Назад | Перейти на главную страницу

Как настроить мониторинг узлов за межсетевым экраном

Как бы глупо это ни звучало:

Я пытаюсь настроить мониторинг для нашей производственной системы, которая состоит из двух аппаратных блоков с ESXi на обеих и нескольких виртуальных машин. Все это скрыто за брандмауэром, который мы можем настроить сами при необходимости.

Мой выбор между Munin (с которым у меня уже есть опыт) или Zabbix.

Я хотел бы, чтобы производственная система была как можно более чистой, и (для меня) логичный способ - поставить главный сервер вне продукции так это:

  1. Не будет потреблять возможное критически важный Ресурсы
  2. Предоставляет данные, даже если вся система по какой-то причине недоступна (чтобы, по крайней мере, по данным можно было увидеть, что и когда произошло)
  3. Отправит предупреждение в случае, если вся производственная система недоступна

Однако из документации я вижу, что ни Zabbix, ни Munin не поддерживают такую ​​настройку. Собственно с Munin это можно было бы сделать, но мне нужно было бы создать отдельное правило перенаправления портов fw для каждого узла что мне нужно контролировать, что для меня звучит излишне и усложняет настройку. В то же время кажется, что только Munin обеспечивает зашифрованный трафик между узлом и мастером из коробки, а Zabbix - нет. И все же со всеми этими возможностями вся настройка (кроме правил fw) для Munin все еще очень нетривиальна.

Использование VPN в производственной системе исключено (юридические проблемы в этой стране из-за наличия VPN в IDC)

Поэтому мой вопрос: Есть ли лучший способ достичь моей цели? Или какой-нибудь другой инструмент, о котором я не знаю?

Поскольку я давно пользуюсь Munin, я могу дать вам несколько быстрых мыслей по его использованию:

  1. использование туннеля SSH (это тоже незаконно?), чтобы пробраться за брандмауэр.
  2. Вы упомянули очевидный порт вперед.
  3. Если у вас уже есть доступ к SSH для отслеживаемых машин, вы можете использовать поддержку SSH Munin, чтобы добраться до них.
  4. Вы можете использовать один очень легкий узел за брандмауэром, munin-async, чтобы выполнить сбор и получить доступ к этому узлу через SSH.

Недостатки использования Мунина:

  1. AFAIK Сам Мунин не очень хорошо подходит для переделки. Для оповещения лучше использовать что-нибудь вроде nagios. На самом деле Munin изначально создавался как лучший способ построения графиков и опроса ресурсов для nagios.
  2. Поскольку он запускает несколько процессов (скриптов на разных языках) для каждого опроса, он может не соответствовать вашему # 2.

Отличным источником информации о программном обеспечении для мониторинга является Сравнение систем сетевого мониторинга страница википедии.