Zabbix2.0系時代に利用させてもらっていたものです。
昔は、自社内のオンプレで構築していたZabbixServerから、クラウドインスタンスの監視を行いたいときに stunnel という技術を用いて監視するのが一般的でした。
現在の Zabbix5.0 や 6.0ですと、オンプレで構築されているZabbixServerから、外にあるクラウドインスタンスの監視を行う場合どういう手法が一般的になっているかご教示いただけませんでしょうか?
できれば、stunnelを構築せずに監視を行いたいと思っているのですが、可能でしょうか。
TNK - 投稿数: 4671
何のためにstunnelをどのように使われているのかわかりませんが、
EC2のインスタンスにZabbixエージェントをインストールして、
Zabbixサーバーとの間の通信を暗号化したいというだけであれば、
標準の機能として、暗号化の機能は実装されています。
複数のEC2インスタンスを監視するために、外部とのコネクション
を最小化したいということであれば、AWSのVPN上にZabbixプロキシ
を配置して、ZabbixサーバーとZabbixプロキシ間を暗号化かつ通信
を圧縮して接続させるということも可能です。
https://www.zabbix.com/documentation/4.0/manual/encryption
https://www.zabbix.com/documentation/5.0/manual/encryption
ezreal - 投稿数: 64
Zabbix Server ・・・ オンプレのLinuxサーバ(192.168.100.xxx)プライベートIP
Zabbix Client ・・・ クラウドインスタンス(123.111.222.xxx)グローバルIP
という状態のときにZabbix ClientのconfigにZabbix ServerのプライベートIPを記載しても通信できないためにStunnelを張ってローカル同士がつながっているかのようにかつ暗号化もされているとういことで利用していました。
今だと、グローバルIPとプライベートIP間での設定が用意にできてしまうのでしょうか?
TNK - 投稿数: 4671
Zabbixサーバー側からそのグローバルIPにアクセスできるのであれ
ば、接続する際にNATなどでアドレス変換されているだけなので、
エージェント側のServerには、その変換後のIPアドレスを指定する
ことで、アイテムのタイプが「Zabbixエージェント」のアイテムで
あれば監視できます。
これは、15年以上前のZabbixのバージョンでも可能であったと思い
ます。
ただし、Zabbixエージェント側からZabbixサーバー側に接続するこ
とができないと思われるので、そのような環境の場合は、アイテム
のタイプが「Zabbixエージェント(アクティブ)」のアイテムは監視
できません。
つまり、アイテムのタイプが「Zabbixエージェント」だけの監視で
あり、Stunnelの役割が通信の暗号化だけであるならば、Zabbixの
標準の機能だけで実現できるでしょう。
Stunnelを使用して双方向での通信を実現して利用しているのであ
れば、Zabbixの標準の機能だけでは実現できないと思います。
ezreal - 投稿数: 64
>ただし、Zabbixエージェント側からZabbixサーバー側に接続するこ
とができないと思われるので、そのような環境の場合は、アイテム
のタイプが「Zabbixエージェント(アクティブ)」のアイテムは監視
できません。
ありがとうございます。
これが知りたかったのです。
当時はZabbixServer側の負荷を下げるために、アクティブタイプで運用していました。
時代も進み、現在はサーバーのスペックやネットワーク回線も以前と昔とくらべて段違いで良くなったのでアクティブタイプにせず、通常(パッシブモード)で運用しようと思います。