6.2. 使用 JMX 管理 AMQ Broker
您可以使用 Java 管理扩展(JMX)管理代理。管理 API 由代理使用 MBeans 接口公开。代理将资源注册到域 org.apache.topic。
例如,管理名为 exampleQueue 的队列的 ObjectName 为:
org.apache.activemq.artemis:broker="__BROKER_NAME__",component=addresses,address="exampleQueue",subcomponent=queues,routingtype="anycast",queue="exampleQueue"
MBean 是:
org.apache.activemq.artemis.api.management.QueueControl
MBean 的 ObjectName 使用帮助程序类 org.apache.activemq.artemis.api.core.management.ObjectNameBuilder 来构建。您还可以使用 jconsole 查找您要管理的 MBeans 的 ObjectName。
使用 JMX 管理代理与使用 JMX 管理任何 Java 应用程序是一样的。这可以通过反映或创建 MBeans 的代理来完成。
6.2.1. 配置 JMX 管理
默认情况下,支持管理代理。您可以通过在 broker.xml 配置文件中设置 jmx-management-enabled 属性来启用或禁用 JMX 管理。
流程
-
打开 &
lt;broker_instance_dir> /etc/broker.xml配置文件。 设置 &
lt;jmx-management-enabled>。<jmx-management-enabled>true</jmx-management-enabled>
如果启用了 JMX,则可以使用
jconsole在本地管理代理。注意出于安全考虑,不默认启用到 JMX 的远程连接。
如果要从同一
MBeanServer管理多个代理,请为每个代理配置 JMX 域。默认情况下,代理使用 JMX 域
org.apache.activemq.artemis。<jmx-domain>my.org.apache.activemq</jmx-domain>
注意如果要在 Windows 系统中使用 AMQ Broker,则系统属性必须在 artemis 或
artemis.cmdinstall_dir> /bin下。
其他资源
- 有关为远程管理配置代理的更多信息,请参阅 Oracle 的 Java 管理指南。
6.2.2. 配置 JMX 管理访问权限
默认情况下,出于安全原因,禁用远程 JMX 访问代理。但是,AMQ Broker 有一个 JMX 代理,它允许远程访问 JMX MBeans。您可以通过在代理 management.xml 配置文件中配置连接器元素来启用 JMX 访问。
虽然也可以使用 com.sun.management.jmxremote ' JVM 系统属性启用 JMX 访问功能,但这种方法不受支持且不安全。修改 JVM 系统属性可以绕过代理上的 RBAC。为最大程度降低安全风险,请考虑对本地主机的有限访问权限。
公开用于远程管理的代理的 JMX 代理具有安全隐患。
要保护您的配置,如此流程所述:
- 所有连接都使用 SSL。
- 明确定义连接器主机,即要在其上公开代理的主机和端口。
- 明确定义 RMI(远程方法调用) registry 绑定的端口。
先决条件
- 一个正常工作的代理实例
-
Java
jconsole工具
流程
-
打开 &
lt;broker-instance-dir> /etc/management.xml配置文件。 为 JMX 代理定义连接器。连接器端口设置建立一个 RMI 注册表,供客户端(如 jconsole 查询)用于 JMX 连接器服务器。例如,允许在端口 1099 上远程访问:
<connector connector-port="1099"/>
使用
jconsole验证与 JMX 代理的连接:service:jmx:rmi:///jndi/rmi://localhost:1099/jmxrmi
在连接器上定义其他属性,如下所述。
- 连接器主机
-
用于公开代理的代理服务器主机。要防止远程访问,将
连接器主机设置为127.0.0.1(localhost)。 - rmi-registry-port
- JMX RMI 连接器服务器绑定到的端口。如果没有设置,则端口始终是随机的。设置此属性以避免通过防火墙传输的远程 JMX 连接出现问题。
- jmx-realm
-
用于身份验证的 JMX 域。默认值为
activemq,以匹配 JAAS 配置。 - object-name
-
要公开远程连接器的对象名称。默认值为
connector:name=rmi。 - 受保护
-
指定连接器是否使用 SSL 保护。默认值为
false。将值设为true以确保安全通信。 - key-store-path
-
密钥存储的位置。如果您设置了
secured="true",则需要此项。 - key-store-password
-
密钥存储密码。如果您设置了
secured="true",则需要此项。可以加密密码。 - key-store-provider
-
密钥存储提供程序。如果您设置了
secured="true",则需要此项。默认值为JKS。 - trust-store-path
-
信任存储的位置。如果您设置了
secured="true",则需要此项。 - trust-store-password
-
信任存储密码。如果您设置了
secured="true",则需要此项。可以加密密码。 - trust-store-provider
-
信任存储供应商。如果您设置了
secured="true",则需要此项。默认值为JKS - password-codec
- 要使用的密码 codec 的完全限定类名称。有关此工作原理的更多详细信息,请参阅下面的密码屏蔽文档。
-
使用
jdk.serialFilter,为端点序列化设置适当的值,如 Java Platform 文档 中所述。
其他资源
- 有关配置文件中加密密码的更多信息,请参阅配置文件中的密码。
6.2.3. MBeanServer 配置
当代理以单机模式运行时,它使用 Java 虚拟机的平台 MBeanServer 注册其 MBeans。默认情况下,也部署了 Jolokia,以允许使用 REST 访问 MBean 服务器。
6.2.4. JMX 如何使用 Jolokia 进行公开
默认情况下,AMQ Broker 附带 Jolokia HTTP 代理作为 Web 应用程序部署。Jolokia 是一个通过 HTTP 网桥的远程 JMX,它公开 MBeans。
要使用 Jolokia,用户必须从属于 < broker_instance_dir> /etc/artemis.profile 配置文件中的 系统属性定义的角色。默认情况下,此角色是一个 hawtio. rolemq。
例 6.1. 使用 Jolokia 查询代理的版本
本例使用 Jolokia REST URL 来查找代理的版本。Origin 标志应该为代理服务器指定域名或 DNS 主机名。另外,您为 Origin 指定的值必须与 Jolokia Cross -Origin Resource Sharing(CORS)规格中的 <allow-origin > 对应。
$ curl http://admin:admin@localhost:8161/console/jolokia/read/org.apache.activemq.artemis:broker=\"0.0.0.0\"/Version -H "Origin: mydomain.com"
{"request":{"mbean":"org.apache.activemq.artemis:broker=\"0.0.0.0\"","attribute":"Version","type":"read"},"value":"2.4.0.amq-710002-redhat-1","timestamp":1527105236,"status":200}其他资源
- 有关使用 JMX-HTTP 网桥的更多信息,请参阅 Jolokia 文档。
- 有关为用户分配角色的更多信息,请参阅 添加用户。
- 有关指定 Jolokia Cross-Origin Resource Sharing(CORS)的更多信息,请参阅安全 4.1.5 部分。
6.2.5. 订阅 JMX 管理通知
如果在您的环境中启用了 JMX,您可以订阅管理通知。
流程
-
订阅
ObjectName org.apache.activemq.artemis:broker=" <broker-name>".
其他资源
- 有关管理通知的详情,请参考 第 6.5 节 “管理通知”。
