jvisualvm监控远程jvm的两种连接方式

jvisualvm可以通过两种方式连接到远程jvm，一种是jvm本身已经提供的jmx，一种是jdk包已经包含的一个单独的程序jstatd

1 jmx

要使用jmx远程监控功能，在远程java application启动时，必须通过jvm选项配置提供远程服务的端口：

-Dcom.sun.management.jmxremote.port=8777

我一般同时指定为本地jmx client提供服务的端口与远程服务端口相同：

-Dcom.sun.management.jmxremote.rmi.port=8777

jmx远程服务默认是开启ssl和认证功能功能的，也可以通过jvm选项把这两个功能关闭：

-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.ssl=false

这样开启jmx远程监控功能的最小配置如下：

-Dcom.sun.management.jmxremote
-Dcom.sun.management.jmxremote.port=8777
-Dcom.sun.management.jmxremote.rmi.port=8777
-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.ssl=false

java application启动后，远程监控工具就可以通过<远程主机名或ip地址>:8777，或jmx服务地址service:jmx:rmi:///jndi/rmi://<远程主机名或ip地址>:8777/jmxrmi连接远程java application进行监控了

同时，jmx默认是通过localhost的ip地址提供RMI服务的，如果要明确指定RMI服务地址或主机名（比如主机有多个接口，想使用非hostname关联的接口），可以通过以下选项显式指定：

-Djava.rmi.server.hostname=10.242.93.40

2 jstatd

jdk 1.8发布包中包括一个jstatd程序，使用jstatd需要指定一个policy文件，文件的后缀为.policy, 比如我创建了一个名为all.policy的文件，内容为:

$ cat all.policy
grant codebase "file:${java.home}/../lib/tools.jar" {
permission java.security.AllPermission;
};

表示开放所有的权限。

然后启动jstatd程序：

jstatd -J-Djava.security.policy=all.policy

这样在jvisualvm上就可以通过添加jstatd连接，然后填写jstatd运行的远程机器的主机名或ip地址，就可以监控远程java application了，而且在jstatd连接下面会自动显示远程机器上运行的所有的java application，打开需要监控的java application，就可以对其进行监控，不需要每个java application建立单独的连接。

以上面的命令启动jstatd，jstatd会自动尝试去连接Rmiregistry的端口1099，如果这个端口没有启动，会自动启动Rmiregistry，这种Rmiregistry对jstatd来说叫做内部rmi registry。如果jstatd启动是指定-nr参数，jstatd启动时发现相应的端口没有启动，则不会启动内部rmi registry

jstatd -J-Djava.security.policy=all.policy

因为主机上可以同时运行多个jstatd，rmi registry可以同时为多个jstatd提供注册服务，而且往往想让rmi registry使用非默认端口1099，我们可以单独启动rmi registry，这种rmi registry对jstatd来说叫做外部rmi registry，这种情况下这样启动jstatd：

$ rmiregistry &
jstatd -J-Djava.security.policy=all.policy

或者使用非默认端口：

$ rmiregistry 8770 &
$ jstatd -J-Djava.security.policy=all.policy -nr -p 8770

jstatd的-p选项表示指定jstatd尝试去连接的rmi register端口，而不是默认端口1099

最后，jstatd启动时开启日志打印功能是一个好的习惯，如下开启日志功能：

$ jstatd -J-Djava.security.policy=all.policy -nr -p 8770 -J-Djava.rmi.server.logCalls=true

上面提到了rmi registry监听的端口，它用来提供注册的功能，而jstatd有一个自己的端口向外提供服务，且这个端口是jstatd随机选择的，不能在启动时显式指定。

$ jps
17784 RegistryImpl
30121 Jps
23562 Jstatd
27708 Main
$ netstat -tpnla | grep 23562
tcp 0 0 0.0.0.0:27559 0.0.0.0:* LISTEN 23562/Jstatd

3 两种方法的比较

1. jmx是jvm自身提供的一个标准的jmx管理功能，client支持度非常好，jvm监控工具基本上都会支持这种连接方式。而且只要配置几个简单的选项就可以使用了，不需要单独启动一个第三方的只用来监控连接的应用程序
2. jstatd是jdk提供的一个单独的工具，一个主机只需要运行一个jstatd就可以监控主机上所有的java application，而因为jmx是集成在jvm中，如果主机上有多个java应用程序需要监控，需要每个java应用程序配置相应的jmx选项，而且远程服务端口不能相同，client监控时也需要与每个java应用程序建立单独的连接
3. java应用程序启动时如果没有配置相应的jmx选项，则在运行周期内都无法远程监控应用程序，这可能会丧失定位问题的机会。而jstatd需要监控时，可以随时运行并进行监控
4. 在jvisualvm中，只有通过jstatd连接才能使用visualGC插件功能
5. jstatd server的端口是随机选择的，在有些情况下可能无法使用。比如我司的办公区域与生产区域之间网络设置了防火墙，只允许某个范围的端口通过，这是公司级的，某个团队无法修改防火墙策略。同时办公区域也不能直接ssh访问生产区域服务器，必须经过一个relay，也不能使用jstatd over ssh的方式。个人觉得jstatd不能在启动时显示指定服务的端口是它的一个槽点