这是
"如何从外部访问docker中的JMX接口?"的后续内容,该接口讨论了设置未加密的JMX连接。
我可以使用RMI或Glassfish使用的JMXMP。
有一组必需的 JVM 选项,我正在寻找使用 SSL 设置 JMX 所需的更改:
com.sun.management.jmxremote=true
com.sun.management.jmxremote.local.only=false
com.sun.management.jmxremote.ssl=true
com.sun.management.jmxremote.authenticate=true
com.sun.management.jmxremote.port=12345
com.sun.management.jmxremote.rmi.port=12346
java.rmi.server.hostname=10.11.12.176
com.sun.management.jmxremote.access.file=/.secure/jmxremote.access
com.sun.management.jmxremote.password.file=/.secure/jmxremote.pass
com.sun.management.jmxremote.login.config=ldap-ad-config
java.net.preferIPv4Stack=true
com.sun.management.jmxremote.ssl.config.file=/.secure/jmxremotessl.properties
javax.net.ssl.keyStore=/config/app.jks
javax.net.ssl.keyStorePassword=teabag
javax.net.ssl.trustStore=/config/cacerts
javax.net.ssl.trustStorePassword=milk
问题是一样的:
java.rmi.ConnectException: Connection refused to host: 172.0.0.85; nested exception is
java.net.ConnectException: Operation timed out
是 docker 容器的内部 IP 地址。我假设尽管有java.rmi.server.hostname解决方案,但这种情况仍在发生,因为它在 SSL 上。
我试图使用 nginx 将 SSL 反向代理为非 SSL,但失败并出现错误
java.rmi.ConnectIOException: non-JRMP server at remote endpoint
所以我想我应该在 nginx 中转发额外的标头。
我现在正在尝试设置 JMXMP,但有关如何执行此操作的文档非常薄弱。有一个 Spring 实现和一个 Glassfish 实现,但没有可查找的文档(目前( - 所以我添加了 glassfish 标签。
答案是我可以将我的应用程序设置为使用 JMXMP 并将其配置为使用以下 JVM 选项实现TLS连接:
-Dcom.sun.management.jmxremote=true
-Dcom.sun.management.jmxremote.local.only=false
-Dcom.sun.management.jmxremote.authenticate=true
-Dcom.sun.management.jmxremote.ssl=true
-Dcom.sun.management.jmxremote.access.file=C:/dev/.secure/jmxremote.access
-Dcom.sun.management.jmxremote.password.file=C:/dev/.secure/jmxremote.pass
-Dcom.sun.management.jmxremote.login.config=spnego-server
-Djava.net.preferIPv4Stack=true
-Dcom.sun.management.jmxremote.ssl.config.file=/.secure/jmxremotessl.properties
但是我必须编写一个配置类才能启动JMXConnectorServer,如下所示:
@Configuration
public class JmxServer {
public JmxServer(
@Value("${jmx.remote.hostname}") final String hostname,
@Value("${jmx.remote.port}") final String port) {
try {
Map<String, Object> env = new HashMap<>();
env.put("jmx.remote.profiles", "TLS SASL/PLAIN");
env.put(JMXConnector.CREDENTIALS,
new String[] {"myusername", "password"});
JMXConnectorServerFactory.newJMXConnectorServer(
new JMXServiceURL(
String.format("service:jmx:jmxmp://%s:%s",
hostname, port)),
env,
ManagementFactory.getPlatformMBeanServer()
).start();
} catch (IOException e) {
e.printStackTrace();
}
}
}
但这只是其中的一半。我现在正在与 JConsole 争吵,让它与TLS一起做JMXMP。
为此,我在甲骨文论坛上关注了 2007 年的化石问题:
JConsole 可以使用 JMXMP 和 TLS 连接到远程 JMX 代理吗?
但仍然在挣扎...