Como posso monitorar PCs / servidores Windows / Linux de clientes remotos sem abrir uma porta em seu firewall?

Navegue suas respostas
3

Trabalho para um provedor de serviços de TI - oferecemos suporte a uma variedade de servidores e PCs Windows e Linux em nossos sites de clientes. Eu estou procurando uma maneira de monitorar coisas básicas nesses dispositivos (por exemplo, uso de espaço em disco, utilização da CPU, uptime etc) e coletar os dados em uma interface central.

Eu olhei para o Zabbix e li no Nagios. No entanto, ambos parecem exigir que nossos clientes tenham um endereço IP externo estático e que uma determinada porta seja aberta no firewall do cliente para permitir tráfego bidirecional. Não é possível fazer isso para a maioria dos clientes.

Existe uma maneira de configurar o Zabbix ou o Nagios para enviar dados de seus agentes do Windows para nosso servidor central (com a porta de entrada relevante aberta), sem ter a comunicação bidirecional que exigiria uma abertura de porta no firewall do cliente? Eu experimentei o Pandora FMS e foi capaz de fazer isso, mas eu não gostei do produto como um todo. Até onde eu sei, isso exigiria que os agentes fossem pré-configurados com os dados que deveriam enviar, mas não tenho 100% de certeza de ler a documentação.

Agradecemos antecipadamente por qualquer conselho,
   Matt

    
por fistameeny 30.07.2010 / 00:24

3 respostas

2

opções disponíveis para você com o zabbix:

  1. use agentes ativos. Os agentes nativos do zabbix podem ser executados na maioria das plataformas, incluindo linux e windows. no modo ativo, eles se conectam ao servidor na porta 10051, solicitam que as coisas sejam verificadas e enviem os dados coletados. não são feitas conexões do servidor para os agentes.

  2. use o proxy zabbix. Neste caso, um sistema de propósito dedicado coletaria todos os dados e os transmitiria ao servidor zabbix. no modo normal, ativo, apenas o zabbix proxy se conecta ao servidor zabbix (novamente, na porta 10051) - portanto, não há necessidade de permitir conexões de todos os agentes do zabbix, apenas do proxy. Um benefício adicional é a capacidade de monitorar sistemas sem agente, como switches, roteadores, impressoras e qualquer outra coisa.

começando pelo zabbix 1.8.3, você também tem a opção de conectar o servidor zabbix ao proxy zabbix (ainda a porta 10051) se a direção oposta não for possível.

no seu caso, o proxy zabbix ativo provavelmente seria a melhor escolha, uma vez que também preserva os dados coletados localmente se a conexão de rede com o servidor zabbix estiver inativa. proxy só roda em sistemas tipo unix, então você provavelmente tem algumas opções - instalando o proxy em uma das máquinas linux existentes ou configurando um dedicado.

dado que são sistemas de clientes, eu sugiro ir com um dedicado. você pode ter um pequeno sistema embutido executando proxies zabbix. você poderia entregá-los aos clientes como dispositivos de monitoramento, eles só teriam que conectá-los, permitir conexão de saída para o servidor zabbix do proxy na porta 10051 - e é isso. não é necessária mais configuração no fim do proxy.

    
por 27.10.2010 / 10:16
2

Como uma solução que permitiria o uso de qualquer software de agente desejado, você poderia considerar o uso de uma tecnologia VPN para iniciar conexões da rede do Cliente para sua rede de monitoramento. Como a conexão seria originada por trás do firewall do Cliente, nenhuma porta externa encaminhada deve ser necessária. Da mesma forma, como o Cliente está iniciando a conexão, nenhum endereço IP estático ou DNS dinâmico deve ser necessário no final do Cliente.

Você poderia fazer algo assim com bastante facilidade e menor custo com o OpenVPN. Você pode eleger um host individual na rede de cada Cliente para atuar como o gateway de VPN de monitoramento e colocar uma rota no roteador de borda do Cliente para enviar tráfego de gerenciamento para esse host de gateway de VPN.

No seu head-end você pode usar regras de firewall para limitar o tráfego vindo dos sites dos clientes para apenas o seu tráfego de monitoramento / gerenciamento (já que seus clientes poderiam, potencialmente, começar a bisbilhotar sua rede de gerenciamento de sua LAN). Usar um firewall com monitoração de estado como o iptables permite permitir conexões nas redes dos Clientes originadas de dentro da rede de gerenciamento, ao mesmo tempo em que nega tentativas de conexão de entrada a portas / hosts não relacionados ao gerenciamento originados dentro das redes dos Clientes.

Supondo que você abordou todas as LANs de seus clientes com sub-redes IP diferentes (algo que sempre fiz quando trabalhei para uma empresa de estilo "serviços gerenciados"), você podia fazer tudo o que estou descrevendo aqui sem nenhum jogo NAT engraçado etc.

    
por 30.07.2010 / 00:48
0

Os agentes do Zabbix têm um modo ativo em que eles se conectam ativamente ao servidor para enviar dados. Não está muito bem documentado, mas vale a pena tentar. Toda a configuração é feita no arquivo de configuração do agente. Aqui está um link para as opções de configuração relevantes. Você ainda precisa ter o nome do host configurado no servidor zabbix.

EDIT : Aparentemente só funciona em agentes linux: \

EDIT 2 : O Zabbix Proxy também parece ser uma boa solução para o seu problema, se você puder pelo menos ter uma única máquina rodando dentro da rede do cliente.

    
por 30.07.2010 / 00:51

Tags

Renomeie um aplicativo da Web no Sharepoint 2010 Melhor estrutura de arquivos para armazenar milhares de fotos (em tamanhos diferentes)