AJP (Apache JServ Protocol) Connector

 

 

 

 

 

 

AJP (Apache JServ Protocol) Connector는 Tomcat과 다른 웹 서버(주로 Apache HTTP 서버) 간의 효율적인 통신을 위한 바이너리 프로토콜입니다. AJP는 HTTP보다 빠르고, 웹 서버와 애플리케이션 서버 사이의 프록시 역할을 할 때 자주 사용됩니다. 이 프로토콜은 특히 로드 밸런싱과 클러스터링 환경에서 널리 사용되며, 네트워크 오버헤드를 줄이고 성능을 향상시키는 데 중요한 역할을 합니다.

다음은 AJP에 대한 상세한 설명입니다.

---

1. AJP의 정의 및 주요 목적

• AJP (Apache JServ Protocol)은 Apache HTTP 서버나 다른 웹 서버가 프록시 서버 역할을 하면서 Tomcat으로 HTTP 요청을 전달할 때 사용되는 바이너리 프로토콜입니다.
• AJP는 Tomcat과 웹 서버 간의 속도와 효율성을 개선하기 위해 설계되었습니다. HTTP는 텍스트 기반 프로토콜인데 비해, AJP는 바이너리 프로토콜로 더 빠르게 데이터를 처리할 수 있습니다.
• AJP는 주로 로드 밸런싱이 필요한 대규모 시스템에서 프론트엔드 웹 서버와 백엔드 애플리케이션 서버 간의 통신에 사용됩니다. 이러한 구성을 통해 프론트엔드에서 정적 콘텐츠를 제공하고, 동적 콘텐츠는 백엔드에서 처리하게 됩니다.

---

2. AJP Connector의 동작 원리

• AJP는 웹 서버(Apache HTTP Server 등)가 클라이언트로부터 HTTP 요청을 받으면, 이를 Tomcat에 전달하는 데 사용됩니다.
• 웹 서버 → Tomcat 간 통신 과정:
  1. 클라이언트 요청: 클라이언트는 Apache HTTP Server와 같은 웹 서버에 HTTP 요청을 보냅니다.
  2. Apache 웹 서버 처리: Apache 웹 서버는 정적 파일(이미지, CSS, JS 등)을 직접 제공하거나, 동적 콘텐츠 처리를 위해 AJP 커넥터를 통해 Tomcat에 요청을 전달합니다.
  3. AJP 통신: AJP는 이 요청을 바이너리 포맷으로 변환하여 Tomcat의 AJP Connector에 전달합니다.
  4. Tomcat 처리: Tomcat은 이 요청을 적절한 서블릿, JSP 또는 Spring과 같은 애플리케이션으로 전달해 처리하고, 그 결과를 다시 Apache 웹 서버로 돌려줍니다.
  5. 클라이언트 응답: Apache 웹 서버는 최종 결과를 클라이언트에게 전달하여, Tomcat이 처리한 동적 데이터를 반환합니다.

---

3. AJP의 구성 요소

AJP는 여러 구성 요소와 설정 옵션을 통해 웹 서버와 Tomcat 간의 통신을 최적화합니다. AJP의 주요 구성 요소는 다음과 같습니다:

A. Connector 설정

• Tomcat에서 AJP 커넥터를 설정하기 위해서는 server.xml 파일에 설정을 추가해야 합니다.
• 기본 설정 예시:주요 속성:
  1. protocol: AJP/1.3은 AJP 프로토콜의 버전을 의미합니다. AJP 1.3이 가장 널리 사용됩니다.
  2. port: AJP 커넥터가 사용하는 포트입니다. 기본적으로 8009 포트가 사용됩니다.
  3. redirectPort: HTTPS 요청 시 리디렉션할 포트를 설정합니다. 일반적으로 8443 포트를 사용합니다.
  4. maxThreads: AJP 커넥터가 동시에 처리할 수 있는 최대 스레드 수입니다. 이 값을 높이면 동시 접속을 처리하는 능력이 향상됩니다.
  5. connectionTimeout: AJP 커넥터가 연결을 대기하는 시간(밀리초)입니다. 기본적으로 20초입니다.
  6. address: AJP 커넥터가 바인딩할 IP 주소를 지정합니다. 이 옵션을 통해 로컬 네트워크 내부 통신만 허용할 수 있습니다.
  7. secret: AJP 커넥터의 보안을 강화하기 위해 비밀 키를 설정할 수 있습니다. Apache HTTP Server와 이 비밀 키를 공유하여 허가된 요청만 처리할 수 있습니다.
  B. Apache HTTP 서버와의 연계
• <Connector protocol="AJP/1.3" port="8009" redirectPort="8443" maxThreads="200" connectionTimeout="20000" address="127.0.0.1" secret="yourSecret" />
• Apache HTTP Server는 mod_proxy_ajp 또는 mod_jk 모듈을 통해 AJP를 지원합니다.
• mod_proxy_ajp는 AJP를 이용한 프록시 설정을 단순하게 설정할 수 있으며, 다음과 같이 설정할 수 있습니다.이 설정은 Apache가 클라이언트로부터 받은 요청을 AJP 포트 8009를 통해 Tomcat으로 프록시하도록 만듭니다. ProxyPassReverse는 Tomcat으로부터 받은 응답을 다시 클라이언트에게 반환하는 역할을 합니다.
• <VirtualHost *:80> ProxyPass / ajp://localhost:8009/ ProxyPassReverse / ajp://localhost:8009/ </VirtualHost>

---

4. AJP의 주요 기능 및 특징

A. 빠른 통신

• 바이너리 포맷을 사용함으로써, AJP는 HTTP보다 적은 오버헤드로 데이터를 처리합니다. HTTP는 텍스트 기반이지만, AJP는 바이너리 형식으로 데이터를 전송하여 처리 속도가 빠릅니다.
• AJP는 헤더 데이터 압축을 지원하여, 클라이언트와 서버 간의 통신에서 네트워크 대역폭을 줄이고 더 빠르게 데이터를 전송할 수 있습니다. 특히 대규모 트래픽이 발생할 때 유리합니다.
• B. 세션 스티키니스(Session Stickiness)
• AJP는 로드 밸런싱 환경에서 세션 스티키니스 기능을 지원합니다. 이는 클라이언트의 세션이 최초 연결된 특정 Tomcat 인스턴스에 계속 연결되도록 보장합니다.
• 세션 스티키니스는 여러 서버에서 동일한 사용자의 세션 데이터를 유지해야 할 때 유용하며, 이를 통해 세션 데이터의 일관성을 보장할 수 있습니다. AJP는 클라이언트의 JSESSIONID를 확인하여 동일한 Tomcat 서버로 요청을 라우팅합니다.
• C. 보안 강화
• AJP는 비밀 키(secret)를 사용하여 Tomcat과 Apache HTTP 서버 간의 통신을 보호할 수 있습니다. 이 비밀 키는 server.xml과 Apache 설정에서 동일하게 설정하여, 외부에서 비인가된 요청이 AJP 포트에 접근하지 못하도록 합니다.
• Ghostcat 취약점(CVE-2020-1938): AJP는 과거에 보안 취약점이 발견되었습니다. 특히, Ghostcat 취약점에서는 외부에서 AJP 포트에 접근할 수 있는 경우 Tomcat 서버의 파일 시스템에 접근할 수 있는 문제가 있었습니다. 이를 해결하기 위해 AJP 포트를 방화벽으로 보호하거나 로컬 호스트로만 제한하는 설정을 권장합니다.
• D. 클러스터링 지원
• AJP는 로드 밸런서가 여러 Tomcat 인스턴스 간에 요청을 분산할 수 있도록 돕습니다. AJP를 사용하여 여러 Tomcat 인스턴스에서 세션 복제와 장애 조치(failover)를 수행할 수 있습니다.
• 클러스터 환경에서는 Tomcat이 각 인스턴스에서 세션 상태를 복제하여, 하나의 서버가 장애가 나더라도 다른 서버가 세션을 이어받을 수 있도록 합니다. 이를 통해 고가용성이 보장됩니다.

---

5. AJP와 HTTP의 차이점

특징	AJP	HTTP
프로토콜 형식	바이너리	텍스트
속도	빠름	상대적으로 느림
주 사용 사례	프록시 서버와 애플리케이션 서버 간 통신	클라이언트와 웹 서버 간 통신
보안	비밀 키를 통한 인증, 기본적으로는 방화벽으로 보호 필요	SSL/TLS로 암호화 가능
**세션 스

티키니스** | 지원 | 기본 HTTP에서는 지원하지 않음 |
| 네트워크 오버헤드 | 적음 | 많음 |

---

6. AJP의 성능 최적화 및 보안 고려 사항

A. 성능 최적화

• maxThreads: Tomcat이 AJP 요청을 처리할 수 있는 최대 스레드 수를 늘리면 동시 연결 처리를 개선할 수 있습니다. 일반적으로 로드 밸런싱 환경에서는 요청이 집중될 수 있기 때문에 이 값을 적절히 설정해야 합니다.
• connectionTimeout: 비활성 연결을 더 빨리 종료하도록 설정하여 리소스를 절약할 수 있습니다. 너무 긴 대기 시간은 불필요한 스레드 사용을 초래할 수 있습니다.
• socketBufferSize: AJP 소켓의 버퍼 크기를 설정하여 대용량 데이터를 더 빠르게 처리할 수 있습니다. 기본적으로는 적당한 값이 설정되어 있지만, 네트워크 상황에 따라 튜닝이 필요할 수 있습니다.
• B. 보안 고려 사항
• 포트 접근 제한: AJP 포트는 외부에서 접근할 수 없도록 반드시 방화벽을 설정해야 합니다. 또한, address 옵션을 통해 로컬 네트워크에서만 AJP 포트에 접근할 수 있도록 제한하는 것이 중요합니다.
• 비밀 키 사용: 비밀 키(secret)를 설정하여, 프록시 서버와 Tomcat 간에 인증된 요청만 처리하도록 해야 합니다. 이 비밀 키는 Apache 설정에서도 동일하게 지정하여 일치하도록 해야 합니다.
• SSL/TLS: AJP 자체는 암호화를 제공하지 않으므로, 민감한 데이터를 다루는 경우 SSL/TLS로 암호화된 통신을 설정하거나, 외부 네트워크로부터 AJP 포트를 보호해야 합니다.

---

7. AJP 사용 시의 실제 적용 예시

예시 1: Apache HTTP Server와 Tomcat 간의 통신

• Apache HTTP Server가 앞단에서 클라이언트 요청을 받아 정적 리소스는 직접 제공하고, 동적 요청은 AJP를 통해 Tomcat으로 전달하여 처리하게 구성합니다. 이때 AJP 1.3을 사용하여 빠른 바이너리 전송이 이루어집니다.
• 예시 2: 로드 밸런싱과 세션 스티키니스 적용*
• AJP를 사용한 로드 밸런싱 환경에서, 클라이언트는 Apache HTTP Server를 통해 여러 Tomcat 인스턴스에 요청을 보냅니다. AJP는 각 클라이언트의 세션을 고유의 Tomcat 인스턴스에 유지시켜, 동일한 사용자의 요청이 항상 같은 서버에서 처리되도록 보장합니다.

---

AJP 커넥터는 대규모 웹 애플리케이션의 성능과 확장성을 최적화하는 중요한 요소입니다. AJP는 주로 프론트엔드 웹 서버와 백엔드 Tomcat >간의 고속 통신을 위해 사용되며, 로드 밸런싱 및 세션 관리에서 중요한 역할을 합니다. 보안 설정 및 성능 최적화를 통해, AJP는 >대규모 분산 시스템에서 특히 유용하게 사용될 수 있습니다.