Ist Nagios "Überwachung" über WAN ideal?

8

Ich habe gerade bei einem neuen Unternehmen angefangen und meine erste Aufgabe besteht darin, nach Alternativen zu ihrem internen Überwachungssystem zu suchen.

Ihre aktuelle Lösung ist eine .Net-Anwendung, die verschiedene Geräte über das WAN überprüft (da es sich um ein IT-Beratungsunternehmen handelt, das rund um die Uhr Support / "Wartung" bietet). Die Geräte reichen von Routern / Switches / Druckern bis zu MS-Servern und -Diensten.

Nach dem Lesen unzähliger Beiträge auf der Website und dem ausgiebigen Googeln scheint der Konsens zu bestehen, dass eine Art Nagios / Munin-Mix der richtige Weg ist.

Was mich zu meinen Fragen bringt:

A) Ist es möglich, dass ein Nagios-Server lokal im Unternehmen ausgeführt wird und verschiedene externe Standorte über WAN überwacht werden? (Sie möchten keinen lokalen Nagios-Server an jedem Standort, da die meisten Standorte relativ klein sind (10-25 Hosts) und die Anzahl der Standorte ziemlich groß ist (75-100).)

B) Wenn ja, wie würden die Agenten das Nagios-Backend kontaktieren? Durch SSH? HTTP?

C) Abgesehen von der Tatsache, dass es für WAN-Verbindungsfehler anfällig wäre, was wären die unmittelbaren Nachteile einer solchen Lösung?

Jedes Feedback wird geschätzt, und ich entschuldige mich im Voraus für etwaige Missverständnisse, da ich in der Branche ziemlich neu bin.

NmE
quelle

Antworten:

6

Die Überwachung über ein WAN ist möglich, aber im Allgemeinen nicht ideal. Dies liegt daran, dass alle Überprüfungen fehlschlagen, wenn die WAN-Verbindung ausfällt oder unterbrochen wird, und Sie blind sind für das, was am Remote-Standort geschieht. Sie haben auch die Latenz erhöht, wodurch sie für LAN View-Leistungsmessungen weniger nützlich ist. Wenn Sie diesen Weg gehen, möchten Sie wahrscheinlich Abhängigkeiten einrichten, damit Sie nicht mit Warnungen überflutet werden, wenn die WAN-Verbindung Probleme aufweist.

Die häufigste Art und Weise, wie ich die Kommunikation zwischen einem Überwachungssystem und seinen überwachten Diensten gesehen habe, ist ein Standort-zu-Standort-VPN-Tunnel. Dann unterscheidet sich die Kommunikation nicht vom lokalen Netzwerk. Außerdem basiert Nagios häufig auf Pull (obwohl dies nicht erforderlich ist). Nagios kontaktiert also die Dienste und Server, die es überwacht, und nicht umgekehrt.

Eine idealere Lösung ist die Verwendung eines verteilten Überwachungs-Setups. Bei Nagios ist eine Option unter http://nagios.sourceforge.net/docs/3_0/distributed.html beschrieben .

Kyle Brandt
quelle
Auf jeden Fall ein Fall für das Ausführen lokaler Server und einen langen Blick auf NRPE. Wie für das Protokoll? Es liegt an Ihnen - sollte wahrscheinlich gesichert sein, aber es gibt SSH, Stunnel sowie herkömmliche VPNs
Symcbean
Vielen Dank, einige großartige Informationen in dem verteilten Artikel, die auf jeden Fall nützlich sein werden.
NmE
1

Es hängt irgendwie davon ab, was Sie über den Wan überwachen werden. Zum größten Teil, wenn Sie nur Ping-Checks, Service-Checks, Festplatten-Checks usw. durchführen und sich an die standardmäßige 5-Minuten-Check-Zeit von Nagios halten, kann ich nicht sehen, dass dies zu einem Problem führt.

Je nachdem, was Sie überprüfen, hängt es auch hier davon ab, worüber gesprochen wird. Wenn Sie Windows-Hosts überprüfen, können Sie nur WMI-Abfragen verwenden und benötigen nicht einmal einen Agenten, der auf der Box ausgeführt wird.

beakersoft
quelle
1

Dies ist sicherlich über verschiedene Methoden möglich.

Wenn das "verteilte Setup" nicht in Frage kommt, müssen Sie mindestens einen der folgenden Schritte ausführen:

  1. Lassen Sie jede Box am Remote-Standort die Prüfergebnisse an Nagios senden (siehe NSCA ).
  2. Stecken Sie Firewall-Löcher, damit Nagios jede Box an jedem Remote-Standort erreichen kann
  3. Legen Sie an jedem Standort eine einzelne Box als eine Art "Nagios-Proxy" fest.

Ich würde # 3 vorschlagen, da es das geringste Durchstechen der Firewall erfordert und auch die Konfiguration vereinfacht. Es ist eine Art abgespeckte Version des verteilten Setups, da nicht an jedem Standort eine vollständige Nagios-Instanz erforderlich ist.

Zu diesem Zweck können Sie NRPE einrichten (oder check_by_ssh verwenden ) und diesen "Proxy" alle anderen Überprüfungen für die anderen Hosts im Netzwerk ausführen lassen. Dies hat den zusätzlichen Vorteil, dass die Leistungsdaten, die Sie zurückerhalten, relativ zum Proxy sind, sodass sie nicht von der WAN-Verzögerung betroffen sind.

Sie können dann auch Eltern / Kind-Setups verwenden, um jeden Host am Remote-Standort zu einem Kind seines Proxys zu machen und falsch positive Benachrichtigungen zu reduzieren. Möglicherweise möchten Sie auch alle Dienste von einem check_nrpe- (oder check_ssh-) Dienst des Proxys abhängig machen. Weitere Informationen finden Sie in den Dokumenten zur Erreichbarkeit des Netzwerks .

Unabhängig davon, mit welcher Methode Sie arbeiten, ist es sehr wichtig, dass Sie die Standardzeitlimits entsprechend anpassen , um die zusätzliche Verzögerung beim Überqueren der WAN-Verbindungen zu berücksichtigen.

Keith
quelle