遠隔監視について
はじめまして、今年から社会人なったものです。
データセンター等の遠隔監視に関してご意見をお聞きしたくて、投稿致しました。
Zabbixによる監視を調査をしているのですが、添付画像(仮)にあるような
パブリックネットワーク越しの監視は容易に可能なのでしょうか(VPNは使えない可能性が高いです。
Zabbixproxyに利用すれば可能なようですが、VPNが利用できない場合はやはり専用線が無難なのでしょうか。
必ず行いたい事ですが、音声通知と警告灯(パトトランプ)の点灯の二点になりますが
その点は、無視して頂ければと思います。
よろしくお願い致します。
- network.jpeg (114.21 KB)
KAZ - 投稿数: 1085
ks1322さん
Zabbixサーバとブラウザ(監視端末)間がインターネット超えればいいんですか?
Zabbix Proxy必要ないのでは?
どこにZabbixサーバを立てるのかで変わってくると思います。
絵の感じだとZabbixサーバに繋がるWebがインターネットから繋がれば良いだけのような…
後、警告灯への指示はブラウザ(監視端末)から飛びません。
Zabbixサーバから飛びます。
音声通知はやったことないです。A(^^;
が、Zabbixサーバから鳴らしたいところに指示が飛ぶかと…
※:Zabbixエージェントからアプリ起動ということもできますが…
fripper - 投稿数: 495
遠隔監視の構成について、不明点が少しあるのはKAZさんのご指摘通りです
私自身、Proxy を利用した遠隔監視を多用しているため、参考になるかと思い、コメントさせて頂きます
いくつか構成を考えてみました。それぞれメリット・デメリットを記載します
おおきく、以下のような構成が考えられると思います
1.手元側にサーバを置いて、遠隔側には監視対象ホストのみ
2.手元側にサーバを置いて、遠隔側に Proxy を配置する構成
3.遠隔側にサーバを置いて、手元からはインターネット経由で遠隔内のサーバを閲覧
・手元側にサーバを置いて、遠隔側には監視対象ホストのみ
・メリット
・監視設定はサーバ側で管理
・障害の判定はサーバ側で行われ、通知等はサーバ側から携帯や音声・パトランプ等を制御
・遠隔側に追加サーバを置く必要がない
・デメリット
・遠隔側で障害発生状況等を確認したい場合に、手元側のサーバへアクセスが必要
・インターネット回線に障害発生中は、遠隔側の監視がすべて停止する
・全ての監視項目毎に、サーバ・ホスト間の通信が発生
・「Zabbixエージェント」「SNMP監視」等は、サーバ側起点の通信
・「エージェント(アクティブ)」「ログ監視」等はエージェント側起点の通信
・セキュリティが必要な場合には以下のいずれかでZabbix自身の通信を暗号化する必要がある
・閉域VPNサービスを利用
・OpenVPN等で中間NWを暗号保護
・stunnel を利用して通信単位で暗号化(双方向それぞれで暗号化設定が必要となるので相応に面倒)
・手元側にサーバを置いて、遠隔側に Proxy を配置する構成
・メリット
・監視設定はサーバ側で管理
・障害の判定はサーバ側で行われ、通知等はサーバ側から携帯へのメールや
音声・パトランプ等を制御
・遠隔側が2拠点3拠点と増えても、サーバは1台で集中管理可能
・Proxyが「監視設定」を取得するための通信と、「監視結果データ」を報告するための通信
いずれも Proxy 起点でサーバへの通信発生なので、インターネット経路・通信を暗号化する等の
対策も比較的容易
・閉域VPNサービスを利用
・OpenVPN等で中間NWを暗号保護
・stunnel を利用して通信単位で暗号化(Proxy →サーバ方向のみで暗号化設定すればOK)
・デメリット
・Proxy は一定時間おきにサーバへ監視データを送信するので、実際のデータ収集から、
サーバ側で値を確認できるまでに若干のタイムラグがある
・インターネット回線に障害発生中は、Proxy が監視データ収集を継続するので、
収集すべきデータの欠落は発生しないが、障害発生の判定等はサーバ側が行うので、
障害の検知・通知等のアクションは不可能
・拠点内に置いたパトランプを制御等、拠点内での障害検知・アクションは、
手元側に置いたサーバ内の障害発生状況を、拠点側からポーリング等で
取得するような仕組みがないと実現不能
・遠隔側にサーバを置いて、手元からはインターネット経由で遠隔内のサーバを閲覧
・メリット
・監視設定は拠点毎のサーバ側で管理
・障害の判定は拠点内のサーバ側で行われるので、手元側のインターネット回線に障害があっても
拠点内に対する通知等はサーバ側から携帯や音声・パトランプ等を制御可能
・手元側から設定等を投入・確認するためのWeb接続通信だけ暗号化すれば(https 等)、
Zabbixモジュール同士での通信はインターネットを流れないので、相応のセキュリティになる
・デメリット
・手元側で障害発生状況等を確認したい場合に、遠隔側のサーバへアクセスが必要
・手元側においたパトランプや音声通知などについては、
遠隔側のサーバからインターネット回線を経由して制御するか
手元側に何らかの仕組みをおいて定期的にポーリングする等しなければ実現不能
・拠点が増えた場合に、サーバが拠点毎に設置されるので、設定の一元管理等が困難
・図示していただいたような、「遠隔側にサーバを置いて、手元にもサーバ設置」の構成について
拠点内にサーバ設置して、そちらで設定管理・アクション
手元にもサーバを置いて、そちらでも設定管理・アクション のような構成は
Zabbix 標準ではサポートされていないので、構成は難しいと思います
携帯メールへ向けてのアクション通知だけが必要なのであれば、構成2のように手元サーバで通知するか
構成3のようにするか、が容易だと思います‥
ks1322 - 投稿数: 2
KAZさん
fripperさん
まず、最初にご回答ありがとうございます。
私事で返信が大変遅れまして、申し訳ございません。
足りない点だらけの中、詳細に回等して頂きありがとうございます。
>絵の感じだとZabbixサーバに繋がるWebがインターネットから繋がれば良いだけのような…
話を詰めていないのでなんとも言えませんが、ご指摘の通りWebがインターネット越しから繋がれば問題ないと考えています。
Zabbixproxyに関してですが、すみません私個人の認識不足でご指摘の通り、不要でした。
構成ですが、fripperさんの3番の遠隔地にサーバーを設置、手元でWEB監視をまず考えていますが
手元のパトランプ・音声通知用端末Windows(仮)宛てに、アクションを投げる場合ですが
通知用端末にエージェントを入れておき、エージェントからバッチ等を実行させるのが
一番手っ取り早く便利と考えいるのですが、どうなのでしょうか。