Comments 10
www.openshift.com/products/pricing/plan-comparison
STORAGE 1GB per gear
Едва ли этого хватит на полноценный мониторинг. Разве что один хост мониторить и хранить не более месяца истории.
Возможно я не понял Вашей задумки, но что Вы вообще хотите мониторить таким способом? Вы ведь не собираетесь на внешку пробрасывать SNMP и zabbix-агенты Ваших железок? Или нееее...?
при правильно настроенном фаерволле почему нет? :)
Примерно год — два назад я использовал подобную инсталляцию для резервного базового мониторинга (прежде всего на время работ с даунтаймом на основном мониторинге) — проверки вида HTTP 200 от сервера, веб-сценарии на аутентификацию и т.п. Тогда не было задачи с помошью резерва мониторить именно железо.
Сейчас я использую только веб-сценарии и кастомные скрипты через UserParameter для небольшого ресурса. В планах чуть позже попробовать добавить агентские active проверки через ssh-туннель, но это скорее эксперимента ради.
Как правильно заметил 1it, данная инсталляция не предназначена для полноценной промышленной эксплуатации с большим количеством серверов (хотя вариант с покупкой платного плана я не рассматривал). Извиняюсь что не обозначил этот момент сразу, опыта написания подобных статей у меня практически нет.
Однако, как показывает практика, с задачей резервного базового мониторинга или мониторинга небольшого портала подобная инсталляция вполне справляется.
Сейчас я использую только веб-сценарии и кастомные скрипты через UserParameter для небольшого ресурса. В планах чуть позже попробовать добавить агентские active проверки через ssh-туннель, но это скорее эксперимента ради.
Как правильно заметил 1it, данная инсталляция не предназначена для полноценной промышленной эксплуатации с большим количеством серверов (хотя вариант с покупкой платного плана я не рассматривал). Извиняюсь что не обозначил этот момент сразу, опыта написания подобных статей у меня практически нет.
Однако, как показывает практика, с задачей резервного базового мониторинга или мониторинга небольшого портала подобная инсталляция вполне справляется.
Пожалуй, для использования web-проверок такая инсталляция подойдет, но вот использовать zabbix-agent я бы не рискнул. Причину я описал в комментарии для thunderspb.
Спасибо за замечания, добавил предостережение в статью.
Справедливости ради замечу что у агента всё же есть некая аутентификация в виде сопоставления ip src запроса и ip указанного в конфиге в поле Server, и в случае несоответствия агент вернёт пустое значение. Однако я согласен с Вашим мнением, и стоило изначально указать в статье потенциальную опасность открытых портов zabbix-агента в интернет.
По поводу SNMP — сервер собран без его подджерки, т.к. на OpenShift нет соответствующих библиотек.
Справедливости ради замечу что у агента всё же есть некая аутентификация в виде сопоставления ip src запроса и ip указанного в конфиге в поле Server, и в случае несоответствия агент вернёт пустое значение. Однако я согласен с Вашим мнением, и стоило изначально указать в статье потенциальную опасность открытых портов zabbix-агента в интернет.
По поводу SNMP — сервер собран без его подджерки, т.к. на OpenShift нет соответствующих библиотек.
Я предостерегаю Вас от этого необдуманного поступка.
Для начала хотя бы загуглите, какие проблемы с безопасностью есть у SNMP (у v.3 дела обстоят получше, но, как показывает практика на нее чаще всего забивают и используют v2). И если у SNMP есть хоть какая-то аутентификация, то zabbix-agent шпыняет всё в открытом виде без всякой аутентификации. Плюс ко всему, разработчики zabbix'а тоже люди и порой допускают ошибки.
Если Вас устраивает такое положение дел, Вы не ведите в этом огромнейшей дыры в безопасности и Вас не смущает тот факт, что информация о ваших устройствах будет как минимум доступна поисковикам типа SHODAN, то чтож… Хозяин — барин.
Для начала хотя бы загуглите, какие проблемы с безопасностью есть у SNMP (у v.3 дела обстоят получше, но, как показывает практика на нее чаще всего забивают и используют v2). И если у SNMP есть хоть какая-то аутентификация, то zabbix-agent шпыняет всё в открытом виде без всякой аутентификации. Плюс ко всему, разработчики zabbix'а тоже люди и порой допускают ошибки.
Если Вас устраивает такое положение дел, Вы не ведите в этом огромнейшей дыры в безопасности и Вас не смущает тот факт, что информация о ваших устройствах будет как минимум доступна поисковикам типа SHODAN, то чтож… Хозяин — барин.
Может быть я чтото упускаю из виду, но под правильно настроенным фаерволом я имел ввиду, что коннекты на порты, в данном случае, должны быть доступны только для определенного списка IP адресов, так же как и морда должны быть доступна только для определенного списка. Так же как и snmp. Меня учили, что наружу должны смотреть только те порты, которые должны быть публичными, все остальное — нет. Поэтому первое, что я настраиваю на сервере это фаерволл.
зыж вообще это все мне напоминает статьи про настройку elasticsearch, в которых про безопасность ни слова, зато в комментариях почемуто задают вопросы «а что с этим делать?». И вот именно такие люди/сервера потом и попадают в shodan. А ведь самое простое решение это просто закрыть порты фаерволлом.
ззыж возможно в OpenShift не все так просто, не работал с ним — не знаю.
зыж вообще это все мне напоминает статьи про настройку elasticsearch, в которых про безопасность ни слова, зато в комментариях почемуто задают вопросы «а что с этим делать?». И вот именно такие люди/сервера потом и попадают в shodan. А ведь самое простое решение это просто закрыть порты фаерволлом.
ззыж возможно в OpenShift не все так просто, не работал с ним — не знаю.
Sign up to leave a comment.
Установка Zabbix 2.4 на RedHat Openshift