Como configurar o cliente remoto Icinga2 sem usar o assistente CLI?

10

Eu quero configurar clientes remotos Icinga2 via Puppet, mas a página inteira de documentação oficial fala sobre o uso do seu assistente de awesome CLI, que precisa ser executado manualmente.

Qualquer solução alternativa? Talvez eu deva voltar para o Nagios?

    
por Limbo Peng 28.11.2014 / 15:51

2 respostas

13

Eu tive o mesmo problema. Isso é o que eu uso, depois de extrair a lógica do código do assistente do nó icinga2.

Variáveis que você precisará:

$pki_dir - /etc/icinga2/pki in the default installation
$fqdn - fully host+domain name of the client.
$icinga2_master - resolvable fqdn of the master
$icinga2_master_port - the port the master is connectable on.
$ticket - generated on the master via 'icinga2 pki ticket --cn $fqdn'

O código:

mkdir icinga:icinga 0700 $pki_dir
icinga2 pki new-cert --cn $fqdn --key $pki_dir/$fqdn.key --cert $pki_dir/$fqdn.crt
icinga2 pki save-cert --key $pki_dir/$fqdn.key --cert $pki_dir/$fqdn.crt --trustedcert $pki_dir/trusted-master.crt --host $icinga2_master
icinga2 pki request --host $icinga2_master --port $icinga2_master_port --ticket $ticket --key $pki_dir/$fqdn.key --cert $pki_dir/$fqdn.crt --trustedcert $pki_dir/trusted-master.crt --ca $pki_dir/ca.key
icinga2 node setup --ticket $ticket --endpoint $icinga2_master --zone $fqdn --master_host $icinga2_master --trustedcert $pki_dir/trusted-master.crt
systemctl restart icinga2  # or however you restart your icinga
    
por 28.12.2014 / 21:09
1

É como TryTryAgain escreveu. Os documentos mais recentes descrevem duas maneiras diferentes. Execução de Comando Remoto Top-Down e Sincronização de Configuração Top-Down

A diferença desta abordagem é que a execução de comandos remotos acionará todos os comandos do mestre, enquanto config sync sincronizará todos os arquivos de configuração localizados em /etc/icinga2/zones.d com os nós filhos (satelites bem como clientes) e acionam a execução de comandos diretamente no endpoint.

Eu prefiro usar a abordagem Top-Down Config Sync porque o cliente executará verificações mesmo que o mestre perca a conexão com o filho.

Você precisa ativar o recurso API em todos os nós.

# /etc/icinga2/features-enabled/api.conf

object ApiListener "api" {
  cert_path = "/etc/ssl/{{ hostname }}.pem"
  key_path = "/etc/ssl/{{ hostname }}-key.pem"
  ca_path = "/etc/ssl/rootca.pem"

  // only on satelites and clients
  accept_config = true
}

Agora crie um arquivo de zona e copie-o para todos os nós

# /etc/icinga2/zones.conf

// global zone used for zone overlapping configs
object Zone "global" {
  global = true
}

// endpoints
object Endpoint "fqdn1.of.host" {
  host = "fqdn1.of.host"
}

object Endpoint "fqdn2.of.host" {
  host = "fqdn2.of.host"
}

// for each endpoint one zone
object Zone "fqdn1.of.host" {
  endpoints = [ "fqdn1.of.host" ]
}

object Zone "fqdn2.of.host" {
  endpoints = [ "fqdn2.of.host" ]
  parent = "fqdn1.of.host"
}

A melhor prática é usar o fqdn de seus nós como nome do terminal, bem como o nome da zona. Lembre-se : copie este zones.conf para todos os nós.

A próxima etapa seria definir todos os serviços, modelos e grupos dentro de /etc/icinga2/zones.d/ e cada host em seu próprio hosts.conf dentro de seu diretório de zona.

# /etc/icinga2/zones.d/global/templates.conf

template Host "generic-host" {
  max_check_attempts = 3                                                                                                                     
  check_interval = 1m 
  retry_interval = 30s

  check_command = "hostalive"
}

# /etc/icinga2/zones.d/fqdn1.of.host/hosts.conf

// this is the master
object Host "fqdn1.of.host" {
  import "generic-host"
  address = "fqdn1.of.host"
}

# /etc/icinga2/zones.d/fqdn2.of.host/hosts.conf

// this is a satelite/client
object Host "fqdn2.of.host" {
  import "generic-host"
  address = "fqdn2.of.host"
}

Minha abordagem era evitar o uso das configurações dentro de /etc/icinga2/conf.d , porque adicionei todo o material genérico (e global usado) em /etc/icinga2/zones.d/global e o material específico do host dentro de /etc/icinga2/zones.d/fqdnX.of.host

Por último, mas não menos importante, você tem que remover a declaração include para conf.d

# /etc/icinga2/icinga2.conf

[...]
// include_recursive "conf.d"

É isso. Essa configuração requer o gerenciamento dos certificados manualmente ou com o gerenciamento de configurações de sua escolha. Não irá gerá-lo e não está usando o icinga pki. Não vejo nenhum motivo para usar um pki específico da ferramenta, desde que existam ferramentas específicas para isso.

    
por 16.02.2017 / 18:36

Tags