RHEL7以前のOS/Curlバージョンでは、vCenter6.7のVMwareLLD監視ができない
■環境
Zabbix:4.0.7
Zabbix OS:RHEL7.1
VCSA(vCenter):6.7.0.30000
■事象
vCenterを6.0から6.7に上げたところ、VMware APIのLLD監視が「SSL connect error」になり情報取得不可になりました。
これはVCSAがSSLを閉じたことによるものですが、Zabbix4.0で監視する手法はありますでしょうか。
https://support.zabbix.com/browse/ZBX-15663
https://www.zabbix.com/forum/zabbix-help/366271-vmware-vcenter-6-7
TNK - 投稿数: 4671
実際にやってみてはいませんが、VMware側のTLSプロトコル構成の
変更で対応できるかもしれません。
ご参考:
TLS Configurator Utility を使用した TLS プロトコル構成の管理
https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vsphere.securit...
Yasumi - 投稿数: 372
TNKさんありがとうございます。
oh...これはVMware側でTLSを無効にしSSLを有効にするという理解でよかったですよね。
監視を実現すると思いますが、TLS無効化はあまり良い案に思っていません。。。
現状、最新のZabbixでもvCenter6.7を監視できないのか。。。
TNK - 投稿数: 4671
サイトの情報をよく読んでください。
無効化だけではなく1.1などを利用できるようにする手順が紹介されているはずです。
Yasumi - 投稿数: 372
ありがとうございます、一旦1.1の有効化を試してみようと思います。
Yasumi - 投稿数: 372
遅まきながらご報告ですが、TLSv1.1を有効化しても情報取得できませんでした。
根本原因がVC6.7がSSLを蹴っていることっぽいので、TLSv1.1を有効化しても
VMwareのAPI情報は吸い上げれないようです。残念。。。
Yasumi - 投稿数: 372
本事象ですが、解決しました。
■根本原因
vCenter6.7以降、「SSLv3~TLSv1.1」は標準で使用されなくなり「TLSv1.2」が使用されるが、
古いOSバージョンでは「TLSv1.2」に対応していないため。
https://support.zabbix.com/browse/ZBX-15663
■回避方法
①vCenter6.7の標準通信で「SSLv3」を許可する。(セキュリティ的に非推奨)
②OSのCurlバージョンを7.34.0以上かつOpenSSLバージョンを1.0.1以上にする。
RHEL8.1でZabbix4.4.4を構築したところ、VMwareAPI情報を収集して、LLD監視できるようになりました。