搜索

附录 A. acceptor 和 Connector 配置参数

download PDF

下表详细介绍了用于配置 Netty 网络连接的一些可用参数。参数及其值附加到连接字符串的 URI 中。如需更多信息 ,请参阅在网络连接中配置接受器和连接器。每个表根据名称列出参数,以及是否可以与接受者或连接器一起使用的备注。您可以使用一些参数,例如,只能使用 acceptors。

注意

所有 Netty 参数都在类 org.apache.activemq.artemis.core.remoting.impl.netty.TransportConstants 中定义。源代码可用于下载 客户门户网站

表 A.1. Netty TCP 参数
参数使用…​描述

batchDelay

两者

在将数据包写入 acceptor 或 connector 之前,可以将代理配置为批处理写入,最多 batchDelay 毫秒。这可提高非常小的消息的整体吞吐量。它以平均延迟为消息传输而增加。默认值为 0 ms。

connectionsAllowed

acceptors

限制接受者允许的连接数。当达到这个限制时,会向日志发出 DEBUG 级别的信息,并拒绝连接。正在使用的客户端类型决定了连接被拒绝时会发生什么。默认值为 -1, 这意味着接受者允许的连接数量没有限制。

directDeliver

两者

当消息到达服务器并发送到等待消费者时,交付默认会在与消息到达的同一线程上执行。这在带有相对小消息和少量消费者的环境中提供了良好的延迟,但会牺牲总体吞吐量和可扩展性的成本 - 特别是在多站点机器上。如果您希望延迟最低,吞吐量可能会降低,那么您可以使用 directDeliver 的默认值,即 true。如果您要对延迟进行一些小的额外命中,但希望最高吞吐量将 directDeliver 设置为 false

handshake-timeout

acceptors

防止未授权的客户端打开大量连接并使其打开。由于每个连接都需要一个文件句柄,所以它消耗了其他客户端不可用的资源。

这个超时限制连接在不验证的情况下消耗资源的时间。验证连接后,您可以使用资源限值设置来限制资源消耗。

默认值为 10 秒。您可以将其设置为任何其他整数值。您可以通过将此选项设置为 0 或负整数来关闭这个选项。

编辑超时值后,您必须重启代理。

localAddress

连接器

指定客户端在连接到远程地址时使用的本地地址。这通常用于应用服务器或运行 Embeded 来控制哪个地址用于出站连接。如果没有设置本地地址,则连接器将使用任何可用的本地地址。

localPort

连接器

指定客户端在连接到远程地址时使用的本地端口。这通常用于应用服务器或运行 Embeded 来控制哪个端口用于出站连接。如果使用默认值(即 0),则连接器将让系统获取临时端口。有效端口为 0 到 65535

nioRemotingThreads

两者

当配置为使用 NIO 时,代理默认使用与 Runtime.getRuntime ().availableProcessors () 报告的内核数(或超线程)数量相等的线程数。如果要覆盖这个值,您可以通过指定此参数来设置线程数量。此参数的默认值为 -1,这表示使用通过 从 Runtime.getRuntime().availableProcessors() * 3 获得的值。

tcpNoDelay

两者

如果为 true,则将禁用 Nagle 的算法。这是 Java (客户端)套接字选项。默认值为 true

tcpReceiveBufferSize

两者

决定 TCP 接收缓冲区的大小(以字节为单位)。默认值为 32768

tcpSendBufferSize

两者

决定 TCP 发送缓冲区的大小(以字节为单位)。默认值为 32768

TCP 缓冲区大小应该根据您的网络的带宽和延迟调整。

在概述 TCP 发送/接收缓冲区大小中,应计算为:

buffer_size = bandwidth * RTT.

其中带宽是每秒的字节,网络往返时间(RTT)以秒为单位。可使用 ping 程序轻松测量 RTT。

对于快速网络,您可能希望从默认值中增加缓冲区大小。

表 A.2. Netty HTTP 参数
参数使用…​描述

httpClientIdleTime

acceptors

在发送空 HTTP 请求前,客户端可以闲置的时长,以保持连接处于活动状态。

httpClientIdleScanPeriod

acceptors

扫描空闲客户端的频率(以毫秒为单位)。

httpEnabled

acceptors

不再需要。通过单一端口支持,代理会自动检测是否使用 HTTP 并配置其自身。

httpRequiresSessionId

两者

如果为 true,客户端将在第一次调用收到会话 ID 后等待。当 HTTP 连接器连接到 servlet acceptor 时使用。不建议使用此配置。

httpResponseTime

acceptors

在发送空 HTTP 响应前,服务器可以等待的时间,以保持连接处于活动状态。

httpServerScanPeriod

acceptors

扫描需要响应的客户端的频率(以毫秒为单位)。

表 A.3. Netty TLS/SSL 参数
参数使用…​描述

enabledCipherSuites

两者

用于 SSL 通信的密码套件的逗号分隔列表。

指定客户端应用程序支持的最安全密码套件。如果您指定了代理和客户端通用的、以逗号分隔的密码套件列表,或者您没有指定任何密码套件、代理和客户端相互协商要使用的密码套件。如果您不知道要指定哪个密码套件,您可以首先与以 debug 模式运行的客户端建立 broker-client 连接,以验证代理和客户端通用的密码套件。然后,在代理上配置 enabledCipherSuites

可用的密码套件取决于代理和客户端使用的 TLS 协议版本。如果在升级代理后默认 TLS 协议版本有变化,您可能需要选择早期的 TLS 协议版本,以确保代理和客户端可以使用通用密码套件。如需更多信息,请参阅 enabledProtocols

enabledProtocols

两者

用于 SSL 通信的 TLS 协议版本的逗号分隔列表。如果没有指定 TLS 协议版本,代理将使用 JVM 的默认版本。

如果代理使用 JVM 的默认 TLS 协议版本,且升级代理后该版本会改变,代理和客户端使用的 TLS 协议版本可能会不兼容。虽然建议您使用更新的 TLS 协议版本,但您可以在 enabledProtocols 中指定较早的版本,以便与不支持较新的 TLS 协议版本的客户端进行交互。

forceSSLParameters

连接器

控制是否使用连接器上的参数设置的任何 SSL 设置,而不是 JVM 系统属性(包括 javax.net.ssl 和 AMQ Broker 系统属性)来配置此连接器的 SSL 上下文。

有效值为 true 或者 false。默认值为 false

keyStorePassword

两者

在接受者上使用时,这是服务器端密钥存储的密码。

在连接器上使用时,这是客户端密钥存储的密码。只有在您使用双向 SSL (即双向身份验证)时,这才与连接器相关。虽然可以在服务器上配置这个值,但它会被下载并使用。如果客户端需要使用与服务器上设置的不同密码,那么它可以使用自定义ary javax.net.ssl.keyStorePassword 系统属性或特定于 ActiveMQ 的 org.apache.activemq.ssl.keyStorePassword 系统属性或 ActiveMQ 特定的 org.apache.activemq.ssl.keyStorePassword 系统属性来覆盖服务器端设置。如果客户端上的其他组件已经使用了标准的 Java 系统属性,则特定于 ActiveMQ 的系统属性非常有用。

keyStorePath

两者

在接受者上使用时,这是服务器上 SSL 密钥存储的路径,其中包含服务器的证书(无论是自签名还是由颁发机构签名)。

在连接器上使用时,这是包含客户端证书的客户端 SSL 密钥存储的路径。只有在您使用双向 SSL (即双向身份验证)时,这才与连接器相关。虽然此值在服务器上配置,但它会被下载并使用。如果客户端需要使用与服务器上设置的不同路径,那么它可以使用自定义ary javax.net.ssl.keyStore 系统属性或特定于 ActiveMQ 的 org.apache.activemq.ssl.keyStore 系统属性或 ActiveMQ 特定的 org.apache.activemq.ssl.keyStore 系统属性来覆盖服务器端设置。如果客户端上的其他组件已经使用了标准的 Java 系统属性,则特定于 ActiveMQ 的系统属性非常有用。

keyStoreAlias

两者

当在接受器上使用时,这是在客户端连接时,密钥存储中要存在的键的别名。在连接器中使用时,这是当客户端连接到时,密钥存储中要存在的键的别名。这只适用于使用双向 SSL (即 mutual 身份验证)的连接器。

needClientAuth

acceptors

告知客户端连接到这个接受者,需要双向 SSL。有效值为 true 或者 false。默认值为 false

sslEnabled

两者

必须为 true 才能启用 SSL。默认值为 false

trustManagerFactoryPlugin

两者

定义实现 org.apache.activemq.artemis.api.core.TrustManagerFactoryPlugin 的类的名称。

这是一个带有单一方法的简单接口,它会返回 javax.net.ssl.TrustManagerFactory。当底层 javax.net.ssl.ssl.SSLContext 初始化时,TrustManagerFactory 会被使用。这允许对谁或代理和客户端信任进行精细自定义。

trustManagerFactoryPlugin 的值优先于适用于信任管理器的所有其他 SSL 参数(即 trustAlltruststoreProvidertruststorePathtruststorePassword、和 crlPath)。

您需要将任何指定的插件放在代理的 Java 类路径上。您可以使用 &lt ;broker_instance_dir> /lib 目录,因为它默认为 classpath 的一部分。

trustStorePassword

两者

在接受者上使用时,这是服务器端信任存储的密码。这只在使用双向 SSL (即双向身份验证)时与接受者相关。

在连接器上使用时,这是客户端信任存储的密码。虽然可以在服务器上配置这个值,但它会被下载并使用。如果客户端需要使用与服务器上设置的不同密码,那么它可以使用自定义ary javax.net.ssl.trustStorePassword 系统属性或特定于 ActiveMQ 的 org.apache.activemq.ssl.trustStorePassword 系统属性或 ActiveMQ 特定的 org.apache.activemq.ssl.trustStorePassword 系统属性来覆盖服务器端设置。如果客户端上的其他组件已经使用了标准的 Java 系统属性,则特定于 ActiveMQ 的系统属性非常有用。

sniHost

两者

在接受者上使用时,sniHost 是一个正则表达式,用于匹配传入 SSL 连接上的 server_name 扩展(有关此扩展的更多信息,请参阅 https://tools.ietf.org/html/rfc6066)。如果名称不匹配,则拒绝与 acceptor 的连接。如果发生此情况,则会记录 WARN 消息。

如果传入连接不包含 server_name 扩展,则接受连接。

在连接器上使用时,sniHost 值用于 SSL 连接上的 server_name 扩展。

sslProvider

两者

用于在 JDKOPENSSL 之间更改 SSL 提供程序。默认值为 JDK

如果设置为 OPENSSL,您可以在类路径中添加 netty-tcnative 来使用原生安装的 OpenSSL。

如果要使用通过 OpenSSL 支持的特殊 ciphersuite-elliptic curve 组合,而不是通过 JDK 供应商,这个选项很有用。

trustStorePath

两者

在接受器上使用时,这是服务器端 SSL 密钥存储的路径,其中包含服务器信任的所有客户端的密钥。这只在使用双向 SSL (即双向身份验证)时与接受者相关。

在连接器上使用时,这是客户端 SSL 密钥存储的路径,其中包含客户端信任的所有服务器的公钥。虽然可以在服务器上配置这个值,但它会被下载并使用。如果客户端需要使用与服务器上设置的不同路径,那么它可以使用自定义ary javax.net.ssl.trustStore 系统属性或特定于 ActiveMQ 的 org.apache.activemq.ssl.trustStore 系统属性或 ActiveMQ 的 org.apache.activemq.ssl.trustStore 系统属性来覆盖服务器端设置。如果客户端上的其他组件已经使用了标准的 Java 系统属性,则特定于 ActiveMQ 的系统属性非常有用。

useDefaultSslContext

连接器

允许连接器使用"默认"SSL 上下文(通过 SSLContext.getDefault ()),这些上下文可由客户端编程设置(通过 SSLContext.setDefault (SSLContext))。

如果此参数设为 true,除 sslEnabled 以外的所有其他与 SSL 相关的参数将被忽略。有效值为 true 或者 false。默认值为 false

verifyHost

两者

在连接器中使用时,服务器 SSL 证书的 CN 或 Subject Alternative Name 值将与要连接的主机名进行比较,以验证它们是否匹配。这对单向和双向 SSL 都很有用。

在接受者上使用时,连接客户端的 SSL 证书的 CN 或 Subject Alternative Name 值会与其主机名进行比较,以验证它们是否匹配。这仅适用于双向 SSL。

有效值为 true 或者 false。连接器的默认值为 true,接受器的默认值是 false

wantClientAuth

acceptors

告知客户端连接到这个接受者,即请求双向 SSL,但不需要。有效值为 true 或者 false。默认值为 false

如果属性 needClientAuth 设为 true,则该属性具有优先权,并且忽略 wantClientAuth

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.