LINUX.ORG.RU
ФорумAdmin

Мониторинг удаленного VPS в zabbix

 


1

2

Очевидно, что выставлять zabbix-agent голым задом в интернеты не очень хочется. Отсюда вытекает вопрос, как правильно и секурно сделать получение данных с VPS на внутрисетевой сервер мониторинга? Реализовывать все запросы zabbix'а через external scripts, в котором уже предварительно поднимать vpn-сессию Zabbix > VPS? Возможно у zabbix-agent есть возможность отдавать данные завернутые в https и только после аутентификации со стороны системы мониторинга? Может быть есть какой-то иной метод?

Идти по пути велосипедостроения не очень хочется, возможно все уже придумано до меня. Одно но, постоянно держать поднятой VPN-сессию VPS<>внутренняя сеть я не хочу по сугубо личным параноидальным причинам.

★★★★

Я в своё время так и не придумал, как это красиво сделать. В итоге просто фаерволом открыл порт только для ip-адреса zabbix-сервера, не такие уж там и критичные данные, чтобы впн поднимать.

generator ★★★
()

Разве агент не отдает данные только определённому ip/сети? Насколько я помню это конфигурится в самом клиенте безо всяких велосипедов.

invokercd ★★★★
()
Ответ на: комментарий от generator

не такие уж там и критичные данные, чтобы впн поднимать.

Вот и я считаю, что порта в фаерволе хватит.

sT331h0rs3 ★★★★★
()

за zabbix не скажу, но наевшись говна с агентами HP OVO, с nagios'ом строю только agentless схемы. использую check_by_ssh..., т. е. нагиос подкл. по ssh, запускает проверки, отключается. расточительно, но надежно.

anonymous
()
Ответ на: комментарий от anonymous

Похоже на то что надо, как-то сразу в голову не пришло. Спасибо за наводку.

BOOBLIK ★★★★
() автор топика

Во-первых, агент принимает соединения только от хостов, указанных в его конфиге. Во-вторых, если этого не достаточно и нужно скрыть агент, то с помащью iptables разрешаешь доступ на порт агента только с сервера.

anonymous
()

если уж совсем все секурно надо то юзай VPN

MikeDM ★★★★★
()

Повесить агента на нестандартный порт и закрыть доступ firewall'ом как уже сказали выше будет более чем достаточно.

anonymous_sama ★★★★★
()

1. Открывать порты необязательно, если у тебя только активные проверки.

2. Шифровать zabbix никак не умеет, пока только планируется добавить такую возможность. Тут только VPN.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.