了解如何引入 Java Management Service 来监视 Java 使用情况
JMS 使您能够:
- 利用这些洞察来优化整个企业(桌面、服务器、云)的工作负载。
- 通过识别过时的 Java 安装、未经授权的应用以及 Java 运行时和应用不匹配,保护 Java SE 投资。
使用须知
在开始之前,请确保您熟悉基本部署的以下要求和技术:
- 访问 Java Management Service 需要 Oracle Cloud 账户。您可以使用自己的云账户,也可以获得 OCI 免费套餐账户。
- 确保正确设置了 Oracle Linux 计算机以允许与 OCI 服务通信。以下是支持的计算机:
- 您的租户中可用的 OCI 计算实例。如果您尚未设置实例,请参阅创建 OCI 计算实例。
- 位于内部部署或要使用 JMS 监视的第三方云中的主机。
- 查看 https://docs.oracle.com/en-us/iaas/jms/doc/you-begin.html 上的系统要求和支持的平台。
- 熟悉 JMS 密钥概念。请参见 https://docs.oracle.com/en-us/iaas/jms/doc/key-concepts-and-terminology.html 。
要了解有关 JMS 监视生态系统的更多信息,请参见监视和管理 Java 和 Java 应用程序安装参考体系结构。
体系结构
下面的网络图概述了安装在主机(内部部署)上的 JMS 代理与在 OCI 中运行的 JMS 之间的通信流。OCI 和 JMS 中的主机之间会出现类似的流量模式。
插图 jms-oci-network-traffic.png 的说明
jms-oci-network-traffic-oracle.zip
- JMS 代理始终通过使用防火墙允许的开放端口 (443) 使用 OCI 验证自身来启动请求。
- OCI 中的管理代理和 JMS 服务不会向代理推送任何数据。
- JMS 代理轮询服务以查找工作请求。
- JMS 代理工作请求轮询间隔可以低至 30 秒。
- JMS 代理轮询间隔是可配置的,最大轮询间隔为 10 分钟。
- 传输的数据使用 TLS 进行加密。
- 在建立连接后,OCI 服务会根据这些请求发送数据。
该体系结构包含以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,其中包含一个或多个数据中心,托管可用性域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。
- 可用性域
可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源、冷却设施或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。
- 动态路由网关 (DRG)
DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络)之间的专用网络流量提供路径。
- 实例池
实例池是区域内的一组实例,这些实例基于相同的实例配置创建并作为组一起管理。
- 内部部署网络
这是您的组织使用的本地网络。
- 安全列表
对于每个子网,可以创建安全规则来指定允许传入和传出子网的通信的源、目标和类型。
- 安全区域
安全区域通过对整个区间实施策略来实施关键的 Oracle 安全优秀实践,例如加密数据和阻止公共访问网络。安全区域与同名的区间关联,并包括应用于区间及其子区间的安全区域策略(配方)。无法向安全区域区间添加或移动标准区间。
- 动态路由网关 (DRG)
DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络)之间的专用网络流量提供路径。
- 服务网关
通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。
- Tenancy
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在租户内的 OCI 中创建、组织和管理资源。租户是公司或组织的同义词。通常,公司将具有单个租户并反映其在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- 日志记录Oracle Cloud Infrastructure Logging 是一项高度可扩展、完全托管的服务,支持您从云端资源访问以下类型的日志:
- 审计日志:与 OCI 审计生成的事件相关的日志。
- 服务日志:各个服务(例如 OCI API 网关、 OCI 事件、 OCI 函数、 OCI 负载平衡、 OCI 对象存储和 VCN 流日志)发布的日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- 监视
Oracle Cloud Infrastructure Monitoring 可主动和被动监视您的云资源,并在指标满足指定触发器时使用预警通知您。
- 策略
Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问这些资源。可以在组和区间级别授予访问权限,这意味着您可以编写策略来为组提供特定区间内或租户的特定类型的访问权限。
- Oracle Cloud Infrastructure Vault
借助 Oracle Cloud Infrastructure Vault ,您可以创建并集中管理加密密钥,以保护数据以及用于保护对云中资源的访问权限的密钥凭证。默认密钥管理是 Oracle 管理的密钥。您还可以使用客户管理的密钥,这些密钥使用 OCI Vault 。OCI Vault 提供一组丰富的 REST API 来管理 Vault 和密钥。
- 工作流
Oracle Cloud Infrastructure Workflow 是一个无服务器工作流引擎,为开发人员和架构师提供图形流设计器。它可加快 OCI 服务(例如 OCI Functions 或 AI/ML)的创建、运行和编排速度。
- 虚拟云网络 (VCN) 和子网
VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。
- API 网关
使用 Oracle Cloud Infrastructure API Gateway ,您可以发布具有可从网络内访问的专用端点的 API,并根据需要向公共互联网公开这些 API。这些端点支持 API 验证、请求和响应转换、CORS、验证和授权以及请求限制。
- 自治数据库
Oracle Autonomous Database 是一个完全托管的预配置数据库环境,可用于事务处理和数据仓库工作负载。您不需要配置或管理任何硬件,或者安装任何软件。Oracle Cloud Infrastructure 负责创建、备份、打补丁、升级和优化数据库。
- 堡垒主机
堡垒主机是一个计算实例,它为用户从云外部访问拓扑提供了安全受控的入口点。堡垒主机通常预配在隔离区 (DMZ) 中。利用它,您可以将敏感资源放在无法从云外部直接访问的专用网络中,从而保护这些资源。拓扑具有已知的单个入口点,您可以定期对其进行监视和审计。因此,您可以避免公开拓扑中较为敏感的组件,同时又不会影响对它们的访问。
- 计算服务
借助 Oracle Cloud Infrastructure Compute ,您可以在云中预配和管理计算主机。您可以通过配置启动计算实例,以满足对 CPU、内存、网络带宽和存储的资源要求。创建计算实例后,您可以安全地访问它,重新启动它,连接和分离卷,并在不再需要时终止它。
- DNS
Oracle Cloud Infrastructure 域名系统 (Domain Name System,DNS) 服务是一个高度可扩展的全局任播域名系统 (DNS) 网络,可提供增强的 DNS 性能、可恢复性和可扩展性,以便最终用户随时随地快速连接到互联网应用。
- Kafka 流
Kafka Streams 是用于构建应用程序和微服务的客户端库,其中输入和输出数据存储在 Kafka 集群中。它将在客户端编写和部署标准 Java 和 Scala 应用的简单性与 Kafka 服务器端集群技术的优势相结合。
- 对象存储
通过 OCI 对象存储,您可以快速访问任何内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据和丰富的内容,例如图像和视频。您可以直接从互联网或云平台安全地存储数据。您可以在不降低性能或服务可靠性的情况下扩展存储。
将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长期保留、很少访问或很少访问的“冷”存储。
- Oracle Management Agent
Oracle Management Agent 是一种在 Oracle Cloud Infrastructure 与内部部署托管实例之间提供低延迟交互式通信和数据收集的服务。管理代理从要监视的源收集数据。管理代理服务 (Oracle Cloud Service) 管理管理代理的生命周期以及服务的插件。
- Oracle Cloud Agent
Oracle Cloud Agent 是一个轻量级流程,可管理在 OCI 上的计算实例上运行的插件的生命周期。JMS 插件从在 OCI 中的托管实例上部署的环境收集 Java 元数据。JMS 插件将此 Java 元数据提取到 OCI 中的 JMS 服务。
- 基辅即服务 (KaaS)
KaaS 是完全托管的数据平台服务,主要由 OCI 上的 Control Plane 服务使用。KaaS 提供了高级 NoSQL API,可用于轻松集成、可序列化扫描、更改源流处理和其他功能。KaaS 是建立在基辅之上的服务。Kiev 是一个“NoSQL 键 - 值存储”,它还支持小型交易以方便。为了防止应用程序中出现并发错误,Kiev 的小型事务处理具有强隔离,这比 Oracle 和 MySQL 中常用的较弱隔离级别提供更强的保证。基辅的可用性 SLA 为 99.9% 。
关于必需的服务和角色
此解决方案需要以下服务和角色:
JMS 与 Oracle Cloud Infrastructure Monitoring 和 Logging 服务相集成,提供基本功能。
- Java Management Service (JMS)
- Oracle Cloud Infrastructure (OCI)
- OCI 监视
- OCI 日志记录
- 托管实例的动态组(包括 OCI 计算实例和管理代理)。动态组允许将策略集体应用于与其他 OCI 资源的通信。
- JMS 组管理器用户组:用于使用和管理 JMS 相关资源的用户组。
- 托管实例动态组:托管实例的动态组(由 OCI 计算实例和管理代理组成)。动态组允许您集体应用策略以与其他 OCI 资源通信。
- JMS 服务器组件:JMS 后端组件的资源组,用于与其他 OCI 资源交互。
这些是每个服务所需的角色。
| 服务名:角色 | 必需 ... |
|---|---|
| OCI OCI Identity and Access Management :管理员 | 创建动态组并监管对 OCI 资源的访问。 |
| OCI:用户管理员 | 管理身份域的用户、组和组成员资格。 |
要获取所需的资源,请参阅 Oracle 产品、解决方案和服务。