与通常的看法相反,JMX /
RMI不需要打开所有这些端口。实际上,您可以强制它们相同,这意味着一天结束时您只需要在防火墙上打一个洞即可(如果您担心防火墙的话)。
尝试设置系统属性:
com.sun.management.jmxremote.portcom.sun.management.jmxremote.rmi.port
到相同的价值!
显式设置这些将阻止RMI选择随机端口。将它们设置为相同的值将确保它打开较少的端口以进行监听。
这将在Java 7 update 25或更高版本中工作。
什么是第三个端口?
您看到的应用程序打开的第三个端口(或者,如果您遵循了我的建议,则打开了第二个端口)由 Java Attach API使用
。这就是JConsole用于连接到“本地进程”的东西。从Java
6开始,无论
com.sun.management.jmxremote属性如何,默认情况下都会启用Java Attach
API功能。该功能将使用随机端口(又称为OS临时端口),但这并不重要,因为该功能仅允许来自主机本身的连接。如果您真的不喜欢此功能,则可以添加
-XX:+DisableAttachMechanism到命令行以禁用Java
Attach API功能。然后,您将不再看到Java进程(在本例中为Tomcat)在随机端口上侦听。
如何使JMX仅在回送接口上侦听
对于定制的应用程序,您将使用RMIServerSocketFactory,但这是Tomcat,因此您必须使用Tomcat的JMX远程生命周期监听器来完成。
另一方面,
com.sun.management.jmxremote.local.only从Java
7开始就拥有该属性并不重要。它可以确保仅允许来自主机本身的连接。请注意,JMX库无法通过绑定到回送接口来实现此目的,这肯定是做到这一点的 一种
方法,但由于主机可能具有多个回送接口,因此略有不准确。
实际上,总的来说(除了最新的JDK wrt JMX增补版),我想说的是Tomcat的 JMX远程生命周期侦听器
现在是多余的,除非您想绑定到某些真正奇怪的网络接口。
