必须同时配置-dcom.sun.management.jmxremote.port、-dcom.sun.management.jmxremote.rmi.port、-djava.rmi.server.hostname,且防火墙放行该端口;jdk 8u191+起需显式指定端口,jdk 11+部分参数失效,url格式为service:jmx:rmi:///jndi/rmi://host:port/jmxrmi。
Java启动时加哪些JMX参数才真正生效
不加权限控制的JMX远程端口,等于把JVM内存、线程、GC等敏感信息裸奔在公网。只加-Dcom.sun.management.jmxremote根本没用,JDK 7u4以后默认禁用远程访问,必须显式启用并配全关键参数。
-
-Dcom.sun.management.jmxremote:只是开启JMX管理接口,不等于能远程连 -
-Dcom.sun.management.jmxremote.port=9999:指定监听端口,注意该端口需与后续连接时的端口一致 -
-Dcom.sun.management.jmxremote.authenticate=false:关闭认证(仅测试环境),生产必须设为true并配jmxremote.password文件 -
-Dcom.sun.management.jmxremote.ssl=false:关闭SSL(开发调试可接受),否则需配置keystore且客户端要信任证书 -
-Djava.rmi.server.hostname=192.168.1.100:这是最容易漏的关键项——RMI注册中心会返回本机hostname,若解析成localhost或内网不可达名,远程连接必失败
为什么jconsole连不上,却显示“Connection failed”
错误信息里常出现java.io.IOException: Failed to retrieve RMIServer stub,本质是RMI通信链路断在了第二跳:JMX RMI Registry(固定端口)和JMX RMI Server(随机端口)之间不互通。
- JDK默认让RMI Server绑定
localhost,导致外部无法访问其动态分配的server端口 - 必须加
-Dcom.sun.management.jmxremote.rmi.port=9999,强制RMI Server复用同一端口(与jmxremote.port一致),避免端口穿透问题 - 防火墙要同时放行
9999(JMX注册端口 + RMI server端口),不能只开一个 - 如果用Docker,容器内
hostname和宿主机网络隔离,java.rmi.server.hostname必须填宿主机可路由的IP,不能填0.0.0.0或docker0网桥地址
JDK 8u191+ 和 JDK 11+ 的JMX启动参数差异
从JDK 8u191开始,Oracle收紧了JMX默认行为;JDK 11移除了com.sun.management.*包的部分功能,部分参数已失效或需额外配置。
- JDK 8u191+ 要求
-Dcom.sun.management.jmxremote必须配合-Dcom.sun.management.jmxremote.port,否则启动报IllegalArgumentException - JDK 11起,
jstatd和jps远程发现能力被大幅削弱,依赖JMX远程监控时,建议直接用jconsole或jmc连service:jmx:rmi:///jndi/rmi://host:port/jmxrmi格式URL - JDK 11不再支持
-Dcom.sun.management.jmxremote.ssl.need.client.auth=true这类细粒度SSL控制,改用标准javax.net.ssl.*系统属性 - OpenJDK 17+ 默认禁用
com.sun.management.jmxremote,需额外加--add-exports java.base/jdk.internal.misc=ALL-UNNAMED(仅当使用某些非标准MBean时才需要)
用jconsole连接时URL怎么写才不报错
本地进程列表为空、远程连接提示Malformed URL或Connection refused,多数是URL格式或协议头写错了。
立即学习“Java免费学习笔记(深入)”;
- 本地进程:直接启动
jconsole,不填URL,选列表里的PID即可(无需JMX参数) - 远程连接(JDK 8–10):
service:jmx:rmi:///jndi/rmi://192.168.1.100:9999/jmxrmi,注意末尾/jmxrmi不能省,也不能写成/jndi/rmi://... - 远程连接(JDK 11+):同样用上面URL,但若服务端启用了SSL,需在jconsole启动时加
-J-Djavax.net.ssl.trustStore=/path/to/truststore.jks - 如果服务端设置了
jmxremote.authenticate=true,jconsole连接时弹窗输用户名密码,账号来自jmxremote.password文件,密码文件权限必须是600(Linux/macOS),否则JVM拒绝加载
最常被忽略的是java.rmi.server.hostname和rmi.port没对齐,以及防火墙只开了JMX端口、没开RMI Server端口——这两点卡住90%的“连不上”问题。
