Expose a Java method with AMQP and Spring (Reloaded with Java DSL)

Two years ago, I have written an article how to expose a local (service) method — given one object (request) as payload and one object as result (response). This article will be an updated method using Spring Integration Java DSL instead.

„Expose a Java method with AMQP and Spring (Reloaded with Java DSL)“ weiterlesen

Next Level (Step 2: Renewal á la Cron)

Seit Dezember ist nun ganz offiziell die Public Beta von Let’s Encrypt verfügbar. Die ersten Zertifikate laufen nun innerhalb der nächsten 2 Wochen aus, also auch bei mir (ich hatte ja auch Ende November bereits alles auf SSL-only umgestellt).

Mit einem Blick in den Kalender wurde es daher auch mal zeitig, den automatischen Renewalprozess ans Laufen zu kriegen, denn die Zertifikate sind ja bekanntlich immer nur 90 Tage gültig. Manuelles Eingreifen als Dauerlösung scheidet aus. Ich bin ja Entwickler, da ist jede Wiederholung eines Arbeitsschrittes schon eine zu viel.

Das Szenario

Ein Multi-Site-Konfiguration verschiedener Domains für einen Nginx, jede Domain hat ihre eigenes Zertifikat und Private Key. Diese Paare müssen jeweils validiert und ggf. erneuert werden.

Für den initialen Einrichtung hatte ich auch den offiziellen Client verwendet. Aber erstens ist dieser zu mächtig mit vielen Abhängigkeiten, denn ich will nur (neue) Zertifikate und keine Modifizierung irgendwelcher Konfigurationsdateien. Das Zweite wiegt noch schwerer: Dieser funktioniert (aktuell) nur als root vernünftig, was unter anderem auch daran liegt, dass er kurzfristig Port 80 nutzen muss. Das ist aber natürlich mit einem laufenden Webserver „unhandlich“.

Aber es gibt Alternativen: Und mal gar nicht so wenige. Prinzipiell sind Ideen wie der Caddy Server (ein „Webserver“ mit eingebautem ACME-Client) interessant, aber nicht für diese Situation angebracht. Ein ander Mal vielleicht…

Exkurs: Der gesamte Prozess der Verifizierung der Domain geschieht über das Protokoll „Automated Certificate Management Environment“ oder kurz ACME. Das wurde ursprünglich von Let’s Encrypt entwickelt und aktuell ist es als IETF Protokoll im Gespräch. Das Protokoll beschreibt, wie Clients (bspw. für Webserver) ein Zertifikat anfragen und bestätigen können. Daher kann prinzipiell jeder einen solchen Client (und natürlich auch Server!) bauen; fertige Plugins „out-of-the-box“ für Webserver sind also auch bald möglich — Caddy macht es sogar schon vor.

Meine Wahl fällt auf letsencrypt.sh von Lukas Schauer: ein kleines und überschaubares Bashscript, welches sich ebenfalls einfach konfigurieren lässt. Da ich ja bereits „Bestandsdaten“ hatte, wollte ich natürlich gerne die vorhandenen Zertifikate und Schlüssel „importieren“. Netterweise hat Lukas dafür schon etwas vorbereitet. 😎

Schritt-für-Schritt vom Import bis zur Cron:

  • Annahme: www-data ist die Gruppe des Webserver-Users.
  1. Wir legen einen neuen dedizierten UNIX-Account an, nennen wir ihn doch bill (Name d. Red. bekannt). Denn Bill is smart!
    1. Nicht vergessen: bill darf sich nicht einloggen können; am Besten kein Passwort und keinen Public Key hinterlegen.
    2. bill wird Mitglied der Gruppe www-data (als Default-Gruppe): usermod -g www-data bill
  2. Das Git-Repository klonen wir uns einfach in sein Home-Verzeichnis: git clone https://github.com/lukas2511/letsencrypt.sh.git
    1. In das Verzeichnis wechseln.
    2. Testweise ./letsencrypt.sh -e starten. Sollte kein Fehler kommen, erstmal alles gut. Ansonsten dafür sorgen, dass openssl und curl installiert sind.
  3. Wir legen das Verzeichnis /etc/letsencrypt.sh an und passen die Rechte so an, dass nur Mitglieder der Gruppe www-data dort lesen und bill zusätzlich schreiben darf: chown bill:www-data /etc/letsencrypt.sh && chmod 750 /etc/letsencrypt.sh
  4. Vorbereitungen
    1. In bill wechseln… su – bill
    2. … und in das eben erstellte Verzeichnis /etc/letsencrypt.sh wechseln.
    3. Eine leere domains.txt erstellen (siehe domains.txt.example)
    4. Jeweils die config.sh.example und hooks.sh.example aus dem Repository kopieren und ablegen, dabei den Suffix .example entfernen.
    5. In der nun frischen config.sh das BASE_DIR setzen: BASEDIR=/etc/letsencrypt.sh
    6. Einen symbolischen Link auf /var/www/letsencrypt erstellen: ln -s /etc/letsencrypt.sh/.acme-challenges /var/www/letsencrypt
    7. Das eben erwähnte Linkziel anlegen: mkdir /var/www/letsencrypt
    8. Aus Sicherheitsgründen sollten die Dateien und Verzeichnisse nur für bill zu schreiben sein.
  5. Letsencrypt.sh-Konfiguration
    1. Falls schon mit Hilfe des offiziellen Client Zertifikate installiert wurden:
      1. Mit dem Importscript (siehe hier) werden alle Zertifikate ermittelt und sauber in /etc/letsencrypt.sh/certs/$DOMAIN geschrieben.
      2. Einen eventuell vorhandenen Account Key kann man mit dem zweiten Importscript auch ermitteln; falls vorhanden einfach unter /etc/letsencrypt.sh/private_key.pem ablegen.
    2. Falls noch keine Zertifikate angelegt wurden, dann muss man die Datei domains.txt selber editieren — oder auch nachträglich korrigieren.
  6. Nginx-Konfiguration
    1. In Punkt 4 wurde bereits das Verzeichnis /var/www/letsencrypt für die Response-Challenges angelegt. Da das Protokoll vorsieht, das der Webserver unter Port 80 (!) und dem Pfad /.well-known/acme-challenge die Antworten liefern kann, muss jeweils bei jeder Seite eine kleine Ergänzung eingefügt werden. Relativ am Anfang innerhalb der HTTP-Direktive sollte daher ein Verweis auf eben genanntes Verzeichnis stehen. Im Folgenden ein Beispiel zusammen mit HTTPS-Always: .
      Es muss sicher gestellt werden, dass für alle(!) Domains (inkl. Subdomains) das Verzeichnis über HTTP erreichbar ist. Am Besten eine Datei mit „Hello World“ ablegen und die Erreichbarkeit versuchen. Idealerweise mit curl, denn der Browser forciert u.U. die HTTPS-Erreichbarkeit (etwa durch HSTS oder Plugins).
    2. Und schließlich muss der Pfad zum Zertifikat und zum Schlüssel umgebogen werden.
      1. Entweder: In der Nginx-Site-Konfiguration wird auf den neuen Pfad gezeigt: /etc/letsencrypt.sh/certs/$DOMAIN/fullchain.pem und ~privkey.pem
      2. Oder: Man kopiert sich die Dateien im Hook (siehe unten).
  7. Hooks
    1. Letsencrypt.sh bietet aktuell drei Hooks an, davon ist interessant: deploy_cert (nachdem ein neues Zertifikat erstellt wurde)
      1. Falls man das Zertifikat erst noch an die richtige Stelle kopieren will (als bill).
      2. Es bietet sich an, den Webserver neu zu starten: sudo service nginx reload
  8. Cron finally
    1. Anschließend runden wir das Ganze noch ab: Wir richten eine wöchentliche Cron auf, der letsencrypt.sh aufruft und die Renewals automatisch anwirft. Beispiel: 0 0 * * Sat (cd /home/bill/letsencrypt.sh; ./letsencrypt.sh -c > /home/bill/last_renew_check.log) für einen wöchentlichen Check am Samstag.

Zusammenfassung

Mit der Anleitung haben wir nun einen wöchentlichen Cronjob, der jeweils prüft, ob die konfigurierten Domains ein Zertifikat haben und ob dieses noch gültig ist. Dabei wird bereits im Voraus ein neues generiert. Die Verifikation geschieht ganz regulär über ACME, der Webserver liefert die entsprechenden Daten im laufenden Betrieb.

letsencrypt.sh liegt im Homeverzeichnis eines dedizierten Benutzers ($HOME/letsencrypt.sh), die Konfiguration unter /etc/letsencrypt.sh.

Die Zertifikate und Schlüssel liegen in /etc/letsencrypt.sh/certs (BASE_DIR).

Alle Pfade lassen sich natürlich ändern, dafür einfach in der Dokumentation nachschauen.

Anmerkungen

  • Man kann auch ein anderes BASE_DIR (anstatt /etc/letsencrypt.sh verwenden; die config.sh muss  weiterhin unter /etc/letsencrypt.sh (oder lokal) vorhanden sein.
  • bill is smart und darf deswegen natürlich keinen Service einfach neu starten. Das lässt sich mit sudoers lösen: bill ALL = NOPASSWD: /usr/sbin/service nginx *

Next Level

So. Dieser Blog ist wieder über HTTPS erreichbar, und bis Ende des Monats auch testweise über http2.

(Der Blog war einige Monate nicht über HTTPS erreichbar war, weil ich bei der Erstellung der (kostenlosen verfügbaren) Zertifikate einen kleinen Fehler gemacht habe. Merke: StartSSL erlaubt nur ein gültiges kostenloses Zertifikat je Domain, es sei denn natürlich, man revoked dieses gegen eine Bearbeitungsgebühr. Und als ich das generierte Zertifikat nicht ordentlich gespeichert hatte, war es weg. Dummer Fehler.)

Nun denn. Das Zertifikat ist von Let’s Encrypt und kann in allen Browsern als gültig verifiziert werden. Ich hatte mich (bzw. diese Domain) für den geschlossen Betatest beworben, aber ab nächsten Monat kann jeder mitmachen. Die Einrichtung ist sehr einfach, ich empfehle als Lektüre dazu die offizielle Dokumentation. Ich würde auch die Einstellung certonly empfehlen, siehe auch dieser Artikel.

Außerdem hat der verwendete Nginx jetzt auch http2 aktiv. Allerdings muss ich das wohl bis Anfang nächsten Monat wieder deaktivieren. Aber bald.. dann wirklich.

Update 19.11.2015: Google überdenkt die Abschaltung von NPN. Danke an @mattiasgeniar

OS X 10.11 El Capitan, RVM und MacPorts

Dieser Artikel dient nur als Bestätigung von meiner Anleitung OS X 10.10 Yosemite, RVM und MacPorts/HomeBrew für das neue OS X 10.11 El Capitan.

Mehr oder weniger stimmt die Anleitung auch für El Capitan. Anmerkungen habe ich dabei (Stand 17. September 2015) nur folgende:

  • Basis:
    • OS X 10.11 El Capitan GM
    • Xcode 7 GM
    • sudo xcode-select –install
  • Die MacPorts gibt es noch nicht als Binary für 10.11; daher muss man sich das selber kompilieren, was aber kein großes Problem ist. Ich bin dieser Anleitung gefolgt, wobei man natürlich manche Schritte nicht als sudo machen müsste. Die saubere PATH habe ich aber befolgt. (Update 04.10.15: MacPorts ist in einer neuen Version veröffentlicht worden.)
  • gpg habe ich mittels sudo port install gnupg installiert. Hat seltsamerweise zwei Anläufe gebraucht, vielleicht war es auch nur ein Verbindungsproblem.
  • RVM hat wohl die Skripte mittlerweile angepasst und stolpert nicht mehr über das fehlende apple-gcc42
  • RVM dann wie gehabt installieren. Seltsamerweise war bei mir automatisch homebrew aktiv (obwohl MacPorts verfügbar sind); lässt sich bekanntlich aber mit rvm autolibs macports lösen. (Update 04.10.15: Das Problem hatte ich auf einem anderen System nicht mehr.)

OS X 10.10 Yosemite, RVM und MacPorts/HomeBrew

Nach dem Update auf Yosemite funktionieren die bisher installierten Rubies via RVM nicht mehr, und man muss diese neu installieren. Schlimmer noch, das dies aber nicht so ohne weiteres geht.

Legen wir los.

1. Aktuelles Xcode

Nach der Installation sollte man das aktuelle Xcode 6.1 installieren. Das ist aktuell noch nicht via MAS (Mac App Store) verfügbar, liegt aber im Apple Developer Center zur Verfügung.

Angeblich reichen mittlerweile auch die Command Line Utils, das habe ich nicht ausprobiert. (Xcode bietet ja auch den iOS Simulator, daher ganz praktisch…)

Gegebenenfalls muss man den MAS nochmals aufsuchen und die Updates prüfen. Bei mir erschienen da Folge-Updates für Xcode; die hießen zwar Command Line Utils, waren es aber scheinbar nicht?!

2. Command Line Utils

In dem Terminal kann man mit xcode-select –install dafür sorgen, dass die Verfügbarkeit der Command Line Utils gewährleistet ist. Falls nicht, dann den kommenden Dialog bejahen und warten.

3.1 MacPorts

Falls die MacPorts vor dem Update installiert waren, dann muss man eine Migration durchführen (einfach port ausführen, dann erhält man den Hinweis). Falls man nicht unbedingt die alten Ports braucht (man installiert sich die notwendigen dann eh neu), dann kann man auch einfach alle weg schmeißen: (a) Einfach die neuen MacPorts via macports.org runterladen und neu installieren, dann (b) alle deinstallieren mit sudo port -f uninstall installed und anschließend (c) alles Informationen löschen sudo port clean all ausführen. Die letzten beiden Schritte dauern ein paar Minuten.

3.2 HomeBrew

Falls HomeBrew installiert war, dann hier schauen, aber das sollte man sich überlegen. Ich würde da im Zweifel auch eher einen Kahlschlag machen. Man hat da eh meistens in der Vergangenheit Dinge installiert, die man gar nicht mehr braucht.

4 RVM

Wir brauchen auf jeden Fall die neuste Version: rvm get stable

Bei mir hat RVM bei einem Upgrade die Autolibs (also den zu verwendenen Default Package Manager) von MacPorts zu HomeBrew gewechselt, daher muss man ggf. rvm autolibs macports ausführen. (Hinweis: Das gilt ab sofort, das heißt bereits offene Shells laufen noch mit der alten Einstellung!)

Da bereits Rubies und Gemsets vorhanden sein werden, sollte man diese alle entfernen (sie linken teilweise auf nicht mehr korrekte Ports/Brews): rvm remove all

Auch löschen wir alle lokalen Informationen: rvm cleanup all

4.1 RVM und apple-gcc42

Sowohl die Variante über MacPorts als auch HomeBrew stolpern aktuell bei der Installation von älteren Rubyversionen über den Compiler apple-gcc42. Beide wollen diesen installieren, aber das funktioniert nicht (mehr?) unter OS X 10.10 / Darwin 14.

Allerdings braucht das Kompilieren von Ruby nicht zwangsläufig GCC, sondern läuft auch mit clang: rvm install 1.9.3 –with-gcc=clang läuft wunderbar — sowohl unter MacPorts als auch HomeBrew. Beim aktuellen Ruby 2.1.3 ist das nicht mehr notwendig.

5. RVM Autoinstall

Unter Berücksichtigung von Projekten mit alten Rubies (siehe Schritt 4.1), funktioniert jetzt die automatische Installation von Ruby, Gemset und deren Path-Aktivierung auch für Gemfile. Die ~/.rvmrc benötigt dafür ja nur:

rvm_install_on_use_flag=1
rvm_autoinstall_bundler_flag=1
rvm_gemset_create_on_use_flag=1

Broken Java Key&Trust Store on OSX

Sometimes Java applications do not find the internal Key- and Truststore (where all well known SSL roots are listed). Last one was Minecraft on OS X 10.9 with installed JRE6, JDK7 and JDK8. Even a pre-defined $JAVA_HOME did not help.

javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty

Hopefully, this fix should help you. 

# Sometimes some Java applications will not work because the internal references to the trusted libs are broken.
# Unless '/System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security' does not exist, this should help
$ sudo mkdir -p /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
$ cd /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
$ sudo ln -s /Library/Java/JavaVirtualMachines/jdk1.7.0_45.jdk/Contents/Home/jre/lib/security/cacerts
$ sudo ln -s /Library/Java/JavaVirtualMachines/jdk1.7.0_45.jdk/Contents/Home/jre/lib/security/blacklist
$ sudo ln -s /Library/Java/JavaVirtualMachines/jdk1.7.0_45.jdk/Contents/Home/jre/lib/security/trusted.libraries

Wege eines IP-Pakets

Habe gerade eine E-Mail aus Neuseeland bekommen, und das mal zum Anlass genommen, den IP-Weg zu verfolgen. Wahrscheinlich wenig überraschend geht der Weg über Amerika (über die Ozeane einfacher).traceroute-nz

 

Ausgehend von NetCologne scheint es wohl eine Direkt-Uplink zum Amsterdamer Einstieg (6. -> 7.) des Backbone Betreibers Hurricane Eletric (he.net und hier gibt es eine Karte der Locations) geben, und gleichzeitig verlässt das Paket HE auch erst wieder auf der anderen Seite des Globus (12. -> 13.) — Vocus Communications (www.vocus.com.au) ist ein australischer Provider. Anschließend wird das Paket einem Nummernkreis von Vodafone Neuseeland übergeben (via infobyip.com).

Innerhalb der Backbone von HE ist es aber spannender, denn hier geht natürlich einerseits die größte Strecke, andererseits auch der größte Delay verloren. Die Standorte dürften sich an den Servernamen ablesen: ams1 Amsterdam, lon2 London, nyc4 Ney York, sjc2 Singapur.

So ist der Ping sowohl nach Amsterdam (7.) als auch London (8.) unscheinbar (20-25 ms), aber der Sprung über den Atlantik nach New York (9.) macht sich mit zusätzlichen 70 ms dann doch bemerkbar. Das ist jedoch nichts zu dem nächsten unmittelbaren Sprung (Nebendetail: es gibt scheinbar keinen Sprung an die Westküste der USA?) nach Singapur (10.), der ganze 70 ms dazu bringt. Darüber hinaus reduziert sich die verfügbare Interconnection-Transit-Bandbreite auf 10 Gigabit.

Während die Übergabe Singapur nach Australien (Vocus) dennoch einen kaum nennenswerten Verlust mit sich bringt, hat der letzte Sprung von Australien nach Neuseeland es dann in sich: zu den vorhanden 160ms kommen nochmals ganze 120 ms dazu (insgesamt also rund 280 ms).

Consume a remote Java method with AMQP using Spring Integration

After the unexpected interest about exposing a method (thank you Josh mentioning it in the weekly news) , I will go ahead. Let’s consume such a service we had exposed.

Remember: We had a service method which is integrated via an AMQP queue (in my case RabbitMQ, but you can change this into whatever you want). That means the consumer only have to connect itself against this queue and have to send and receive suitable objects in JSON.

Consuming a method with AMQP using Spring Integration

We use the same example like in „Expose a Java method with AMQP using Spring Integration“, but from the consumer perspective.

We will put the cart before the horse and start with the AMQP setup. Instead of the inbound-gateway we have to use the outbound-gateway. Well, the name  is self-explanatory. An outbound gateway integrates a channel (requestChannel) with an external service (here AMQP). And because it is a gateway, it will handle the reply message as well (put into resultChannel).

Now we could bind the channels with some Spring Integration? Well, we must not forget the messages are transported in JSON. Said this, we have to ensure the message are transformed from and to JSON correctly before connecting them with the rest.

Both transformers intercept the messages. The result are two channels (requestChannel and resultChannel) which are for the service; the other two channels are only for serializing and deserializing. Okay, let’s go.

and

That’s it.

Wait, what?! Yep.

We have already both channels (one for outgoing invocations, one for the return values). The rest is more or less boiler code, so you can use one of the built-in gateway proxies provided by Spring Integration. The Spring Integration <int:gateway> builds a proxy object for the given interface and do the „magic“ integration with the Spring Integration message flow. including waiting for the reply. You should have remember the @Payload annotation which is the same as on receiver side.

For each „call“ onto MyGateway.handle(Request):

  1. the proxy creates a new Spring Integration message containing the object „request“ as payload and put it into the channel „requestChannel“ defined in the configuration;
  2. the message will be transformed into JSON, and will be put into requestChannelJson;
  3. the message will be transmitted via AMQP (just another gateway actually) and waiting for a reply;
  4. the reply message will be received and put into resultChannelJson;
  5. the message will be transformed from JSON into a POJO and put into resultChannel;
  6. the message finally receives the waiting gateway and returns the reply like a regular method

Because this can take some time and would block the current thread, you can (better: should) use futures. The gateway proxy will take care of this!

 

 

 

Expose a Java method with AMQP using Spring Integration

The goal for this article: expose a method of a bean via AMQP and use JSON as a unified transport which can be serialized and deserialized in every language (and forget the xml overhead, of course).

Disclaimer: All examples are cleaned up and being reduced of irrelevant boiler code like for demo-purpose unnecessary xml headers.

Let’s start with an implementation:

Both Request and Response are good old plain Java objects with can easy serialized and deserialized. Excited about Joda? I’ve written something about it!

If we want to expose that one, we first have to connect this with Spring Integration. Speaking of Spring Integration, that means basically connecting something (i.e. a method) with a channel which is the instrument of message flows in Integration. Well, that means actually integrating stuff. Not a freely chosen name? 🙂

For configuration purpose, you can use both JavaConfig and XML. However, while JavaConfig is more confidently usable with parameters, especially the Integration configuration is sometimes more readable in XML. Chose your own way, but be consistent. Mixing up configurations is a no-brainer.

First of all, we have to define two channels. One for incoming messages (the actual argument of the method invocation), another one for outgoing messages (the return value).

Because we want to invoke a service on a message, we simply use a ServiceActivator. For each message in the requestChannel, it will be invoked.

and

So far, each message in requestChannel will be an invocation of ApiImpl. The additions in the class defines which method should be invoked and which message argument should be extracted from the payload (you could use the actual Integration Message object, but we stick with the payload). The return result will be pushed wrapped into a message again into the defined output channel resultChannel.

The method is now well „integrated“.

Said this, we want to connect the channels with an AMQP server in order to handle incoming requests and process them. Then plan is simple: For each message at a specific queue, we create a message and put it into a channel and wait for a corresponding reply message on another channel to make a real „reply behavior“. The whole stuff is already implemented and built-in available in Spring Integration AMQP.

For example, you have a queue named queue (hell, yes).

And that.. that was it? Well, actually we have reached the goal of connection already. We have defined an inbound gateway (read: get all messages and put them into a channel and do this for the returning result vice versa) and connect all channels. Basically, this works. However, this means that the message’s payload will be transmitted with a standard serializer and deserializer which means Java Object serializing. That is not good between different components or even the non Java world.

Solving this issue means introducing some neat transformers. A transformer is nothing less than a mapper converting objects from one type to another. In our case, we want to transport the objects via JSON. So: Read JSON from AMQP, deserialize it back to a POJO, process the message, return a value and serialize it to JSON and finally send it back via AMQP.

We add two more channels which are being the new connection points for the AMQP endpoint: both requestChannelJson and resultChannelJson will be feeded with JSON messages.

As you see, the built-in directives defines that all messages of requestChannelJson will be transformed to a POJO and put into requestChannel. The same way back for the result channels. Finally, we have to adjust the AMQP configuration to use the new Json channels. That’s it.