ロードバランサー配下のWebサーバは、ロードバランサーがもともとのクライアントのリクエスト情報を保持するために X-Forwarded- というHTTPヘッダを追加します。このリクエスト元の情報を保存するヘッダはただのデファクトスタンダードでしたが、今は RFC にもなっているようです。

X-Forwarded-For - Wikipedia

AWS 環境でもこれは同じで、公式サイトや色々なブログでも、ELB配下のWebサーバは X-Forwarded-For を利用してクライアントのIPアドレスを取得できると記載されています。例えば tomcat のアクセスログでは、以下のように変更することでリクエスト元のIPアドレスを取得することができます：

# デフォルトのアクセスログフォーマット
pattern="%h %l %u %t "%r" %s %b"

# X-Forwarded-For などの、リクエスト元の情報を追加したアクセスログフォーマット
pattern="%{X-Forwarded-For}i %{X-Forwarded-Proto}i %h %l %u %t "%r" %s %b"

ここで私がハマった、、というか今でもよくわからないのですが、サーブレット側で X-Forwarded-For を取得しようとすると null が返ってきてしまいました。アクセスログで X-Fowarded-For にクライアントのIPが出力されたところで安心していて、アクセスログで出力している HTTPヘッダがサーブレットで取得できないなんて考えも及びませんでした。。サーブレットでHTTPヘッダを全て出力させましたが、 X-Forwarded-Proto はあるのに X-Forwarded-For が見当たりません。

// これが null になる、アクセスログでは取得できているのに
String clientIP = request.getHeader("X-Forwarded-For");

検索すると同じ問題を質問している AWS スレッドがありました： Forums | AWS re:Post

かいつまむと、理由はわからないが Tomcat（というかサーブレット） だと request.getRemoteAddr() でリクエスト元のIPアドレスが取得できる・・・ということです。 getRemoteAddr() はネットワーク層のリクエスト元 IP アドレスを返却するようなので、本来であれば EC2 インスタンスの手前にある ELB のIPアドレスになるはずです。上のスレッドに回答は付いていないのですが、手元のAWS環境で試すと、確かに getRemoteAddr() でリクエスト元のIPアドレスが取得できました。

今後 X-Forwarded-For でリクエスト元の IPアドレスが取得でき、 getRemoteAddr() でELBのIPアドレスが返ってこないとも限らないので、 X-Forwarded-For をチェックして null であれば getRemoteAddr() で埋めておくのが無難でしょうか。どなたかこの辺りの事情詳しければぜひ教えてください。

追記

Twitter で先輩から、tomcat の機能でそうなっているのではないか、ということで以下のモジュールを紹介してもらいました：

RemoteIpValve (Apache Tomcat 8.5.90 API Documentation)

このモジュールはクライアントのIPアドレスなどを X-Forwarded- 系のプロトコルの値と置き換えるモジュールで、今回の挙動が説明できます。実際に、Elastic beanstalk 経由で入れた tomcat の server.xml には上記モジュールが設定されていて、内部プロキシのIPアドレスも定義されていました。

<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" internalProxies="10\.\d+\.\d+\.\d+|192\.168\.\d+\.\d+|169\.254\.\d+\.\d+|127\.\d+\.\d+\.\d+|172\.(1[6-9]|2[0-9]|3[0-1])\.\d+\.\d+" />

ランキング参加中

エンジニアグループ

curl コマンドだけでレスポンスタイムの計測を色々行えるの知りませんでした。意外に多機能。

dev.to

www.wagavulin.jp

4月からオフィスが新しくなって、また一緒に働いていた人が退職したこともあり、労働環境が大きく変わりました。やることは増えましたが、やれることも増えそうなので案外楽しめています。開発リソースが足らず、一緒に働く方を増やしたいので色々と整備しているところです。

ITP 2.1

iOS12.2以降で搭載されるSafari 12.1からITP 2.1が導入される ということで、この対応で手を煩わせている方も多いかもしれません。公式アナウンス：

webkit.org

日本語の解説サイト：

webtan.impress.co.jp

サーバ側の対策としては、secure 属性と HttpOnly 属性をつけましょう、ということです。ただし、HttpOnly をつけてしまうと、JavaScript の document.cookie で呼び出せなくなってしまうので注意です。また、secure 属性をつけると、HTTPS での通信時にしかクライアントからサーバへ該当クッキーは送信されません。

逆に捉えると、HTTP での通信では8日以上保存するクッキーはもう取り扱えない、ということなんですかね。HttpOnly なので document.cookie では読めず、サーバから読もうとすると secure なので送信されず、と。

www.marketechlabo.com

kenzo0107.hatenablog.com

Customize Elastic Beanstalk Using Configuration Files

aws.amazon.com

Beanstalk は便利なのですが、環境の値を変えようと思うと結構面倒です。今回は tomcat の web.xml の値を書き換えたかったのですが、 web.xml ファイルが大きくて ebextensions で扱えず、XML を部分的に置換するような形で対応しました。

扱おうと思っているアプリケーションはアクセスが多いので、ネットワークの値もチューニングしたいのですが、ebextensions がどんどん肥大化します。。

network パフォーマンスチューニング

TIME_WAIT でポート食い尽くしそうだったので少しチューニングしました。

https://www.ginnokagi.com/2012/03/tomcat-3.html

古いシステムのメンテナンスをする場面があり、Tomcat へ WAR ファイルをデプロイすることになりました。概念はなんとなく理解していたのですが Tomcat への実作業は初めてだったのでメモ。小さいシステムだったのでよかったですが、大きなシステムでドキュメント等が不足していると大変だったかもしれないです。

WAR ファイルのリリース方法

ozuma.hatenablog.jp

pom.xml の packaging が war になっていれば、普通に mvn package などで WAR ファイルが生成されます。これはただの ZIP ファイルなので展開すれば中身のチェックも可能です。

上のブログで詳しく紹介されていますが、Tomcat には unpackWARs と autoDeploy というオプションがあり、リリースする際には注意しなければいけません。特に tomcat を停止して WAR ファイルを差し替えて起動しなおしても、tomcat は WAR ファイルの差し替えが認識できないため、すでに展開されているアプリケーションディレクトリ（WAR ファイルを展開したもの）からスクリプトを読み込んで動作してしまいます。

自動化してしまえば気にしなくても良いことだと思いますが、環境移設の合間にリリースしなければならずに急遽手動でリリースしました。一度経験すると理解が深まります。