タイプ JMXエージェントについて
いつもお世話になっております。
以下ご教授頂きたく宜しくお願い致します。
ZabbixVer:2.4.5
OS :CentOS6.6
【質問内容】
アイテムにて、JMXエージェントを選択した場合、
Zabbixサーバにて使用するポートを教えて下さい。
【背景】
現在、Zabbixサーバと同一ホストにZabbix-java-gatewayを構築し、
非監視サーバのJMXを監視する体制を整えました。
この際、Zabbixサーバと非監視サーバでの通信の流れが不明で、
どうFWを設定したらよいか分からない状況です。
#FWは双方ともにOUTは制限なしです。
イメージとしては
JMXエージェントはZabbixエージェントと同じく、
Zabbixサーバ側から非監視サーバへ取得しに行くため、ハイポートが使用される。
よって、FW設定は不要。
非監視側はJMXインターフェースで指定したポートに対して
ZabbixサーバからのIN通信を許可する必要がある…
という認識なのですがあっていますでしょうか。
wakaba - 投稿数: 228
広瀬です
JMX監視ではZabbix-Java-Gateway用の10052だけが空いていればZabbixサーバ側は
他を開ける必要は全くありません。監視対象となるサーバ側のF/W設定とJMX設定のみ必要です。
①JMX監視は以下の設定がまず必要
F/W影響外の環境の場合は、通常だとJMX設定として「-Dcom.sun.management.jmxremote.port」に
指定したポートを開ければ良いだけです。同一セグメントで、F/W無し(無効)な環境なら他に設定する事
はありません
②F/W有りの場合は、RMI Serverが利用するポート開放が必要です。但しこのポートは固定化しないと、
ランダムでハイポートが指定されます。固定化するには以下が必要だったはずです
「-Dcom.sun.management.jmxremote.rmi.port=」
尚、上記のRMI用のポート指定が出来るのは、JDK7u4以降に限られます<すいませんが、OpenJDKが同じかは不明です
あと、不思議な事に、jmxremote.portと、jmxremote.rmi.portは同一でも怒られません。
つまり、上記指定が出来るなら、1つで良いはずです
当然ですが、上記に指定出来るポートは他で使われていない事が絶対条件です。Javaプロセス自体が、
起動エラー起こします。また、複数のJavaプロセスがある場合もずらす必要があります。
例えば、Tomcatを事例に挙げますが、8080、8443、8009、8005あたりは結構使われているはずなので、
指定対象外と考えた方が良いです<その辺はnetstat使って、LISTEN中のポート把握してください
ご参考までに
wakaba - 投稿数: 228
追伸
10052だけと言いましたが、F/W(iptables)のOUTPUTのデフォルトルールがDROPの場合は
話は別なので、状況に応じて変更は必要です。
ただ、ご質問の前提でOUTに制限は無いと明記されているので、OUTPUTのデフォルトルール
は恐らくACCEPTなのだろうという判断の元の回答です。
kaeru - 投稿数: 263
>>広瀬様
ご回答誠にありがとうございます。
また、言葉足らずなところを全て補足して頂き大変助かりました。
>JMX監視ではZabbix-Java-Gateway用の10052だけが空いていればZabbixサーバ側は
>他を開ける必要は全くありません。監視対象となるサーバ側のF/W設定とJMX設定のみ必要です。
承知しました。
認識に誤りが無い事が確認出来ました。
①、②に関しては、設定自体は出来ていたものの、
他サイトを参考しながら設定したためあまり意味がわかっていませんでしたので
大変参考になりました。
また、補足についてもご指摘の通り
OUTPUTのデフォルトルールはACCEPTとなっています。
DROPを使用する環境では留意致します。
上記、重ねてありがとうございました。