通过 yum 安装的 tomcat 配置 JMX remote monitor

本文针对 centos 7 上的 tomcat 配置 JMX remote monitor，由于tomcat安装方法的不同，jmx 配置方法也有所不同，本文介绍 yum 安装的 tomcat 的 JMX 配置方法。

安装 jdk、tomcat：

yum install -y java tomcat

1 配置 $CATALINA_OPTS

打开tomcat启动文件 /usr/libexec/tomcat/server，在变量 $FLAGS 赋值语句下面添加：

CATALINA_OPTS="$CATALINA_OPTS \
-Dcom.sun.management.jmxremote \
-Dcom.sun.management.jmxremote.port=8008 \
-Dcom.sun.management.jmxremote.ssl=false \
-Djava.rmi.server.hostname=192.168.1.104 \
-Dcom.sun.management.jmxremote.authenticate=true \
-Dcom.sun.management.jmxremote.password.file=/usr/share/tomcat/conf/jmxremote.password \
-Dcom.sun.management.jmxremote.access.file=/usr/share/tomcat/conf/jmxremote.access"

-Dcom.sun.management.jmxremote: 启用 jmxremote 功能；
-Dcom.sun.management.jmxremote.port=8008：jmxremote 监听端口，用于客户端连接，样例设为 8008；
-Dcom.sun.management.jmxremote.ssl=false：是否启用 SSL 连接，样例设为 false；
-Dcom.sun.management.jmxremote.authenticate=true：开启用户认证连接；
-Dcom.sun.management.jmxremote.password.file=/usr/share/tomcat/conf/jmxremote.password：认证用户密码文件，样例设为 /usr/share/tomcat/conf/jmxremote.password；
-Dcom.sun.management.jmxremote.access.file=/usr/share/tomcat/conf/jmxremote.access：认证用户权限配置文件，样例设为 /usr/share/tomcat/conf/jmxremote.access。

如果不启用用户认证，将选项 Dcom.sun.management.jmxremote.authenticate 的值设为false，也无需再设置选项 Dcom.sun.management.jmxremote.password.file 和 Dcom.sun.management.jmxremote.access.file。

2 JMX 远程连接的用户认证文件

从 jre 的安装目录找到 jmxremote.access 和 jmxremote.password.template，复制到 $CATALINA_OPTS 中设置的认证文件位置，将 jmxremote.password.template 重命名为 jmxremote.password。

cp /usr/lib/jvm/jre/lib/management/jmxremote.access /usr/share/tomcat/conf/
cp /usr/lib/jvm/jre/lib/management/jmxremote.password.template /usr/share/tomcat/conf/jmxremote.password

jmxremote.access 文件末尾添加认证用户名和用户权限，示例中 jmxuser 为用户名，readwrite 为该用户的 jmx 权限：

jmxuser readwrite

jmxremote.password 文件末尾添加认证用户名和用户密码，示例中 jmxuser 为用户名，与 jmxremote.access 中一致，jmxpassword 为该用户的 jmx 远程连接密码：

jmxuser jmxpassword

最后，更改文件权限和属主：

cd /usr/share/tomcat/conf/
chmod 600 jmxremote.password jmxremote.access
chown tomcat.tomcat jmxremote.password jmxremote.access

3 firewalld 设置

可以直接关闭 firewalld：

systemctl stop firewalld
systemctl disable firewalld

或者针对 JMX 监听的端口（包括两个随机端口和选项 -Dcom.sun.management.jmxremote.port 指定的固定端口）设置开放规则。首先查看java 监听的端口：

ss -lnp | grep java

任何开放端口：

firewall-cmd --add-port=8008/tcp --add-port=<random-port-1>/tcp --add-port=<random-port-2>/tcp

重启 tomcat 后随机端口会变，这时候又要重新设置端口规则。

4 重启 tomcat，JMX 连接

使用 JDK 自带的 jconsole 或 VisualVM 连接 JVM Remote。