🧠 Oracle WebLogic – Guide complet (Admin, DevOps, Kubernetes)

1.1 WebLogic : vue d’ensemble (et quand l’utiliser)

WebLogic, c’est quoi ?

Oracle WebLogic Server est un serveur d’applications Java orienté entreprise : exécution d’applications WAR/EAR, support des APIs Java/Jakarta EE (selon versions), intégrations JMS/JTA/JDBC, clustering, sécurité, et tooling d’admin.

Usage typique : SI bancaire/assurance, middleware Oracle, SOA, applis monolithes Java, legacy modernisé, contraintes d’audit.
Fort : robustesse, “ops knobs” très fournis, HA, gouvernance, intégration FMW.
Coût / complexité : plus élevé qu’un Tomcat/Jetty/Spring Boot standalone.

WebLogic 14c (14.1.2) est un jalon important : certification JDK 17/21 et continuité Jakarta EE 8. citeturn0search6

Versioning & repères

Objet	À retenir
WebLogic 14c	Version 14.1.2 disponible (installers). citeturn0search0turn0search4
Notes 14.1.2	Documentation initiale publiée déc. 2024. citeturn0search1
Inter‑op	Compatibilité & scénarios client/serveur évoluent entre 12c/14c/15c. citeturn0search8
K8s Operator	Operator Oracle pour exécuter des domains WLS sur Kubernetes. citeturn0search3turn0search13

Emplacement image

Schéma “Domain / AdminServer / Managed Servers / Cluster / Node Manager / LB”.

Le concept de Domaine

Le Domain est l’unité de configuration : il contient les servers, clusters, deployments, resources (JDBC/JMS…), sécurité, logs. Il est généralement stocké dans un répertoire DOMAIN_HOME.

3 rôles structurants

AdminServer : console + MBeans + centre de contrôle (Change Center).
Managed Server(s) : exécution des applis et ressources.
Node Manager : agent sur machine, start/stop/restart des servers, utile en prod/cluster.

Domain
├─ AdminServer (7001)
├─ ClusterA
│  ├─ ms1 (8001)
│  ├─ ms2 (8002)
├─ Resources
│  ├─ JDBC (DataSources)
│  ├─ JMS (Modules, Servers)
│  ├─ Security Realm
└─ Node Manager (sur chaque machine)

Fichiers clés (prod)

Chemin	Rôle
`DOMAIN_HOME/config/config.xml`	Configuration principale du domain (à manipuler avec précaution).
`DOMAIN_HOME/servers/*/logs`	Logs servers (Admin + Managed).
`DOMAIN_HOME/security/`	Boot identity, policies, realm config (selon cas).
`DOMAIN_HOME/bin/`	Scripts start/stop, setDomainEnv.

Bon réflexe DevOps : séparer ORACLE_HOME (binaries) et DOMAIN_HOME (config), versionner l’infra-as-code (WLST/Ansible), et traiter le domain comme un artefact reconstruit.

Services WebLogic qu’on rencontre tout le temps

Service	À quoi ça sert	Points DevOps
JDBC	Pools de connexions DB + transactions (XA/non‑XA).	Validation, leak detection, sizing, secrets.
JMS	Messaging (queues/topics), modules, destinations distribuées.	HA, quotas, stuck messages, saf/ordering.
JTA	Transactions distribuées.	XA tuning, timeouts, heuristics, logs.
Security Realm	AuthN/AuthZ (users/groups/roles/policies).	SSO, audit, least privilege.
MBeans	Management model (monitoring/config).	WLST, exporter metrics, automation.

Emplacement image

Capture “Admin Console → Services → Data Sources / JMS Modules / Security Realms”.

Quand WebLogic est pertinent

Écosystème Oracle / Fusion Middleware / SOA / OSB.
Applications enterprise multi-modules nécessitant clustering, gouvernance, console d’admin riche.
Contraintes fortes : audit, traçabilité, segmentation, environnements stricts.

Quand un runtime plus léger suffit

Microservices Spring Boot + Actuator + service mesh (K8s) : souvent plus simple et moins cher.
Applications “stateless” simples : Tomcat/Jetty/Undertow.
Si vous voulez “immutable infra” totale : container-first, config externalisée.

L’approche moderne : garder WebLogic là où il apporte une vraie valeur (legacy critique / FMW), et déplacer le reste vers des stacks cloud-native.

1.2 Architecture & composants (prod-ready)

Layout recommandé (binaries vs domains)

/u01/app/oracle
├─ middleware/               # ORACLE_HOME (WLS + Coherence)
│  ├─ wlserver
│  ├─ coherence
│  └─ ...
├─ domains/
│  ├─ prod_domainA/          # DOMAIN_HOME
│  └─ prod_domainB/
└─ inventory/                # oraInventory (selon install)

Principe : séparer l’installation (immutable-ish) de la config (domain).
Gestion : ORACLE_HOME patché par OPatch, domain reconstruit/maîtrisé via WLST/Ansible.
Secrets : keystores + credentials store + external secret manager (si possible).

Composants & responsabilités

Composant	Responsabilité	Ops notes
AdminServer	Console, config, MBeans	Restreindre l’accès, HA via backup + fast restore
Managed Servers	Runtime apps/resources	Cluster, rolling restart, probes health
Node Manager	Start/stop serveur	Systemd service, secure listener
DB (JDBC)	Persistence	Pool tuning, timeouts, SSL, rotation secrets
LB / Ingress	Routage	Sticky sessions vs replication, TLS termination

Emplacement image

Diagramme réseau + DMZ (LB → Managed) + Admin isolé.

Ports & flux : checklist rapide

Exemple (à adapter)

AdminServer : 7001 (HTTP) / 7002 (HTTPS)
Managed ms1 : 8001 (HTTP) / 8002 (HTTPS)
Managed ms2 : 8011 (HTTP) / 8012 (HTTPS)
NodeManager : 5556 (SSL) ou 5558 selon conf
DB          : 1521 (Oracle) / 5432 (PostgreSQL)
LB/Ingress  : 443 (TLS)

Règle d’or : AdminServer non exposé Internet. Accès via bastion/VPN/Zero‑Trust.

Flux typiques

Clients → LB/Ingress : 443
LB → Managed Servers : HTTP/HTTPS (internes)
Admin console → AdminServer : réseau d’admin uniquement
AdminServer → Managed : management, config, monitoring
Node Manager ↔ servers : start/stop

Documente tes ACL / SG / firewall : “qui parle à qui”, et pourquoi.

Stratégies LB

Round‑robin : ok si applis stateless ou sessions répliquées.
Sticky sessions : simple, mais attention aux déséquilibres et aux failovers.
Health checks : endpoints dédiés + seuils; sortir un node avant un restart.

Pattern “zero downtime”

Drain ms1 au LB
Redeploy/restart ms1
Warmup + smoke tests
Re‑enable ms1, puis ms2

Headers & proxy awareness

En environnement proxy/LB, vérifie :

Headers X‑Forwarded‑For / X‑Forwarded‑Proto
Réécriture des URLs, redirect HTTPS, HSTS
Limites : taille headers, timeouts, keepalive

Emplacement image

Extrait config Nginx/HAProxy/ALB ciblant ms1/ms2.

Contrôler le drift

Source de vérité : scripts WLST + Ansible + templates.
Déconseillé : modifications manuelles non tracées dans la console.
Process : PR → review → apply en environnement → validation → prod.

Git repo
├─ wlst/
│  ├─ 10-datasources.py
│  ├─ 20-jms.py
│  ├─ 30-security.py
│  └─ 40-deploy.py
├─ ansible/
│  ├─ roles/weblogic_domain/
│  └─ inventories/prod
└─ docs/runbooks/

Backups (pragmatiques)

Snapshot DOMAIN_HOME (hors caches/temp) + keystores.
Exporter la config “logique” via WLST (idempotent) → reconstructible.
Pour les applis : artefacts versionnés (Nexus/Artifactory/S3).

Ton objectif DevOps : rebuild plutôt que restore. Le restore devient le plan B.

1.3 Installation & prérequis (prod + silent)

Prérequis OS (checklist)

Compte système dédié (ex: weblogic), droits contrôlés.
FS : volume séparé pour ORACLE_HOME, DOMAIN_HOME, logs.
Limits : nofile, nproc adaptés (systemd ulimits).
Temps : NTP OK (certificats / logs / cluster).
Réseau : DNS stable, hostnames cohérents, reverse si requis.

Emplacement image

Screenshot d’un arbre /u01/app/oracle propre.

Artefacts officiels

Oracle fournit plusieurs installers (generic, quick, slim, etc.). citeturn0search0turn0search4

Installer	Cas d’usage
Generic	Dev + prod (recommandé si tu veux l’ensemble des features).
Quick	Dev (rapide) – pas idéal pour industrialiser.
Slim	Images containers (K8s) quand console/clients ne sont pas requis. citeturn0search4

Silent install (pattern)

Objectif : reproductible, non interactif, compatible CI/CD.

# 1) Préparer un JDK (ex: 17) et JAVA_HOME
export JAVA_HOME=/usr/lib/jvm/java-17
export PATH=$JAVA_HOME/bin:$PATH

# 2) Lancer l'installer (exemple générique)
java -jar fmw_14.1.2.0.0_wls.jar -silent -responseFile /tmp/wls.rsp -invPtrLoc /tmp/oraInst.loc

# 3) Vérifier l'inventaire / logs
cat /u01/app/oracle/inventory/logs/*.log

Tip : stocke les response files (.rsp) dans Git (sans secrets), et injecte le reste par variables/secret manager.

Emplacement image

Capture d’une install silent + logs success.

Variables classiques

export ORACLE_HOME=/u01/app/oracle/middleware
export WL_HOME=$ORACLE_HOME/wlserver
export DOMAIN_HOME=/u01/app/oracle/domains/prod_domainA

# facultatif
export MW_HOME=$ORACLE_HOME
export PATH=$WL_HOME/server/bin:$PATH

Les scripts setDomainEnv.sh (dans DOMAIN_HOME/bin) posent le classpath et la JVM.

Runbooks DevOps

1 page : “comment démarrer/stopper proprement” (Admin + cluster)
1 page : “où sont les logs” + patterns d’erreurs
1 page : “procédure patch/rollback”
1 page : “procédure incident (stuck threads / heap)”

Le vrai gain prod : documentation actionnable + automatisation.

JDK : ce que dit Oracle

WebLogic 14.1.2 est certifié pour JDK 17 et JDK 21. citeturn0search6

Choisir une LTS stable et aligner toutes les machines d’un cluster.
Standardiser : même vendor, mêmes options JVM, mêmes patchlevels.

Compat / interop

En coexistence 12c/14c/15c, vérifie les scénarios d’interop (protocoles, clients, jars). citeturn0search8

Anti‑piège : “ça marche en dev” mais pas en prod car le client jar/protocole n’est pas aligné.

2.1 Création d’un domaine (wizard, prod layout, boot identity)

Configuration Wizard (logique)

Choisir un template (Base WLS / FMW Infrastructure / etc.)
Définir : Domain name, Admin user, Admin port, Java options
Créer : Managed Servers, Clusters, Machines
Configurer : DataSources, JMS, Keystores, SSL (au moins Admin)

# Lancement typique (Linux)
$ORACLE_HOME/oracle_common/common/bin/config.sh

Topologie “starter” (raisonnable)

MachineA
  - AdminServer
  - NodeManager
MachineB
  - ms1 (ClusterA)
  - NodeManager
MachineC
  - ms2 (ClusterA)
  - NodeManager
+ LB devant ms1/ms2

But : garder Admin isolé, et mettre le trafic utilisateur uniquement sur le cluster.

Emplacement image

Screenshots Wizard : creation domain + cluster + managed.

Boot identity (start sans mot de passe en clair)

Pattern : stocker les credentials chiffrés par WebLogic dans boot.properties (puis ils sont “encrypted” au premier start).

# Exemple (à placer dans DOMAIN_HOME/servers/AdminServer/security/boot.properties)
username=weblogic
password=SuperSecret123

# Premier démarrage : WebLogic chiffre le password

En prod, évite les secrets en clair : privilégie un secret manager + injection contrôlée + permissions FS strictes.

Node Manager : rôle

Démarrer/arrêter/redémarrer Managed Servers via AdminConsole/WLST
Surveillance et restart contrôlé
Mode SSL recommandé (listener sécurisé)

# Démarrer Node Manager (selon installation)
$WL_HOME/server/bin/startNodeManager.sh

# Config Node Manager :
DOMAIN_HOME/nodemanager/nodemanager.properties

systemd (exemple)

# /etc/systemd/system/weblogic-nodemanager.service
[Unit]
Description=WebLogic Node Manager
After=network.target

[Service]
Type=simple
User=weblogic
Group=weblogic
Environment=JAVA_HOME=/usr/lib/jvm/java-17
ExecStart=/u01/app/oracle/middleware/wlserver/server/bin/startNodeManager.sh
Restart=on-failure
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

Même approche pour AdminServer et Managed Servers, via des scripts dédiés + env contrôlé.

Checklist “go‑live”

✅ AdminServer non exposé
✅ TLS activé (au minimum Admin + LB)
✅ Logs rotation + centralisation (ELK/Opensearch/Loki)
✅ JVM opts standardisés + heap sizing
✅ Health endpoints + LB checks
✅ Backups domain + keystores + artefacts

✅ Runbooks incident + patch + rollback
✅ WLST/Ansible pour reconstruction
✅ Observabilité (metrics + dashboards)
✅ Tests : smoke / perf / failover
✅ Least privilege (users/roles/policies)

2.2 Admin Console & Remote Console (navigation utile)

Zones que tu vas visiter 80% du temps

Environment → Servers (Admin/Managed, états, ports, logs)
Environment → Clusters (HA, membership)
Services → Data Sources (tests connexion, pool)
Services → Messaging (JMS) (queues, quotas, stuck)
Deployments (targets, plans, start/stop, versions)
Security Realms (users/groups/roles/policies/audit)

Actions “prod safe”

Lecture/monitoring (OK)
Tests DataSource (OK)
Redeploy contrôlé (OK si process)
Éviter les changements non tracés (sinon drift)

Emplacement image

Capture : “Services → Data Sources → Monitoring”.

Change Center : comprendre le verrou

WebLogic peut exiger un “lock & edit” avant d’appliquer certaines modifications. En prod, impose une gouvernance :

Fenêtres de changement, traçabilité, qui a locké, pourquoi
Validation (preprod) avant activation prod
Automatisation WLST/Ansible préférée

Moins de “clicops”, plus de scripts idempotents.

Signaux rouges classiques

Stuck threads / hogging threads
JDBC pool saturation / connection leaks
GC pauses trop longues, heap pressure
JMS stuck messages / quotas

# Réflexe incident
1) Identifier le scope (ms1/ms2 ? cluster ?)
2) Lire logs ciblés (server + access + datasource)
3) Thread dump (si stuck)
4) Vérifier DB / réseau / LB
5) Mitigation (drain + restart node) si nécessaire

Diagnostics utiles

Server log + access log + GC log + stdout/stderr
Thread dumps multi‑shots (3 à 10 secondes d’intervalle)
Heap dump si OOM/Leak

Emplacement image

Capture : “Servers → Monitoring → Threads”.

Anti‑patterns (à éviter en prod)

Modifier la config à la main, sans PR, puis oublier → drift garanti
Mettre AdminServer sur le même LB que le trafic client
Utiliser un user admin partout (pas de séparation des rôles)
Absence de rotation logs → disque plein → outage “bête”
Pas de runbook incident/patched → temps de MTTR explose

2.3 WLST (WebLogic Scripting Tool) : automation & GitOps

Deux modes

Offline WLST : créer/modifier un domain sans serveur démarré (templates, config).
Online WLST : se connecter à AdminServer pour piloter runtime/config.

# Online
connect('weblogic','***','t3s://adminhost:7002')
serverConfig()
cd('/Servers')
ls()

Pourquoi c’est “l’arme DevOps”

Automatiser la console (datasources, JMS, users, deploy)
Versionner les changements (PR, review)
Rebuild domains (immutable mindset)

WLST + Ansible = runbooks exécutables.

Exemples WLST (à adapter)

Créer une DataSource (online)

connect('weblogic','***','t3s://admin:7002')
edit(); startEdit()

cd('/')
create('AppDS','JDBCSystemResource')
cd('JDBCSystemResources/AppDS/JdbcResource/AppDS')
create('myJdbcDataSourceParams','JDBCDataSourceParams')
cd('JDBCDataSourceParams/NO_NAME_0')
set('JNDINames', jarray.array([String('jdbc/AppDS')], String))

# driver params
cd('../JDBCDriverParams/NO_NAME_0')
set('Url','jdbc:oracle:thin:@//dbhost:1521/ORCLPDB1')
set('DriverName','oracle.jdbc.OracleDriver')
set('PasswordEncrypted','***')

save(); activate()

Déployer un EAR sur un cluster

connect('weblogic','***','t3s://admin:7002')

app='/artifacts/myapp-1.2.3.ear'

deploy(appName='myapp', path=app, targets='ClusterA', stageMode='stage')

# redeploy contrôlé
# redeploy('myapp', path=app, targets='ClusterA')

Astuce : externaliser la version (tag), et tracer déploiement (build id, git sha).

Idempotence : le nerf de la guerre

Avant create() : vérifier si l’objet existe (ls + try/except)
Comparer la config actuelle vs désirée (desired state)
Ne pas stocker de secrets en clair dans Git
Garder des scripts “petits” : 1 script = 1 domaine logique

# pattern simple
try:
  cd('/JDBCSystemResources/AppDS')
  print('AppDS exists')
except:
  cd('/')
  create('AppDS','JDBCSystemResource')
  print('AppDS created')

WLST en CI (Jenkins)

stage('Deploy WebLogic') {
  steps {
    sh '''
      export JAVA_HOME=/usr/lib/jvm/java-17
      export ORACLE_HOME=/u01/app/oracle/middleware
      $ORACLE_HOME/oracle_common/common/bin/wlst.sh wlst/40-deploy.py \
        -DappVersion=${GIT_COMMIT}
    '''
  }
}

Ajoute des smoke tests HTTP + rollback automatique si 5xx.

3.1 Déploiements (WAR/EAR) : patterns “prod”

WAR, EAR, targets

Target : AdminServer, managed server(s), cluster.
Stage mode : stage / nostage / external_stage (selon infra).
Libraries : shared libs, attention au coupling/upgrade.

Checklist déploiement “safe”

✅ Artefact immuable (build unique)
✅ Config externalisée (plans/env vars)
✅ Smoke tests post-deploy
✅ Rollback rapide (artefact précédent)

Deployment Plan : séparer code et config

Le plan permet de surcharger des paramètres (ex: URLs, JNDI) sans rebuild l’EAR.

# Exemple :
myapp.ear
myapp-plan.xml

# Déploiement
# (console ou wlst deploy(..., planPath='myapp-plan.xml'))

Emplacement image

Extrait d’un plan.xml (remplacement d’URL, JNDI, context root).

Rolling update (cluster)

Drain ms1 (LB) → redeploy sur ms1 → warmup
Re-enable ms1
Drain ms2 → redeploy sur ms2 → warmup
Re-enable ms2

Avec sessions stateful : vérifier sticky vs replication + temps de bascule.

Artefacts & repo

Nexus/Artifactory/S3 : stocker myapp-1.2.3.ear
Taguer : version + git sha + build id
Conserver N versions (N=20) pour rollback rapide

# Naming robuste
myapp-1.2.3+sha.4f2c1a7.ear
myapp-plan-prod.xml
myapp-plan-preprod.xml

3.2 JDBC / Datasources : pool, XA, tuning

Paramètres pool (mnémo)

Paramètre	But	Conseil
Initial/Min/Max	Capacité pool	Dimensionner sur load + DB limits
Connection Reserve Timeout	Timeout d’attente	Détecter saturation rapidement
Test On Reserve	Valider connexion	Éviter connexions mortes
Inactive Connection Timeout	Recycler idle	Réduit leaks invisibles

Anti‑pièges

Pool max trop élevé → DB s’écroule (trop de sessions)
Pas de tests → erreurs aléatoires après failover DB
Timeouts incohérents (appli vs WLS vs DB vs LB)

Le tuning JDBC, c’est du “capacity engineering”.

XA vs non‑XA (résumé)

Non‑XA : plus simple, plus rapide, pas de transaction distribuée.
XA : transactions distribuées (JTA) → plus complexe, logs, timeouts, heuristics.

Ne passe en XA que si c’est nécessaire (sinon complexité + perf hit).

Tests & monitoring

Utiliser “Test Data Source” en console (pré-prod/prod)
Surveiller : Active connections, waiting, failures, leaks
Alertes : “reserve timeout” et “pool exhausted”

# Runbook incident JDBC
1) Vérifier DB (latence, sessions)
2) Vérifier pool (max, waiting)
3) Réduire load (LB) / scale cluster
4) Identifier leak (threads/stack)
5) Fix app + redeploy

Secrets & mots de passe

Éviter de committer des passwords dans des scripts
Utiliser un coffre (Vault/ASM/Secret Manager) + injection runtime
Permissions FS strictes sur DOMAIN_HOME et keystores

3.3 JMS : modules, destinations distribuées, SAF

Modèle mental JMS WebLogic

JMS Server : héberge les messages (souvent ciblé sur un Managed Server)
JMS Module : définit queues/topics, connection factories…
Subdeployments : mapping module → JMS Server(s)

Points d’attention

Quotas (bytes/messages)
Redelivery / error destination
Transactions (JTA) et timeouts

Distributed Queue/Topic

Pour HA/scalabilité : distribuer les destinations sur plusieurs JMS Servers.

ClusterA
  JMS Server on ms1 -> member1
  JMS Server on ms2 -> member2
Distributed Queue -> member1 + member2

Planifier le routage/affinité et les scénarios de failover.

SAF (Store‑and‑Forward)

SAF sert à bufferiser/relayer des messages quand une destination distante n’est pas disponible.

Utile pour inter‑domain / inter‑DC, tolérance réseau
Surveiller la taille des stores et les backlogs

Runbook JMS incident (exemple)

Symptôme: producers bloqués / queue qui grossit
1) Vérifier quotas / pause / production rate
2) Vérifier consumers (alive? backlog?)
3) Vérifier transactions / timeouts
4) Vérifier store (disk full?)
5) Mitigation: scale consumers, augmenter quotas, purge contrôlée (si validée)
6) Post-mortem: cause racine (bug consumer, slow DB, etc.)

4.1 Clusters & HA : session, failover, rolling

Deux grandes approches

Stateless : le plus simple → LB round‑robin, scale horizontal.
Stateful : nécessite sticky sessions ou replication/HA store.

Composants HA

LB + health checks
Cluster membership + monitoring
Node Manager + redémarrage contrôlé
Backends HA (DB, JMS stores)

Sessions HTTP : sticky vs replication

Option	Avantages	Inconvénients
Sticky LB	Simple, performant	Failover session = potentiellement perdu
Replication	Meilleur failover	Overhead réseau/CPU, complexité

Migrations / failover

Planifier : quelles ressources migrent (JMS, etc.)
Tester : “kill -9 ms1”, observer bascule
Documenter : temps de RTO, RPO

Rolling restart (procédure)

Pour chaque managed server:
1) Drain au LB
2) Stop via WLST/Console (graceful)
3) Start via Node Manager
4) Vérifier health + logs
5) Réintégrer au LB

4.2 Ops : services, logs, rotation, runbooks

Start/Stop : règles simples

Démarrer Node Manager
Démarrer AdminServer
Démarrer Managed Servers (un à un) / cluster
Vérifier health, logs, datasources, JMS

# Stop (graceful)
1) Drain LB
2) stop managed servers
3) stop AdminServer
4) stop Node Manager

Logs utiles (où regarder)

Type	Emplacement	Quand
Server log	`DOMAIN_HOME/servers//logs/.log`	Erreurs runtime
Access log	selon conf (server/logs)	Trafic HTTP, codes
Stdout	`DOMAIN_HOME/servers//logs/.out`	Start, exceptions
GC log	selon JVM opts	Pauses, tuning

Rotation : éviter l’outage “disque plein”

Activer rotation native + logrotate OS si besoin
Centraliser (ELK/Opensearch/Loki) : plus simple pour incident
Mettre des alertes : disk usage > 80%

Runbook minimal (1 page)

- URL Admin (VPN) : https://adminhost:7002/console
- URL App (LB)     : https://app.example.com

- Start: nodemanager -> admin -> managed
- Stop : drain LB -> managed -> admin -> nodemanager

- Logs: DOMAIN_HOME/servers//logs
- Incident stuck: thread dumps x3 + vérifier JDBC + GC
- Rollback: redeploy version N-1 + restart node (si requis)

Sécurité : Realm, SSL/TLS, SSO, durcissement

Modèle : users/groups/roles/policies

Users/Groups : identité
Roles : agrégation de permissions (souvent dynamique)
Policies : règles d’accès aux ressources

Objectif : least privilege. Un admin “global” est une dette sécurité.

Gouvernance recommandée

Compte “ops-readonly” (monitoring)
Compte “ops-deploy” (deploy/redeploy)
Compte “security-admin” (certs, realm)
Audit activé + logs centralisés

TLS : points clés

Choisir : terminaison TLS au LB ou end‑to‑end (LB → managed en TLS)
Keystore/truststore : rotation planifiée
Désactiver suites obsolètes, forcer TLS 1.2+ (selon politique)

# JVM opts (exemples)
-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2
-Dhttps.protocols=TLSv1.2,TLSv1.3

Emplacement image

Capture : configuration keystore / SSL listen port.

SSO : SAML / OIDC (selon intégration)

Centraliser l’identité (IdP) : Azure AD / Okta / Keycloak…
Définir les claims/groupes → rôles WebLogic
Tester la révocation / rotation certificats / clock skew

Hardening (quick wins)

Admin derrière VPN/ZTNA, ACL strictes
Patch cycle : CPU/PSU planifié (voir modal patching)
Désactiver services inutiles, samples en prod = NON
Secrets hors Git, permissions FS minimales
Audit log activé + SIEM si possible

Observabilité : métriques, Prometheus, Grafana

KPIs utiles (prod)

Domaine	Mesures	Alertes
HTTP	RPS, latence p95/p99, 4xx/5xx	5xx spikes, p99 > seuil
JVM	Heap, GC pauses, threads	GC thrash, OOM risk
JDBC	Active/waiting, failures	pool exhausted
JMS	queue depth, consumers	backlog growth

Exporter & K8s operator

Sur Kubernetes, l’Operator aide à déployer/manager des domains WLS. citeturn0search3turn0search13

Objectif : métriques standardisées pour dashboards + alerting.

Dashboards Grafana : sections suggérées

Vue “service” : latences / erreurs / saturation
Vue “cluster” : état nodes, restarts, readiness
Vue “JVM” : heap/GC/threads
Vue “JDBC/JMS” : pools + queues

Emplacement image

Placeholder dashboards Grafana WebLogic.

SLO/SLI (simple)

SLI : % requêtes réussies (2xx/3xx) sur 30j
SLO : 99.9% de succès + p95 < 300ms (exemple)
Error budget : pilote la fréquence de changements

5.1 Patching & cycle de vie : OPatch, PSU/CPU, rollback

Approche “safe”

Pré-prod toujours patchée avant prod
Fenêtre de maintenance + runbook + rollback
Automatisation (Ansible) + validation (smoke/perf)

OPatch : pattern générique

# 0) Backup ORACLE_HOME + DOMAIN_HOME (ou snapshot)

# 1) Stop servers (managed -> admin)

# 2) OPatch inventory
$ORACLE_HOME/OPatch/opatch lsinventory

# 3) Apply patch
$ORACLE_HOME/OPatch/opatch apply

# 4) Start + validation
# - logs clean
# - smoke tests
# - dashboards OK

Adapter selon les recommandations Oracle et les dépendances (FMW, etc.).

Rollback : plan B

Préparer la commande / procédure avant de patcher
Conserver les artefacts patchs et l’état d’inventaire
Tester rollback en pré-prod au moins une fois

Compatibilité / interop

Vérifier les scénarios d’interop entre versions (clients, protocoles). citeturn0search8

5.2 Performance & tuning : JVM, GC, threads, pools

JVM sizing (règles pragmatiques)

Heap trop petit → GC fréquents, latence
Heap trop grand → pauses longues, OOM si fragmentation/leak
Standardiser les options sur tout le cluster

# Exemples (à adapter)
-Xms4g -Xmx4g
-XX:+UseG1GC
-Xlog:gc*:file=/var/log/weblogic/gc.log:time,uptime,level,tags

GC : lire les logs

Suivre p95/p99 des pauses
Corréler : pics latence HTTP ↔ GC pauses
Surveiller allocation rate

Threads : stuck/hogging

Thread dumps + identification des verrous (locks)
Souvent cause : DB lente, appel externe lent, deadlock app

Méthodologie tuning

Définir SLO (latence/erreurs)
Mesurer baseline
Changer 1 paramètre à la fois
Rejouer charge
Documenter décisions

Docker & Kubernetes Operator : domain CRD, secrets, rolling updates

Pourquoi un Operator ?

L’Operator gère le cycle de vie des domains WebLogic sur Kubernetes : déploiement, scaling, rolling, etc. citeturn0search3turn0search13

Encapsuler WLS + applis dans des images portables
Déclarer l’état désiré via CRD
Automatiser les opérations day‑2

Repères versions

Le repo Operator publie des releases régulières (ex: 4.x). citeturn0search13

Vérifier compatibilité Kubernetes/Operator avant upgrade.

Images : pattern

# 1) Base image WebLogic (selon recommandations Oracle)
# 2) Copier l'app (EAR/WAR) + plan
# 3) Injecter scripts init / config
# 4) Secrets via K8s Secret (pas dans l'image)

# Tag immuable
registry/myweblogic:app-1.2.3-sha4f2c1a7

Emplacement image

Dockerfile / build pipeline / registry.

Domain CRD (très simplifié)

apiVersion: "weblogic.oracle/v9"
kind: Domain
metadata:
  name: prod-domain
spec:
  domainHomeSourceType: Image
  image: registry/myweblogic:app-1.2.3
  replicas: 2
  serverPod:
    env:
      - name: JAVA_OPTIONS
        value: "-Xms4g -Xmx4g"
  adminServer:
    adminService:
      channels:
        - channelName: default
  clusters:
    - clusterName: ClusterA
      replicas: 2

Le vrai YAML est plus riche (secrets, introspector, probes, services, etc.).

Day‑2 Ops : checklist

Rolling upgrade : image tag → apply → observe
Backups : artefacts + config + secrets rotation
Observabilité : exporter + dashboards
Incident : kubectl logs / describe / events + thread dumps si nécessaire

6.1 CI/CD : Jenkins pipelines, artefacts, rollback

Pipeline “propre”

Build (Maven/Gradle) → unit tests
Package EAR/WAR → publish artifact
Deploy preprod → smoke + perf quick
Approval → deploy prod (rolling)
Post-deploy validation + dashboards

Jenkinsfile (squelette)

pipeline {
  agent any
  stages {
    stage('Build') {
      steps { sh 'mvn -q -DskipTests=false test package' }
    }
    stage('Publish') {
      steps { sh 'cp target/myapp.ear artifacts/' }
    }
    stage('Deploy Preprod') {
      steps { sh 'wlst.sh wlst/40-deploy.py --env preprod' }
    }
    stage('Smoke') {
      steps { sh 'curl -fsS https://preprod/app/health' }
    }
    stage('Deploy Prod') {
      when { branch 'main' }
      steps { sh 'wlst.sh wlst/40-deploy.py --env prod --rolling' }
    }
  }
}

Tests indispensables

Smoke HTTP (health endpoints)
Validation JDBC (connectivité)
Sanity JMS (producer/consumer minimal)
Temps de réponse p95 sous seuil

Rollback (simple & rapide)

# si prod KO post-deploy
1) redeploy artefact N-1
2) rolling restart si besoin
3) post-mortem + blocage du déploiement

6.2 Troubleshooting : playbook incident (stuck threads, OOM, JDBC, JMS)

Lecture logs : ordre conseillé

Access logs (5xx/latences)
Server logs (exceptions)
GC logs (pauses)
DB logs/metrics (latence/sessions)

Thread dumps : méthode

1) Prendre 3 dumps à 10s d’intervalle
2) Chercher : mêmes threads bloqués ? mêmes locks ? mêmes stacks ?
3) Identifier la dépendance : DB / HTTP externe / lock applicatif
4) Mitigation : drain + restart d’un node si nécessaire

Heap dumps : quand

OOMError
Heap monte sans redescendre (leak probable)
Analyse avec MAT/YourKit (selon politique)

Cas fréquents → actions

Symptôme	Cause probable	Action
Stuck threads	DB lente / appel externe	thread dumps + vérifier pool JDBC
5xx en spike	deploy, config drift, DB	rollback + logs + dashboards
Queue JMS grossit	consumer lent/KO	scale consumers, vérifier quotas
GC pauses	allocation rate/leak	GC logs + heap analysis

7.1 Cheat‑sheet WebLogic (commandes & repères)

Commandes & chemins

# Wizard
$ORACLE_HOME/oracle_common/common/bin/config.sh

# WLST
$ORACLE_HOME/oracle_common/common/bin/wlst.sh

# Domain scripts
$DOMAIN_HOME/bin/startWebLogic.sh
$DOMAIN_HOME/bin/stopWebLogic.sh

# Logs
$DOMAIN_HOME/servers/*/logs

# Node Manager
$WL_HOME/server/bin/startNodeManager.sh

Ports (exemple)

Admin: 7001/7002
Managed: 8001/8002 ...
NodeMgr: 5556

Checklists express

Avant déploiement

Artefact immuable + plan env
LB drain possible
Dashboards prêts
Rollback N-1 dispo

Après déploiement

Smoke tests OK
5xx stables
JDBC pool OK
Queues JMS stables

Objectif : MTTR bas → automatisation + observabilité + runbooks.

Snippets WLST “raccourcis”

# Connexion
connect('weblogic','***','t3s://admin:7002')

# Lister servers
serverConfig(); cd('/Servers'); ls()

# Deploy
deploy(appName='myapp', path='/artifacts/myapp.ear', targets='ClusterA')

# Redeploy
# redeploy('myapp', path='/artifacts/myapp.ear', targets='ClusterA')

Emplacement image

Encart “ports + topologie + flux” en 1 slide (à insérer).

🧠 Oracle WebLogic – Guide complet (Admin, DevOps, Kubernetes)

WebLogic : vue d’ensemble

Architecture & composants

Installation & prérequis

Création d’un domaine

Admin Console & Remote Console

WLST : l’outil ultime

Déploiements (WAR/EAR)

JDBC / Datasources

JMS / Messaging

Clusters & HA

Ops : start/stop, services

Sécurité (Realm, SSL, SSO)

Observabilité (Prom/Grafana)

Patching & cycle de vie

Performance & tuning

Docker & Kubernetes Operator

CI/CD (Jenkins, GitOps)

Troubleshooting

Cheat‑sheet