web-dev-qa-db-ja.com

ファイアウォールのポートを開かずに、リモートの顧客のWindows / Linux PC /サーバーを監視するにはどうすればよいですか?

私はITサービスプロバイダーで働いています。お客様のサイトでさまざまなWindowsおよびLinuxサーバー/ PCをサポートしています。これらのデバイスの基本的なもの(ディスク容量の使用状況、CPU使用率、稼働時間など)を監視し、中央のインターフェイスでデータを収集する方法を探しています。

Zabbixを見て、Nagiosについて調べました。ただし、どちらの場合も、お客様が静的な外部IPアドレスを持っていることと、双方向のトラフィックを許可するためにお客様のファイアウォールで特定のポートを開く必要があるようです。大多数のお客様に対してこれを行うことはできません。

顧客のファイアウォールでポートを開く必要がある双方向通信を行わずに、Windowsエージェントから中央サーバーに(関連する着信ポートを開いた状態で)データを送信するようにZabbixまたはNagiosを構成する方法はありますか? Pandora FMSを試してみましたが、それは可能でしたが、製品全体が気に入らなかったのです。私の知る限り、これには、エージェントが送信するデータを事前に構成する必要がありますが、ドキュメントを読んでも100%確信はありません。

アドバイスをよろしくお願いします、
マット

3
fistameeny

zabbixで利用できるオプション:

  1. 活性剤を使用してください。ネイティブzabbixエージェントは、LinuxやWindowsを含むほとんどのプラットフォームで実行できます。アクティブモードでは、ポート10051でサーバーに接続し、確認することを要求してから、収集したデータを送信します。サーバーからエージェントへの接続は行われません。

  2. zabbixプロキシを使用します。この場合、専用システムがすべてのデータを収集し、zabbixサーバーに送信します。通常のアクティブモードでは、zabbixプロキシのみがzabbixサーバーに接続します(ここでもポート10051で)。したがって、プロキシからのみ、すべてのzabbixエージェントからの接続を許可する必要はありません。追加の利点は、スイッチ、ルーター、プリンターなどのエージェントレスシステムを監視できることです。

zabbix 1.8.3以降、反対方向が不可能な場合は、代わりにzabbixプロキシに接続するzabbixサーバーのオプションもあります(ポート10051のまま)。

あなたの場合、zabbixサーバーへのネットワーク接続がダウンしている場合に収集されたデータをローカルに保持することを考えると、アクティブなzabbixプロキシがおそらく最良の選択でしょう。プロキシはUNIXライクなシステムでのみ実行されるため、既存のLinuxマシンの1つにプロキシをインストールするか、専用のマシンをセットアップするかのいずれかのオプションがあります。

それらがお客様のシステムであることを考えると、専用のシステムを使用することをお勧めします。 zabbixプロキシを実行する小さな組み込みシステムを持つことができます。それらを監視アプライアンスとして顧客に配布することができます。顧客はそれらを接続するだけで、ポート10051のプロキシからzabbixサーバーへの発信接続を許可するだけです。これで完了です。プロキシ側での設定はもう必要ありません。

2
Richlv

必要なエージェントソフトウェアを使用できるようにするソリューションとして、VPNテクノロジを使用して、お客様のネットワークから監視ネットワークへの接続を開始することを検討してください。接続はお客様のファイアウォールの背後から発信されるため、転送された外部ポートは必要ありません。同様に、お客様は接続を開始しているため、お客様側で静的IPアドレスや動的DNSは必要ありません。

OpenVPNを使えば、このようなことをかなり簡単かつ安価に行うことができます。各顧客のネットワーク上の個々のホストを選択して監視VPNゲートウェイとして機能させ、顧客のエッジルーターにルートを配置して、そのVPNゲートウェイホストに管理トラフィックを送信することができます。

ヘッドエンドでは、ファイアウォールルールを使用して、顧客サイトからのトラフィックを監視/管理トラフィックのみに制限できます(顧客はLANから管理ネットワークを突っ込み始める可能性があるため)。 iptablesのようなステートフルファイアウォールを使用すると、管理ネットワークの内部から発信された顧客のネットワークへの接続を許可し、顧客のネットワークの内部から発信された管理関連以外のホスト/ポートへの着信接続の試行を拒否できます。

異なるIPサブネットですべての顧客LANに対応していると仮定すると(「マネージドサービス」スタイルの会社で働いていたときにいつも行っていたことが)、ここで説明していることはすべて面白くなくても実行できますNAT =ゲームなど.

2
Evan Anderson

Zabbixエージェントにはアクティブモードがあり、サーバーにアクティブに接続してデータを送信します。十分に文書化されていませんが、試してみる価値があります。すべての設定は、エージェント設定ファイルで行われます。 ここにリンクがあります 関連する構成オプションへ。 zabbixサーバーでホスト名を設定する必要があります。

[〜#〜] edit [〜#〜]:どうやらそれはLinuxエージェントでのみ機能します:\

EDIT 2Zabbix Proxy 少なくとも単一のマシンを実行できる場合は、問題の良い解決策のようにも思えますクライアントのネットワーク内にあります。

0
coredump