio

Jyoti Bansal est fondateur, CEO et CTO d’AppDynamics. Il a auparavant été Principal Architect de Wily Introscope.

AppDynamics a été fondé en 2008. Cette solution de monitoring est utilisée par des clients de la génération Internet aux infrastructures avant-gardistes comme NetFlix (1700 JVM sur Amazon EC2) mais aussi des clients plus traditionnels comme l’opérateur télécoms Swisscom, l’assureur Provinzial Insurance ou l’agence de voyage Priceline.com.

Organisation de la soirée

La soirée se déroulera dans les locaux de Xebia au 156, boulevard Haussmann, 75008 Paris, à partir de 19h00.
Les inscriptions peuvent se faire :

Par mail : info@xebia-training.fr
Par téléphone : 01.53.89.99.93

(1) Nous avons retenu Spring Travel enrichie par les Spring Payment Services et une brique « Anti Fraude » pour montrer les appels inter applications java. Le code source est disponible sous licence Apache ici .

Java en Production – L’audit

Cyrille Le Clerc — Wed, 25 Aug 2010 11:40:04 +0000

Après avoir abordé la gestion des fichiers de logs, nous continuons aujourd’hui la série « Applications Java prêtes pour la Production » avec l’audit.

Par audit, nous entendons l’audit des actions importantes réalisées sur une application.

Pourquoi auditer ?

Est-il vraiment utile de générer des informations d’audit dans nos applications ? Sans explications de juriste, quelques exemples suffiront à nous en convaincre :

Un site web de partage de photos doit pouvoir dire qui a uploadé quelle image, depuis quelle adresse IP et à quelle date.
L’application d’administration d’un site de e-commerce doit tracer toutes les modifications de prix pour empêcher un employé astucieux de baisser à 1 euro le prix de son téléphone préféré le temps de passer commande.

Pour revenir à des explications plus théoriques, les logs d’audit nous apportent :

les informations nécessaires à la justice en cas d’infraction,
la détection d’intrusions,
la reconstitution des événements en complément des logs d’exceptions pour aider au diagnostique de problèmes.

Nous nous placerons dans le cas le plus fréquent où nous ne développons pas d’outil pour consulter ces informations d’audit et où un accès direct au média de stockage (grep sur fichier texte, sql sur base de données, etc) suffit.

Que faut-il auditer ?

Dans un monde idéal, le contenu des messages serait défini avec les équipes de sécurité. En pratique, nous sommes assez seuls pour les choisir et il ne faut pas dramatiser. Si l’on ne prend pas le sujet à la légère, après quelques itérations, notre bon sens est le plus souvent suffisant.

Les éléments clefs à tracer sont :

L’heure exacte : il est essentiel que les serveurs soient à l’heure pour corréler les logs des différentes briques du système d’information. Le sujet est aujourd’hui censé être banal pour les équipes système (c.f. NTP) et nous pouvons demander le soutien des équipes sécurité pour obtenir gain de cause.
L’action réalisée : il s’agit souvent du nom de la méthode métier appelée.
L’identifiant et/ou la valeur des données métier sensibles manipulées : souvent les id ou le toString() des paramètres d’appel.
L’auteur de la manipulation : nom de l’utilisateur connecté et son adresse ip (pour plus de détails sur l’adresse ip : XForwardedFilter et Tomcat : Adresse IP de l’internaute, load balancer, reverse proxy et header Http X-Forwarded-For).
La description succincte des exceptions levées pour analyser les éventuelles attaques.

Pourquoi les logs d’accès des serveurs http ne suffisent pas ?

La première idée serait de se contenter des logs d’accès des serveurs web et des firewalls pour auditer les accès à nos applications ; nous n’aurions alors plus rien à faire.

Hélas, cela n’est pas suffisant car il manque dans les logs http des informations clefs :

Nous n’avons pas l’identité de l’appelant : on a bien l’adresse ip mais pas le login de l’utilisateur authentifié.
Nous n’avons pas les id passés en paramètre des opérations à auditer (sauf si on fait du REST) ; en SOAP, nous n’avons même pas le nom de l’opération !
Nous n’avons pas le détail des exceptions levées par l’application.

API : Framework de log vs. framework dédié

Dans un monde idéal, le framework d’audit ne devrait pas dépendre de la configuration des logs pour ne pas risquer qu’une mauvaise manipulation de ces configurations de logs ne le désactive.

En pratique, les frameworks de logs sont les briques les plus performantes et les plus matures pour traiter les besoins d’écriture d’audit et la probabilité de désactiver l’audit en faisant une mauvaise manipulation sur la configuration des logs est négligeable. Ces raisons nous amènent à utiliser SLF4J avec logback ou log4j pour gérer l’audit.

Nous encapsulerons tout de même le logger avec une couche légère packagée dans la librairie Xebia Spring Security Extras qui ajoutera au message l’identité de l’internaute et son adresse IP (via Spring Security). Cette librairie offre une gestion déclarative de l’audit avec une annotation @Audited, son aspect associé AuditAspect et une classe utilitaire Auditor. Nous ne rentrerons pas dans le débat annotations vs. code ; dans la majeure partie des projets, nous avons pu traiter la plupart de l’audit avec une annotation et seuls quelques cas ont nécessité de passer par du code.

Exemple de gestion de l’audit avec l’annotation @Audited :

@Audited(message = "transferMoney(#{args[0].accountNumber}, #{args[1].accountNumber}, #{args[3]})")
public void transferMoney(Account from, Account to, Amount amount) throws BusinessException { ... }

L’attribut message est un pattern supportant Spring Expression Language définissant l’entrée insérée dans le fichier d’audit ; la date, le nom de l’utilisateur, l’adresse ip et l’exception s’il y en a une sont ajoutés au message.

Fragment de configuration Spring Framework pour utiliser l’annotation @Audited :

...

Message d’audit généré :

... transferMoney(000652584515, 0000684651684, 187.53) by bdupont coming from 192.168.0.14
... transferMoney(000652584515, 0000684651684, 666666.00) threw '...BusinessException: debit amount greater than account balance'
   by bdupont coming from 192.168.0.14

Exemple de gestion de l’audit avec l’utilitaire Auditor :

public void transferMoney(...) throws BusinessException {
   ...
   Auditor.audit("Tranfer '" + amount + "' from " + fromAccount + " to " + toAccount);
}

Message d’audit généré :

... Transfer '187.53 euros' from Account[000652584515] to Account[0000684651684] by bdupont coming from 192.168.0.14

L’entrée d’audit est ajoutée dans un fichier d’audit géré par le logger spécifique "fr.xebia.audit" (voir cet article pour la configuration du logger).

Tous les détails sur l’annotation @Audited sont sur @Audited Annotation.

Intégration du framework dans une application

Ce framework peut être intégré de différentes façons dans une application :

Intégration Maven :


   
      
         fr.xebia.springframework
         xebia-spring-security-extras
         1.1.6
      
      ...
   
   ...

Cet artifact est déployé sur le Maven Central Repository.

Téléchargement du jar xebia-spring-security-extras-1.1.6.jar (sources).
En récupérant le code source disponible sous licence Open Source Apache Software Licence 2 dans le repository GitHub https://github.com/xebia-france/xebia-spring-security-extras.

Stockage : fichier texte vs. base de données

Le stockage des entrées d’audit en base de données permet sûrement une recherche plus fine des données que sur des fichiers mais cela ajoute de la complexité (déploiement, exploitation, backup) ainsi que des risques de pannes et impacte les performances. Les approches JMS présentent des contraintes similaires et l’utilisation de systèmes de logs distants comme rsyslog présentent un défi de fiabilité. Ces difficultés sont accentuées lorsqu’une application génère de gros volumes de logs (plusieurs Go/jour).

Pour ces raisons, nous préférons stocker les messages d’audit dans un simple fichier. Les risques de saturation du système de fichiers sont assez facilement gérables par les équipes d’exploitation, les procédures d’archivage et de consultation très simples (gzip, scp, grep, etc) et il n’y a quasiment jamais de problème de performance, même avec des fichiers de quelques Go par jour.

Y-a-t-il un plus grand risque de perdre les données par de mauvaises manipulations ? Si une application est critique, les exploitants doivent déjà ne pas perdre les fichiers de log du système d’exploitation, des serveurs web et autres firewalls.

Pour la gestion des messages d’audit sous forme de fichier texte, nous aimons logback comme nous l’avons expliqué dans Java en Production – Les fichiers de logs mais il est aussi possible d’utiliser Log4j.

Exemple de configuration Logback pour gérer les messages d’audit émis sur le logger fr.xebia.audit :


   ${LOGS_FOLDER}/my-application-audit.log
   
      
      /my-application-audit.%d{yyyyMMdd-HHmm}.log.zip
   
   
      
      %m %throwable{0}%n

Exemple équivalent avec log4j (le EnhancedPatternLayout requiert log4j 1.2.16) :

log4j.appender.auditfile=org.apache.log4j.DailyRollingFileAppender
log4j.appender.auditfile.datePattern='-'yyyyMMdd
log4j.appender.auditfile.file=${catalina.base}/logs/my-application-audit.log
log4j.appender.auditfile.layout=org.apache.log4j.EnhancedPatternLayout
log4j.appender.auditfile.layout.conversionPattern=%m %throwable{short}n
log4j.logger.fr.xebia.audit=INFO, auditfile

Que faire des logs d’audit après les avoir générées ?

Nous ne rentrerons pas plus dans les détails de la gestion des logs d’audit après leur génération par nos applications.

Ce sujet complexe présente aussi bien des aspects juridiques que de confidentialité ou encore de fiabilité. Schématiquement, on n’a pas le droit de garder indéfiniment des données personnelles, il faut restreindre leur consultation et empêcher leur modification et leur destruction par accident comme par malveillance.

Des professionnels de l’exploitation et de la sécurité sont beaucoup plus compétents que nous sur ce sujet .

Pour aller plus loin

Si le traitement de l’audit dans les applications vous a intéressé, nous avons aimé lire :

The Importance of Audit Logs par George Spafford,
NIST 800-92 Log Management Guide in the Real World et l’ensemble des présentations de Anton Chukavin.

Synthèse

Nous avons vu aujourd’hui une façon simple de gérer l’audit d’applications java en reposant sur le framework de log de l’application (Logback voire Log4j) pour écrire les messages dans de simples fichiers texte avec une surcouche très légère composée d’une annotation @Audited et d’un utilitaire Auditor.

Historique
25/11/2010 : passage à la version 1.1.5 de la librarie xebia-spring-security-extras avec utilisation du namespace de configuration.
20/12/2011 : xebia-spring-security-extras : passage à la version 1.1.6 et aux URLs GitHub

Java en Production – Les fichiers de logs

Cyrille Le Clerc — Wed, 07 Jul 2010 13:06:35 +0000

Tout a déjà été dit sur les logs. Pour preuve, ce n’est plus un sujet chaud, les équipes d’exploitation sont très contentes avec les logs de nos applications .

D’accord, l’envers du décor est moins reluisant et il reste une marge de progression. Nous avions proposé dans Les 10 commandements des logs applicatives des suggestions focalisées sur le contenu des fichiers de logs ; voici aujourd’hui des propositions pour gérer les fichiers eux-mêmes. Même si le sujet peut sembler trivial, ces bonnes pratiques peuvent grandement simplifier le quotidien des équipes de production et améliorer les relations tumultueuses entre exploitants et développeurs.

Au risque de surprendre certains, les exemples de ce billet utilisent Logback plutôt que le standard de-facto Log4j car certaines bonnes pratiques que je proposerai sont impossibles à mettre en oeuvre avec Log4j. Aujourd’hui, je préfère utiliser Logback à Log4j pour gérer les logs de mes applications … même si je suis nostalgique du format ‘.properties’ pour la configuration de ces dernières .

Bien que Logback ne soit pas le sujet de ce billet, j’ai ajouté à l’article initial un paragraphe « Pourquoi je préfère Logback à Log4j » pour expliquer ce choix.

Différents fichiers de logs pour différents besoins

On utilise souvent un seul fichier mon-application.log pour écrire toutes les logs : les informations d’audit, les logs d’exception avec des stack traces sans fins aussi bien que les informations de diagnostique/troubleshooting. Ce fichier se remplit de centaines de lignes par minute, et c’est alors la déception pour tous ses utilisateurs :

l’exploitant est incapable de dire si une application a un problème en regardant les logs sans un astucieux système de ‘grep‘ et d’expressions régulières,
l’administrateur système et les responsables de la collecte des logs sont incapables de dimensionner les disques pour des logs dont la taille explose au moindre grain de sable à coup de stack traces dont il est pourtant inutile de conserver le détail,
les équipes de diagnostique/troubleshooting sont noyées dans la masse des informations lorsqu’elles doivent intervenir.

Au final, c’est l’échec de la transmission de l’application du développement à la production et les exploitants prennent les développeurs pour des inconscients. Je ne saurais leur donner tort sur ce problème et voici ma proposition de découpage des fichiers de logs.

Les logs applicatives

Ce fichier ne trace que les dysfonctionnements, il n’est pas censé se remplir quand l’application fonctionne normalement et est archivé pendant plusieurs années par l’exploitant.

Ses caractéristiques sont :

seuls les messages de dysfonctionnement (ie >= WARN) y apparaissent,
ce fichier tourne (‘est rotationné’ en franglais) chaque jour pour être archivé,
les stack traces seront compactes pour éviter de saturer le système de fichiers. Compacter à deux lignes par cause d’une exception est un bon compromis entre le niveau de détail utile au diagnostic et la taille occupée sur disque.

Remarques :

que faire si l’exploitant utilise l’augmentation de la taille du fichier de logs comme indicateur de disponibilité de l’application ? Cette technique de monitoring me semble très discutable sur le fond et je proposerai dans un autre billet d’utiliser des compteurs JMX pour ce besoin. Cependant, si votre exploitant tient absolument à suivre l’augmentation de la taille d’un fichier de logs, je vous propose de l’orienter vers le fichier d’audit décrit plus bas.
ajouter le nom de l’instance dans le préfixe de chaque message de logs ? Cette technique est parfois utilisée pour agréger les logs provenant de plusieurs serveurs. Cependant, je préfère que le script de collecte reporte le nom d’instance dans le nom des fichiers collectés. Cela consomme moins de disque et, de toutes façons, la fusion de fichiers de logs en conservant la chronologie est très délicate car toutes les lignes de nos fichiers ne sont pas préfixées (stack traces, sauts de ligne dans les message, etc).

Exemple de fichier logback.xml avec un fichier de logs filtré à WARN, à rotation quotidienne et dont les stack traces sont compactées à 2 lignes par cause d’une exception :


   my-application.log
   
      
      WARN
   
   
      
      my-application.%d{yyyyMMdd}.log
   
   
      
      %d{yyyy/MM/dd HH:mm:ss,SSS} [%thread] %-5level %logger{36} - %m %throwable{2}%n

Les logs de diagnostic/troubleshooting

Ce fichier est destiné aux équipes de diagnostic/troubleshooting qui peuvent ajouter ou retirer des informations de debug selon leurs besoins. Ces logs ne sont pas archivées et doivent être très détaillées sans pour autant saturer le système de fichiers.

Ses caractéristiques sont :

aucun filtrage sur le niveau de log (TRACE, …),
reconfiguration à chaud du framework de log pour ajouter/supprimer des informations selon les besoins,
rotation avec écrasement des fichiers pour éviter de saturer le système de fichiers.

Exemple de fichier logback.xml avec un rechargement de la configuration toutes les 30 secondes et un fichier de logs de troubleshooting


  ...
   
      my-application-troubleshooting.log
      
      
         my-application-troubleshooting.%i.log
         10
      
      
         10MB
      
      
         %d{yyyy/MM/dd HH:mm:ss,SSS} [%thread] %-5level %logger{36} - %m%n

Logs d’audit

Ce fichier est destiné à l’audit de sécurité, on y trace « qui a fait quoi à quelle heure », il grossit donc en permanence et peut dépasser le Go chaque jour.

Ses caractéristiques sont :

seuls les messages d’audit y apparaissent,
ce fichier tourne chaque jour pour être archivé.

Remarques :

Certains estiment que le framework de logs n’a pas vocation à gérer les informations d’audit. Bien que je comprenne la théorie, je trouve en pratique bien plus simple de gérer simultanément les deux pour les raisons suivantes:

l’audit doit tracer toutes les erreurs pour permettre d’analyser les problèmes de sécurité, il faudrait donc tracer les exceptions à la fois dans les logs et dans l’audit,
les frameworks de logging sont très efficaces pour gérer l’écriture de gros volumes de messages sur disque,
bien qu’il existe théoriquement un risque qu’une équipe de diagnostic fasse une erreur de configuration et désactive l’audit, je n’ai jamais entendu parler de ce genre de bourde.

Faut-il augmenter la fréquence de rotation pour prévenir une dégradation des performances lorsque les fichiers d’audit dépassent le Go chaque jour ? Je ne pense pas : j’ai travaillé récemment sur une application Linux RHEL 5 / JVM Hotspot 6 / Tomcat / Log4j qui générait plus d’un Go de logs d’audit chaque jour. L’impact sur les performances était négligeable et l’augmentation de la fréquence de rotation n’a eu aucun impact. En revanche, en cas d’écriture massive sur disque, il faut collaborer avec l’administrateur système pour qu’il vérifie ses configurations OS et disques (c.f. RAID 1) ; les administrateurs sont habitués à ces problèmes avec les fichiers de logs des bases de données.

Exemple de fichier logback.xml avec un fichier d’audit avec rotation quotidienne qui ne traite que les loggers ayant la racine ‘fr.xebia.audit’ :


   ${LOGS_FOLDER}/my-application-audit.log
   
      
      /my-application-audit.%d{yyyyMMdd}.log.zip
   
   
      
      %m %throwable{0}%n

Un répertoire dédié pour les fichiers de logs archivés

Une fois nos fichiers bien séparés, nous pouvons encore faciliter le travail des équipes d’exploitation avec une astuce très simple : stocker dans un autre répertoire les fichiers qui ont tourné. Il suffit de déclarer un répertoire logs-to-collect à côté de notre répertoire logs. Les bénéfices sont nombreux :

Le script de collecte des logs (compression et transfert sur un serveur de backup) est grandement simplifié. Il n’est plus nécessaire d’utiliser un astucieux mécanisme de pattern sur le nom des fichiers pour exclure ceux qui sont en cours d’utilisation. Tous les fichiers du répertoires logs-to-collect peuvent être collectés à n’importe quel moment.

L’équipe de collecte de logs peut conserver autant de fichiers de logs d’archive sur le serveur sans nuire à la lisibilité du répertoire logs en y laissant des centaines d’entrées.

Il n’y a plus de risques de perdre les fichiers créés dans des circonstances exceptionnelles (opération de diagnostic, etc) et dont le nom ne correspondrait pas aux patterns du script de collecte, il suffit de déplacer ces fichiers dans le répertoire logs-to-collect.

Remarque : seules les logs applicatives et d’audit ont vocation à être reversées dans ce répertoire. Les logs de diagnostic/troubleshooting ne sont pas archivées et restent donc dans le répertoire logs.

Structure de répertoires avec un répertoire logs-to-collect dédié aux fichiers à archiver

Exemple de configuration avec logback


  logs/my-application.log
  
    
    logs-to-collect/my-application.%d{yyyyMMdd}.log
  
  ...

Compresser les fichiers lors de leur rotation

Dernière astuce pour faire plaisir aux équipes d’exploitation en limitant la consommation d’espace disque : nos frameworks de logs savent maintenant compresser les fichiers (zip ou gzip) lors des rotations. Cette compression n’a en général aucun impact sur les performances de nos applications grâce aux CPU multi-cœurs, cela simplifiera encore le script de collecte des logs.

Pour la recherche dans des fichiers compressés, il faut garder en tête zcat et gzcat qui permettent d’extraire simplement les informations utiles.

Exemple de fichier logback.xml avec un fichier d’audit avec rotation quotidienne qui ne traite que les loggers ayant la racine ‘fr.xebia.audit’ :


   ...
   
      
      my-log-file.%d{yyyyMMdd}.log.zip
   
   ...

Un fichier de configuration de logs prêt pour la production

Voici un fichier de configuration logback.xml prêt pour la production qui reprend toutes les bonnes pratiques de ce billet; il tient en 50 lignes .


  
  
   
      ${LOGS_FOLDER}/my-application.log
      
         WARN
      
      
         ${LOGS_TO_COLLECT_FOLDER}/my-application.%d{yyyyMMdd}.log
      
      
         %d{yyyy/MM/dd HH:mm:ss,SSS} [%thread] %-5level %logger{36} - %m %throwable{0}%n
      
   
   
      ${LOGS_FOLDER}/my-application-audit.log
      
         ${LOGS_TO_COLLECT_FOLDER}/my-application-audit.%d{yyyyMMdd}.log.gzip
      
      
         %m %throwable{0}%n
      
   
   
      ${LOGS_FOLDER}/my-application-troubleshooting.log
      
         ${LOGS_FOLDER}/my-application-troubleshooting.%i.log
         10
      
      
         10MB
      
      
         %d{yyyy/MM/dd HH:mm:ss,SSS} [%thread] %-5level %logger{36} - %m%n

Pourquoi je préfère Logback à Log4j

Au delà du comparatif Reasons to prefer logback over log4j que maintient le projet Logback avec un zest de chauvinisme, je trouve que le compactage des stack traces en préservant les causes d’une exception est vraiment différenciant. Je ne vois pas de solution pour le faire avec Log4j sans hacker la librairie. J’ai proposé le patch « Bug 48902 – log4j-extras – Enhancement : add %throwable{compact} to EnhancedPatternLayout » mais la gestion des causes de l’exception n’a pas été intégrée.

Conservation de la cause d’une exception avec Logback et le pattern « %thread %-5level %logger{36} – %msg %throwable{1}%n »

[main] ERROR fr.xebia.test.LoggerTest - Logged by Logback java.lang.RuntimeException: Ze caller
	at fr.xebia.test.LoggerTest.callingMethod(LoggerTest.java:52)
	at fr.xebia.test.LoggerTest.testLogback(LoggerTest.java:38)
Caused by: java.lang.RuntimeException: Ze cause
	at fr.xebia.test.LoggerTest.nestedMethod(LoggerTest.java:45)
	at fr.xebia.test.LoggerTest.callingMethod(LoggerTest.java:50)

Perte de la cause d’une exception avec Log4j et le pattern « %t %5p %c – %m %throwable{3}%n » :

[main] ERROR  fr.xebia.test.LoggerTest - Logged by Log4j java.lang.RuntimeException: Ze caller
	at fr.xebia.test.LoggerTest.callingMethod(LoggerTest.java:52)
	at fr.xebia.test.LoggerTest.testLog4j(LoggerTest.java:28)

J’apprécie aussi le fichier de configuration de test logback-test.xml, l’activation du rafraichissement de la configuration avec scan="true" et bien d’autres détails de Logback qui pourraient faire l’objet d’un prochain billet.

KawaCamp jeudi 27 chez Xebia

Cyrille Le Clerc — Mon, 24 May 2010 12:21:53 +0000

Xebia a le plaisir d’accueillir le deuxième KawaCamp dans ses locaux jeudi 27 Mai 2010.

Qu’est ce qu’un KawaCamp ? C’est un BarCamp dédié aux sujets qui gravitent autour de l’écosystème Java ! Et qu’est-ce qu’un BarCamp alors ? Pour résumer voici la définition de Wikipedia. Nous allons nous retrouver entre passionnés pour discuter de sujets qui nous tiennent à coeur autour de tables rondes/ateliers durant lesquels chacun participe et donne son point de vue.

Les sujets sont choisis grâce aux centres d’intérêts que chacun exprime sur la page d’inscription. Cette session s’oriente vers les sujets d’actualité avec beaucoup de HTML5 et d’Android sans oublier NoSQL, TDD, Agilité, …

Si vous aimez les discussions passionnées autour d’un verre, le KawaCamp vous comblera en organisant nos débats !

Informations pratiques :

La page d’inscription : Kawa Camp Paris 2.
Les organisateurs : Luc Bizeul et Philippe Antoine.
La date : Jeudi 27 Mai 2010 à partir de 19h00.
L’adresse : Xebia – 156 boulevard Haussmann, 75008 Paris.

Ils en parlent :

Tomcat load balancing – mod_proxy vs mod_jk le match

Cyrille Le Clerc — Wed, 03 Feb 2010 15:21:18 +0000

Dans notre article sur l’utilisation de HTTPS avec Tomcat en production, nous avons étudié les solutions reposant sur la mise en place d’un reverse proxy HTTP. Nous n’avons pas oublié pour autant le protocole AJP. Ce protocole est né pour faciliter et accélérer les communications entre un serveur web frontal et le serveur d’application JServ en back-end d’Apache. Avec le temps, Tomcat a remplacé Apache JServ mais AJP est resté. Jusqu’en 2003, AJP était la seule solution viable permettant de placer le serveur d’application derrière un serveur Apache. Avec la maturation de la fonctionnalité Proxy dans Apache est née la solution tout HTTP. Nous avons donc décidé d’organiser un match opposant la solution AJP à la solution HTTP.

Un peu d’histoire

Tout commence en 1997 avec la création d’Apache JServ. A l’époque, il s’agit d’un serveur de Servlet qui supporte uniquement le protocole AJP créé pour l’occasion. Dans l’architecture initiale, c’est Apache 1.1 qui fournit le serveur web et transfère les requêtes par socket au moteur de Servlet. C’est la naissance du protocole AJP dans sa première version implémentée par le mod_jserv. L’Apache JServ Protocol fonctionne au départ comme un proxy qui redirige le flux vers JServ. Le protocole est en texte clair et utilise un caractère en début de ligne pour distinguer les différents éléments de la requête.

Rapidement, le protocole initial est considéré comme trop limité car il fonctionne uniquement en loopback et possède une authentification pauvre. En 1998, le protocole AJP 1.1 permet à JServ de tourner sur une autre machine que le serveur web et d’assurer une authentification forte basée sur md5. Avec le développement de JServ appparaît un problème de performance important : le coût d’ouverture d’une socket et la vitesse des réseaux. Ils sont considérés à l’époque comme les principaux goulets d’étranglement. Pour résoudre ces problèmes, le protocole passe à la version 1.2 dont vous trouverez le draft initial ici. AJP 1.2 est un protocole binaire orienté paquets qui permet de recycler la ou les sockets connectées à JServ. Le passage au binaire permet aussi d’améliorer les performances car il diminue la taille des données qui transitent et simplifie le traitement.

En 1999, Sun offre son implémentation de référence des Servlets à la fondation Apache. C’est le point de départ des projets Tomcat et Ant. Commence alors une période de transition qui finira par l’abandon d’Apache JServ. Pendant cette transition, AJP sera porté sur Tomcat qui bénéficiera d’emblée d’une facilité d’interconnexion avec Apache. Aux alentours de 2000, le mod_jk est développé pour étendre AJP qui pourra supporter le transport des données SSL. C’est la version 1.3 que l’on retrouve aujourd’hui supportée par les dernières générations de Tomcat. Après toutes ces années de développement, le mod_jk est maintenu par le projet Tomcat Connectors et n’a jamais été intégré aux projets Apache.

La création d’AJP résulte donc de la simplicité et de la rapidité de développement souhaitées par les auteurs. Il fallait aller vite, et implémenter un proxy pleinement compatible HTTP aurait été trop long. Le module mod_proxy existe depuis 1996 dans Apache 1.1. Mais il s’agissait d’une fonctionnalité expérimentale qui n’offrait ni performance ni stabilité. A la sortie d’Apache 2, le proxy a même été dé-scopé car il ne fonctionnait plus du tout. Les développeurs vont pourtant rapidement le corriger et le réintégrer comme solution pour faire des reverse proxies. Pour la sortie d’Apache 2.2, le mod_proxy est entièrement réécrit pour supporter le load-balancing. Il offre, pour la première fois dans Apache, une solution capable de concurrencer le mod_jk en performance et en scalabilité. Cerise sur le gâteau, Apache a décidé de supporter nativement le protocole AJP en ajoutant un mod_proxy_ajp à la solution mod_proxy.

Installation

mod_proxy

Le mod_proxy fait partie de la distribution standard d’Apache HTTPD. Il est livré avec le mod_proxy_http, le mod_proxy_ajp et le mod_proxy_balancer. Il suffit donc de s’assurer que ces modules sont bien chargés au démarrage d’Apache.

mod_jk

Si mod_jk était autrefois très délicat à installer avec la compilation du code sur un serveur similaire au serveur cible, la situation s’est grandement simplifiée. Le projet Apache Tomcat Connector fournit désormais les binaires pour les principales plateformes (Linux, Windows, Free BSD, Mac, Solaris, AIX, etc). Il faut donc télécharger le binaire du module et le copier dans le répertoire contenant les modules Apache.

Configuration

Pour mieux comparer les deux solutions, nous avons choisi de prendre comme exemple l’utilisation d’Apache en front desservant deux Tomcat en load-balancing. Nous ne nous intéresserons ici qu’à la configuration d’Apache HTTPD. La configuration AJP de Tomcat étant déjà largement documentée sur le web et celle via HTTP dans nos articles précédents, nous n’aborderons pas ces problématiques.

mod_proxy_http & mod_proxy_balancer

La configuration du mod_proxy consiste d’abord à s’assurer que les modules soient bien chargés avec les directives LoadModule. Nous activons ensuite le server-status ainsi que le balancer-manager pour obtenir une interface de surveillance / administration du load-balancer. Enfin, nous avons configuré le Proxy balancer nommé my-application-cluster pour contenir nos 2 serveurs Tomcat. La dernière ligne de configuration active le reverse proxy pour que les requêtes sur /my-application soient redirigées vers le /my-application du load-balancer.

Configuration avec mod_proxy_http & mod_proxy_balancer – httpd.conf

# LOAD MODULES
LoadModule proxy_module libexec/apache2/mod_proxy.so
LoadModule proxy_http_module libexec/apache2/mod_proxy_http.so
LoadModule proxy_balancer_module libexec/apache2/mod_proxy_balancer.so
# STATUS AND MONITORING
# Display proxy balancer status in /server-status page
ProxyStatus On

    SetHandler server-info
    Order deny,allow
    Deny from all
    Allow from localhost


    SetHandler balancer-manager
    Order Deny,Allow
    Deny from all
    Allow from localhost

# APPLICATIONS CONFIGURATION

   BalancerMember      http://node-1:8080 route=node-1 disablereuse=On
   # ...
   BalancerMember      http://node-n:8081 route=node-n disablereuse=On

ProxyPreserveHost On
ProxyPass /my-application balancer://my-application-cluster/my-application stickysession=JSESSIONID

Vous pouvez le constater, la configuration est parfaitement intégrée à la configuration standard d’Apache HTTPD. Les équipes de production n’auront à priori pas de grandes difficultés à prendre en main ce type de configuration qui nécessite seulement de savoir parcourir la documentation Apache déjà bien connue des administrateurs.

mod_jk

La première étape consiste à configurer le serveur Apache pour qu’il utilise le mod_jk. Tout commence par le chargement du module avec la directive LoadModule. Ensuite nous fournissons le chemin du deuxième fichier de configuration définissant les workers. La directive JkMount permet ensuite d’associer un worker du mod_jk à un pattern d’url du serveur. Pour chaque requête dont l’URL correspond au pattern, Apache va déléguer le traitement au mod_jk. Nous montons d’abord le worker jkstatus sur /jkmanager en autorisant l’accès uniquement depuis le système local. C’est ensuite au tour du loadbalancer qui servira notre application.

Configuration avec mod_jk – httpd.conf

# LOAD MODULES
LoadModule jk_module libexec/apache2/mod_jk.so
# MOD_JK CONFIGURATION FILE
JkWorkersFile /etc/apache2/other/workers.properties
# MOD_JK PROPRIETARY LOG FILE
JkLogFile     /var/log/apache2/mod_jk.log
# NEEDED ON MAC SNOW LEOPARD
JkShmFile     /var/log/apache2/
# STATUS AND MONITORING
JkMount /jkmanager/* jkstatus

    Order deny,allow
    Deny from all
    Allow from localhost

# APPLICATIONS CONFIGURATION
JkMount /my-application/* loadbalancer

Il faut maintenant configurer le mod_jk proprement dit dans son fichier de configuration spécifique. Il s’agit d’une liste de propriétés commençant toujours par worker.. La propriété worker.list fournit les noms des workers actifs. Le nom est ensuite utilisé pour paramétrer le worker avec des clés de la forme worker.nomWorker.parametre. Le premier worker activé jkstatus utilise le type spécial status qui correspond à l’interface de suivi et de gestion du mod_jk. Le deuxième worker loadbalancer est en fait chargé de répartir les sessions entre le worker1 et le worker2 via le type lb. Ce sont finalement les workers 1 à n qui assurent le transport des requêtes sur AJP1.3 vers le port 8009 d’un Tomcat distant.
Configuration avec mod_jk – workers.properties

# WORKERS AND PSEUDO WORKER
worker.list=jkstatus, loadbalancer
# STATUS AND MANAGEMENT PSEUDO WORKER
worker.jkstatus.type=status
# WORKER 1 TO N
worker.worker1.type=ajp13
worker.worker1.host=node-1
worker.worker1.port=8009
# ...
worker.worker2.port=8009
worker.worker2.host=node-n
worker.worker2.type=ajp13
# LOAD BALANCER PSEUDO WORKER
worker.loadbalancer.type=lb
worker.loadbalancer.balance_workers=worker1,worker2

Avec ses deux fichiers de configurations séparés et la syntaxe « rustique » du worker.properties, la configuration est définitivement le point faible du mod_jk. L’un des seuls avantages réside dans le nombre impressionnant de paramètres supportés qui permet un paramétrage fin si le besoin s’en fait sentir. Si seulement nous n’étions pas forcés à tant de verbosité !

Interfaces graphiques

Les deux modules fournissent des interfaces web pour assurer la supervision du load-balancer. Cette fois, le mod_proxy se contente de fournir des statistiques réduites dans une interface minimaliste. L’interface liste principalement le statut de chaque nœud du load-balancer ainsi que la quantité de données envoyée et reçue par nœud.

Outre le suivi des statistiques du load-balancer, le Balancer Manager permet aussi de faire des modifications à chaud, éditer les workers, les passer en offline, voire même changer la méthode de répartition utilisée.

De son côté, le mod_jk prouve sa maturité avec son interface rustique elle aussi, mais plus voire trop complète. Elle est composée de plusieurs pages dont une page d’accueil similaire en tout point à l’interface du mod_proxy. L’avantage réside dans la fourniture d’une page détaillant l’état complet pour chaque nœud.

Mais le mod_jk ne se contente pas de cela : il fournit aussi une page permettant de modifier à chaud la configuration du load-balancer. Il est parfaitement envisageable pour le déploiement en production d’une nouvelle version de l’application de couper les nœuds un à un au moment de leur mise à jour puis de les réactiver sans interruption du service.

Attention toutefois, car les modifications faites par ce biais sont uniquement enregistrées en mémoire, la nouvelle configuration sera perdue au prochain redémarrage d’Apache.

La mince différence vient probablement de la jeunesse de la solution de load-balancing du mod_proxy face à la longue expérience de production du mod_jk. Mais elle ne saurait justifier une préférence pour l’un des deux modules, qui sur ce point sont très proches.

LoadBalancing et gestion d’erreur

Outre la configuration et l’interface graphique, les deux solutions disposent de quelques fonctions avancées notamment en ce qui concerne la gestion d’erreur et la gestion des sockets réseaux. Les deux modules utilisent des pools de connexion rangés par Thread du serveur Apache et par membres du cluster.
Avec le mod_proxy, il est possible de choisir parmi trois algorithmes de répartition de charge :

Par requête : la charge est répartie pour chaque requête entrante en fonction de la session si elle existe.
Par trafic réseau : les requêtes sont envoyées vers le membre du cluster ayant reçu le moins de trafic.
Par taux d’occupation : la charge est répartie en fonction du nombre de requêtes en cours de traitement ou en attente.

En ce qui concerne la gestion d’erreur, il n’y a pas grand chose à dire car il n’y a pas grand chose de fait. Si un timeout claque, un certain nombre de tentatives de reconnexion seront réalisées jusqu’à ce que le noeud soit marqué en erreur et n’en décolle plus.

C’est sur la gestion d’erreur que le mod_jk possède une plus grande sophistication que son récent concurrent.
Tout d’abord le protocole AJP fournit un mécanisme de health check (CPing/CPong) qui permet de tester l’état du lien entre le serveur frontal et un membre du cluster. Cependant, c’est beaucoup plus limité que les heart beat des load balancer hardware, il n’est pas possible de tester une url pour détecter des indisponibilités applicatives (échec de démarrage de la web app, web app KO à cause de l’indisponibilité d’un backend clef).
D’autre part, le module fait une distinction entre les erreurs locales temporaires qui sont sans impact particulier, un code d’erreur HTTP par exemple, et les erreurs globales qui indiquent que le serveur est clairement en erreur et ne recevra plus de nouvelles requêtes. Il existe un système d’escalade qui, en cas de répétition trop fréquente d’erreurs locales sur un noeud se charge de le passer en erreur globale. Le module se charge de réactiver le noeud en mode recovery après un délai paramétré.

Côté répartition de charge, mod_jk apporte un dernier algorithme de répartition reposant sur le nombre de sessions HTTP en cours par serveur. Cette méthode est relativement récente puisqu’elle est apparue dans la version 1.2.20 du mod_jk, actuellement en version 1.2.29. Elle est recommandée pour les applications chargeant fortement la session et de ce fait, supportant un nombre limité de sessions par serveur ; ce cas d’utilisation est assez marginal.
Dans les deux modules, l’algorithme de répartition est pondéré par un facteur nommé « lbfactor », qui permet d’appliquer des quotas de travail aux serveurs. Ce système s’avère utile si les serveurs sont de puissances différentes par exemple.

Le mod_jk marque ici un petit point sur le mod_proxy grâce à sa gestion d’erreur plus fine. Attention aux effets de bord, le retry sur timeout en a surpris plus d’un et l’éviction de serveurs tomcat pour cause de répétition d’erreur est un beau sujet de déni de service

Pour le reste, le mod_proxy colle au fonctionnement du mod_jk, ce qui ne manquera pas de faciliter son utilisation aux habitués du mod_jk.

Exploitation et diagnostic des problèmes

mod_proxy_http présente sur mod_jk le très grand avantage d’utiliser un protocole standard, HTTP, connu de tous les acteurs d’un système d’information alors que mod_jk repose sur le protocole AJP que quasiment personne ne connait. Les administrateurs systèmes et réseaux sont habitués à HTTP et notamment à ses connections persistantes (aka HTTP keepAlive) ; ils savent ajuster leurs algorithmes de load balancing, les timeouts des firewalls et le dimensionnement des piles tcp/ip des serveurs (ulimit, tcp_keepalive_intvl, tcp_tw_bucket, etc).

Un autre atout de mod_proxy est la facilité de diagnostic. N’importe quel acteur du système d’information peut utiliser curl, wget, telnet, elinks voire wireshark pour troubleshooter un problème de communication HTTP; ce n’est pas le cas avec le protocole AJP qui n’est pas human readable et encore moins human writable. Choisir AJP mérite de former les administrateurs systèmes et réseaux et de prévoir des outils de tests permettant de requêter un connecteur AJP mais ce n’est hélas que très rarement fait.

En cas de problème réseau avec HTTP comme avec AJP, n’oubliez pas que désactiver les connections persistantes simplifie grandement les investigations et n’a rien de scandaleux en 2010 (cf HAProxy) ; c’est « disablereuse=On » pour mod_proxy_http et « JkOptions +DisableReuse » pour mod_jk

Conclusion

Avec sa simplicité de configuration, sa répartition de charge calquée sur le mod_jk, le mod_proxy conviendra parfaitement dans la grande majorité des cas. Il s’accommode de clusters répartissant la charge sur plusieurs noeuds ou bien en tant que simple reverse proxy. La cerise sur le gateau étant l’utilisation du protocole HTTP qui permet de garantir la portabilité des services et facilite grandement l’analyse du trafic.

A nos yeux, avec l’intégration native de mod_proxy_http et mod_proxy_balancer à Apache, il n’y a plus de justification à ajouter le module additionnel mod_jk ni d’introduire le protocole méconnu AJP. Les optimisations d’AJP ne sont plus de mise aujourd’hui et ne justifient donc pas l’utilisation d’un mod_jk.

Il reste, dans les deux cas, quelques efforts à faire pour permettre de plus facilement monter des serveurs à chaud dans un cluster. Pour la haute disponibilité sans perte, il faudra mettre en place un cluster Tomcat assurant la réplication des sessions utilisateur entre les serveurs. Encore faut-il en avoir vraiment besoin …

Attention, la recommandation de Tomcat est encore le mod_jk et, il est important de garder fonctionnel ce qui marche déjà. Donc, quoiqu’il arrive, si vous avez déjà une solution fonctionnelle avec le mod_jk, inutile de migrer. Pour ce qui est de l’interface et de la gestion d’erreur, nous parions sur l’avenir du mod_proxy qui est en développement intensif et bénéficie des corrections de bug de son ainé. Reste un nouveau venu dans le paysage développé par Jboss qui attire déjà notre attention c’est le mod_cluster actuellement, il n’est utilisable qu’avec Jboss AS. L’avantage de cette nouvelle solution en devenir est de suivre le cycle de vie des applications via un protocole spécifique MCMP reposant tout de même sur HTTP.

Tomcat, SSL, communications sécurisées et X-Forwarded-Proto

Cyrille Le Clerc — Fri, 13 Nov 2009 15:19:42 +0000

Suite à vos retours nombreux, aux différents articles touchant à la sécurisation par SSL de Tomcat en production (Tomcat : Adresse IP de l’internaute, load balancer, reverse proxy et header HTTP X-Forwarded-For, Sécuriser Tomcat 5 derrière un proxy Apache 2 HTTPS), nous commençons une série sur Tomcat en production.
Dans ce premier article, nous abordons l’utilisation de SSL pour sécuriser les communications. Pourquoi utiliser SSL ? Comment SSL est-il intégré avec le moteur de Servlet ? Et surtout quelle configuration correspond à votre application, qu’elle soit hébergée sur un serveur Tomcat seul, avec un serveur Apache Httpd en frontal, avec un accélérateur SSL ou avec un load-balancer hardware.

Pourquoi utilisons nous SSL ? Qu’est ce qu’une communication sécurisée ?

Il est souvent nécessaire de protéger les accès à différents services d’une application web. C’est le cas par exemple des formulaires d’authentification. Il faut donc sécuriser tout ou partie des services de l’application. Mais qu’est-ce qu’une application sécurisée ? La sécurité informatique repose sur quatre grande règles: confidentialité, intégrité, disponibilité et non répudiation. Si votre application respecte ces 4 règles, alors elle est sécurisée.

La plupart du temps, SSL est utilisé pour adresser la confidentialité et l’intégrité des communications web échangées entre le client et le serveur. Schématiquement, SSL encapsule le protocole HTTP dans un canal sécurisé. Le canal utilise un chiffrage fort qui garantie la confidentialité de la communication. Pour garantir que les données ne sont ni modifiées ni rejouées par un tiers, SSL signe et numérote les messages échangés. De plus, SSL supporte l’utilisation de certificats qui vont permettre de garantir l’identité des interlocuteurs. S’il est possible d’utiliser un certificat client pour authentifier l’utilisateur, dans la grande majorité des cas, seul le serveur possède son certificat. La mise en place de certificats clients à grande échelle, via une PKI par exemple, est un sujet à part entière que nous n’aborderons pas ici.
Dans le schéma ci-dessous, les communications provenant d’Internet sont sécurisées grâce à l’utilisation de SSL. Les communications provenant des autres serveurs de la « zone de confiance » du data center n’utilisent pas SSL. Certains estiment que cette dispense vient du fait que tous les messages doivent passer en clair dans la zone de confiance pour que les outils de sécurité puissent surveiller tout ce qui transite ; d’autres avanceront que SSL est inutile car d’autres techniques de sécurisation sont utilisées (audit de la couche réseau, gestion des permissions sur les serveurs, etc). Quelle que soit la motivation, il est fréquent de ne pas utiliser SSL pour les communications internes ; cela simplifie le tuning et le dimensionnement de nos applications.

Comment savoir en Java si une requête HTTP est sécurisée ou utilise SSL ?

L’API Servlet offre une méthode générique ServletRequest.isSecure() est ServletRequest.getScheme() qui indique le protocole utilisé : http, https, etc

Comment forcer l’utilisation de communications sécurisées (SSL) en Java

Les frameworks web communément utilisés en Java permettent de forcer de façon déclarative l’utilisation d’un canal sécurisé (ie. https) pour les requêtes entrantes. Dans les faits, ils interdisent l’accès à la ressource via un canal non sécurisé en retournant l’erreur HTTP 403. Ils peuvent aussi forcer la redirection sur HTTPS.

Spring Security

Spring Security utilise l’attribut requires-channel="https" qui est hélas légèrement trompeur puisqu’il repose sur la méthode ServletRequest.isSecure() plutôt que sur ServletRequest.getScheme() et ne vérifie donc pas l’utilisation du protocole https mais le fait que la requête est secure pour le moteur de servlet.

Configuration Spring Security forçant SSL

API Servlet

L’API Servlet offre une approche déclarative similaire dans le fichier web.xml avec l’instruction CONFIDENTIAL qui repose elle aussi sur ServletRequest.isSecure().


   ...
   
      
         restricted web services
         /services/*
      
      
         CONFIDENTIAL
      
   
   ...

Configuration web.xml forçant SSL

Comment transmettre au moteur de servlet l’information qu’une requête est sécurisée (SSL) ?

Puisqu’il existe deux ports standards respectivement réservés au HTTP et au HTTPS, le standard des serveurs J2EE est d’utiliser une approche multi-canaux dans laquelle un port est réservé au canal sécurisé via HTTPS et l’autre non sécurisé via HTTP.
Avec la généralisation des proxy, des load-balancers et des cartes accélératrices SSL, il est maintenant fréquent que les requêtes HTTPS soient décryptées bien avant les serveurs JavaEE sur lesquels elles arrivent en clair.

Il existe alors deux approches pour différencier les requêtes HTTP et HTTPS :

S’inspirer de la différenciation de ports utilisés par HTTPS et HTTP en faisant emprunter des canaux différents aux requêtes sécurisées et non sécurisées, même après le décryptage des premières.
S’inspirer de l’ajout par les proxys du header X-Forwarded-For pour propager l’adresse IP de l’appelant (cf Tomcat : Adresse IP de l’internaute, load balancer, reverse proxy et header Http X-Forwarded-For) et introduire un header X-Forwarded-Proto pour indiquer le protocole utilisé.

Configuration multi-canaux : utiliser des connecteurs/ports différents

L’approche historique de Tomcat pour différencier les requêtes qui sont entrées en HTTPS de celles qui sont entrées en HTTP est de définir plusieurs connecteurs. Cette approche permet aussi bien de gérer l’encryption SSL dans Tomcat que, depuis la version 6, de la faire en amont dans le serveur web ou un load balancer hardware par exemple. Dans ce deuxième cas, un connecteur est configuré pour recevoir des communications en HTTP tout en valorisant request.isSecure() à true et request.getScheme() à https.

Hélas, cette configuration rend la gestion de requêtes sécurisées non SSL () très délicate, car la spécification Servlet stipule que le conteneur doit émettre un cookie de session ‘secure’ si la requête HTTP à l’occasion de laquelle la session a été créée est ‘request.secure = true’.
Le problème vient du fait que des clients HTTP comme Jakarta Commons Http Client traitent automatiquement les connections non SSL comme non sécurisées et ne renvoient donc pas le cookie JSESSIONID pour les appels non SSL même si celui ci a été défini comme secure par le conteneur. La définition de requêtes comme sécurisée mais non SSL est alors incompatible avec l’utilisation de sessions http avec une erreur très difficile à diagnostiquer. Du fait de ce problème, nous ne traiterons pas dans ce billet de la configuration Tomcat multi-canaux pour gérer les requêtes sécurisées qui n’utilisent pas SSL.

Exemple de configuration Tomcat multi-connecteurs pour dissocier les requêtes HTTP de requêtes HTTPS :

Extrait de server.xml utilisant les attributs secure et scheme pour différencier les requêtes SSL

Configuration mono-canal avec header HTTP : utiliser le header X-Forwarded-Proto

Une autre approche, disponible dès le prochain Tomcat 6.0.21, est d’utiliser un header http pour indiquer si le protocole était http ou https. Ce header est communément nommé X-Forwarded-Proto: https|http (Microsoft Internet Security and Acceleration Server utilise Front-End-HTTPS:on|off). Ce header est souvent associé au header X-Forwarded-For déjà utilisé par les load balancers et proxys pour transmettre l’adresse IP de l’appelant.

Pour prévenir tout ‘spoofing‘ des requêtes, il faut s’assurer que les points d’entrée HTTP/HTTPS de la plate-forme écrasent la valeur de ce header http X-Forwarded-Proto avec le protocole utilisé (http ou https) ; il s’agit de supprimer les headers nommés X-Forwarded-Proto s’ils existent et d’en insérer un nouveau ; omettre l’étape de suppression des headers X-Forwarded-Proto éventuellement existants serait une faille de sécurité.

Gestion du header X-Forwarded-Proto avec une valve Tomcat

La solution la plus simple pour gérer le header X-Forwarded-Proto sur un serveur Tomcat est de déclarer la valve RemoteIpValve dans le serveur Tomcat :

En attendant Tomcat 6.0.21 qui embarquera la RemoteIpValve, télécharger xebia-tomcat-extras-1.0.0.jar ou compiler RemoteIpValve.java et déployer le jar sous TOMCAT_HOME/lib.
Déclarer la RemoteIpValve (doc) dans server.xml. Cette valve doit être déclarée avant les autres valves qui s’appuient sur le protocole ou l’adresse IP de l’internaute. Il est possible de déclarer aussi la SecuredRemoteAddressValve (doc, également incluse dans xebia-tomcat-extras-1.0.0.jar) pour bénéficier du mécanisme de requête sécurisée non SSL :

Gestion de SSL et des communications sécurisées avec des valves Tomcat

Gestion du header X-Forwarded-Proto avec un filtre Servlet API

Si vous ne pouvez pas changer la configuration Tomcat ou si vous utilisez un autre moteur de servlet (Glassfish, Websphere, Weblogic, etc), il est possible de gérer le header X-Forwarded-For grâce à un Servlet Filter de l’application web :

Télécharger xebia-servlet-extras-1.0.2.jar, compiler XForwardedFilter.java ou ajouter la dépendance maven fr.xebia.web.extras:xebia-servlet-extras:1.0.2 à votre pom.xml (doc).
Déclarer XForwardedFilter (doc) dans web.xml Cet filtre doit être déclaré avant les autres filtres qui s’appuient sur le protocole ou l’adresse IP de l’internaute. Il est possible de déclarer aussi le SecuredRemoteAddressFilter (doc, intégré dans xebia-servlet-extras-1.0.2.jar) pour gérer les requêtes sécurisées non SSL :


   ...
   
      XForwardedFilter
      Process x-Forwarded-For to get remote address and X-Forwarded-Proto to identify SSL requests
      fr.xebia.servlet.filter.XForwardedFilter
      
         protocolHeader
         x-forwarded-proto
      
   
   
      SecuredRemoteAddressFilter
      Flag as secure all requests coming from private network IP address blocks.
Must be declared after XForwardedFilter
      fr.xebia.servlet.filter.SecuredRemoteAddressFilter
   
   
      XForwardedFilter
      /*
      REQUEST
   
   
      SecuredRemoteAddressFilter
      /*
      REQUEST
   
   ...

Gestion de SSL et des communications sécurisées avec des Servlet Filters

Mise en oeuvre multi-canaux et header X-Forwarded-Proto suivant les topologies Tomcat

Topologie Load Balancer Hardware Apache Httpd Tomcat

Il est très fréquent, lorsqu’une application web doit être hautement disponible, de faire précéder les serveurs web d’un Load Balancer Hardware qui devient alors un Single Point Of Failure extrêmement fiable. Nous prendrons pour ce paragraphe l’hypothèse que le load balancer hardware prend en charge l’encryption HTTPS.

Remarque SSL et load balancer

La pertinence de gérer SSL dans le load balancer est très discutée ; certains y sont farouchement opposés (cf loadbalancing.org), d’autres sont plus mesurés (c.f. HAProxy) et enfin les vendeurs de load balancers hardware y sont très favorables . Ce débat, qui porte aussi sur la pertinence de déléguer la compression (aka gzip ou deflate) au load balancer, dépasse le cadre de ce billet et le domaine de compétence des architectes applicatifs. Pour aller plus loin, nous vous recommandons Making applications scalable with Load Balancing de Willy Tarreau (HA Proxy).

Remarque Apache et mod_proxy_http

Nous utiliserons dans ce billet Apache Httpd en version 2.2.11 avec le connecteur mod_proxy_http / mod_proxy_balancer. Il serait également possible d’utiliser le protocole AJP (avec mod_jk, mod_proxy_ajp ou mod_cluster) ; nous expliquerons notre préférence pour mod_proxy_http dans un prochain billet.

Gestion du paramètre X-Forwarded-Proto dans les load balancers

L’utilisation du header X-Forwarded-Proto nécessite une configuration très simple : le load balancer valorise le header X-Forwarded-Proto, les serveurs web et Tomcat écoutent sur un seul port et la RemoteIpValve Tomcat (ou le XForwardedFilter) traite le header X-Forwarded-Proto pour valoriser request.isSecure() et request.getScheme() .

Note : cette approche permet très facilement de gérer les communications sécurisées non SSL en utilisant une SecuredRemoteAddressValve Tomcat (ou un SecuredRemoteAddressFilter) qui marquera request.isSecure() des requêtes non SSL émises depuis des plages d’adresses IP pré-déterminées.

Sur un F5 Big-IP, le header X-Forwarded-Proto sera défini grâce à une iRule de type :

when HTTP_REQUEST {
   HTTP::header remove X-Forwarded-Proto
   HTTP::header insert X-Forwarded-Proto http
}
when HTTPS_REQUEST {
   HTTP::header remove X-Forwarded-Proto
   HTTP::header insert X-Forwarded-Proto https
}

Source : F5 DevCentral wiki – HTTP::header

Astuce Big-IP iRules: ‘remove’ versus ‘replace’

Par rigueur, nous avons préféré utiliser HTTP::header remove puis HTTP::header insert plutôt que HTTP::header replace qui ne traite que la première occurence du header. Si une personne malveillante injecte plusieurs headers X-Forwarded-Proto, HTTP::header replace n’écrasera que la première occurence alors que le duo HTTP::header remove & HTTP::header insert les supprimera toutes avant d’en insérer une valide.

La configuration du serveur Http est alors triviale, il suffit d’écouter sur le seul port 80 et de transmettre au serveur Tomcat en passe plat.

..
# 'myapplication' cluster

   BalancerMember      http://node-1:8080 route=node-1
   ...
   BalancerMember      http://node-n:8080 route=node-n

ProxyPreserveHost On
ProxyPass /mypath balancer://myapplication/mypath stickysession=JSESSIONID

Configuration Apache httpd.conf

Gestion multi-canaux depuis le load balancer

La configuration multi-canaux du load balancer nécessite une configuration plus lourde des serveurs Apache et Tomcat puisque le nombre de canaux (port d’écoute, etc) est doublé.

# 'myapplication' non ssl and ssl clusters

   BalancerMember      http://node-1:8080 route=node-1
   ...
   BalancerMember      http://node-n:8080 route=node-n


   BalancerMember      http://node-1:8083 route=node-1
   ...
   BalancerMember      http://node-n:8083 route=node-n


   ...
   ProxyPreserveHost On
   ProxyPass /mypath balancer://myapplication/mypath stickysession=JSESSIONID
   ...


   ...
   ProxyPreserveHost On
   ProxyPass /mypath balancer://myapplicationssl/mypath stickysession=JSESSIONID
   ...

Configuration Apache httpd.conf multi canaux

Topologie Apache Httpd – Tomcat

Gestion du paramètre X-Forwarded-Proto dans Apache

Bien qu’il soit possible de décrypter SSL sur les serveur web Apache Httpd, nous préférons largement la déléguer au load balancer pour les raisons suivantes :

Sécurité : la passphrase d’un certificat SSL est un secret très sensible qu’il est plus facile de gérer sur un nombre très limité de load balancers à l’accès très restreint plutôt que sur les serveurs web qui sont plus nombreux et sur lesquels de nombreuses équipes interviennent. Il est certes possible de protéger la passphrase d’un serveur Apache en limitant l’acccès au user root mais on voit souvent sur le terrain le user root de serveur web utilisé par beaucoup d’intervenants pour faciliter le travail au quotidien. Il est beaucoup plus simple de limiter les accès sur des serveurs ultra spécialisés comme les load balancers.
Performance : HTTPS est très consommateur en CPU et son tuning est délicat (réutilisation des sessions SSL, etc). Pour plus de détails, Apache Con EU 2008 – Apache Performance Tuning par Sander Temme.
Simplicité : grâce à l’utilisation d’un header X-Forwarded-Proto pour indiquer le protocole utilisé, la configuration du serveur se limite au seul port d’écoute 80.

Si vous avez malgré tout besoin de décrypter HTTPS dans les serveurs web, voici un exemple de configuration Apache Httpd.

# 'myapplication' cluster

   BalancerMember      http://node-1:8080 route=node-1
   ...
   BalancerMember      http://node-n:8080 route=node-n


# Declare X-Forwarded-Proto as "http" for incoming request
RequestHeader set X-Forwarded-Proto "http"
...


# mod_ssl configuration
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "/private/etc/apache2/server.crt"
SSLCertificateKeyFile "/private/etc/apache2/server.key"
# Overwrite X-Forwarded-Proto declaration for port 443, request are "https"
RequestHeader set X-Forwarded-Proto "https"
...

..
ProxyPreserveHost On
ProxyPass /mypath balancer://myapplicationssl/mypath stickysession=JSESSIONID

Configuration Apache httpd.conf portant le header X-Forwarded-Proto

Remarque Apache Httpd : Il n’est pas possible de déclarer deux points de configuraiton pour un même , par conséquent, si votre configuration référence un fragment extra/httpd-ssl.conf pour gérer SSL, vous devez modifier ce fragment pour ajouter la directive RequestHeader set ..., plutôt que d’utiliser un fragment ‘maison’ extra/httpd-myconfig.conf.

Gestion multi-réseaux

La gestion multi-réseaux avec Apache n’est pas particulièrement compliquée mais introduit une duplication de code verbeux qu’il est agréable d’éviter car il faut déclarer deux balancers qui ne diffèrent que par leur port d’écoute.

# 'myapplication' non ssl and ssl clusters

   BalancerMember      http://node-1:8080 route=node-1
   ...
   BalancerMember      http://node-n:8080 route=node-n


   BalancerMember      http://node-1:8083 route=node-1
   ...
   BalancerMember      http://node-n:8083 route=node-n


   ...
   ProxyPreserveHost On
   ProxyPass /mypath balancer://myapplication/mypath stickysession=JSESSIONID
   ...


   SSLEngine on
   SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
   SSLCertificateFile "/private/etc/apache2/server.crt"
   SSLCertificateKeyFile "/private/etc/apache2/server.key"
   ...
   ProxyPreserveHost On
   ProxyPass /mypath balancer://myapplicationssl/mypath stickysession=JSESSIONID
   ...

Configuration Apache httpd.conf multi canaux

Tomcat seul

L’utilisation de Tomcat seul, sans serveur web ni load balancer en amont, simplifie le choix. Tomcat écoute à la fois en http et https (généralement respectivement les ports 80 et 443). Seule l’approche multi-connecteurs s’applique. La littérature regorge de mises en oeuvre de SSL avec Tomcat. Le principal point d’attention est la délégation de l’encryption SSL à OpenSSL grâce au connecteur APR (Http11AprConnector) plutôt que de reposer sur l’implémentation SSL des JVM (JSSE) qui est beaucoup moins performante.


   ...
   
   ...
   
      
      ...

Extrait de server.xml

Astuce : comment éviter de démarrer le serveur Tomcat avec les privilèges root ?

Sur les serveur Unix/Linux, écouter sur les ports <1024 requiert les privilèges root ; faire écouter un serveur Tomcat sur les ports 80 (http) et 443 (https) devient donc très délicat pour la sécurité de la plate-forme. Une astuce est d'utiliser iptables pour faire du port forwarding de 80 et 443 vers 8080 et 8443. Plus de détails dans Tomcat Wiki - How to run Tomcat without root priviledges? ou Rife - Installing Tomcat on port 80 with iptables.

Que choisir ? Multi-canaux ou header X-Forwarded-Proto ?

Si l'approche multi-canaux avec un premier connecteur pour les communications non http et un second pour les communications https/ssl a le mérite d'être l'approche "historique", elle présente les défauts de :

ne pas gérer les communications sécurisées non http,
complexifier sensiblement les configurations Apache Httpd et, dans une moindre mesure, Tomcat.

Notre préférence va à l'utilisation d'un header http X-Forwarded-Proto qui permet de simplifier les configurations Apache Httpd et Tomcat et aussi de permettre des communications sécurisées non SSL.

L'argument d'une complexification de la configuration Tomcat par l'ajout de la RemoteIpValve (ou du XForwardedFilter) est discutable puisque cette valve est la plupart du temps nécessaire pour gérer le header X-Forwarded-For qui permet d'obtenir l'adresse IP de l'internaute, élément important pour l'audit d'actions qui requièrent SSL.

2010/01/31 : Montée de version de xebia-servlet-extras en version 1.0.2 pour corriger Issue 4 - XForwardedFilter : request.secure and request.scheme are not forced to "false" and "http" if X-Forwarded-Proto=http.

Java Cloud : après Tomcat, c’est au tour de Jetty !

Cyrille Le Clerc — Thu, 03 Sep 2009 17:24:25 +0000

Après Tomcat qui rentrait cet été de plain-pied dans l’univers du Java Platform as a Service avec le mariage de SpringSource à VMWare et à CloudFoundry, c’est au tour de l’autre moteur léger de servlets, Jetty/Webtide, de s’adosser à un acteur du Cloud Computing, Intalio, pour développer son offre.
Une reconnaissance méritée
C’est une très belle opportunité pour Jetty qui était jusqu’à présent beaucoup plus embarqué que Tomcat par des grands projets de Cloud Computing (Google App Engine, Hadoop, Gigaspace XAP, etc) mais n’avait pas constitué sa propre offre.
Sur les pas d’Amazon ?
Le mariage d’Intalio avec Webtide est assez différent de celui de SpringSource avec VMWare et Cloud Foundry. Alors que la deuxième union concerne des spécialistes de l’infrastructure, Intalio est lui issu de l’univers des applications CRM et s’étend vers les infrastructures de Cloud Computing comme l’a fait Amazon auparavant.
Des serveurs J2EE lourds absents
Nous remarquerons à l’occasion que les serveurs J2EE heavyweight se font très discrets dans cette période d’avalanche d’annonces sur Java Platform as a Service, on peut s’attendre à ce qu’ils répondent sur cette tendance qui va bouleverser les modes de fonctionnement dans les data centers et menacer leurs parts de marché.
Ils en parlent
L’annonce officielle par Intalio
L’annonce par Greg Wilkins, co-fondateur de Webtide
InfoQ : Intalio acquires Webtide

Java Platform As A Service : SpringSource accélère

Cyrille Le Clerc — Wed, 19 Aug 2009 14:29:46 +0000

SpringSource continue à dérouler son plan de Java Platform As A Service avec le rachat de Cloud Foundry, le spécialiste de plate-forme Apache / Tomcat / MySQL sur Amazon EC2.
Rod Johnson annonce dans SpringSource Launches Enterprise Java Cloud que SpringSource offrira à ses clients non seulement la possibilité de déployer sur le cloud public Amazon EC2 mais aussi et surtout sur des clouds privés.
Il s’agira vraisemblablement de la mutualisation de nos plates-formes Java actuelles avec un chef d’orchestre Hyperic et des serveurs tc Server (Tomcat augmenté de fonctionnalités d’administration) ; la JVM sera Sun HotSpot et l’OS de prédilection sera RehHat Enterprise Linux (RHEL) même si Windows, Solaris et MacOSX seront proposés (détails ici).
Il ne nous faudra que quelques minutes pour déployer de nouvelles applications web ou pour ajuster les ressources CPU et mémoire allouée à une application par l’ajout ou la suppression de nœuds dans un cluster.
Techniquement, il n’y a pas de rupture par rapport à ce qu’offrent depuis longtemps les serveurs JEE « lourds » (IBM WebSphere, Oracle/BEA Weblogic, RedHat JBoss App Server ou Sun Glassfish).
Cependant, les mentalités ont changé, les esprits sont marqués par la simplicité d’exploitation des Public Clouds. Les équipes d’exploitation sont en train de se transformer, les processus s’allègent et l’offre lightweight de SpringSource tombe à point nommé.
Et la virtualisation matérielle dans tout ça ? Rod Johnson nous dit que la Tomcat Platform As A Service s’exécutera « aussi sur vSphere », le produit phare de son récent acquéreur VMWare. La nuance est forte entre « aussi sur » et « principalement sur ».
Nous le verrons à l’usage, le duo RHEL / Sun JVM sera la couche d’abstraction suffisante pour exécuter la plupart de nos applications Java. Le renfort de la virtualisation matérielle ne se justifiera que dans un nombre limité de cas comme les serveurs J2EE s’avèrent rarement nécessaire face aux simples Tomcat, Jetty ou Glassfish V3 …

Pourquoi VMWare / SpringSource ? Virtualisation matérielle vs. Cloud

Cyrille Le Clerc — Mon, 17 Aug 2009 11:16:27 +0000

Pourquoi VMWare a racheté SpringSource dont le métier et la culture sont si différents ? Pourquoi un tel prix ?
Mon analyse est que VMWare a racheté SpringSource parce que le cloud computing de forme Platform As A Service (PaaS) à la Google App Engine va bientôt mieux répondre que la virtualisation matérielle aux besoins d’optimisation des data centers Java. Selon l’adage « Si quelqu’un scie la branche sur laquelle je suis assis, mieux vaut que ce soit moi », VMWare s’est dotée de l’expertise de SpringSource sur Tomcat et Hyperic.
Je parlerai des applications Java légères (Servlets, JDBC, JPA et JMS) qui sont aujourd’hui largement majoritaires dans nos data centers Java. Billy Newport, IBM WebSphere, reconnait qu’elles représentent 80% des cas, SpringSource aurait sûrement des chiffres plus élevés.
Optimiser la CPU des data centers
Les atouts de la virtualisation matérielle
Les limitations de la virtualisation matérielle pour Java
Mutualisation en Java : De simples serveurs Linux-Tomcat suffisent
Adaptation CPU et RAM en Java : Le modèle ‘scale out’
Virtualisation matériel : Un marché plus concurrentiel et moins lucratif
One size does not fit all : Concilier virtualisation matérielle et cloud pour optimiser l’utilisation des data centers
Optimiser la CPU des data centers
Les data centers débordent, l’électricité manque, les climatisations saturent, les planchers s’effondrent, les racks sont pleins et pourtant, les serveurs ne font rien, les CPU ne sont utilisées qu’à quelques pourcents !
La virtualisation matérielle, dont VMWare est un des leaders, propose d’adresser ce problème en introduisant une couche d’abstraction appelée hyperviseur entre le matériel et le système d’exploitation : plusieurs instances de système d’exploitation s’exécutent ainsi sur la même machine.
Considérons 10 serveurs qui consomment chacun en moyenne 5% de CPU, la virtualisation matérielle permet de les regrouper sur une seule machine physique qui atteindrait alors un taux d’utilisation de l’ordre de 50%. Malgré la chute du prix de la RAM, la mémoire vive de ce serveur mutualisé risque fort d’être insuffisante, l’hyperviseur règlera ce problème en recourant à la pagination de la mémoire (swap) comme un système d’exploitation le fait déjà à son niveau.
Et si par malheur ces serveurs venaient à être sollicités en même temps et à saturer la machine qui les héberge, les solutions de virtualisation parviennent maintenant à déplacer certaines instances sur d’autres serveurs physiques de façon transparente, sans même arrêter le service.
Les atouts de la virtualisation matérielle
Un atout essentiel de la virtualisation est le très faible coût d’adaptation des applications existantes puisqu’elles continuent à s’exécuter sur le même système d’exploitation avec le même voisinage. La virtualisation matérielle est transparente pour les applications, elle n’exige pas de changement de version du système d’exploitation, des librairies utilisées, des répertoires de travail ou des ports d’écoute.
Si une application est tellement exigeante qu’elle requiert une version de système d’exploitation dépassée ou qu’elle a été compilée avec la version très ancienne d’un driver de base de données, ce n’est pas grave. La virtualisation matérielle maintiendra cette application revêche isolée dans sa bulle et elle sera mutualisée comme les autres.
Un autre atout de la virtualisation est l’adaptation de la CPU et de la RAM allouée à chaque application selon ses besoins. De la même façon qu’un système d’exploitation sait allouer du temps CPU et de la RAM à une application qui a un pic d’utilisation, l’hyperviseur sait privilégier une instance parmi toutes celles qu’il exécute simultanément. Considérons 20 applications qui s’exécutent chacune sur un serveur bi-processeurs, la virtualisation matérielle permet de les regrouper sur un seul serveur quadri-processeurs et en cas de pic, allouer quatre processeurs à une seule application, le double de ce qu’offrait la solution non virtualisée.
Les limitations de la virtualisation matérielle pour Java
La première limitation de Java à la virtualisation matérielle est la gestion de la mémoire par les machines virtuelles. Les JVM assument que toute la mémoire qu’on leur alloue est en RAM, elles accèdent indifféremment à tout cet espace mémoire et le parcourent intégralement très souvent pour les garbage collections. De ce fait, la performance des applications Java s’effondre dès que leur mémoire est paginée. Pire encore, certains composants comme les timers des caches ou des gestionnaires de transactions échouent lorsque les temps de réponse sont anormalement longs et les applications tombent alors en erreur.
Ce problème est d’autant plus crucial pour la virtualisation matérielle que, du fait des techniques de garbage collection, les JVM libèrent peu de mémoire quand les applications sont moins utilisées.
Par ailleurs, l’adaptation à l’exécution de la CPU et de la RAM allouée à chaque application selon ses besoins est inadaptée en Java.
Le premier point bloquant est que l’espace mémoire utilisé par une JVM est défini au démarrage (Xmx) et ne peut changer lors de l’exécution. Ensuite, augmenter la puissance de traitement d’une application web Java nécessite non seulement d’allouer de la CPU et de la RAM, mais aussi de redimensionner les pools de threads http ou de connexions à la base de données ainsi que la taille de nombreux caches applicatifs (sessions http, objet venant de la base, etc).
Il faudrait donc que l’hyperviseur change les configurations Java, cela nécessite aujourd’hui d’interrompre le service pour redémarrer les applications. La promesse de transparence de la virtualisation matérielle devient caduque, le palliatif est d’avoir des middlewares qui interagissent avec la virtualisation matérielle.
Mutualisation en Java : De simples serveurs Linux-Tomcat suffisent
Si certaines applications sont revêches à la mutualisation, Java fait plutôt preuve de très bon voisinage.
Une application Java est quasiment agnostique du système d’exploitation et des libraires qui l’entourent, il lui suffit d’un répertoire pour ‘dezipper’ une JVM (<20 Mo), un moteur d'exécution (Tomcat < 5 Mo) et l'application.
Cette facilité d'installation est utilisée au quotidien. Nous développons sous Windows, MacOS ou Ubuntu pour déployer sur RHEL, AIX ou Solaris. Beaucoup d'équipes qui déploient en production sur un 'gros serveur' J2EE poussent même souvent plus loin cette portabilité en préférant utiliser pour le développement un serveur léger : Tomcat ou Jetty.
Pour ce qui est des problèmes de voisinage liés au port d'écoute ou aux répertoires utilisés, le monde Java, particulièrement sous Tomcat, a déjà banalisé ce partage en démarrant une instance de serveur par application web. De ce fait, il est fréquent de voir sur de simples serveurs bi-processeurs plus de quatre instances Tomcat démarrées.
Grâce à la faible adhérence d'une application Java à son environnement d'exécution et à l'habitude d'installer plusieurs serveurs « à la Tomcat », le niveau naturel de mutualisation des ressources CPU et RAM pour des applications Java est au dessus du système d’exploitation. La complexité et les coûts de la virtualisation matérielle sont très rarement justifiés avec Java. Une simple batterie de serveur Linux avec des serveurs Java ‘légers’ comme Tomcat, Jetty ou Glassfish V3 répond au besoin d’optimisation des data centers Java en conciliant simplicité et faible coût.
Adaptation CPU et RAM en Java : Le modèle ‘scale out’
A la différence du modèle ‘scale-up’ de la virtualisation matérielle qui augmente la CPU et la RAM d’une instance pour tenir la charge, Java utilise un modèle ‘scale-out’ qui consiste à augmenter le nombre d’instances de l’application. Pour garantir la haute disponibilité ou la tenue à la charge, nous déployons des clusters de 2, plutôt 3, voire plus, instances de nos applications Java.
Déployer un nouveau nœud se fait aujourd’hui en moins d’une heure pour une équipe entrainée et ce délai va sensiblement diminuer. La roadmap de SpringSource Tc Server permettra d’adapter les ressources CPU et RAM d’une application Java en moins de 5 minutes d’ici deux ans au plus par simple démarrage ou arrêt de nœuds d’un cluster.
Les tâches à accomplir sont limitées pour SpringSource, IBM le propose depuis des années sur son sophistiqués mais complexe WebSphere eXtended Deployment et Gigaspace vient de l’introduire sur sa grille XAP sur un socle Jetty, SpringSource doit principalement ajouter un mécanisme de déploiement de Tomcat à l’agent Hyperic/AMS et améliorer le scripting de la gestion de configuration Tomcat du serveur d’administration Hyperic/AMS.
Virtualisation matériel : Un marché plus concurrentiel et moins lucratif
En plus d’être remise en cause par la rupture technologique du cloud computing, la virtualisation matérielle est aujourd’hui confrontée à une baisse des marges. VMWare a connu des années très lucratives pendant lesquelles elle a été pionnière ‘pure player’. Certains disaient que « VMWare a porté sur architecture x86 la virtualisation des mainframes ».
Le marché de la virtualisation est aujourd’hui mature, les grands acteurs des systèmes d’exploitation se jettent dans la bataille et la concurrence s’annonce rude pour VMWare.
L’univers Windows est condamné à rétrécir mécaniquement pour VMWare avec l’arrivée en force de Microsoft. Les perspectives sont toutes aussi dures dans le monde Linux avec la montée en puissance des offres de RedHat ou de Sun. Nous avons vu par le passé que toutes les fonctionnalités clefs des gros Unix sont arrivées dans Linux ; les zones Solaris et les partitions AIX sont aujourd’hui banalisées, il n’y a pas de raison que ces technologies n’arrivent pas dans le système d’exploitation au pingouin.
One size does not fit all : Concilier virtualisation matérielle et cloud pour optimiser l’utilisation des data centers
A l’époque où les applications n’étaient pas friendly à la mutualisation, la virtualisation était la technologie de prédilection pour optimiser l’utilisation des ressources des data centers. Aujourd’hui, les applications java légères déployées sous forme de cloud Platform As A Service sont très friendly à la mutualisation et se passent de la virtualisation matérielle. VMWare a suivi cette redistribution des cartes en achetant la solution de cloud computing Hyperic-TcServer-Tomcat de SpringSource.
La virtualisation matérielle risque de ne pas être utilisée sur les applications légères (Java, .Net, PHP, etc) qui représentent aujourd’hui la tendance dominante mais garde sa position de leader pour optimiser l’utilisation des ressources CPU et RAM des autres types d’applications.
Ressources
« SpringSource: Chapter Two » : L’annonce du rachat par Rod Johnson, fondateur de SpringSource.
« VMWare to acquire SpringSource » : L’annonce par Steve Herrod, CTO de VMWare.
« Why Java is important to VMware but may not matter long term » par Billy Newport, IBM WebSphere.
« SpringSource racheté par VMware » par Le Touilleur Express.

SpringOne 2009 – Sécurisation d’Apache Tomcat

Cyrille Le Clerc — Thu, 07 May 2009 12:31:25 +0000

Depuis le rachat de Covalent en Janvier 2008, SpringSource est le premier contributeur au projet Apache Tomcat avec plus de 80% des commits ; Mark Thomas et Philip Thomas en sont les principaux acteurs.
Tomcat est la pierre angulaire de l’offre middleware de SpringSource aujourd’hui composée de tc Server, une version professionnelle Open Source de Tomcat et dm Server, un serveur OSGi (le format d’assemblage que SpringSource préfère aux classiques .war).
Mark Thomas a présenté lors de SpringOne 2009 : Securing Apache Tomcat For Your Environment les points essentiels sur ce sujet qui se décompose en trois thèmes : la confidentialité, l’intégrité et la disponibilité.
Planifier la correction des vulnérabilités
Même si les failles de sécurité sont extrêmement rares dans l’écosystème Java, il est nécessaire de se préparer à répondre à une vulnérabilité en ayant élaboré un plan d’application de correctifs. La réalité sera sûrement différente des plans, mais il est important d’avoir imaginé les rôles et responsabilités de chaque équipe (administrateurs, développement, support, recette, etc.) et de savoir quelle équipe fournira le chef de projet qui coordonnera tous les acteurs. Un plan de correction de vulnérabilités Tomcat comprendra typiquement les étapes suivantes :
Prise de connaissance de la vulnérabilité : ces informations sont publiées sur le site web de Tomcat, diffusées sur les mailing lists Tomcat (une liste dédiée aux annonces de sécurité et de mises à jour sera bientôt disponible) ; un contrat de support Tomcat permettra aussi d’être averti. Il faut également identifier l’équipe (admin, dév, support, etc.) responsable de suivre ces informations.
Lorsqu’une vulnérabilité est connue, il faut déterminer si elle s’applique à l’architecture mise en place (e.g. un problème AJP ne concernera pas les utilisateurs de mod_proxy_http, etc.) ; les équipes d’admin et de dév seront vraisemblablement impliquées dans cette étape. Un contrat de support pourra faciliter cette tâche.
S’il s’avère nécessaire d’appliquer le correctif, l’équipe de développement réalisera les premiers tests de non-régression sur un poste de travail avant que l’équipe d’administrateurs installe le fix sur un environnement de validation (e.g. intégration ou pré-production) pour que les équipes de recette réalisent des tests de non-régression plus poussés.
Une fois la non-régression confirmée par les équipes de recette, l’équipe d’administrateurs déploiera le correctif en production.
Le chef de projet qui gère la correction d’une vulnérabilité de sécurité pourra à tout moment décider d’arrêter tout ou partie de l’application en production pour prévenir une attaque.
Ce type de plan pourrait sembler alarmiste ou excessif pour le monde Java mais il faut garder en tête que nous développons des applications critiques dont la compromission pourrait avoir des impacts autant financier que de notoriété.
Bonnes pratiques d’installation Tomcat
Permissions OS, JVM et réseau
Pour limiter l’impact en cas d’attaque réussie, créer un utilisateur dédié à l’exécution des serveurs tomcat (e.g. ‘tomcat’) aux droits limités à l’arborescence de répertoires utilisés par Tomcat. On pourra compléter cette approche par la création d’un groupe ‘tomcat’ dont feront partie les utilisateurs qui auront accès en lecture seule aux fichiers de l’arborescence Tomcat. Sous Linux/Unix, cela correspond à une politique de répertoire owner=rwx, group=r, other=none.
En cas de doute sur la bienveillance des applications web déployées sur le serveur Tomcat, utiliser le Security Manager Java pour limiter les droits d’accès (fichiers, socket, etc.) de ces applications.
Utiliser des firewalls aussi bien entrants que sortants. Si les premiers sont le plus souvent installés, il est hélas fréquent de ne pas avoir les seconds. Sans cela, du code malicieux pourra sans difficulté faire sortir sur Internet des informations sensibles ou télécharger des programmes malveillants (chevaux de Troie, etc.).
Applications par défaut
Il ne faut installer les applications fournies par défaut dans Tomcat que si elles sont utilisées :
Supprimer les applications docs et examples.
Remplacer l’application ROOT par une version épurée (e.g. ROOT.war). Notez qui si vous ne spécifiez pas d’application ROOT, les appels à des URLs non définies par une des applications déployées retourneront un message « 400 Bad Request » qui surprendra beaucoup plus que le traditionnel « 404 Not Found ».
Supprimer les applications manager et balancer-manager si vous reposez sur le classique déploiement d’applications par copie de fichier.
Realms
Les Realms fournis avec Tomcat avaient jusqu’à présent pour forte limitation de ne pas offrir de mécanisme de verrouillage des comptes utilisateurs et étaient donc exposés aux attaques par force brute. Tomcat 6.0.19 introduit un LockOutRealm qui offre ce verrouillage ainsi qu’un CombinedRealm qui permet de combiner des users déclarés dans plusieurs realms. Par ailleurs, les MemoryRealm et JDBCRealm ne devraient pas être utilisés en production respectivement parce que le premier ne permet pas de rechargement des users sans redémarrage et le second parce qu’il est limité à une seule connexion JDBC simultanée.
Shutdown Port, un reliquat des premières heures de Java
Le shutdown port servait pour les JVM inférieures à 1.3 qui ne supportaient pas les shutdownHook mais représente aujourd’hui une faille de sécurité : n’importe quel utilisateur connecté sur la machine peut arrêter le serveur Tomcat avec un simple telnet ; les mécanismes de permissions liés au propriétaire du processus sont ignorés.
Ce shutdown port doit être désactivé (server port="-1" ... ) au profit du classique kill Unix ou d’un service Windows . Désactiver ce mécanisme nécessite une adaptation du script catalina.sh et, sur les plateformes linux/unix qui utilisent kill, s’accompagne de la déclaration dans setenv.sh de la variable CATALINA_PID pour créer un fichier qui porte l’id du processus Tomcat.
Si vous ne pouvez désactiver le shutdown port, remplacez la commande d’arrêt par défaut « SHUTDOWN » par un mot secret imprédictible. Il n’est hélas pas possible de filtrer l’adresse IP de l’appelant.
Exemple (Shutdown port avec un commande d’arrêt imprédictible) :

Logs et audit
L’AccessLogValve doit être utilisée pour tracer les requêtes HTTP. On déclarera communément un fichier de log par host pour identifier le host saisi dans l’url d’appel qui, à la différence de l’URI, n’apparaît pas dans le fichier access_log. Si Tomcat est positionné derrière un load balancer ou un reverse proxy, il faut gérer le header X-Forwarded-For (voir « Tomcat – Adresse IP de l’internaute, load balancer, reverse proxy et header Http X-Forwarded-For« ).
Ces fichiers de log, au même titre que les logs applicatives, doivent être archivés.
Exemple (configuration d’un Access Log par Host) :

Filtrage des requêtes entrantes
Tomcat permet de filtrer les requêtes en fonction de l’adresse IP ou du host de l’appelant (respectivement RemoteAddrValve et RemoteHostValve). Le deuxième filtre connaît peu de scénarios d’utilisation. Comme pour l’AccessLogValve, si Tomcat est positionné derrière un load balancer ou un reverse proxy, il faut gérer le header X-Forwarded-For (voir infra « Adresse IP de l’internaute, reverse proxy et header Http X-Forwarded-For »). Exemple (Filtrage des IP appelantes) :

Protection des mots de passe présents dans la configuration
Tomcat a exclu la mise en oeuvre de mécanismes de protection des mots de passe saisis dans les fichiers de configuration au motif que ces mécanismes nécessitent l’utilisation d’un nouveau secret d’obfuscation qui devient alors difficile à protéger et conduirait donc à un problème de type « serpent qui se mord la queue ».
Nous corroborerons ce raisonnement remettant en cause les mécanismes de type « protection pour qu’on ne se souvienne pas du mot de passe en regardant par dessus l’épaule d’un administrateur » : si un mot de passe est vraiment compliqué (majuscules, minuscules, chiffres et caractères de ponctuation), il n’est pas mémorisable d’un simple coup d’oeil ; la génération de tels mots de passe est très simple avec les nombreux sites web qui offrent gratuitement ce service (e.g. PC Tools Secure Password Generator).
Limitations des déploiements d’applications
Tomcat offre le déploiement de nouvelles applications lorsque le serveur est déjà démarré. Cette fonctionnalité se désactive en positionnant la propriété autoDeploy à false :
Désactivation du déploiement d’applications lorsque Tomcat est démarré :

Tomcat permet également de déployer de nouvelles applications présentes sous le répertoire webapps (nom de répertoire défini par la propriété appbase). Cette fonctionnalité se désactive en positionnant la propriété deployOnStartup à false :
Désactivation du déploiement d’applications au démarrage de Tomcat :

Lorsque ces deux propriétés sont désactivées, seules les applications déclarées dans server.xml sont déployées.
Par ailleurs, la propriété deployXML permet, en la mettant à false, de désactiver les éléments de configuration embarqués par les web applications dans le fichier /META-INF/context.xml
Protection contre les dénis de service
Les connecteurs Http et AJP intègrent une protection contre les dénis de service en limitant la taille des requêtes (attribut maxPostSize dont la limite par défaut est de 2 Mo) et limitant la taille des requêtes lors d’authentification par certificat client ou formulaire géré par Tomcat (attribut maxSavePostSize dont la limite par défaut est de 4 Ko). Cette limite s’applique au corps de la requête et pas aux uploads de fichiers dont la limitation est déléguée au framework qui gère l’upload. Par exemple, Apache Commons File Upload offre pour cela un paramètre maxSize.
Apache Httpd offre un mécanisme similaire avec la directive LimitRequestBody mais cette protection n’est pas activée par défaut.
Autres bonnes pratiques de sécurité
La taille d’un fichier server.xml ne devrait pas dépasser un écran, il faut retirer ce qui est inutile (dans l’hypothèse où les applications ne sont pas déclarées dans ce fichier).
Si vous migrez de Tomcat 5.5 ou inférieur à Tomcat 6.0, il ne faut pas réutiliser les anciens fichiers server.xml mais en réécrire de nouveau, à partir du modèle standard livré avec Tomcat.
L’InvokerServlet doit rester désactivée. D’ailleurs, elle sera retirée de Tomcat 7. La [Default Servlet|http://tomcat.apache.org/tomcat-6.0-doc/default-servlet.html] doit conserver le paramètre readonly à true (désactivation des requêtes PUT et DELETE sur les contenus statiques) et le paramètre listings à false (désactivation de la liste des fichiers d’un répertoire).
La possibilité d’utiliser des request dispatchers inter web applications (attribut crossContext ) devrait rester désactivée comme l’autorisation d’accéder à des composants internes Tomcat depuis les web applications (attribut privileged) et la possibilité d’utiliser des liens symboliques dans les web applications ( attribut allowLinking). L’activation de cette dernière option exposerait le serveur à des risques de type directory traversal.
Pour aller plus loin
* Apache Tomcat Tips and Tricks from the Pros (webinar),
* Performance Tuning Apache Tomcat for Production (webinar),
* Performance Tuning for Apache Tomcat (slides de SpringOne 2009),
* The Center for Internet Security : CIS Apache Tomcat Server Benchmark v.1.0.0. 55 pages très instructives sur la sécurisation de Tomcat. Si vous avez aimé, regardez aussi CIS Apache Web Server 1.3.37/2.0.59/2.2.4 Benchmark v2.2.0.
11/05/2009 : prise en compte de la remarque d’Arnaud : « n’importe qui peut arrêter le serveur Tomcat avec un simple telnet » -> « n’importe quel utilisateur connecté sur la machine peut arrêter le serveur Tomcat avec un simple telnet ; les mécanismes de permissions liés au propriétaire du processus sont ignorés ».
27/01/2010 : ajout des références à « CIS Apache Tomcat Server Benchmark v.1.0.0″ et « CIS Apache Web Server 1.3.37/2.0.59/2.2.4 Benchmark v2.2.0″

Tomcat : Adresse IP de l’internaute, load balancer, reverse proxy et header Http X-Forwarded-For

Cyrille Le Clerc — Tue, 05 May 2009 17:49:12 +0000

Note du 24/01/2010 : La RemoteIpValve et le XForwardedFilter ont été intégrés au projet Tomcat. La RemoteIpValve est disponible depuis Tomcat 6.0.24, le XForwardedFilter a été renommé RemoteIpFilter et sera disponible dans Tomcat 7.
Une conférence est l’occasion de discuter avec les ingénieurs des difficultés que nous rencontrons à utiliser leurs produits. J’ai profité de ma participation à SpringOne 2009 pour échanger avec Mark Thomas sur le suivi de l’adresse IP des internautes dans les logs d’audit d’applications web. Mark Thomas est des principaux committer du projet Tomcat et de SpringSource tc Server.
Le problème se présente lorsqu’un serveur Tomcat est précédé d’un reverse proxy (e.g. mod_proxy, Squid Cache, etc) ou d’un load balancer (Nortel Alteon, F5 Big-IP, etc) : La méthode HttpServletRequest.getRemoteAddr() ne retourne plus l’adresse IP de l’internaute mais celle du composant réseau qui précède le serveur Tomcat.
Cette perte d’information a été compensée par les reverse-proxy en ajoutant un header http X-Forwarded-For à toutes les requêtes qu’ils font transiter. Bien que ce header ne soit pas standard (son nom commence d’ailleurs par « X- »), il est devenu un standard de facto utilisé par la très grande majorité des reverse proxy et load balancers (paramètre xforward=enable pour les Alteon d’après Command Reference ; propriété Insert XForwarded For de la GUI du profile http ou règle when HTTP_REQUEST { HTTP::header insert "X-Forwarded-For" [IP::client_addr] } pour les Big-IP d’après F5 Dev Central : Using « X-Forwarded-For » in Apache or PHP ).
Cependant, les implémentations de l’API Servlet ne sont pas tenues de prendre en compte ce paramètre dans la méthode request.getRemoteAddr() dont la javadoc stipule bien Returns the Internet Protocol (IP) address of the client or last proxy that sent the request. . Tomcat est d’ailleurs autant concerné que ses concurrents Websphere ou Weblogic, pour ne citer qu’eux.
Toutes les couches sont impactées : l’Access Log Tomcat dont les patterns common et combined utilisent le remote host name (%h) et les frameworks de sécurité et d’audit comme Spring Security (cf WebAuthenticationDetails.getRemoteAddress()) ou CAS Inskektr ClientInfo).
Access Log Tomcat et Apache Httpd : modification du pattern de log
Depuis l’intégration de la RemoteIpValve dans Tomcat 6.0.24, il est plus élégant d’utiliser cette RemoteIpValve (voir infra) que d’utiliser le %{X-Forwarded-For}i dans le pattern de l’AccessLogValve.
Pour corriger l’access log Tomcat, il est possible de configurer l’utilisation du header X-Forwarded-For plutôt que de l’ip distante dans le pattern de log (pratique relativement bien documenté).
AccessLogValve utilisant le header X Forwarded For
... ...
Si les serveurs Apache Httpd sont précédés d’un load balancer, la modification est très similaire, mod_log_config permet de définir les informations affichées dans l’accès log. On modifie la pattern de log pour utiliser le header http X-Forwarded-For ( %{X-Forwarded-For}i ) plutôt que le remote host ( %h) :
Access Log Apache utilisant le header X Forwarded For
LogFormat "%{X-Forwarded-For}i %l %u %t "%r" %>s %b" common CustomLog logs/access_log common
La prise en compte du header X-Forwarded-For dans Apache Httpd sera bientôt simplifiée avec la récente introduction dans le trunk du module mod_remoteip qui permettra de prendre en compte ce header avec une simple configuration RemoteIPHeader X-Forwarded-For ; il ne sera plus nécessaire de manipuler le pattern des logs.
Frameworks Java : extension des applications ou du moteur de servlet
S’il est simple de prendre en compte le paramètre X-Forwarded-For dans les access log Tomcat et Apache Httpd, il est sensiblement plus complexe de l’intégrer dans les frameworks de sécurité et d’audit. Ces briques sont souvent des librairies tierces et modifier leur code est fastidieux voire impossible si elles sont ‘close source’. Il est donc nécessaire de se placer en amont de ces frameworks pour modifier le comportement de la méthode ServletRequest.getRemoteAddr().
Servlet API : XForwardedForFilter
La première solution est de développer un Servlet Filter que l’on déploie dans chaque web application.
Avantage : Simple à implémenter grâce aux interfaces Filter, HttpServletRequest et à l’HttpServletRequestWrapper qui est destiné à faciliter ce type de développement, ce Filter est utilisable aussi bien avec Tomcat qu’avec Glassfish, JBoss, Jetty, WebSphere, Weblogic ou tout autre moteur de servlet.
Inconvénient : lourd à déployer sur toutes les web applications.
Exemple d’implémentation: XForwardedFilter (XForwardedFilter.java) gère les headers X-Forwarded-For et X-Forwarded-Proto
Pour installer cette solution :
Télécharger xebia-servlet-extras-1.0.2.jar, compiler XForwardedForFilter.java et déployer le jar sous WEB_APP_HOME/WEB-INF/lib ou ajouter la dépendance maven fr.xebia.web.extras:xebia-servlet-extras:1.0.2 à votre pom.xml (doc).
Déclarer dans web.xml le filter XForwardedFilter :
Declaration du XForwardedFilter
... XForwardedForFilter fr.xebia.servlet.filter.XForwardedFilter XForwardedFilter /* REQUEST ...
Tester le résultat avec x-forwarded-for_as_remote-addr.jsp, le résultat devrait ressembler à x-forwarded-for_as_remote-addr.jpeg.
Extension Tomcat : RemoteIpValve
La deuxième solution est d’ajouter une extension au serveur Tomcat pour en modifier le comportement ; il ne s’agit plus alors de Servlet Filter et d’HttpServletRequest mais de Valve et de Request :
Avantage : solution centralisée gérée par l’administrateur Tomcat sans intrusion dans les web applications. Cette solution permet de traiter dans le même temps l’AccessLogValve.
Inconvénient : intégré à Tomcat seulement depuis la version 6.0.24 ; pour les version antérieures, il faut déployer un jar additionnel.
Exemple d’implémentation : RemoteIpValve.java gère les headers X-Forwarded-For et X-Forwarded-Proto
RemoteIpValve.java a été intégré au projet Tomcat Bug 47330 – proposal : port of mod_remoteip in Tomcat as RemoteIpValve et est documentée sur GoogleCode : RemoteIpValve
Pour installer cette RemoteIpValve :
Pour les versions de Tomcat antérieures à la 6.0.24, télécharger xebia-tomcat-extras-1.0.0.jar, compiler RemoteIpValve.java et déployer le jar sous TOMCAT_HOME/lib.
Déclarer la RemoteIpValve dans server.xml :
Declaration de la RemoteIpValve
... ...
Tester le résultat avec x-forwarded-for_as_remote-addr.jsp, le résultat devrait ressembler à x-forwarded-for_as_remote-addr.jpeg.
Mark Thomas reconnaît l’intérêt de faciliter le développement d’extensions pour Tomcat et la tâche devrait grandement se simplifier avec le projet Convert current Tomcat valves to Servlet Filters for The Apache Software Foundation du Google Summer of Code 2009. Cette évolution ouvre la perspective de développer des filtres d’infrastructure similaires aux modules écrits en C pour Httpd mais avec la souplesse du langage Java.
Pour aller plus loin
Apache Httpd mod_proxy : Reverse Proxy Request Headers
Squid Cache : forwarded_for configuration parameter
Xebia-france Google Code : RemoteIpValve
2009/05/17 : Ajout des paramètres de configuration des Alteon et BIG-IP pour activer l’insertion du header x-forwarded-for
2009/07/12 : Mise à jour du paragraphe sur la Valve tomcat pour utiliser la RemoteIpValve
2009/07/17 : Mise à jour du paragraphe sur le servlet filter XForwardedFilter
2009/10/13 : Montée de version de xebia-servlet-extras en version 1.0.1 pour corriger le bug soulevé par Alexandre Victoor
2009/11/08 : Ajout de la remarque préliminaire : la valve et le filtre ont été intégrés dans le projet Tomcat.
2010/01/24 : Mise à jour de l’article pour prendre en compte la disponibilité de la RemoteIpValve dans la distribution standard Tomcat depuis la version 6.0.24.
2010/01/31 : Montée de version de xebia-servlet-extras en version 1.0.2 pour corriger Issue 4 – XForwardedFilter : request.secure and request.scheme are not forced to « false » and « http » if X-Forwarded-Proto=http.

Nouvelle politique de maintenance de Spring : La très périlleuse route de la monétisation de l’open source

Cyrille Le Clerc — Mon, 22 Sep 2008 16:05:40 +0000

Spring Source a publié l’information sous la forme d’une modification sibylline de la note d’Enterprise Maintenance Policy : Seuls les clients commerciaux bénéficieront des patchs publiés après les trois mois qui suivent le lancement d’une version majeure des projets majeurs Spring (framework, security, web flow, etc). L’objectif annoncé de Spring Source est de réduire les coûts de maintenance des anciennes versions de ses projets en incitant les utilisateurs à migrer vers les versions récentes.
Concrètement, les utilisateurs non commerciaux du framework seraient limités aux versions 2.0.1 (contre 2.0.8 pour les clients commerciaux) et 2.5.3 (contre 2.5.5) [1]. Une telle limitation serait bloquante pour la plupart des projets.
Au delà de l’objectif annoncé, on peut y voir la tentative de créer un modèle de monétisation de l’open source : « payer pour les mises à jour ».
Ce qui est sûr, c’est que cette annonce, au delà des sempiternels débats stériles que nous offre internet (Cf. : TSS), laisse quelques questions en suspens.
Vers un dual licensing ?
Une communauté Open Source Spring démotivée ?
Une confiance ébranlée ?
Affaire à suivre …
Vers un dual licensing ?
Légalement, l’Apache License, Version 2.0 utilisée pour le code de Spring Framework précise la gratuité de l’utilisation et de la redistribution du code. Spring Source va-t-il introduire un nouveau type de licence pour les patchs « post trois mois » et mettre en place un dual licensing qui nous rappellera la licence MySQL ?
Dans le cas contraire, si les patchs restent disponibles sous licence Apache sur le gestionnaire public de code de Spring Source, la prolifération de versions non maîtrisées risque d’être fatale au framework.
Un autre scénario serait que Spring publie les sources des patchs et tag les versions sur le gestionnaire de code public de Spring Source. Il suffirait alors que quelqu’un publie les jars compilés sur le repository repo1.maven.org. La prolifération de versions serait alors empêchée. Ce scénario est peu probable car l’action de Spring deviendrait alors caduque, le serveur de téléchargement de Spring serait juste remplacé par celui de maven.
Une communauté Open Source Spring démotivée ?
Cette mesure démotivera sûrement les contributeurs indépendants qui ne verraient pas leur travail reversé à la communauté. Cependant, l’effet devrait être négligeable car les contributeurs des projets Spring sont quasiment tous employés par Spring Source (Cf. : « How Open Source is Spring?: An Analytical Investigation » par Patrick Mularien). Spring Framework n’est pas un projet Open Source à la gouvernance partagée comme nous les connaissons avec la fondation Apache mais un projet à la gouvernance exclusive de Spring Source à l’instar de Glassfish avec Sun ou JBoss avec Redhat/JBoss.
Une confiance ébranlée ?
L’image de Spring Source avait déjà été touchée par la polémique autour de l’utilisation d’une licence open source « business unfriendly » GPL v3 pour Spring Source Application Platform plutôt que de continuer à utiliser la « business friendly » Apache Software License (Cf. : « SpringSource Application Platform : la brèche dans Java EE« ).
Rod Johnson avait adouci sa méthode de communication en expliquant sa stratégie dans « Open Source, Open Strategy: The SpringSource Manifesto« . On pouvait y lire en gras encadré « We are not changing and will not change the license of any existing project. The Spring Portfolio will remain under the Apache License. This covers the Spring Framework, Spring Security, Spring Web Flow and the rest of the Spring Portfolio ».
Aujourd’hui, la communication de Spring Source par mise à jour de « note contractuelle » est plus abrupte que jamais et l’impact sur les licences semble en contradiction avec le Spring Source Manifesto publié en mai dernier. La polémique est déjà très forte et l’impact sur la confiance dans la roadmap de Spring sera durable.
Affaire à suivre …
La mise en oeuvre de l’annonce de Spring Source peut rendre le framework inutilisable pour les clients non commerciaux et tourner la page de la période Open Source de ce framework. Des alternatives à la roadmap plus rassurantes existent, notamment au sein de la fondation Apache, et cette aventure pourrait se révéler fatale à ce projet qui a modelé le monde Java actuel.
La communication abrupte et le manque d’explication sur la modalité de mise en oeuvre des licences laissent penser que Spring Source n’est pas à l’aise avec une annonce derrière laquelle on peut imaginer la pression d’investisseurs soucieux des revenus de l’entreprise.
La monétisation de l’Open Source est un sujet très difficile et les innovations de Spring Source en la matière très périlleux.
En attendant que la situation s’éclaircisse, cet épisode nous rappellera qu’il ne faut pas associer trop rapidement Open Source et pérennité. Les utilisateurs de Spring Framework se doivent de réfléchir à un avenir exclusivement commercial de leur framework.
[1] Voir Spring Framework changelog
Liens connexes et autres avis :
Thoughts on SpringSource’s Enterprise Maintenance Policy
Spring Framework License Change
Is the case for forking Spring building?
Modèles open source Spring, JavaEE, …
Spring … Open Source … ou comment mettre en place un modèle économique en faisant beaucoup de bruit

Annonce : ParisJUG reçoit le JCP Mercredi 21

Cyrille Le Clerc — Tue, 20 May 2008 09:48:11 +0000

Paris JUG reçoit mercredi à 18h45 Patrick Curran, président du Java Community Process pour une table ronde autour de l’ouverture du JCP.
Des membres français du JCP participeront au débat : Guillaume Laforge (spec lead de la JSR 241: The Groovy Programming Language), Cedric Thomas (CEO d’OW2 – ObjectWeb), Eric Samson (CTO de Data Service) et Antonio Goncalves (membre des JSR Java EE 6, EJB 3.1 et JPA 2.0).
Deux ans après l’appel d’IBM et BEA à ouvrir la plateforme Java, à l’heure de la controverse OSGI versus Java Module System, du large succès de Flash face à JavaFX, des relations délicates entre Sun et la Fondation Apache et de l’émergence de SCA/SDO, c’est l’occasion de comprendre les enjeux que la plateforme Java rencontre aujourd’hui et peut être d’assister à l’inflexion de la gouvernance de Java.
Cette table ronde s’adresse aux experts Java autant qu’aux managers qui définissent des stratégies de Système d’Information.
Tous les détails de la soirée Paris JUG – Table ronde : l’ouverture du JCP.

SpringSource Application Platform : la brèche dans Java EE

Cyrille Le Clerc — Thu, 01 May 2008 21:19:07 +0000

L’annonce de SpringSource a des allures de schisme. Après des années à critiquer la complexité et le monolithisme de Java Enterprise Edition (Java EE), les équipes de Rod Johnson ont franchi le Rubicon et proposent un serveur d’applications Java qui ne reposera pas sur la monolithique spécification Java EE.
SpringSource Application Platform se limite à quelques fragments de cette spécification (principalement Servlet et JPA) assemblés dans un conteneur OSGI augmenté de quelques particularités Spring. Les applications web ne seront plus assemblées sous forme de WAR avec un fichier web.xml mais sous forme de plusieurs bundles OSGI avec des fichiers de configuration Spring.
Révolution ou évolution ?
L’utilisation d’OSGI pour assembler des applications Java n’est pas une nouveauté.
On le retrouve déjà dans les internes des serveurs d’applications Java (Websphere, Weblogic et maintenant Glassfish). L’ESB Service Mix va même plus loin en nous annonçant que dans sa version 4, nous déploierons nos médiations et transformations sous forme de bundle OSGI : pour la première fois, les développeurs d’informatique de gestion allaient assembler leur code métier avec OSGI.
Cependant, OSGI restait utilisé dans des domaines pour lesquels les spécifications Java n’avaient pas ‘légiféré’. La grande rupture de SpringSource Application Platform est de proposer OSGI en alternative à un standard utilisé par tous. C’est en cela qu’on peut percevoir cette initiative comme schismatique.
La fin des standards ?
Le monde unipolaire dans lequel seul le Java Community Process gouverné par Sun décidait des standards de l’écosystème Java a vécu.
Nous assistons aujourd’hui à l’émergence d’un monde multi-polaire avec l’arrivée d’autres organismes de standardisation incontournables comme OSGI Alliance, Open SOA (SCA) et l’OASIS Group (SOAP, WS-*). On peut voir dans cette évolution l’influence d’IBM et BEA qui ont appelé en vain Sun à partager la gouvernance de Java.
Cependant, Spring Source a apporté des extensions propriétaires au standard OSGI (problèmes de load-time weaving JPA, etc). La fragmentation qu’apporte Spring Source peut donc causer un recul de la standardisation de l’écosystème Java.
Une rupture irréversible avec Java EE ?
Les directions prises par Spring Source et Java EE semblent conciliables. Il faudra pour cela que le Java Community Process accorde un rôle de premier ordre à OSGI dans la spécification Java Module System qui définit actuellement l’assemblage de composants de bas niveau. Si on a pu douter de cette reconnaissance, le récent support d’OSGI par Sun dans GlassFish laisse espérer un dénouement rapide.
On observe par ailleurs que Spring Source veille à ne pas couper les ponts avec le Java Community Process : Rod Johnson participe à plusieurs comités de spécifications Java EE 6 et Spring Source annonce que sa plateforme sera très vraisemblablement conforme à la spécification Java EE 6 Web Profile. On peut voir dans la démarche de Rod Johnson le souhait d’influencer les futures standards Java EE.
Un nouveau modèle économique pour Spring Source
Le lancement d’un serveur d’application est pour SpringSource un changement sensible de modèle économique.
L’ancien éditeur proposait une offre difficile à monétiser : un framework à licence open source business-friendly (Apache).
Aujourd’hui, Spring Source s’engage sur un modèle connu pour être monétisable : un middleware à licence duale (open source business-unfriendly GPL et commerciale) avec du support et des outils d’administration réservés aux clients commerciaux.
On s’amusera à remarquer que ce modèle ressemble à s’y méprendre au modèle de Marc Fleury et JBoss avec qui SpringSource a des relations tendues.
Adopter SpringSource Application Platform immédiatemment ?
Le pari de SpringSource est ambitieux, la plateforme est en version beta, et les équipes de supports sont sans doute encore limitées, il faudra de plus former les équipes de développement.
Si l’utilisation en production n’est pas pour demain, une phase d’évaluation a tout son sens.

Spring Integration – L’avènement des ‘lightweight ESB’ ?

Cyrille Le Clerc — Mon, 17 Dec 2007 16:50:10 +0000

Une nouvelle approche des ESB
SpringSource vient d’annoncer le lancement de Spring Integration, une implémentation légère des Enterprise Integration Patterns. Le lendemain, le projet Apache ActiveMQ annonçait la sortie de sa version 5 qui ajoute le support de ces mêmes Enterprise Integration Patterns grâce à l’intégration d’Apache Camel, un framework léger de routage et de médiations utilisable soit par configuration XML Spring, soit par un Domain Specific Language (DSL) Java. Ces deux approches open source se caractérisent dans le monde des ESB par :
Une grande légèreté : on ne parle plus de conteneur, d’APIs sophistiquées de connecteurs, de registre de services, de structures de données complexes mais de simples messages composés d’un body souvent sous forme de Plain Old XML (POX) et de headers en mode clef/valeur.
L’éloignement des standards chers aux grand éditeurs (Java Business Integration – JBI et Service Component Architecture – SCA) pour se cantonner à des Plain Old Java Objects (POJO). On notera tout de même que ces nouveaux frameworks de routage utilisent massivement les API Java EE pour les connecteurs et les transactions (JDBC, JMS, JCA, JTA, etc).
Exemples de configuration de routes avec Apache Camel
Camel Route Configuration With Java DSL
from("file:src/data") .choice() .when(xpath("/person/city = 'London'")) .to("file:target/messages/uk") .otherwise() .to("file:target/messages/others");
Camel Route Configuration With Spring 2.0 XML Conf
/person/city = 'London'
Une rupture radicale avec les précédents ESB ?
Plus qu’une rupture, cet allègement s’inscrit dans une tendance :
La vague POJO/POX a déjà déferlé sur l’informatique de gestion en Java (SpringFramework, etc) et on pouvait l’attendre sur les technologies d’intégration d’applications.
JBI 1.0 a rencontré un succès très limité et les travaux actuels sur la version 2.0 suscitent des doutes (cf InfoQ : JBI 2.0 at JavaOne) :
     - Apache ServiceMix se détache progressivement de son objectif initial de conteneur JBI pour devenir en version 4 un « lightweight SOA/ESB container based on OSGI ».
     - Mule ESB ne s’intéresse toujours pas à JBI (cf Mule and JBI).
La banalisation des connecteurs (JCA, JMS, SOAP, etc) et des conteneurs OSGI [1] (conteneur d’assemblage et d’exécution de composants) a permis de démocratiser le développement des ESB en laissant ces projets se concentrer sur les fonctionnalités de bus.
L’essor des Domain Specific Languages et la simplicité d’utilisation des configurations XML Spring 2 offrent des alternatives et un retour de balancier face à l’approche du « tout graphique » incarnée par BPEL.
Perspectives pour 2008
On peut attendre en 2008 des mouvements autour des lightweight integration frameworks et des standards :
Les Lightweight Enterprise Integration Patterns Frameworks vont progresser rapidement et garder leurs distances avec les standards JBI et SCA. Le premier enjeu sera de proposer un middleware d’exécution pour ces frameworks (middleware de message, application server, etc).
Mule ESB, l’ESB Open Source ‘historique’ devra rattraper son retard en offrant des fonctionnalités spécifiques aux Enterprise Integration Patterns.
Les grands éditeurs vont continuer leurs investissements sur leurs standards : IBM et BEA sur SCA, Sun sur JBI.
JBI 2.0 devra trancher deux questions très délicates :
     - Java Module System & Superpackage versus OSGI : Si les premiers sont le standard choisi par Sun, le deuxième, OSGI, fait l’unanimité dans la communauté des middlewares (commerciaux et open source) qui a déjà décidé de l’utiliser.
     - SCA : risquer la marginalisation en ignorant ce standard qui rassemble tous les grands de l’Enterprise Java [2] ou le rejoindre quitte à se faire absorber.
Ressources
Apache Camel Project
Spring Integration announcement
Mule 2 and Beyond by Ross Mason, CTO and Co-founder, MuleSource Inc.
Mule and JBI in Mule ESB wiki.
ServiceMix V4 presentation by Guillaume Nodet, Apache ServiceMix PMC Chair and IONA Principal Engineer.
Should I deploy Enterprise Integration Patterns in the broker or another application in ActiveMQ wiki.
Can JBI 2 succeed where JBI 1 did not ? by Darryl K. Taft
[1] OSGI est déjà utilisé par Websphere ESB, intégrable dans Spring avec Spring Dynamic Modules for OSGi(tm) Service Platforms, prévu dans ServiceMix 4, planifié pour Mule ESB après la v2.
[2] IBM, BEA, Oracle, SAP, etc