如何使用JMX连接在EC2上运行的Java实例

我们无法连接到在Amazon EC2集群中运行的Java应用程序。

问题是由两个缺失的设置组合而成。第一个强制JRE优先使用ipv4而不是v6。这是必要的（我猜）因为我们正在尝试通过v4地址连接它：

-Djava.net.preferIPv4Stack=true

真正的阻碍因素是JMX先通过联系RMI端口，该端口响应主机名和用于连接JMX客户端的端口。 在没有其他设置的情况下，它将使用本地IP（即10.X.X.X虚拟地址），远程客户端无法路由到该地址。 我们需要添加以下设置，即服务器的外部主机名或IP地址--在这种情况下，它是服务器的弹性主机名。

-Djava.rmi.server.hostname=ec2-107-X-X-X.compute-1.amazonaws.com

如果你正在尝试自动化你的EC2实例（为什么不呢），那么关键就在于如何在运行时找到这个地址。为了做到这一点，你需要在应用程序启动脚本中添加类似以下内容的代码：

# get our _external_ hostname
RMI_HOST=`wget -q -O - http://169.254.169.254/latest/meta-data/public-hostname`
...
java -server \
    -Djava.net.preferIPv4Stack=true -Djava.rmi.server.hostname=$RMI_HOST \
    -jar foo.jar other parameters here > java.log 2>&1

在上面的wget命令中，神秘的169.254.169.254 IP地址提供了EC2实例可以请求的有关自身的信息。令人失望的是，这些信息不包括仅在经过身份验证的调用中才可用的标记。

我最初使用的是外部IPv4地址，但看起来JDK在启动时会尝试连接到服务器端口。如果它使用外部IP，则会将应用程序的启动时间拖延到超时。公共主机名在本地解析为10-net地址，并在外部解析为公共IPv4。因此，应用程序现在启动快速且JMX客户端仍然工作。太棒了！

希望这可以帮助其他人。今天花费了我3个小时。

要强制您的JMX服务器在指定端口上启动服务器和RMI注册表，以便您可以在EC2安全组中阻止它们，请参阅此答案：

如何关闭在特定端口上运行的rmiregistry？

编辑：

我们刚刚遇到了这个问题。看起来Java JMX代码正在对盒子的主机名进行一些主机名查找，并使用它们来尝试连接和验证JMX连接。

问题似乎是要求盒子的本地主机名应解析为该盒子的本地IP。例如，如果您的/etc/sysconfig/network有HOSTNAME=server1.foobar.com，则如果您在server1.foobar.com上执行DNS查找，则应到达10-NET虚拟地址。我们正在生成自己的/etc/hosts文件，并且本地主机的主机名缺失了。这导致我们的应用程序在启动时要么暂停，要么根本无法启动。

最后

简化JMX创建的一种方法是使用我的SimpleJMX包。

根据第二个答案 Why does JMX connection to Amazon EC2 fail?，这里的难点是默认情况下会随机选择RMI端口，客户端需要访问JMX和RMI端口。如果您正在运行jdk7u4或更高版本，则可以通过应用程序属性指定RMI端口。使用以下JMX设置启动服务器适用于我（没有身份验证）：

-Dcom.sun.management.jmxremote 
-Dcom.sun.management.jmxremote.port=9999 
-Dcom.sun.management.jmxremote.rmi.port=9998 
-Dcom.sun.management.jmxremote.ssl=false 
-Dcom.sun.management.jmxremote.authenticate=false 
-Djava.rmi.server.hostname=<public EC2 hostname>

通过身份验证：

-Dcom.sun.management.jmxremote 
-Dcom.sun.management.jmxremote.port=9999 
-Dcom.sun.management.jmxremote.rmi.port=9998 
-Dcom.sun.management.jmxremote.ssl=false 
-Dcom.sun.management.jmxremote.authenticate=true 
-Dcom.sun.management.jmxremote.password.file=/path/to/jmxremote.password
-Djava.rmi.server.hostname=<public EC2 hostname>

我还在我的实例的EC2安全组中打开了9998-9999端口。

通过使用SSH隧道的略微不同的方法

1. (On the Remote machine) Pass the following flags to the JVM

   -Dcom.sun.management.jmxremote.port=1099
   -Djava.net.preferIPv4Stack=true
   -Dcom.sun.management.jmxremote.ssl=false
   -Dcom.sun.management.jmxremote.authenticate=false
   -Djava.rmi.server.hostname=127.0.0.1
   

2. (On the Remote machine) Check which ports java started to use

   $ netstat -tulpn | grep java
   tcp      0      0 0.0.0.0:37484         0.0.0.0:*               LISTEN      2904/java
   tcp      0      0 0.0.0.0:1099          0.0.0.0:*               LISTEN      2904/java
   tcp      0      0 0.0.0.0:45828         0.0.0.0:*               LISTEN      2904/java
   

3. (On the local machine) Make ssh tunnels for all the ports

   ssh -N -L 1099:127.0.0.1:1099 ubuntu@<ec2_ip>
   ssh -N -L 37484:127.0.0.1:37484 ubuntu@<ec2_ip>
   ssh -N -L 45828:127.0.0.1:45828 ubuntu@<ec2_ip>`
   

4. (On the local machine) Connect by Java Mission Control to localhost:1099

我们正在使用AWS弹性容器服务来运行我们的Spring Boot服务。以下配置允许我们连接到我们的Docker容器。 无身份验证：

-Dcom.sun.management.jmxremote \
    -Dcom.sun.management.jmxremote.port=9090 \
    -Dcom.sun.management.jmxremote.rmi.port=9090 \
    -Dcom.sun.management.jmxremote.authenticate=false \
    -Dcom.sun.management.jmxremote.ssl=false \
    -Djava.rmi.server.hostname=$(/usr/bin/curl -s --connect-timeout 2 \
                    http://169.254.169.254/latest/meta-data/public-ipv4)

我发现它非常简洁，也不需要任何其他服务端初始化脚本。

Gray提供的答案对我有用，但是我发现我必须打开TCP端口0到65535，否则我就进不去。我认为你可以连接到主JMX端口，然后分配另一个端口。我从这篇博客文章中得到了这个信息，这篇文章一直对我很有帮助。