基于jatatd实现远程连接

jstatd是一个基于RMI (Remove Method Invocation)的服务程序，它用于监控基于HotSpot的JVM中资源的创建及销毁，并且提供了一个远程接口，从而允许监控工具远程地连接到本地的JVM

配置安全策略

默认情况下，Java的安全策略比较严格，并不允许jstatd直接启动，因此，需要设置下安全策略。不同的JDK版本配置方式不同，主要是由于JDK9开始，已经不再有tools.jar导致的。
创建安全策略文件，命名为:jstatd.all.policy，下面是各个版本的配置方式:

Jdk8以及更低版本

grant codebase "file:${java.home}/../lib/tools.jar" {permission java.security.AllPermission;
};

jdk9以及更高版本

grant codebase "jrt:/jdk.jstatd" {permission java.security.AllPermission;
};grant codebase "jrt:/jdk.internal.jvmstat" {permission java.security.AllPermission;
};

启动jstatd

根据jdk版本创建文件，写入上面的内容

[bushro@hadoop132 ~]$ vim jstatd.all.policy

• 远程服务器上执行
• 执行jstatd命令的用户和你jstatd想连接的应用必须拥有相同的用户凭证。如果说jar是使用root启动的，那么下面的命令也要用root执行。

在jstatd.all.policy所在目，执行如下命令

jstatd -J-Djava.security.policy=./jstatd.all.policy \
-J-Djava.rmi.server.hostname=192.168.233.132 \
-J-Djava.rmi.server.logCalls=true \
-p 1231

• java.security.policy:指定上面策略文件的路径，使用相对路径或绝对路径均可
• java.rmi.server.hostname:指定成允许连接的IP地址、主机名或域名
• java.rmi.server.logCalls:打印日志
• -p:用来指定注册端口，默认1099

另外开一个窗口查看jstatd使用到的端口

开放监听端口或者关闭防火墙都可以

# 开放1231(取决于启动jstatd的-p参数)、14776端口(随机，依赖于netstat -luntp|grep jstatd的结果)
firewall-cmd --zone=public --add-port=1231/ticp --permanent
firewall-cmd --zone=public --add-port=14776/tcp --permanent
# 重载防火墙规则
firewall-cmd --reload
# 查看当前开放的端口，确认端口已成功开放
firewall-cmd --zone=public --list-ports

远程连接

启动一个java程序

打开jvisualvm软件，在安装的jdk的bin目录下
远程->添加远程主机

就可以检测到应用的内存使用情况

jstatd的方式远程连接的话不支持cpu内存的抽样检测。这是一个不方便的地方。

基于JMX实现远程访问

启动应用程序

java -Djava.rmi.server.hostname=192.168.233.132 \
-Dcom.sun.management.jmxremote.port=1232 \
-Dcom.sun.management.jmxremote.rmi.port=1240 \
-Dcom.sun.management.jmxremote.ssl=false \
-Dcom.sun.management.jmxremote.authenticate=false \
-jar jvm-1.0-SNAPSHOT.jar

• java -Djava.rmi.server.hostname=192.168.233.132 \
• -Dcom.sun.management.jmxremote.port=1232 \
• -Dcom.sun.management.jmxremote.rmi.port=1240 \
• -Dcom.sun.management.jmxremote.ssl=false \
• -Dcom.sun.management.jmxremote.authenticate=false \
• -jar jvm-1.0-SNAPSHOT.jar

查看端口

[bushro@hadoop132 software]$ ps -ef|grep jvm
bushro    21225  20771  6 22:32 pts/2    00:00:05 java -Djava.rmi.server.hostname=192.168.233.132 -Dcom.sun.management.jmxremote.port=1232 -Dcom.sun.management.jmxremote.rmi.port=1240 -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false -jar jvm-1.0-SNAPSHOT.jar
bushro    21346  20215  0 22:34 pts/1    00:00:00 grep --color=auto jvm
[bushro@hadoop132 software]$ netstat -antp|grep 21225
(Not all processes could be identified, non-owned process infowill not be shown, you would have to be root to see it all.)
tcp6       0      0 :::35792                :::*                    LISTEN      21225/java          
tcp6       0      0 :::1232                 :::*                    LISTEN      21225/java          
tcp6       0      0 :::1240                 :::*                    LISTEN      21225/java          
tcp6       0      0 :::8060                 :::*                    LISTEN      21225/java

使用上面的方法区开放端口

远程连接

打开jvisualvm 文件->添加JMX连接，输入ip和端口1232

这种方式是可以进行cpu和内存抽样的

这里我们关闭了用户认证进行登陆的，这对于生产环境来说是安全的。接下来我们开启认证的方式来连接。

准备账号文件，命名为jxmremote.access(名称随意)，内容如下

admin readwrite

• admin是账号，多个账号换行继续写即可。
• readwrite指权限,readwrite表示可读可写;readonly表示只读。

准备密码文件，命名为jmxremote.password（名称随意），内容如下

admin 123456

admin是账号，123456是密码，多个账号换行继续写即可。

设置这两个文件的权限

chmod 600 jmxremote.access
chmod 600 jmxremote.password

启动应用程序

java -Djava.rmi.server.hostname=192.168.233.132 \
-Dcom.sun.management.jmxremote.port=1232 \
-Dcom.sun.management.jmxremote.rmi.port=1240 \
-Dcom.sun.management.jmxremote.access.file=./jxmremote.access \
-Dcom.sun.management.jmxremote.password.file=./jxmremote.password \
-Dcom.sun.management.jmxremote.ssl=false \
-jar jvm-1.0-SNAPSHOT.jar

进行连接

基于SSH的远程连接

jstatd & JMX存在的问题:

• jstatd虽然连接相对方便，但是没有考虑过网络安全相关的问题(对于公网环境，直接开放端口可能存在安全风险)
• JMX虽然可以开启用户认证以及ssl，但是要做一堆的配置

使用本文的玩法，可以让jstatd更安全;让JMX的安全不那么麻烦。
使用SSH连接到JMX或jstatd的本质，是利用SSH实现了一个SOCKS代理，添加代理后，请求过程︰本地->连接SSH代理->转发到你想请求的地址。而SSH是安全的，所以这种方式也比较安全。

启动远程应用

远程服务器执行

java -Djava.rmi.server.hostname=192.168.233.132 \
-Dcom.sun.management.jmxremote.port=1235 \
-Dcom.sun.management.jmxremote.rmi.port=1250 \
-Dcom.sun.management.jmxremote.ssl=false \
-Dcom.sun.management.jmxremote.authenticate=false \
-jar jvm-1.0-SNAPSHOT.jar

当然还可以去开启认证，开启ssl

ssh端口转发

本机执行如下命令，ssh实现端口转发

ssh -v -D 9696 bushro@192.168.233.132

使用本地的windows powershell工具

输入远端bushro用的密码就可以了

• -v: verbose模式,打印详情
• -D:动态应用程序级端口转发，格式:-D [bind_address: ]端口。将会分配一个Sock并监听本地端口。与此端口建立连接后，该链接将通过安全通道转发，然后使用应用协议确定从远程计算机连接到的位置。

对于Windows机器，可利用SSH远程工具提供的代理功能。例如SecureCRT、XShell、PuTTY等，都支持而转发。

打开jvisualvm 点击工具->选项->网络

点击工具->添加jmx连接