#IBM HTTPServer

[Troubleshooting] Edge 보안 업데이트 대응: IHS & IIS CORS 설정 완벽 가이드

최근 Edge 및 Chrome 브라우저의 보안 정책 업데이트(Private Network Access, SameSite 등)로 인해, 내부망 시스템 간 호출 시 발생하는 CORS(Cross-Origin Resource Sharing) 오류 해결 과정을 정리합니다.

특히 IBM HTTP Server(IHS) 환경에서 Invalid CORS request 오류와 로그가 남지 않는 현상을 해결한 최종 설정 가이드입니다.

1. IHS (IBM HTTP Server) 설정 가이드

이 설정은 단순 CORS 허용뿐만 아니라, WAS(애플리케이션)단의 거부 에러 해결과 최신 브라우저의 사설망 접근 허용을 모두 포함한 통합본입니다.

📂 설정 파일 경로: IHS_HOME/conf/httpd.conf
📂 적용 위치: <VirtualHost ...> 태그 내부

✅ httpd.conf 최종 적용 코드

<VirtualHost *:8080>
    # ... 기존 설정 ...

    # =========================================================================
    # [1. 브라우저용 설정] CORS 및 PNA(사설망 접근) 보안 정책 대응
    # =========================================================================
    
    # 1. 도메인 화이트리스트 검사 (https 및 모든 서브도메인 허용 정규식)
    # 문법: ^(시작) + http(s):// + .*(와일드카드) + \.도메인\.com + $(끝)
    SetEnvIf Origin "^http(s)?://.*\.test\.com$" ACCESS_CONTROL_ORIGIN=$0

    # 2. 브라우저에게 보내는 허가증 (Response Header)
    Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
    
    # 3. SSO 필수: Credentials(쿠키/세션) 전송 허용
    Header set Access-Control-Allow-Credentials "true" env=ACCESS_CONTROL_ORIGIN
    
    # 4. ★핵심: 최신 Edge PNA(Private Network Access) 허용 헤더
    # (공인망에서 사설망 호출 시 차단 방지)
    Header set Access-Control-Allow-Private-Network "true" env=ACCESS_CONTROL_ORIGIN
    
    # 5. 허용 메소드 및 헤더 정의
    Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" env=ACCESS_CONTROL_ORIGIN
    Header set Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With, Access-Control-Allow-Private-Network" env=ACCESS_CONTROL_ORIGIN

    # 6. 캐싱 문제 방지
    Header add Vary Origin


    # =========================================================================
    # [2. WAS(애플리케이션)용 설정] "Invalid CORS request" 해결
    # =========================================================================
    
    # 설명: WAS가 요청 Origin을 엄격하게 검사하여 에러를 뱉는 경우,
    # IHS가 WAS로 넘기기 직전에 Origin 헤더를 '내부 도메인'으로 변조하여 통과시킴.
    
    # ★ 수정 포인트: 아래 주소는 실제 IHS 서버의 호스트 주소(https 포함)로 변경
    RequestHeader set Origin "https://www.test.com"

    # ... 기존 설정 ...
</VirtualHost>

⚠️ 주의사항: 설정 적용 후 반드시 IHS를 재기동해야 합니다.
./apachectl restart

2. 테스트 및 검증 방법

🛠️ 테스트 준비 (필수)

브라우저 캐시 삭제 (Ctrl + Shift + Delete)
F12 개발자 도구 실행 → [Network] 탭 확인
팝업이 닫히는 경우: F12 설정(F1) → '팝업용 DevTools 자동 열기' 체크

🔍 성공 기준 (Checklist)

확인 항목	정상 결과
HTTP 상태 코드	`200 OK` (OPTIONS 및 POST 요청 모두)
Response Header	`Access-Control-Allow-Origin` 값이 요청한 도메인으로 변환되어 있어야 함
Response Header	`Access-Control-Allow-Private-Network: true` 확인

3. 문제 해결 (Troubleshooting)

❌ 증상 1: 서버에 액세스 로그조차 남지 않음

원인: Mixed Content (HTTPS 페이지에서 HTTP 호출) 또는 브라우저 PNA 정책 차단
해결: 호출 URL을 https://로 변경하고, 위 설정의 PNA 헤더 적용 확인

❌ 증상 2: "Invalid CORS request" 텍스트가 화면에 뜸

원인: WAS(애플리케이션)가 요청 도메인을 거부함
해결: 위 코드의 RequestHeader set Origin "내부주소" 설정이 올바른지 확인

❌ 증상 3: ERR_CONNECTION_RESET 발생

원인: HTTPS(443) 호출을 했으나 IHS 포트가 8080(HTTP)이거나 SSL 설정이 없음
해결: IHS httpd.conf에 SSL 설정(Listen 443, 인증서) 확인

Open Stream →

#Liberty

[Liberty] 특정 로그(CWWKS4001I) 숨김 설정이 적용되지 않을 때 해결 방법

WebSphere Liberty (Open Liberty) 운영 중 불필요하게 반복되거나, 보안 정책상 숨겨야 하는 로그 메시지가 발생할 때가 있습니다. 예를 들어, CWWKS4001I 같은 보안 감사 로그가 대표적입니다.

일반적으로 bootstrap.properties에 설정을 추가하지만, 상황에 따라 적용되지 않는 경우가 있어 이를 확실하게 적용하는 두 가지 방법(server.xml 활용 등)을 정리합니다.

1. 문제 상황

bootstrap.properties 파일에 아래와 같이 설정했음에도 불구하고, messages.log나 console.log에 여전히 해당 메시지가 출력되는 현상이 발생했습니다.

        # bootstrap.properties 설정 예시

        com.ibm.ws.logging.hideMessage=CWWKS4001I

원인: 서버 초기화 시점과 로깅 시스템 로드 시점의 차이, 혹은 server.xml 설정의 우선순위 문제일 수 있습니다.

2. 해결 방법 A: server.xml에서 제어 (권장)

가장 확실한 방법은 server.xml의 <logging> 태그를 사용하는 것입니다. 이 방식은 명시적이며 설정 반영 확률이 가장 높습니다.

파일 경로: ${server.config.dir}/server.xml

<server description="My Server">

    <!-- 기존 logging 태그가 있다면 속성을 추가, 없다면 신규 작성 -->

    <!-- hideMessage: 숨길 메시지 ID를 콤마(,)로 구분하여 작성 -->

    <logging hideMessage="CWWKS4001I"/>

    <!-- 기타 설정들... -->

</server>

3. 해결 방법 B: bootstrap.properties 재점검

부트스트랩 파일을 계속 사용해야 한다면, 다음 사항을 체크해야 합니다. 부트스트랩 변경은 반드시 서버 재기동(Stop & Start)이 필요합니다.

설정 값 뒤에 공백(Space)이 포함되어 있지 않은지 확인
오타 확인 (com.ibm.ws.logging.hideMessage)

# 공백 없이 정확하게 입력

com.ibm.ws.logging.hideMessage=CWWKS4001I

4. 검증 및 결과

설정 적용 후 기존 로그를 정리하고 서버를 재기동하여 적용 여부를 확인합니다.

# 1. 로그 파일 삭제

rm messages.log console.log

# 2. 서버 재기동

server stop [서버명]

server start [서버명]

# 3. 로그 확인 (결과가 없어야 성공)

grep "CWWKS4001I" messages.log

💡 Tip: server.xml 방식이 관리 포인트 일원화 측면에서 더 유리하므로, 특별한 이유가 없다면 Method A를 추천합니다.

Open Stream →

#Life

[Windows 11] 삼성 패스(Samsung Pass) 데이터 내보내기 및 .spass 파일 복호화 가이드

본 가이드는 Windows 11 환경에서 삼성 패스(Samsung Pass)의 내보내기 파일(.spass)을 복호화하여, Bitwarden이나 1Password 등 타 암호 관리자로 이관하기 위한 CSV 변환 절차를 다룹니다. Android 에뮬레이터(Termux) 없이 Windows PowerShell을 활용한 효율적인 변환 방법을 제시합니다.

1. 개요 및 사전 준비

삼성 패스의 데이터는 암호화된 .spass 포맷으로 저장됩니다. 이를 다른 플랫폼에서 사용 가능한 .csv 포맷으로 변환하기 위해 Python 기반의 복호화 도구를 사용합니다.

OS: Windows 11
Shell: PowerShell (관리자 권한 권장)
필수 도구: Python 3.11+, Git

2. 작업 환경 구성 (Environment Setup)

Windows 패키지 매니저(winget)를 사용하여 필요한 런타임과 도구를 설치합니다.

# Python 및 Git 설치 (이미 설치된 경우 생략 가능)
winget install Python.Python.3.11
winget install Git.Git

3. 변환 도구 설치 (Installation)

GitHub에 공개된 삼성 패스 복호화 도구를 로컬 환경으로 가져옵니다.

# 작업 디렉토리 생성 및 이동
mkdir $HOME\Downloads\spass_converter
cd $HOME\Downloads\spass_converter

# 리포지토리 클론
git clone https://github.com/NHClaessens/samsung_pass_converter.git .

# 필수 Python 라이브러리(Cryptography) 설치
pip install cryptography

4. .spass 파일 변환 실행 (Execution)

내보내기 한 .spass 파일을 작업 폴더로 이동시킨 후, 아래 스크립트를 실행합니다. 개인정보 보호를 위해 비밀번호는 변수 처리되었습니다.

사용법: python convert.py "파일명.spass" "비밀번호" --all

# 변수 설정 (실제 비밀번호로 변경하여 사용)
$SPASS_FILE = "2025_12_26_16_23_10_spass_export_data.spass"
$EXPORT_PASSWORD = "YOUR_PASSWORD_HERE"  # <-- 여기에 실제 비밀번호 입력

# 변환 스크립트 실행
python convert.py $SPASS_FILE $EXPORT_PASSWORD --all

5. 결과 확인 및 보안 조치

명령어 실행이 완료되면 동일한 폴더 내에 변환된 파일이 생성됩니다.

생성 파일:
- ...bitwarden.csv: Bitwarden/1Password 등에서 가져오기(Import) 가능한 파일
- ...decrypted.txt: 육안 확인용 평문 텍스트 파일

⚠️ 보안 주의 (Critical Security Warning)

생성된 .csv 및 .txt 파일에는 모든 계정 정보와 비밀번호가 평문(Plain Text)으로 저장되어 있습니다.
타 암호 관리자로 데이터를 이관(Import)한 즉시, 해당 파일들을 반드시 영구 삭제(Shift + Delete) 하시기 바랍니다.

💡 트러블슈팅 (Troubleshooting)

경로 오류: 파일명에 공백이 있거나 경로가 복잡한 경우 인식이 안 될 수 있습니다. 파일명을 data.spass와 같이 단순화하여 시도하십시오.
라이브러리 오류: pip install cryptography 실행 시 권한 오류가 발생하면 python -m pip install cryptography 명령어를 사용하십시오.

Open Stream →

#WebLogic

[WebLogic 14c] JDBC 데이터소스 튜닝 가이드: 안정적인 DB 연결 최적화

[WebLogic 14c] JDBC 데이터소스 튜닝: 설정 경로 및 파라미터 최적화

Connection Pool 고갈 방지와 DB 성능 향상을 위한 실무 가이드

WebLogic 운영 중 발생하는 DB 접속 지연이나 BEA-001129(커넥션 부족) 에러는 대부분 데이터소스 설정 미흡에서 발생합니다. 오늘은 관리 콘솔의 정확한 설정 경로와 반드시 튜닝해야 할 5가지 핵심 파라미터를 알아보겠습니다.

1. 어디서 설정하나요? (설정 경로)

데이터소스 튜닝은 WebLogic 관리 콘솔에서 아래 경로를 통해 접근할 수 있습니다. 수정 후에는 반드시 [저장] 및 [변경 활성화]를 눌러야 적용됩니다.

📌 설정 메뉴 경로:
도메인 구조 > 서비스(Services) > 데이터 소스(Data Sources) > [해당 데이터 소스 이름 클릭] > 구성(Configuration) 탭 > 커넥션 풀(Connection Pool) 하위 탭

2. 반드시 튜닝해야 할 핵심 파라미터

커넥션 풀 탭 하단의 [고급(Advanced)] 버튼을 클릭하면 더 세부적인 설정이 가능합니다.

항목	설명 및 권장 가이드
Initial Capacity	기본값: 1. 서버 시작 시 생성할 커넥션 수입니다. 예상 최소 부하량에 맞춰 설정하면 초기 응답 속도가 개선됩니다.
Maximum Capacity	가장 중요한 설정입니다. WebLogic 스레드 풀 크기와 DB 서버의 수용 능력을 고려하여 설정합니다. (보통 50~100 사이)
Test Connections On Reserve	[고급] 메뉴에 위치. 커넥션을 빌려주기 전 DB 연결 상태를 체크합니다. 방화벽 등에 의한 세션 끊김 방지를 위해 반드시 활성화합니다.
Statement Cache Size	SQL 실행 계획 캐시입니다. 반복 쿼리가 많은 시스템은 20~50 정도로 높여 성능을 향상시킵니다.
Inactive Connection Timeout	커넥션 누수(Leak) 시 강제 회수 시간입니다. 0(무한대)보다 특정 시간(예: 300초)을 설정하는 것이 안전합니다.

3. 설정 후 상태 모니터링

설정한 값이 적절한지는 [모니터링(Monitoring) > 통계(Statistics)] 탭에서 실시간으로 확인할 수 있습니다.

Active Connections High Count: 서버 기동 후 최대 몇 개의 커넥션이 동시에 사용되었는지 보여줍니다. 이 수치가 Max Capacity에 근접하면 한도를 늘려야 합니다.
Wait for Connection: 커넥션이 없어 대기한 횟수입니다. 이 수치가 0보다 크면 병목이 발생하고 있다는 증거입니다.

🚀 데이터소스 최적화 핵심 요약

✅ 경로는 [서비스 > 데이터 소스 > 커넥션 풀]
✅ 'Test Connections On Reserve' 체크는 필수 안전장치
✅ 모니터링 탭의 'Wait Count'가 발생하지 않도록 유지

이 가이드는 WebLogic 14c 버전 관리 콘솔을 기준으로 작성되었습니다.

Open Stream →

#WebLogic

[WebLogic 14c] 성능 최적화 가이드: 스레드 풀 튜닝과 메모리 계산법

안정적인 Java 엔터프라이즈 서버 운영을 위한 핵심 모니터링 포인트

안녕하세요! 오늘은 WebLogic 14.1.x (14c) 환경을 운영하면서 가장 빈번하게 마주하는 성능 최적화 이슈를 정리해 보려고 합니다. 특히 순간적인 부하가 발생하는 시스템에서 필수적인 스레드 풀(Thread Pool) 튜닝과 Java 8 이후 변경된 메모리 계산 방식에 대해 심도 있게 다뤄보겠습니다.

1. WebLogic 스레드 풀(Thread Pool) 튜닝

WebLogic은 기본적으로 부하에 따라 스레드 수를 조절하는 Self-Tuning 모델을 사용합니다. 하지만 엔터프라이즈 환경에서는 스레드 생성 오버헤드를 방지하기 위해 최소/최대 값을 고정하는 것이 권장됩니다.

✅ 기동 옵션 적용 예시


            -Dweblogic.SelfTuningThreadPoolSizeMin=100

            -Dweblogic.SelfTuningThreadPoolSizeMax=100

* 시스템 환경에 따라 50~200 사이로 설정하며, Min/Max를 동일하게 설정하여 'Warm-up' 상태를 유지합니다.

2. 관리 콘솔을 통한 실시간 모니터링

설정한 스레드 풀이 정상적으로 동작하는지 확인하기 위해 WebLogic Admin Console의 모니터링 기능을 활용합니다.

📌 모니터링 경로:
환경(Environment) > 서버(Servers) > [대상 서버 선택] > 모니터링(Monitoring) > 스레드(Threads)

핵심 지표	의미	위험 신호
Queue Length	대기 중인 요청 수	지속적인 상승
Stuck Threads	고착된 스레드	1건 이상 발생
Throughput	초당 처리량	급격한 하락

3. 정확한 메모리 계산법 (Heap vs Metaspace)

Java 8 이후로는 Metaspace가 Native Memory 영역으로 이동했습니다. 따라서 전체 메모리 사용량 = Heap + Metaspace + Native 영역으로 계산해야 합니다.

💡 Metaspace 사용률의 오해

jstat -gc 명령어로 확인 시 전체 크기(MC)가 작게 보일 수 있습니다. 이는 JVM이 클래스 로딩 양에 맞춰 메모리를 동적으로 할당하기 때문입니다.

MC (Metaspace Capacity): 현재 OS로부터 할당받은 크기
MU (Metaspace Used): 실제 클래스 메타데이터가 점유한 크기

※ 운영 팁: 사용률 계산 시 MC가 아닌, 기동 옵션에서 설정한 MaxMetaspaceSize를 분모로 계산해야 정확한 자원 고갈 여부를 판단할 수 있습니다.

🚀 안정적인 운영을 위한 체크리스트

✅ 스레드 풀 Min/Max를 동일하게 설정했는가?
✅ Metaspace 사용률이 설정값 대비 90% 이하인가?
✅ JDBC 데이터소스의 'Maximum Capacity'가 적절한가?

본 가이드는 WebLogic 14.1.1 및 JDK 1.8 기반으로 작성되었습니다.

Open Stream →

#WebSphere

[WebSphere] 실제 IP(Real IP) 인식 불가 해결: trustedHeaderOrigin 설정 가이드 (CVE-2012-5783 대응)

WebSphere Application Server(WAS)의 trustedHeaderOrigin 설정이 개선되었습니다. 기존에는 정확한 IP만 입력해야 했으나, 최신 픽스팩(9.0.5.7, 8.5.5.20)부터는 192.168.*.*와 같은 IP 세그먼트 와일드카드를 지원합니다. 유동 IP 환경에서의 설정법과 적용 버전을 정리합니다.

1. 업데이트 배경: IP 관리가 너무 힘들다?

기존에는 보안(CVE-2012-5783) 이슈로 인해 trustedHeaderOrigin에 앞단 웹 서버의 정확한 IP(Full IP)를 일일이 등록해야 했습니다.

하지만 클라우드(AWS, Azure)나 컨테이너(Docker/K8s) 환경에서는 L4/Web 서버의 IP가 수시로 변경되거나 대역으로 할당되므로, 모든 IP를 나열하는 것이 불가능했습니다. 이를 해결하기 위해 부분 와일드카드(IP Wildcard Segments) 지원이 추가되었습니다.

2. 와일드카드 지원 버전 (Target Fixpacks)

아래 버전 이상의 픽스팩(Fix Pack)이 적용된 환경에서는 IP 대역 설정이 가능합니다.

제품군	지원 시작 버전 (Minimum Version)
WAS 9.0	9.0.5.7 이상
WAS 8.5	8.5.5.20 이상
Liberty	21.0.0.2 이상

참고: 위 버전보다 낮은 경우 192.168.*.* 같은 입력을 인식하지 못하고 에러가 발생하거나 IP 인식이 실패할 수 있습니다.

3. 설정 가이드 (Configuration)

WAS 관리 콘솔에서 전송 채널의 사용자 정의 속성을 추가합니다.

설정 경로

Servers > [서버명] > Web Container Settings > Web container transport chains
대상 체인 선택 (예: WCInboundDefault)
HTTP Inbound Channel (HTTP_2) > Custom properties > New

속성 값 입력 예시 (New Feature)

이제 아래와 같이 유연한 설정이 가능합니다.

속성 이름 (Name)	값 (Value) 예시	설명
trustedHeaderOrigin trustedSensitiveHeaderOrigin	`10.10..`	10.10.0.0/16 대역의 모든 IP 신뢰 (추천)
	`192.168.1., 10.1..*`	콤마(,)를 사용하여 여러 대역 동시 지정
	`*.ibm.com`	호스트네임 기반의 와일드카드 지원

Best Practice:
과거에는 편의상 * (전체 허용)를 사용하는 경우가 많았으나, 이는 보안상 취약합니다.
이제는 10.10.*.* 처럼 내부망 IP 대역만 특정하여 허용함으로써 보안과 편의성을 모두 챙길 수 있습니다.

4. 웹 컨테이너 포트 인식 설정 (함께 적용)

IP 대역 설정과 함께, 호스트 헤더의 포트 정보를 올바르게 가져오기 위한 웹 컨테이너 설정도 잊지 마세요.

위치: Web Container > Custom properties
속성: com.ibm.ws.webcontainer.extractHostHeaderPort = true

5. 검증 (Verification)

설정 저장 후 WAS 재기동
SystemOut.log에 별다른 에러 메시지가 없는지 확인
애플리케이션에서 request.getRemoteAddr() 호출 시 실제 클라이언트 IP가 출력되는지 확인

Open Stream →

#IBM HTTPServer

[IHS/WAS] 실제 클라이언트 IP(Real IP) 식별 가이드: mod_remoteip 설정 및 버전별 패치 현황 (9.0.5.13)

로드밸런서(L4/L7) 환경에서 실제 클라이언트 IP를 식별하기 위해 IBM HTTP Server(IHS) 9.0의 mod_remoteip를 설정하는 방법을 다룹니다. 특히 보안 감사 로그의 무결성을 위해 IHS 9.0.5.13 (APAR PH47286) 패치가 왜 중요한지, 그리고 버전별 로그 포맷 설정 차이점을 중점적으로 정리합니다.

0. 배경: 왜 IP가 바뀔까?

클라이언트가 로드밸런서(Proxy)를 거쳐 웹 서버에 접속하면, 웹 서버 입장에서는 연결을 요청한 주체가 로드밸런서이므로 Source IP가 로드밸런서 IP(예: 10.0.0.1)로 기록됩니다.

이는 다음과 같은 보안 문제를 야기합니다.

접근 제어 실패: IP 기반의 ACL(Access Control List) 적용 불가
감사 추적 불가: 사고 발생 시 실제 공격자의 IP를 로그에서 찾을 수 없음

1. 버전별 패치 및 로그 포맷 주의사항 (Version History)

IHS 설정에 앞서, 사용 중인 IHS 버전에 따라 로그 포맷 변수를 다르게 써야 하므로 버전 확인이 필수적입니다.

📢 핵심 패치 정보: APAR PH47286

적용 버전: IBM HTTP Server 9.0.5.13 이상

내용: 이전 버전에서는 mod_remoteip가 정상 작동해도, 기본 로그 변수인 %h가 여전히 프록시 IP를 출력하는 문제가 있었습니다. 9.0.5.13부터는 %h가 mod_remoteip에 의해 변경된 실제 IP를 반영하도록 수정되었습니다.

버전별 권장 로그 포맷

IHS 버전	Access Log 권장 변수	설명
9.0.5.12 이하	`%a` (Client IP)	`%h`는 프록시 IP를 찍으므로 사용 금지. 반드시 `%a` 사용.
9.0.5.13 이상	`%h` 또는 `%a`	패치 적용됨. `%h`를 써도 실제 IP가 기록됨 (기존 설정 유지 가능).

2. IHS 설정 가이드 (httpd.conf)

Step 1: 모듈 활성화

# mod_remoteip 모듈 주석 해제
LoadModule remoteip_module modules/mod_remoteip.so

Step 2: 신뢰할 프록시 등록

보안을 위해 "누가 보내준 헤더를 믿을 것인가"를 명시해야 합니다. 아무 헤더나 믿으면 IP 스푸핑 공격에 당할 수 있습니다.

<IfModule mod_remoteip.c>
    # 1. 실제 IP가 담긴 헤더명 지정 (표준: X-Forwarded-For)
    RemoteIPHeader X-Forwarded-For

    # 2. 신뢰할 로드밸런서(L4/L7) IP 등록
    # 사설 IP 대역의 프록시인 경우 (10.x, 192.168.x 등)
    RemoteIPInternalProxy 10.0.0.1 10.0.0.2

    # 공인 IP 대역의 프록시인 경우
    # RemoteIPTrustedProxy 203.0.113.5
</IfModule>

Step 3: 로그 포맷 변경 (Access Log)

버전에 관계없이 가장 안전한 방법은 %a 변수를 사용하는 것입니다.

# [기존] common 포맷 (9.0.5.12 이하에서 문제 발생 가능)
# LogFormat "%h %l %u %t \"%r\" %>s %b" common

# [변경] %h -> %a 로 변경 (권장)
LogFormat "%a %l %u %t \"%r\" %>s %b" common

3. 검증 및 디버깅 (Validation)

설정 적용 후 실제로 헤더가 잘 변환되는지 확인하기 위해 임시로 로그를 상세하게 찍어봅니다.

# 디버깅용 로그 포맷 정의 (작업 후 주석 처리 권장)
# %{c}a : Connection IP (L4 IP)
# %a    : Client IP (변환된 실제 IP)
GlobalLog logs/remoteip_debug.log "L4-IP=%{c}a Real-IP=%a XFF-Header=%{X-Forwarded-For}i"

정상 결과 예시:

L4-IP=10.0.0.1 Real-IP=203.0.113.2 XFF-Header=203.0.113.2

L4-IP에는 로드밸런서 IP가 나와야 함
Real-IP에는 실제 사용자 PC의 IP가 나와야 함 (성공)

4. WAS(WebSphere) 추가 설정 필요 여부

IHS에서 mod_remoteip가 정상 작동하면, WAS 플러그인(Plugin)으로 넘어갈 때 이미 Source IP가 복원된 상태로 넘어갑니다. 따라서 WAS 쪽에서는 별도의 추가 설정 없이 request.getRemoteAddr() 호출 시 실제 IP를 획득할 수 있습니다.

(단, Plugin 설정의 TrustedProxyEnable 속성은 상황에 따라 검토가 필요할 수 있습니다.)

Open Stream →

#Liberty

[WebSphere Liberty] DB 연결 총정리: Oracle, DB2, MySQL, Tibero 데이터소스 설정 및 연결 테스트

IBM WebSphere Liberty에서 주요 데이터베이스(Oracle, DB2, MySQL, Tibero)와 연결하기 위한 JDBC 데이터소스 설정 방법을 정리합니다. adminCenter를 활용한 관리 환경 구성, 비밀번호 암호화, 그리고 restConnector를 이용한 연결 테스트까지의 전체 과정을 다룹니다.

0. 전제 조건 (Prerequisites)

Version: Liberty 25.x 이상 권장
Java: Java 8 (OpenJ9) 기준
필수 기능(Feature): server.xml에 아래 피처들이 등록되어 있어야 합니다.

<featureManager>
    <feature>jdbc-4.3</feature>              <!-- JDBC 표준 지원 -->
    <feature>transportSecurity-1.0</feature> <!-- 암호화 비밀번호 사용 시 -->
    <feature>restConnector-2.0</feature>     <!-- 연결 테스트 API용 -->
    <feature>adminCenter-1.0</feature>       <!-- 관리 UI 및 통합 관리 -->
</featureManager>

1. JDBC 드라이버 준비 (Driver Setup)

각 DB 벤더에 맞는 JDBC 드라이버(JAR 파일)를 준비하여 Liberty 공용 리소스 디렉토리에 배치합니다.

DB	파일명 (예시)	다운로드 출처
Oracle	ojdbc8.jar	Oracle MOS 또는 Maven
DB2	db2jcc4.jar	DB 서버의 `/sqllib/java`
MySQL	mysql-connector-j-8.x.jar	Maven Central
Tibero	tibero6-jdbc.jar	TmaxSoft 테크넷

디렉토리 생성 및 복사

관리 편의성을 위해 ${shared.resource.dir}(기본값: usr/shared/resources) 하위에 벤더별 폴더를 만들어 관리하는 것을 추천합니다.

# Oracle 예시
mkdir -p $WLP_HOME/usr/shared/resources/jdbc/oracle
cp ojdbc8.jar $WLP_HOME/usr/shared/resources/jdbc/oracle/

2. 공통 라이브러리 정의 (Library)

server.xml에서 위에서 배치한 JAR 파일을 참조하는 library 태그를 작성합니다.

<!-- Oracle 라이브러리 정의 -->
<library id="OracleLib">
    <fileset dir="${shared.resource.dir}/jdbc/oracle" includes="ojdbc*.jar"/>
</library>

3. 데이터소스 정의 (DataSource Configuration)

DB별로 설정 태그(properties)와 클래스명이 다르므로 주의해야 합니다.

Case A: Oracle Database

<dataSource id="OracleDS" jndiName="jdbc/oracleDS" statementCacheSize="60">
    <jdbcDriver libraryRef="OracleLib"
                javax.sql.ConnectionPoolDataSource="oracle.jdbc.pool.OracleConnectionPoolDataSource"/>
    <!-- URL 방식 연결 -->
    <properties.oracle URL="jdbc:oracle:thin:@//192.168.0.101:1521/ORCL"
                       user="scott" password="{aes}..." />
    <connectionManager maxPoolSize="50" connectionTimeout="6s"
                       reapTime="300" maxIdleTime="1800"/>
</dataSource>

Case B: IBM DB2

<dataSource id="DB2DS" jndiName="jdbc/db2" isolationLevel="TRANSACTION_READ_COMMITTED">
    <jdbcDriver libraryRef="DB2Lib"
                javax.sql.ConnectionPoolDataSource="com.ibm.db2.jcc.DB2ConnectionPoolDataSource"/>
    <properties.db2.jcc databaseName="SAMPLE" serverName="localhost" portNumber="50000"
                        user="db2inst1" password="{aes}..." />
</dataSource>

Case C: Tibero (Tmax)

국산 DB인 Tibero는 properties 태그가 별도로 없으므로 일반적인 속성 주입 방식을 사용하거나, Tibero 전용 프로퍼티를 명시해야 할 수 있습니다.

<dataSource id="TiberoDS" jndiName="jdbc/tibero" statementCacheSize="100">
    <jdbcDriver libraryRef="TiberoLib"
                javax.sql.ConnectionPoolDataSource="com.tmax.tibero.jdbc.ext.TbConnectionPoolDataSource"/>
    <!-- properties.tibero 태그 사용 -->
    <properties.tibero url="jdbc:tibero:thin:@192.168.0.111:8629:tibero"
                       user="admin" password="{aes}..." />
</dataSource>

4. 비밀번호 암호화 (Security)

설정 파일에 비밀번호를 평문으로 저장하는 것은 보안상 위험합니다. securityUtility를 이용해 AES로 암호화합니다.

암호화 실행

# 암호화 키 지정 (예: passw0rd)
$WLP_HOME/bin/securityUtility encode --encoding=aes --key=passw0rd 'DB_REAL_PASSWORD'
# 결과: {aes}AA6wcy4K2Xm...

키 등록 (bootstrap.properties)

서버가 암호를 복호화할 수 있도록 키를 등록해줍니다.

wlp.password.encryption.key=passw0rd

5. 연결 테스트 및 검증 (Validation)

서버를 기동한 후, REST API를 통해 데이터소스 연결 상태를 체크할 수 있습니다.

필수 확인 (Check Point):
해당 API를 호출하거나 웹 관리 콘솔(Admin Center)을 이용하기 위해서는 adminCenter-1.0 및 restConnector-2.0 피처가 반드시 활성화되어 있어야 하며, 접근하는 계정에 관리자(Administrator) 권한이 있어야 합니다.

연결 테스트 명령어 (curl)

# 관리자 계정(admin)으로 인증 후 테스트 API 호출
curl -k -u admin:passw0rd \
  https://localhost:9443/ibm/api/validation/dataSource/OracleDS

성공 시: 200 OK와 함께 JSON 응답 내에 "Valid" 메시지가 포함됩니다.
실패 시: messages.log 파일에서 CWLLG2010E(로드 실패), CWNEN0034E(연결 실패) 등의 에러 코드를 확인합니다.

6. 트러블슈팅 체크리스트

ClassNotFoundException: library 경로 오타 또는 JAR 파일 권한(755) 확인
Connection Timeout: DB 방화벽(Port) 오픈 여부 확인
Authentication Failed: bootstrap.properties에 암호화 키가 올바르게 등록되었는지 확인

Open Stream →

#Liberty

[WebSphere Liberty] 설정 유연화의 핵심: 변수(Variable) 활용법 및 우선순위 완벽 정리

WebSphere Liberty의 설정 파일(server.xml)에서 포트 번호, DB 접속 정보 등을 하드코딩하지 않고 변수(Variable)로 관리하는 방법을 정리합니다. bootstrap.properties와 server.xml, 환경 변수 간의 우선순위 규칙과 JDBC URL 설정 시 발생하는 슬래시(/) 정규화 문제를 해결하는 팁을 다룹니다.

0. 변수를 왜 사용해야 하나요?

서버 설정을 변수화하면 하나의 server.xml 파일을 여러 서버 인스턴스나 환경(Dev/Test/Prod)에서 공유할 수 있습니다. 변경되는 값(포트, IP 등)만 별도로 분리하여 관리 효율성을 높일 수 있습니다.

1. 변수 정의 위치 및 우선순위 (Precedence)

Liberty에서 변수를 정의할 수 있는 곳은 크게 세 군데입니다. 만약 같은 이름의 변수가 여러 곳에 정의되어 있다면, 아래 순서대로 덮어씌워집니다. (아래쪽이 우선순위 높음)

프로세스 환경 변수 (OS Environment Variables): 가장 낮은 우선순위
bootstrap.properties: 환경 변수를 덮어씀
server.xml (또는 include 된 xml): 가장 높은 우선순위 (최종 승자)

Best Practice:
서버별로 달라지는 고유 설정(예: HTTP 포트)은 bootstrap.properties에 정의하고, 여러 서버가 공유하는 공통 설정(예: DB 설정)은 included xml 파일에 정의하는 것이 좋습니다.

2. 변수 사용 방법 (Usage Guide)

Case A: bootstrap.properties 활용

서버 인스턴스 생성 시 자동으로 만들어지는 파일로, key=value 형태로 간단하게 정의합니다.

# bootstrap.properties
# 포트 번호 정의
http.port=8080
https.port=9443

Case B: server.xml 활용

<variable> 태그를 사용하여 정의하거나, 정의된 변수를 ${...} 문법으로 사용합니다.

<!-- 변수 정의 (Global) -->
<variable name="http.port" value="8080" />

<!-- 변수 사용 -->
<httpEndpoint id="defaultHttpEndpoint"
              httpPort="${http.port}"
              httpsPort="${https.port}" />

Case C: 환경 변수(Environment Variable) 활용

OS 환경 변수를 가져올 때는 env. 접두사를 사용합니다.

<!-- OS의 LIBRARY_DIR 환경 변수 사용 -->
<fileset dir="${env.LIBRARY_DIR}" includes="*.jar"/>

3. 고급 활용 팁 (Advanced Tips)

1) JDBC URL 슬래시(/) 정규화 문제 해결

Liberty 설정 파서(Parser)는 변수 값에 포함된 연속된 슬래시(//)를 단일 슬래시(/)로 정규화하는 특성이 있습니다. 이 때문에 JDBC URL 등이 깨질 수 있습니다.

해결책: 값을 두 부분으로 나누어 정의하거나, 이중 슬래시로 시작하게 합니다.

# [Bad] 이렇게 하면 jdbc:db2:/host.com 으로 변환되어 에러 발생
# DB_URL="jdbc:db2://host.com"

# [Good] 두 부분으로 나누어 결합
URL_PART_1="jdbc:db2:"
URL_PART_2="//host.com"

<dataSource ...>
    <properties.db2.jcc url="${URL_PART_1}${URL_PART_2}" />
</dataSource>

2) 리스트(List) 변수 처리

콤마(,)로 구분된 값을 단순 문자열이 아닌 리스트로 인식시키려면 ${list(...)} 함수를 사용합니다.

<variable name="ports" value="80,9080"/>

<!-- 문자열 "80, 9080"으로 인식 -->
<myConfig value="${ports}" /> 

<!-- 리스트 ["80", "9080"]으로 인식 -->
<myConfig value="${list(ports)}" />

3) 산술 연산 (Arithmetic)

포트 오프셋 등을 설정할 때 간단한 사칙연산(+, -, *, /)이 가능합니다.

<!-- 기본 포트(8080)에 1을 더해 8081로 설정 -->
<httpEndpoint id="secondaryEndpoint" httpPort="${http.port+1}" />

4. 변수 명명 규칙 (Naming Convention)

변수 이름은 반드시 알파벳(문자)으로 시작해야 하며, 아래 문자들만 포함할 수 있습니다.

알파벳 문자 (Alphabetic characters)
숫자 (Numeric characters)
언더스코어 (_)
점 (.)

Next Step:
이제 server.xml에서 하드코딩된 값을 제거하고 bootstrap.properties로 옮겨보십시오. 이를 통해 Docker 이미지 빌드나 여러 환경 배포 시 설정 관리가 훨씬 수월해질 것입니다.

Open Stream →

#Liberty

[WebSphere] Liberty Performance Tuning: 주요 구성 매개변수 가이드

Summary: WebSphere Liberty(Open Liberty) 환경에서 성능 최적화를 위해 조정 가능한 주요 매개변수를 정리한 문서입니다. JVM 힙 설정부터 Connection Pool, Executor, 그리고 유휴 자원 관리까지 server.xml 및 jvm.options를 통한 튜닝 포인트를 다룹니다.

WebSphere Liberty는 기본적으로 자가 튜닝(Self-tuning) 기능을 갖추고 있으나, 운영 환경의 특성이나 애플리케이션의 워크로드 패턴에 따라 명시적인 설정 변경이 필요할 수 있습니다. 본 문서는 IBM Documentation을 기반으로 성능에 직접적인 영향을 주는 핵심 속성들을 정리했습니다.

1. JVM Tuning

가장 기본적이며 중요한 단계입니다. ${server.config.dir}/jvm.options 파일을 사용하여 설정합니다.

개발 환경: 빠른 서버 시작을 위해 최소 힙(Min Heap)은 작게, 최대 힙(Max Heap)은 필요한 만큼 설정.
운영 환경: 런타임 중 힙 크기 조정(Expansion/Contraction)에 따른 오버헤드를 제거하기 위해 최소 힙과 최대 힙을 동일한 값으로 설정하는 것을 권장합니다.

2. Transport Channel Service Tuning

클라이언트 연결, HTTP I/O 처리, 스레드 풀 및 연결 풀 관리를 담당하는 영역입니다. server.xml에서 설정합니다.

HTTP Options

SSL 핸드셰이크 비용이 높거나 처리량이 중요한 애플리케이션의 경우 지속적 연결(Persistent Connection) 설정을 최적화해야 합니다.

maxKeepAliveRequests: 단일 HTTP 연결에서 허용되는 최대 요청 수입니다. -1로 설정 시 무제한을 의미하며, 연결 맺는 비용을 절감할 수 있습니다.

<httpOptions maxKeepAliveRequests="-1" />

Connection Manager

데이터베이스 연결 풀(Connection Pool) 성능을 결정짓는 핵심 속성입니다.

maxPoolSize: 최대 실제 연결 수 (Default: 50). 모든 스레드가 DB 연결을 필요로 한다면 coreThreads와 1:1 매핑을 고려하십시오.
purgePolicy: Stale Connection 발견 시 처리 정책. 기본값은 EntirePool이나, FailingConnectionOnly로 설정하여 실패한 연결만 제거하는 것이 효율적입니다.
numConnectionsPerThreadLocal: 실행 스레드별로 DB 연결을 캐싱하여 락 경합(Contention)을 줄입니다. 멀티 코어 시스템에서 성능 향상에 유리합니다.

<connectionManager id="defaultConnectionManager" 
                   maxPoolSize="40" 
                   purgePolicy="FailingConnectionOnly" 
                   numConnectionsPerThreadLocal="1" />

Note: numConnectionsPerThreadLocal 사용 시, maxPoolSize는 (애플리케이션 스레드 수 × 스레드당 연결 수) 이상으로 설정해야 합니다.

3. Data Source Optimization

DB 쿼리 성능 및 데이터 무결성 수준을 조정합니다.

Statement Cache

PreparedStatement 캐싱을 통해 파싱 비용을 줄입니다. 애플리케이션에서 사용하는 고유한 SQL 문장 수보다 크게 설정해야 합니다.

<dataSource ... statementCacheSize="60" > ... </dataSource>

Isolation Level

데이터 무결성과 동시성(Concurrency)은 트레이드오프 관계입니다. isolationLevel 속성으로 조정합니다.

TRANSACTION_READ_UNCOMMITTED: 성능 최상, 무결성 최저 (Dirty Read 발생).
TRANSACTION_READ_COMMITTED: Dirty Read 방지.
TRANSACTION_REPEATABLE_READ: Dirty/Non-repeatable Read 방지.
TRANSACTION_SERIALIZABLE: 성능 최저, 무결성 최상 (완전한 직렬화).

4. Executor (Thread Pool) Tuning

Liberty의 Executor는 워크로드에 따라 스레드를 동적으로 조절하는 자가 튜닝 로직을 가지고 있습니다.

기본 원칙: 특별한 문제가 없다면 설정을 변경하지 않는 것이 권장됩니다.
예외 상황: 교착 상태(Deadlock) 해결 로직이 과도하게 작동하거나, 시스템 자원 한계로 스레드 수를 제한해야 할 경우 coreThreads 및 maxThreads를 명시합니다.

5. Reducing Overhead & Startup Time

불필요한 CPU 사이클을 줄이고 기동 시간을 단축하기 위한 설정입니다.

Servlet Response Time

WebContainer가 정적 리소스 처리를 위해 META-INF 디렉토리를 스캔하는 과정을 생략합니다.

<webContainer skipMetaInfResourcesProcessing="true"/>

Idle Server CPU

운영 환경에서는 빈번한 애플리케이션/구성 파일 변경 감지가 불필요하므로, 모니터링 주기를 비활성화하거나 늘립니다.

<!-- 아예 비활성화 (권장) -->
<applicationMonitor dropinsEnabled="false" updateTrigger="disabled"/>
<config updateTrigger="disabled"/>

<!-- 혹은 MBean 트리거로 변경 및 폴링 주기 완화 -->
<applicationMonitor updateTrigger="mbean" pollingRate="60s"/>
<config updateTrigger="mbean" monitorInterval="60s"/>

CDI 1.2 Scanning

CDI 1.2 기능은 기본적으로 모든 아카이브를 스캔합니다. 대규모 애플리케이션에서 기동 속도 저하의 주원인이 되므로, 암시적 스캔(Implicit Bean Archives)을 비활성화합니다.

<cdi12 enableImplicitBeanArchives="false"/>

Next Step: 위 설정들은 워크로드의 특성에 따라 효과가 다릅니다. 운영 환경 적용 전, 부하 테스트를 통해 각 파라미터 변경에 따른 처리량(Throughput)과 응답 시간 변화를 측정하시기 바랍니다.

Open Stream →