jvisualvm监控远程jvm的两种连接方式

jvisualvm可以通过两种方式连接到远程jvm,一种是jvm本身已经提供的jmx,一种是jdk包已经包含的一个单独的程序jstatd

1 jmx

要使用jmx远程监控功能,在远程java application启动时,必须通过jvm选项配置提供远程服务的端口:

-Dcom.sun.management.jmxremote.port=8777

我一般同时指定为本地jmx client提供服务的端口与远程服务端口相同:

-Dcom.sun.management.jmxremote.rmi.port=8777

jmx远程服务默认是开启ssl和认证功能功能的,也可以通过jvm选项把这两个功能关闭:

-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.ssl=false

这样开启jmx远程监控功能的最小配置如下:

-Dcom.sun.management.jmxremote
-Dcom.sun.management.jmxremote.port=8777
-Dcom.sun.management.jmxremote.rmi.port=8777
-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.ssl=false

java application启动后,远程监控工具就可以通过<远程主机名或ip地址>:8777,或jmx服务地址service:jmx:rmi:///jndi/rmi://<远程主机名或ip地址>:8777/jmxrmi连接远程java application进行监控了

同时,jmx默认是通过localhost的ip地址提供RMI服务的,如果要明确指定RMI服务地址或主机名(比如主机有多个接口,想使用非hostname关联的接口),可以通过以下选项显式指定:

-Djava.rmi.server.hostname=10.242.93.40

2 jstatd

jdk 1.8发布包中包括一个jstatd程序,使用jstatd需要指定一个policy文件,文件的后缀为.policy, 比如我创建了一个名为all.policy的文件,内容为:

$ cat all.policy
grant codebase "file:${java.home}/../lib/tools.jar" {
permission java.security.AllPermission;
};

表示开放所有的权限。

然后启动jstatd程序:

jstatd -J-Djava.security.policy=all.policy

这样在jvisualvm上就可以通过添加jstatd连接,然后填写jstatd运行的远程机器的主机名或ip地址,就可以监控远程java application了,而且在jstatd连接下面会自动显示远程机器上运行的所有的java application,打开需要监控的java application,就可以对其进行监控,不需要每个java application建立单独的连接。

以上面的命令启动jstatd,jstatd会自动尝试去连接Rmiregistry的端口1099,如果这个端口没有启动,会自动启动Rmiregistry,这种Rmiregistry对jstatd来说叫做内部rmi registry。如果jstatd启动是指定-nr参数,jstatd启动时发现相应的端口没有启动,则不会启动内部rmi registry

jstatd -J-Djava.security.policy=all.policy

因为主机上可以同时运行多个jstatd,rmi registry可以同时为多个jstatd提供注册服务,而且往往想让rmi registry使用非默认端口1099,我们可以单独启动rmi registry,这种rmi registry对jstatd来说叫做外部rmi registry,这种情况下这样启动jstatd:

$ rmiregistry &
jstatd -J-Djava.security.policy=all.policy

或者使用非默认端口:

$ rmiregistry 8770 &
$ jstatd -J-Djava.security.policy=all.policy -nr -p 8770

jstatd的-p选项表示指定jstatd尝试去连接的rmi register端口,而不是默认端口1099

最后,jstatd启动时开启日志打印功能是一个好的习惯,如下开启日志功能:

$ jstatd -J-Djava.security.policy=all.policy -nr -p 8770 -J-Djava.rmi.server.logCalls=true

上面提到了rmi registry监听的端口,它用来提供注册的功能,而jstatd有一个自己的端口向外提供服务,且这个端口是jstatd随机选择的,不能在启动时显式指定。

$ jps
17784 RegistryImpl
30121 Jps
23562 Jstatd
27708 Main
$ netstat -tpnla | grep 23562
tcp 0 0 0.0.0.0:27559 0.0.0.0:* LISTEN 23562/Jstatd

3 两种方法的比较

  1. jmx是jvm自身提供的一个标准的jmx管理功能,client支持度非常好,jvm监控工具基本上都会支持这种连接方式。而且只要配置几个简单的选项就可以使用了,不需要单独启动一个第三方的只用来监控连接的应用程序
  2. jstatd是jdk提供的一个单独的工具,一个主机只需要运行一个jstatd就可以监控主机上所有的java application,而因为jmx是集成在jvm中,如果主机上有多个java应用程序需要监控,需要每个java应用程序配置相应的jmx选项,而且远程服务端口不能相同,client监控时也需要与每个java应用程序建立单独的连接
  3. java应用程序启动时如果没有配置相应的jmx选项,则在运行周期内都无法远程监控应用程序,这可能会丧失定位问题的机会。而jstatd需要监控时,可以随时运行并进行监控
  4. 在jvisualvm中,只有通过jstatd连接才能使用visualGC插件功能
  5. jstatd server的端口是随机选择的,在有些情况下可能无法使用。比如我司的办公区域与生产区域之间网络设置了防火墙,只允许某个范围的端口通过,这是公司级的,某个团队无法修改防火墙策略。同时办公区域也不能直接ssh访问生产区域服务器,必须经过一个relay,也不能使用jstatd over ssh的方式。个人觉得jstatd不能在启动时显示指定服务的端口是它的一个槽点

你可能感兴趣的:(jvisualvm监控远程jvm的两种连接方式)