Supervisión y gestión de las instalaciones de aplicaciones Java y Java

Puede utilizar Java Management Service (JMS) para supervisar y gestionar las instalaciones de aplicaciones Java y Java en sus entornos (instalación de aplicaciones y Java en Oracle Cloud Infrastructure (OCI), local y en la nube de terceros). JMS proporciona capacidades básicas, como la visualización de detalles de Java Runtime Environment (JRE) instalado en la instancia gestionada, la visualización de las versiones de Java que utiliza la aplicación en la instancia gestionada o JRE en la instancia gestionada por debajo de la línea base de seguridad. Cuando tiene una suscripción a Oracle Java SE, puede utilizar capacidades avanzadas de JMS, como gestionar las instalaciones de Oracle Java, ejecutar la grabadora de vuelo de Java Development Kit (JDK), evaluar la migración de las aplicaciones a otro JRE y explorar las bibliotecas de Java utilizadas por la aplicación en ejecución.

Antes de empezar

Esta arquitectura de referencia asume que se ha incorporado correctamente a OCI.

JMS es un servicio nativo de OCI que puede desplegar en dominios comerciales y restringidos. Se puede acceder a él a través de la API (OCI Software Development Kit (SDK) para JMS) o la consola de JMS.

Creará conjuntos de JMS en un compartimento de su arrendamiento. Puede tener varias flotas y recursos de JMS en una o más geografías. Utilice conjuntos para controlar el acceso al recurso asociado y asignarlo a los departamentos de la empresa. Con este enfoque, cada departamento de la empresa del cliente puede controlar su propia flota y recursos.

Realice lo siguiente para completar la vinculación de JMS:

1. Configure Oracle Cloud Infrastructure para JMS (ya sea gestionando manualmente políticas o utilizando un asistente).
2. Crea un conjunto JMS.
3. Desplegar un agente o configurar el agente y activar el plugin de JMS.
4. Supervise las instalaciones y aplicaciones de Java en la instancia gestionada.
5. Realice operaciones de funciones avanzadas según sea necesario.

Consulte Java Management Service en la documentación de OCI para obtener más información.

Arquitectura

Esta arquitectura muestra cómo puede utilizar JMS para recopilar estadísticas sobre las instalaciones de Java y las aplicaciones Java que se ejecutan en los entornos de instancia gestionada. JMS utiliza agentes para supervisar el JDK/JRE en su entorno. Puede asumir la responsabilidad de instalar, configurar y activar estos agentes JMS.

El agente JMS se instala en las instancias gestionadas para recopilar la telemetría de uso de Java y los metadatos de uso de Java. Los datos de telemetría se emiten y se almacenan en su arrendamiento para proteger la privacidad.

El agente instalado en sus arrendamientos exfiltra los metadatos de uso de Java de su arrendamiento. JMS utiliza estos metadatos para generar estadísticas como la versión de Java, la línea base de seguridad y las próximas actualizaciones de Java, así como el uso de aplicaciones, que se presenta al conectarse a la consola de OCI. No hay acceso de Oracle más allá del procesamiento de los metadatos exfiltrados.

Mediante las funciones avanzadas disponibles en JMS, puede analizar el uso de servidores de aplicaciones Java, identificar posibles vulnerabilidades en las bibliotecas Java utilizadas por las aplicaciones que se ejecutan en su entorno, utilizar el registrador de ejecución de Java para el rendimiento y el análisis criptográfico y gestionar los tiempos de ejecución de Oracle Java Runtime (versiones de JDK) en su entorno. Puede utilizar la función avanzada para gestionar la ejecución de Java en su entorno.

El siguiente diagrama ilustra la topología del servicio JMS en producción. En el diagrama se muestran los agentes desplegados para realizar un seguimiento de Java que se ejecuta en OCI, sus escritorios locales, portátiles y servidores, y servicios en la nube de terceros. Estos agentes se despliegan en las instancias gestionadas y están asociados a los recursos creados (fleets) en sus arrendamientos.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración jms-oci-topology.png

jms-oci-topology-oracle.zip

En general, a continuación se muestra cómo fluyen los datos entre el agente JMS instalado en la instancia gestionada y el servicio JMS en OCI:

• Instala el agente en la instancia gestionada y el agente se registra con OCI.
• Puede configurar o activar el plugin de JMS (pasando el conjunto de JMS como parámetro). El agente JMS ahora está asociado al conjunto JMS deseado.
• El agente JMS registrado sondea JMS para el trabajo. JMS responderá al sondeo con las solicitudes de trabajo adecuadas, si las hay.
• El agente JMS explora periódicamente la instancia gestionada en busca de instalaciones o entradas de Java en el rastreador de uso y envía las métricas de Java y los metadatos de Java a OCI.

El flujo de datos entre el agente JMS y el servicio OCI se muestra en la siguiente ilustración.

Descripción de la ilustración jms-oci-workflow.png

jms-oci-workflow-oracle.zip

El flujo de datos entre el agente JMS y el servicio OCI es el siguiente:

1. Usuario: Instala el agente en el agente JMS y se envía una solicitud al agente JMS (solicitud).
2. Agente JMS: Envía una solicitud de registro a los servicios de OCI (solicitud).
3. Servicios de OCI: valida la clave y devuelve metadatos y tokens de autenticación y envía una respuesta al agente JMS (respuesta).
4. Agente JMS: Se inicia el agente y envía una respuesta al usuario (respuesta).
5. Agente JMS: instala los plugins solicitados en los servicios de OCI (solicitud).
6. Agente JMS: sondea los servicios de OCI como una solicitud de trabajo (solicitud).
7. Servicios de OCI: envía una solicitud de trabajo (respuesta).
8. Agente de JMS: El agente obtiene el paquete de plugins e instalaciones (solicitud).
9. Agente JMS: sondea periódicamente y envía inventario a los servicios de OCI en el arrendamiento del cliente (solicitud).

El siguiente diagrama de red describe los flujos de tráfico entre el agente JMS instalado en las máquinas host (local) y JMS que se ejecuta en OCI. Se produce un patrón de tráfico similar entre las máquinas host en OCI y JMS.

Descripción de la ilustración jms-oci-network-traffic.png

jms-oci-network-traffic-oracle.zip

• El agente JMS siempre inicia la solicitud autenticándose a sí mismo con OCI mediante un puerto abierto permitido por el firewall (443).
• El agente de gestión y el servicio JMS de OCI no transfieren ningún dato al agente.
• El agente JMS sondea el servicio en busca de solicitudes de trabajo.
  • El intervalo de sondeo de solicitudes de trabajo del agente JMS puede ser tan bajo como 30 segundos.
  • El intervalo de sondeo del agente de JMS se puede configurar; el intervalo de sondeo máximo es de 10 minutos.
• Los datos transmitidos se cifran mediante TLS.
• A continuación, los servicios de OCI devuelven los datos en respuesta a estas solicitudes una vez establecida la conexión.

La arquitectura tiene los siguientes componentes:

• Región

  Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad no debería afectar a los otros dominios de disponibilidad de la región.

• Compartimento

  Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de OCI. Utilice compartimentos para organizar, controlar el acceso y definir cuotas de uso para sus recursos de Oracle Cloud. En un compartimento determinado, puede definir políticas que controlen el acceso y definan privilegios para los recursos.

• Gateway de enrutamiento dinámico (DRG)

  The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.

• Pool de instancia

  Un pool de instancias es un grupo de instancias dentro de una región que se crean a partir de la misma configuración de instancia y se gestionan como grupo.

• Red local

  Se trata de una red local utilizada por la organización.

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se permite dentro y fuera de la subred.

• Zona de seguridad

  Las zonas de seguridad implantan las mejores prácticas clave de seguridad de Oracle al aplicar políticas para un compartimento completo, como el cifrado de datos y la prevención del acceso público a las redes. Una zona de seguridad está asociada a un compartimento con el mismo nombre e incluye políticas de zona de seguridad (una receta) que se aplican al compartimento y sus subcompartimentos. No puede agregar ni mover un compartimento estándar a un compartimento del área de seguridad.

• Gateway de enrutamiento dinámico (DRG)

  The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.

• Gateway de servicio

  Un gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de la Oracle y no atraviesa Internet.

• Tenancy

  Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud cuando se registra en OCI. Puede crear, organizar y administrar sus recursos en OCI dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un único arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una única suscripción y una única suscripción suele tener un solo arrendamiento.

• Registro de OCI
  Oracle Cloud Infrastructure Logging es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:

  • Logs de auditoría: logs relacionados con eventos producidos por OCI Audit.
  • Logs de servicio: logs publicados por servicios individuales como OCI API Gateway, OCI Events, OCI Functions, OCI Load Balancing, OCI Object Storage y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico a partir de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
• Supervisión de OCI

  Oracle Cloud Infrastructure Monitoring supervisa de forma activa y pasiva los recursos en la nube, y utiliza alarmas para notificarle cuando las métricas cumplen los disparadores especificados.

• Política

  Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en los niveles de grupo y compartimento, lo que implica que puede escribir una política que proporcione un tipo específico de acceso a un grupo en un compartimento específico o en el arrendamiento.

• OCI Vault

  Oracle Cloud Infrastructure Vault permite crear y gestionar de forma centralizada las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. La gestión de claves por defecto son las claves gestionadas por Oracle. También puede utilizar claves gestionadas por el cliente que utilizan OCI Vault. OCI Vault ofrece un juego enriquecido de API de REST para gestionar almacenes y claves.

• Flujo de trabajo de OCI

  Oracle Cloud Infrastructure Workflow es un motor de flujo de trabajo sin servidor con un diseñador gráfico de flujos para desarrolladores y arquitectos. Acelera la creación, ejecución y orquestación de servicios de OCI, como OCI Functions o AI/ML.

• Red y subredes virtuales en la nube (VCN)

  Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Gateway de API de OCI

  Oracle Cloud Infrastructure API Gateway permite publicar API con puntos finales privados accesibles desde la red y que se pueden exponer a la red pública de Internet si es necesario. Los puntos finales admiten la validación de API, la transformación de solicitud y respuesta, CORS, la autenticación y autorización, y la limitación de solicitudes.

• Oracle Autonomous Database

  Oracle Autonomous Database es un entorno de base de datos preconfigurado y totalmente gestionado que puede utilizar para cargas de trabajo de procesamiento de transacciones y almacenamiento de datos. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. OCI gestiona la creación, la copia de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.

• Host bastión

  El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host bastión se aprovisiona, por lo general, en una zona desmilitarizada (DMZ). Le permite proteger los recursos sensibles, colocándolos en redes privadas a las que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso.

• Computación de OCI

  Con Oracle Cloud Infrastructure Compute, puede aprovisionar y gestionar hosts de recursos informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos de CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desconectar volúmenes y terminarla cuando ya no lo necesite.

• DNS de OCI

  El servicio de sistema de nombres de dominio (DNS) de Oracle Cloud Infrastructure es una red anycast global con gran capacidad de ampliación de un sistema de nombre de dominio (DNS) que ofrece rendimiento, resiliencia y posibilidades de ampliación de DNS para que los usuarios finales se conecten a las aplicaciones de Internet rápidamente y desde cualquier lugar.

• Flujos de Kafka

  Kafka Streams es una biblioteca de clientes para crear aplicaciones y microservicios, donde los datos de entrada y salida se almacenan en clusters de Kafka. Combina la simplicidad de escribir e implementar aplicaciones Java y Scala estándar en el cliente con las ventajas de la tecnología de clúster del servidor de Kafka.

• OCI Object Storage

  OCI Object Storage proporciona acceso a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad en bases de datos, datos analíticos y contenido enriquecido como imágenes y vídeos. Puede almacenar datos de forma segura directamente desde las aplicaciones o desde la plataforma en la nube. Puedes ampliar el almacenamiento sin experimentar ninguna degradación del rendimiento o la fiabilidad del servicio.

  Utilice el almacenamiento estandar para el almacenamiento "caliente" al que debe acceder de forma rápida, inmediata y frecuente. Utilice este tipo de almacenamiento para el almacenamiento "frío" que conserva durante largos períodos de tiempo y a los a los que rara vez accede.

• Oracle Management Agent

  Oracle Management Agent es un servicio que proporciona recopilación de datos y comunicación interactiva de baja latencia entre Oracle Cloud Infrastructure y las instancias gestionadas locales. Los agentes de gestión recopilan datos de orígenes que desea supervisar. Management Agent Service, un servicio de Oracle Cloud Service, gestiona el ciclo de vida del agente de gestión y los plugins de los servicios.

• Agente de Oracle Cloud

  Oracle Cloud Agent es un proceso ligero que gestiona el ciclo de vida de los plugins que se ejecutan en instancias informáticas en OCI. Los plugins de JMS recopilan metadatos de Java de su entorno desplegado en la instancia gestionada en OCI. El plugin de JMS filtra estos metadatos de Java al servicio JMS en OCI.

• Kiev como servicio (KaaS)

  KaaS es un servicio de plataforma de datos totalmente gestionado que utilizan principalmente los servicios del plano de control en OCI. KaaS proporciona API de NoSQL de alto nivel para una integración sencilla, exploraciones serializables, transmisión de cambio de alimentación y otras funciones. KaaS es un servicio construido sobre Kiev. Kiev es un "NoSQL almacén de clave-valor" que también soporta mini-transacciones por conveniencia. Para evitar errores de simultaneidad en las aplicaciones, las mini-transacciones de Kiev tienen un fuerte aislamiento que proporciona garantías más sólidas que los niveles de aislamiento más débiles que se utilizan comúnmente en Oracle y MySQL. Kiev tiene un SLA de disponibilidad del 99,9 %.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Sus requisitos pueden diferir de la arquitectura descrita aquí.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques de CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

  Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  Utilizar subredes regionales.

• Seguridad

  Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de sus recursos en Oracle Cloud Infrastructure de forma proactiva. Utilice zonas de seguridad para obtener la máxima seguridad.

• Cloud Guard

  Clone y personalice las recetas por defecto proporcionadas por Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas le permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar cubos de OCI Object Storage que tengan visibilidad definida como pública.

  Aplique Oracle Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa que supone mantener varias configuraciones.

  También puede utilizar la función de lista gestionada para aplicar determinadas configuraciones a los detectores.

• Security Zones

  Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, los recursos de una zona de seguridad no deben ser accesibles desde la red pública de Internet y deben estar cifrados mediante claves gestionadas por los clientes. Al crear y actualizar recursos en una zona de seguridad, OCI valida las operaciones con respecto a las políticas de la receta y evita las operaciones que violan cualquiera de las políticas.

• Grupos de seguridad de red (NSG)

  Puede utilizar NSG para definir un juego de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación.

• Ancho de banda de equilibrador de carga

  Al crear un equilibrador de carga, puede seleccionar una unidad predefinida que proporcione un ancho de banda fijo o especificar una unidad personalizada (flexible) en la que definir un rango de ancho de banda y permitir que el servicio escale el ancho de banda automáticamente en función de los patrones de tráfico. Con cualquier enfoque, puede modificar la unidad de ancho de banda en cualquier momento después de crear el equilibrador de carga.

Consideraciones

Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.

• Rendimiento
  Tenga en cuenta los siguientes elementos al implantar la arquitectura de referencia para detectar y gestionar instalaciones de Java y aplicaciones java en instancias gestionadas locales.

  • JMS utiliza Agent para exfiltrar los metadatos de Java (el tráfico de red y la cuidadosa configuración del firewall son una consideración).
  • El agente necesita que se ejecute la última versión de JRE 8 en la instancia gestionada.
  • El agente necesita 512 MB de memoria de pila libre en la instancia gestionada.
  • El agente competirá con la aplicación para CPU en la instancia gestionada.

  Los metadatos exfiltrados están disponibles en el objeto de log. JMS procesa los metadatos para generar estadísticas. Estas estadísticas y métricas se almacenan en la base de datos Oracle Autonomous Transaction Processing propiedad del servicio. Puede utilizar la API para consultar el servicio para obtener estadísticas históricas sobre Java desplegado en su entorno. JMS no es un sistema en tiempo real. Puede haber latencia al proporcionar estadísticas actuales e históricas debido a la carga del servicio por parte de muchas otras consultas de clientes.

• Seguridad

  Utilice políticas para restringir quién puede acceder a los recursos de Oracle Cloud Infrastructure (OCI) de su empresa y cómo pueden acceder a ellos. Metadatos de Java extraídos del entorno en un objeto de log que es propiedad de la empresa. JMS procesa estos metadatos y se le presentan las estadísticas. Las estadísticas se almacenan en la base de datos de Oracle Autonomous Transaction Processing. Los informes que genere se almacenan en OCI Object Storage.

  El cifrado está activado para OCI Object Storage por defecto y no se puede desactivar.

• Disponibilidad

  JMS se ha designado como servicio de categoría 10 con un objetivo de nivel de servicio publicado de 3'9s (99.9).

• Costo

  JMS es un servicio gratuito. Todas las funciones básicas para supervisar y consultar estadísticas de Java en su entorno están disponibles. Las funciones avanzadas que implican la gestión de Java en su entorno solo están disponibles para los suscriptores de Java SE que ejecutan instancias gestionadas locales. La versión completa de funciones de JMS también está disponible al ejecutar toda la carga de trabajo en OCI.

  Si tiene instancias gestionadas locales y utiliza cargas de trabajo Java mínimas, puede que considere aceptable trabajar JMS dentro de los límites del nivel gratuito de OCI (evitando el costo mensual mínimo de recursos informáticos, almacenamiento y salida de red).

Explorar más

Para obtener más información, consulte los siguientes recursos:

Vaya a Configuración de Java Management Service para supervisar el uso de Java en un host de Oracle Linux para configurar y activar la supervisión del uso de Java en las máquinas de Oracle Linux.

• Marco bien diseñado para Oracle Cloud Infrastructure

• Estimador de costos de Oracle Cloud
• Oracle Cloud Infrastructure Software Development Kit (SDK) para JMS (GitHub)

Revise las siguientes secciones de la documentación de Oracle Cloud Infrastructure:

• Marco de adopción de la nube de Oracle Cloud Infrastructure Cloud
• Autonomous Database
• Oracle Cloud Infrastructure Identity and Access Management
• Java Management Service
• Agente de Oracle Cloud
• Agente de gestión
• Objetivos de nivel de servicio para Oracle PaaS e IaaS Public Cloud Services
• Cuenta gratuita de Oracle Cloud

Log de Cambios

Este log muestra los cambios significativos:

Septiembre 26, 2025	Diagrama de tráfico de red revisado para mostrar el agente en la nube de Oracle (no el agente de gestión de Oracle) en la región de OCI. Se actualizaron las descripciones de los componentes.
Marzo 6, 2025	Diagrama de topología revisado.

Confirmaciones

• Autores: Atiq Ahamad
• Contribuyentes: Amit Naik, Teck Kian Choo, Laura Hartman, Cindy Church