Опубликован Prometheus JMX Exporter 1.6.0 — выпуск экспортёра, предназначенного для сбора значений JMX MBean из Java-приложений и выдачи их в виде метрик Prometheus. При соответствующей настройке JMX Exporter также может отправлять данные через OpenTelemetry. Код проекта распространяется под лицензией Apache-2.0.
JMX Exporter можно запускать в нескольких режимах: как Java-агент внутри целевой JVM, как standalone-экспортёр для опроса удалённого JMX/RMI и как isolator Java agent для нескольких изолированных экспортёров в одной JVM. В документации Java agent указан как рекомендуемый вариант для большинства пользователей, так как он позволяет обойтись без настройки удалённого JMX/RMI.
Что изменилось
-
Настраиваемый путь метрик. Добавлена возможность задавать собственный HTTP-путь, по которому экспортёр отдаёт метрики. Это полезно в окружениях, где endpoint
/metricsуже занят, где маршрутизация завязана на единые правила ingress/service mesh или где несколько экспортёров публикуются через один прокси. -
Защита от атак по времени при проверке паролей. Добавлено усиление защиты против timing-based password attacks. Речь идёт о снижении риска, при котором злоумышленник пытается подобрать пароль, анализируя различия во времени ответа при проверке разных вариантов.
-
Исправлены PBKDF2-методы аутентификации. Разработчики исправили расчёт длины в битах для PBKDF2 authentication methods. Ошибка могла затрагивать корректность проверки паролей при использовании соответствующих схем хеширования. В changelog пункт указан как
PKDF2, но по смыслу и контексту аутентификации речь идёт о PBKDF2. -
Исправлено LRU-кеширование аутентификации. Внесено исправление в механизм кеширования результатов аутентификации. Для экспортёра, который может опрашиваться Prometheus часто и параллельно, корректная работа такого кеша важна и для производительности, и для предсказуемого поведения авторизации.
-
Обновлена документация. Документация 1.6.0 описывает назначение JMX Exporter, режимы развёртывания, быстрый старт, конфигурацию YAML, HTTP-настройки, аутентификацию, SSL, OpenTelemetry и примеры. Отдельно перечислены артефакты версии 1.6.0.
-
Обновлены зависимости. В релиз вошли множественные обновления зависимостей. Для инфраструктурного компонента мониторинга это важная часть сопровождения: такие обновления обычно закрывают накопившиеся исправления, улучшают совместимость и уменьшают риск проблем в цепочке поставки.
-
Проведена общая чистка проекта. Разработчики улучшили Javadoc, увеличили покрытие кода тестами, расширили набор unit-тестов и доработали интеграционные тесты. Также добавлены дополнительные контейнеры и дистрибутивы для интеграционного тестирования.
В целом JMX Exporter 1.6.0 выглядит как эксплуатационный релиз: без крупных архитектурных перестроек, но с полезными изменениями для production-окружений — гибкой настройкой endpoint-ов метрик, усилением аутентификации, исправлениями кеширования и заметным обновлением тестовой базы.
>>> Источник
