Tomcat 7 с mod_jk

За прошедшие годы было разработано несколько коннекторов, позволяющих Apache httpd взаимодействовать с Tomcat, которые использовали различные протоколы. При поиске в Интернете информации о том, как это сделать, нет ничего необычного в том, чтобы наткнуться на действительно плохой, устаревший совет. Итак, прежде всего единственные варианты, которые вы должны рассмотреть для этого:

• mod_jk
• mod_proxy_http
• mod_proxy_ajp

Все остальные опции не поддерживаются в течение ряда лет, поэтому вам следует избегать mod_jk2, mod_jserv, mod_webapp и любых других модулей, которые здесь не обсуждаются. Там три, прежде всего, в настоящее время поддерживаются и все активно развиваются.

Мой опыт в оказании поддержки клиентам на рабочем месте состоит в том, что в наши дни типичный клиент с большей вероятностью обнаружит ошибку в mod_proxy_ajp, чем в mod_jk или mod_proxy_http. (Несколько лет назад mod_proxy_ajp не был таким зрелым, но сейчас я не вижу никакой разницы.)

Это подводит нас к сложному вопросу: HTTP (mod_proxy_http) или AJP (mod_proxy_ajp или mod_jk)? И ответ? Это зависит! Оба протокола имеют свои сильные и слабые стороны. Какой из них подходит вам, будет зависеть от ваших обстоятельств. Факторы, которые обычно влияют на этот выбор:

• Один протокол / модуль уже используется?
• Нужно ли шифровать связь между httpd и Tomcat?
• Имеет ли httpd терминал SSL, но информация о SSL должна быть передана Tomcat?

Если вы уже используете mod_jk, mod_proxy_http или mod_proxy_ajp и он отвечает всем вашим требованиям, то вряд ли есть веская причина для его изменения. Было бы лучше придерживаться того, что вы в настоящее время используете, и иметь согласованность между вашими экземплярами httpd.

Если вам нужно зашифровать связь между httpd и Tomcat, это значительно упрощает mod_proxy_http, так как вы можете просто переключиться с http на протокол https. mod_jk и mod_proxy_ajp используют протокол AJP, который не поддерживает шифрование, поэтому вы должны реализовать его отдельно через туннель SSH, IPSec или аналогичный. Это может значительно усложнить настройку канала связи httpd-Tomcat.

Когда httpd завершает SSL, предоставляя атрибуты SSL (две простые директивы), тогда mod_jk и mod_proxy_ajp автоматически передают эту информацию Tomcat, и Tomcat делает ее доступной для веб-приложений без какой-либо дополнительной настройки. Чтобы добиться того же результата с mod_proxy_http, необходимо настроить httpd для добавления информации SSL в качестве заголовков http, а в Tomcat необходимо настроить Valve, чтобы извлечь эту информацию и сделать ее доступной для веб-приложений. Поэтому сделать информацию SSL доступной для Tomcat немного сложнее с mod_proxy_http.

mod_jk и mod_proxy_ * также имеют очень разные стили конфигурации. Директивы mod_proxy_ * согласуются с другими директивами httpd, тогда как mod_jk использует внешний файл свойств. Для системных администраторов, знакомых с httpd, подход mod_jk может показаться немного странным.

В итоге:

• Если вам нужно зашифровать канал httpd для Tomcat, используйте mod_proxy_http
• Если вам нужно предоставить информацию SSL для вашего веб-приложения, используйте mod_jk или mod_proxy_ajp
• Если вы уже используете один из этих модулей, то изменение может вызвать больше хлопот, чем экономит
• Если бы у меня был совершенно свободный выбор, я бы использовал mod_proxy_http только потому, что конфигурация более совместима с другими модулями httpd, его легче отлаживать с помощью Wireshark, и он может использовать ваши существующие HTTP-коннекторы в Tomcat.

См. Также презентацию, которую я написал ( http://people.apache.org/~markt/presentations/2012-10-Apache-Tomcat-Reverse-proxies.pdf) и дополнительные комментарии Райнера Юнга к этой презентации ( http://people.apache.org/~markt/presentations/2012-10-Apache-Tomcat-Reverse-proxies-notes-rjung.txt)