Help us understand the problem. What is going on with this article?

Spring Boot 2.0のActuator、とりあえず動かすために知っておきたい変更点3つ

More than 1 year has passed since last update.

Actuatorは、Spring Boot 2.0で最も変更された機能、と言っても過言ではありません。
細かい点を上げればキリが無いので、とりあえず1.xからの移行で気をつけるべき点をいくつか紹介します。

デフォルトでURLプレフィックスが付くようになった

おそらく、Boot 1.xで作った既存アプリを2.0にアップグレードした際、Actuatorで一番出るエラーが「404 Not Found」だと思います(少なくとも僕はそうでした)。
実は2.0から、全Actuatorエンドポイントに/actuatorというプレフィックスが付加されました。つまり、いままではlocalhost:8080/infoのように指定していたURLを、localhost:8080/actuator/infoをとしなければならないのです。

このプレフィックスは、下記のプロパティで変更可能です。

application.propertiesの例
# デフォルト値は"/actuator"
management.endpoints.web.base-path=/admin

また、Actuatorエンドポイント用のポート番号を変えたり、コンテキストパスを付加する事もできます。ポート番号を指定しないとコンテキストパスも付かないので、注意してください。

application.propertiesの例
management.server.port=9999
management.server.servlet.context-path=/admin-context

つまり、上記3つの設定をすべて書いた場合のActuatorエンドポイントは、localhost:9999/admin-context/admin/infoのようになります。

デフォルトで/info/healthしか公開されなくなった

これも404エラーの原因になります。/env/beansなどはデフォルトで公開されません。
公開したいエンドポイントは、下記のように設定します。

application.propertiesの例
management.endpoints.web.exposure.include=env,beans,loggers

1つでも指定してしまうと、/info/healthも明示的に指定しない限り公開されなくなります。

すべてのエンドポイントを公開したい場合は*と指定します。

application.propertiesの例
management.endpoints.web.exposure.include=*

逆に、公開しないエンドポイントはmanagement.endpoints.web.exposure.excludeで指定します。例えば下記のように記述すると、/env/info以外の全エンドポイントが公開されます。

application.propertiesの例
management.endpoints.web.exposure.include=*
management.endpoints.web.exposure.exclude=env,info

公開設定がされていても、個別に有効化されていないエンドポイントは公開されません。例えば下記のように記述すると、/beans/healthのみが公開されます。/auditeventsは公開指定ではあるものの無効化されているため、公開されません。

application.propertiesの例
management.endpoints.web.exposure.include=auditevents,beans,health
# /auditeventsは無効化されているので公開されない
management.endpoint.auditevents.enabled=false

各エンドポイントの有効化設定はmanagement.endpoint.xxxxx.enabledで可能です(xxxxxにエンドポイント名が入ります)

デフォルトでセキュリティ保護対象ではなくなった

Spring Boot 1.5から、sensitiveなActuatorエンドポイントがセキュリティ保護対象(ACTUATORロールのユーザーでないとアクセスできない)になっていました。

Spring Boot 2.0では、そもそもsensitiveという概念が無くなり、公開されている全エンドポイントがセキュリティ保護対象ではなくなりました。
エンドポイントをセキュリティ保護するには、明示的にSpring Securityを入れて、セキュリティ設定をJava Configで記述する必要があります。

pom.xml
...
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <!-- Spring Securityを追加!-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        ...
    </dependencies>
...
JavaConfigの例
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 一般ユーザーと、Actuatorにアクセスするユーザーを作成
        // (ユーザー名、パスワード、ロール名は任意)
        auth.inMemoryAuthentication()
                .passwordEncoder(NoOpPasswordEncoder.getInstance()) // 本番ではNoOpPasswordEncoder禁止!
                .withUser("actuator").password("password").roles("ACTUATOR").and()
                .withUser("user").password("password").roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // BASIC認証の有効化
        http.httpBasic();
        // ActuatorエンドポイントはACTUATORロールのみアクセス可能、
        // その他はログイン済みであればどのロールでもアクセス可能
        http.authorizeRequests()
                .requestMatchers(EndpointRequest.toAnyEndpoint()).hasRole("ACTUATOR")
                .anyRequest().authenticated();

        // 本番ではCSRFは無効化しないで!
        http.csrf().disable();
    }
}

EndpointRequestクラスは、サーブレット用とリアクティブ用で2つあるので注意してください。今回はサーブレットベースを想定しているので、org.springframework.boot.actuate.autoconfigure.security.servletパッケージのEndpointRequestクラスを利用してください。

curlでのアクセス例
$ curl -v -u actuator:password localhost:8080/actuator/health | jq
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 8080 (#0)
* Server auth using Basic with user 'actuator'
> GET /actuator/health HTTP/1.1
> Host: localhost:8080
> Authorization: Basic YWN0dWF0b3I6cGFzc3dvcmQ=
> User-Agent: curl/7.54.0
> Accept: */*
>
< HTTP/1.1 200
< Set-Cookie: JSESSIONID=C472F3844F17FC8EBC779A35DEFB085F; Path=/; HttpOnly
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Cache-Control: no-cache, no-store, max-age=0, must-revalidate
< Pragma: no-cache
< Expires: 0
< X-Frame-Options: DENY
< Content-Type: application/vnd.spring-boot.actuator.v2+json;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Fri, 09 Mar 2018 07:03:55 GMT
<
{ [20 bytes data]
100    15    0    15    0     0    165      0 --:--:-- --:--:-- --:--:--   166
* Connection #0 to host localhost left intact
{
  "status": "UP"
}

最後に

上記3点を注意すれば、1.xで作成したアプリを2.0にアップグレードして、とりあえず動かすことはできるでしょう。
しかし、Actuatorには他にも変更点がいっぱいありますので、公式ドキュメントのActuatorの章は一通り読んでおきましょう!
https://docs.spring.io/spring-boot/docs/current/reference/html/production-ready.html
これの解説ブログも書きたいのですが・・・まあ、気長に待っていてください!

suke_masa
Java / Spring / Microservices / Kubernetes(CKAD) / IntelliJ IDEA
https://www.casareal.co.jp/ls
casareal
システム開発/評価・検証支援/品質改善支援サービスと現場に即した実践的なIT研修サービスを提供しています。
https://www.casareal.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away