Spring BootでTomcatでhttp2を有効にします
Tomcat 8.5は、Spring Boot 1.4のデフォルトになり、明日リリースされるhttp2をサポートします。
http2アプリケーションでSpring Bootを有効にするにはどうすればよいですか?
ここでは、Spring BootアプリケーションでHTTP/2を有効にする最もエレガントでパフォーマンスの良い方法を説明します。
まず、Andy Wilkinsonの回答で述べたように、TomcatレベルでHTTP/2を有効にする必要があります。
@Bean
public EmbeddedServletContainerCustomizer tomcatCustomizer() {
return (container) -> {
if (container instanceof TomcatEmbeddedServletContainerFactory) {
((TomcatEmbeddedServletContainerFactory) container)
.addConnectorCustomizers((connector) -> {
connector.addUpgradeProtocol(new Http2Protocol());
});
}
};
}
組み込みTomcatを使用していない場合は、次のようにHTTP/2リスニングを設定できます。
<Connector port="5080" protocol="HTTP/1.1" connectionTimeout="20000">
<UpgradeProtocol className="org.Apache.coyote.http2.Http2Protocol" />
</Connector>
Tomcat> = 8.5が必要であることを思い出してください。
次に、暗号化を処理するためにTomcatの前でHAProxy(version> = 1.7)を使用する必要があります。
クライアントはhttpsをHAProxyに話し、HAProxyはクライアントの要求に応じて、バックエンドにクリアテキストHTTP/1.1またはHTTP/2を話します。不要なプロトコル変換はありません。
一致するHAProxy構成は次のとおりです。
# Create PEM: cat cert.crt cert.key ca.crt > /etc/ssl/certs/cert.pem
global
tune.ssl.default-dh-param 2048
ssl-default-bind-options no-sslv3 no-tls-tickets force-tlsv12
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
chroot /var/lib/haproxy
user haproxy
group haproxy
defaults
timeout connect 10000ms
timeout client 60000ms
timeout server 60000ms
frontend fe_https
mode tcp
rspadd Strict-Transport-Security:\ max-age=31536000;\ includeSubDomains;\ preload
rspadd X-Frame-Options:\ DENY
bind *:443 ssl crt /etc/ssl/certs/cert.pem alpn h2,http/1.1
default_backend be_http
backend be_http
mode tcp
server domain 127.0.0.1:8080
# compression algo gzip # does not work in mode "tcp"
# compression type text/html text/css text/javascript application/json
2019年編集
モード「tcp」を使用すると、2つの問題に直面します
- モードhttpに依存するため、圧縮は機能しません。したがって、バックエンドはそれを処理する必要があります
- バックエンドはクライアントのIPアドレスを見ることができません。おそらくNATが必要です。まだ調査中...
一般に、haproxyは低レベルのtcp接続をプロキシするため、httpのものにはアクセスできません。
HTTP 2アップグレードプロトコルをTomcatのコネクタに追加する必要があります。埋め込みTomcatコンテナをカスタマイズすることでそれを行うことができます。
Java 8:
@Bean
public EmbeddedServletContainerCustomizer tomcatCustomizer() {
return (container) -> {
if (container instanceof TomcatEmbeddedServletContainerFactory) {
((TomcatEmbeddedServletContainerFactory) container)
.addConnectorCustomizers((connector) -> {
connector.addUpgradeProtocol(new Http2Protocol());
});
}
};
}
Java 7:
@Bean
public EmbeddedServletContainerCustomizer tomcatCustomizer() {
return new EmbeddedServletContainerCustomizer() {
@Override
public void customize(ConfigurableEmbeddedServletContainer container) {
if (container instanceof TomcatEmbeddedServletContainerFactory) {
((TomcatEmbeddedServletContainerFactory) container)
.addConnectorCustomizers(new TomcatConnectorCustomizer() {
@Override
public void customize(Connector connector) {
connector.addUpgradeProtocol(new Http2Protocol());
}
});
}
}
};
}
Spring Boot 2.1以降では、このプロパティを.properties(または.yml)ファイルに追加するのと同じくらい簡単です:
server.http2.enabled=true
次のようにプログラムで行うこともできます(構成クラスの1つで):
@Bean
public ConfigurableServletWebServerFactory tomcatCustomizer() {
TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
factory.addConnectorCustomizers(connector -> connector.addUpgradeProtocol(new Http2Protocol()));
return factory;
}
Spring Boot 2では、最初に証明書が必要です。証明書は次のように生成できます。
keytool -genkey -keyalg RSA -alias my-the-best-api -keystore c:\tmp\keystore.store -storepass secret -validity 3650 -keysize 2048
この証明書をクラスパスに追加し、必要なプロパティをapplication.propertiesに追加するだけでよいのです。
server.http2.enabled=true
server.port = 8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-password=secret