Icinga2 és un sistema de supervisió potent i, quan s'utilitza en un model de client mestre, pot substituir la necessitat de controls de monitoratge basats en NRPE. El model mestre-client és més segur per diverses raons . També permet una supervisió més distribuïda permetent que les comprovacions es modifiquin en un servidor i es propaguin a altres. També ofereix una ubicació centralitzada per als canvis.
Per exemple: suposem que teniu 4 servidors web diferents amb equilibri de càrrega. Si sabeu que hi haurà un pic de càrrega (potser una venda o alguna cosa per a la qual espereu molta activitat), potser voldreu augmentar els nivells en què l'ús elevat de la CPU alerta els administradors del sistema. Si feu servir comprovacions NRPE, haureu d'anar a cada servidor i modificar el /etc/nrpe.d/common_commands.cfgdocument de cadascun d'ells. Al model mestre-client, només podeu modificar les definicions d'amfitrió a la /etc/icinga2/repository.d/hosts/carpeta i, a continuació, tornar a carregar Icinga. Les comprovacions es propagaran a cada servidor i es recolliran automàticament. També podeu afegir comprovacions molt fàcilment modificant els /etc/icinga2/repository.d/services/fitxers, i automàticament es propagaran i seran reconeguts, sempre que els complements existeixin als servidors client.
icinga2master.example.com.icinga2client.example.com.Algunes d'aquesta guia reflectiran les instruccions d'instal·lació enumerades anteriorment, però això s'ha de fer a la màquina client i no a la màquina servidor.
Afegiu el repositori "ICINGA" al sistema client per instal·lar els paquets Icinga.
sudo cat > /etc/yum.repos.d/ICINGA-release.repo << 'EOF'
[icinga-stable-release]
name=ICINGA (stable release for epel)
baseurl=http://packages.icinga.org/epel/$releasever/release/
enabled=1
gpgcheck=1
gpgkey=http://packages.icinga.org/icinga.key
EOF
Instal·leu els paquets necessaris.
# CentOS 6
sudo yum -y install icinga2 mysql-server mysql icinga2-ido-mysql nagios-plugins-disk nagios-plugins-load nagios-plugins-procs nagios-plugins-ssh nagios-plugins-users nagios-plugins-swap nagios-plugins-ping icingacli
# CentOS 7
sudo yum -y install icinga2 mariadb-server mysql icinga2-ido-mysql nagios-plugins-disk nagios-plugins-load nagios-plugins-procs nagios-plugins-ssh nagios-plugins-users nagios-plugins-swap nagios-plugins-ping icingacli
CentOS 7 utilitza MariaDB en comptes de MySQL, de manera que els paquets necessaris són lleugerament diferents. Inicieu els serveis i configureu-los perquè s'iniciïn a l'arrencada.
sudo chkconfig icinga2 on
sudo service icinga2 start
Configureu el servei MySQL perquè s'iniciï a l'arrencada i inicieu-lo ara perquè puguem assegurar-lo.
# CentOS 6
sudo chkconfig mysqld on
sudo service mysqld start
#CentOS 7
sudo systemctl enable mariadb.service
sudo systemctl start mariadb.service
Assegureu la instal·lació de MySQL/MariaDB. Tant CentOS 6 com 7 utilitzen la mateixa comanda.
sudo mysql_secure_installation
Durant el procés, respon les preguntes tal com es mostra:
Enter current password for root (enter for none): Enter
Set root password? [Y/n]: Y
New password: $newRootPassword
Re-enter new password: $newRootPassword
Remove anonymous users? [Y/n]: Y
Disallow root login remotely? [Y/n]: Y
Remove test database and access to it? [Y/n]: Y
Reload privilege tables now? [Y/n]: Y
Tingueu en compte $newRootPasswordque ho necessitareu diverses vegades i és un dolor reiniciar-lo.
Heu de crear el icinganom d'usuari i importar l'esquema a la base de dades. Això es fa de la mateixa manera tant a CentOS 6 com a 7.
sudo mysql -u root -p
>CREATE DATABASE icinga;
>GRANT SELECT, INSERT, UPDATE, DELETE, DROP, CREATE VIEW, INDEX, EXECUTE ON icinga.* TO 'icinga'@'localhost' IDENTIFIED BY '$someIcingaPassword';
>exit
A continuació, importeu l'esquema a la base de dades que acabeu de crear.
sudo mysql -u root -p icinga < /usr/share/icinga2-ido-mysql/schema/mysql.sql
Haureu d'introduir la $newRootPasswordcontrasenya de MySQL/MariaDB que heu utilitzat durant l' mysql_secure_installationordre anterior, no la $someIcingaPasswordque acabeu de crear; aquesta s'utilitzarà més tard.
Habiliteu el idomòdul (base de dades).
sudo icinga2 feature enable ido-mysql
Haureu d'editar el /etc/icinga2/features-enabled/ido-mysql.conffitxer per afegir la informació de la base de dades. Podeu fer-ho amb la següent comanda.
sudo vi /etc/icinga2/features-enabled/ido-mysql.conf
En aquest fitxer, cerqueu les línies comentades (comencen per //).
//user = "icinga"
//password = "icinga"
//host = "localhost"
//database = "icinga"
...i editeu-los amb l'usuari/contrasenya que acabeu de crear.
user = "icinga"
password = "$someIcingaPassword"
host = "localhost"
database = "icinga"
Assegureu-vos de descomentar les línies eliminant les dues barres obliques inicials.
A continuació, reinicieu el servei per recollir els canvis.
sudo service icinga2 restart
Haureu d'afegir una connexió entre el servidor client i el mestre Icinga2 que ja s'ha configurat. Haureu de fer-ho utilitzant Firewalld a CentOS 7 o IPTables a CentOS 6 o 7.
# CentOS 6
sudo vi /etc/sysconfig/iptables
...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5665 -j ACCEPT
...
#Icinga2 Master
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5665 -j ACCEPT
sudo iptables restart
# CentOS 7
sudo firewall-cmd --add-port=5665/tcp --permanent
sudo firewall-cmd --reload
Ara, editeu el fitxer hosts per afegir el mestre com a nom de domini local.
sudo vi /etc/hosts
...
$masterIP icinga2master icinga2master.example.com
Aquest pas s'ha de fer al màster Icinga2. Haureu d'iniciar-lo com a mestre i, a continuació, generar una sol·licitud de signatura de certificat que el vostre client utilitzarà per comunicar-se.
sudo icinga2 node wizard
Això executarà l'assistent del node, que farà diverses preguntes. La pantalla es veurà com la següent i s'enumeren les respostes que donareu.
Welcome to the Icinga 2 Setup Wizard!
We'll guide you through all required configuration details.
Please specify if this is a satellite setup ('n' installs a master setup) [Y/n]: n
Starting the Master setup routine...
Please specify the common name (CN) [icinga2-master1.localdomain]: icinga2master.example.com
Checking for existing certificates for common name 'icinga2master.example.com'...
Certificates not yet generated. Running 'api setup' now.
information/cli: Generating new CA.
information/base: Writing private key to '/var/lib/icinga2/ca/ca.key'.
information/base: Writing X509 certificate to '/var/lib/icinga2/ca/ca.crt'.
information/cli: Generating new CSR in '/etc/icinga2/pki/icinga2master.example.com.csr'.
information/base: Writing private key to '/etc/icinga2/pki/icinga2master.example.com.key'.
information/base: Writing certificate signing request to '/etc/icinga2/pki/icinga2master.example.com.csr'.
information/cli: Signing CSR with CA and writing certificate to '/etc/icinga2/pki/icinga2master.example.com.crt'.
information/cli: Copying CA certificate to '/etc/icinga2/pki/ca.crt'.
Generating master configuration for Icinga 2.
information/cli: Adding new ApiUser 'root' in '/etc/icinga2/conf.d/api-users.conf'.
information/cli: Enabling the 'api' feature.
Enabling feature api. Make sure to restart Icinga 2 for these changes to take effect.
information/cli: Dumping config items to file '/etc/icinga2/zones.conf'.
information/cli: Created backup file '/etc/icinga2/zones.conf.orig'.
Please specify the API bind host/port (optional):
Bind Host []: <hit enter>
Bind Port []: <hit enter>
information/cli: Created backup file '/etc/icinga2/features-available/api.conf.orig'.
information/cli: Updating constants.conf.
information/cli: Created backup file '/etc/icinga2/constants.conf.orig'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
Done.
Now restart your Icinga 2 daemon to finish the installation!
A continuació, reinicieu Icinga2 per recollir els canvis.
sudo service icinga2 restart
Ara que és un mestre, podeu utilitzar-lo per generar la cadena de sol·licitud de signatura del certificat.
sudo icinga2 pki ticket --cn icinga2client.example.com
Obtindreu una mica de corda $pkiString. Copieu aquesta cadena, ja que la necessitareu al client.
Executeu l'assistent de nodes per generar els certificats i connectar-vos al mestre.
sudo icinga2 node wizard
Sortirà una pàgina semblant a l'anterior. Aquesta pàgina es mostra a continuació amb les respostes incloses.
Welcome to the Icinga 2 Setup Wizard!
We'll guide you through all required configuration details.
Please specify if this is a satellite setup ('n' installs a master setup) [Y/n]: Y
Starting the Node setup routine...
Please specify the common name (CN) [icinga2client.example.com]:
Please specify the master endpoint(s) this node should connect to:
Master Common Name (CN from your master setup): icinga2master.example.com
Do you want to establish a connection to the master from this node? [Y/n]: Y
Please fill out the master connection information:
Master endpoint host (Your master's IP address or FQDN): icinga2master.example.com
Master endpoint port [5665]: 5665
Add more master endpoints? [y/N]: N
Please specify the master connection for CSR auto-signing (defaults to master endpoint host):
Host [icinga2master.example.com]: icinga2master.example.com
Port [5665]: 5665
information/cli: Created backup file '/etc/icinga2/pki/icinga2client.example.com.key.orig'.
information/cli: Created backup file '/etc/icinga2/pki/icinga2client.example.com.crt.orig'.
information/base: Writing private key to '/etc/icinga2/pki/icinga2client.example.com.key'.
information/base: Writing X509 certificate to '/etc/icinga2/pki/icinga2client.example.com.crt'.
information/cli: Fetching public certificate from master (icinga2master.example.com, 5665):
Certificate information:
Subject: CN = icinga2master.example.com
Issuer: CN = Icinga CA
Valid From: Jan 10 21:08:37 2017 GMT
Valid Until: Jan 7 21:08:37 2032 GMT
Fingerprint: FE 72 AB F3 18 A5 12 E0 0C 5D 94 8B 96 C4 57 3B 00 5C E0 04
Is this information correct? [y/N]: Y
information/cli: Received trusted master certificate.
Please specify the request ticket generated on your Icinga 2 master.
(Hint: # icinga2 pki ticket --cn 'icinga2client.example.com'): $pkiString
information/cli: Requesting certificate with ticket '$pkiString'.
warning/cli: Backup file '/etc/icinga2/pki/icinga2client.example.com.crt.orig' already exists. Skipping backup.
information/cli: Writing signed certificate to file '/etc/icinga2/pki/icinga2client.example.com.crt'.
information/cli: Writing CA certificate to file '/etc/icinga2/pki/ca.crt'.
Please specify the API bind host/port (optional):
Bind Host []: <enter key>
Bind Port []: <enter key>
Accept config from master? [y/N]: Y
Accept commands from master? [y/N]: Y
information/cli: Disabling the Notification feature.
Disabling feature notification. Make sure to restart Icinga 2 for these changes to take effect.
information/cli: Enabling the Apilistener feature.
warning/cli: Feature 'api' already enabled.
information/cli: Created backup file '/etc/icinga2/features-available/api.conf.orig'.
information/cli: Generating local zones.conf.
information/cli: Dumping config items to file '/etc/icinga2/zones.conf'.
information/cli: Created backup file '/etc/icinga2/zones.conf.orig'.
information/cli: Updating constants.conf.
information/cli: Created backup file '/etc/icinga2/constants.conf.orig'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
Done.
Now restart your Icinga 2 daemon to finish the installation!
Continueu i reinicieu Icinga2 per recollir els canvis.
sudo icinga2 restart
És possible que això ja s'hagi fet, però heu d'assegurar-vos que les funcions d'ordre i API estiguin habilitades.
sudo icinga2 feature enable command
sudo icinga2 feature enable api
If they weren't enabled, it will say "feature enabled", so you'll need to restart the Icinga2 daemon. But first, you need to change ownership of the files in the /etc/icinga2 directory, as some of them have the wrong permissions after running the node wizard. They should all have their owner and group set to icinga. Change the permissions by using the following command:
sudo chown -R icinga:icinga /etc/icinga2/
Now, you can restart the Icinga2 daemon.
sudo service icinga2 restart
The client configuration requires editing a few different files.
/etc/icinga2/zones.conf: Contains the endpoints (servers) and zones that contain them. This is how the servers are partitioned. Make sure the client names match the server names./etc/icinga2/icinga2.conf: You are accepting commands and configs from the master, so you need to do a minor edit on this file to avoid duplicate command definitions.First, we're going to modify the zones.conf file to define the server and the zone it's in, as well as creating a "global" zone for command definitions that are universal to ALL servers, instead of unique to each (such as disk checks).
sudo vi /etc/icinga2/zones.conf
object Zone clientZone {
endpoints = [ "icinga2master.example.com" ]
}
object Zone "global-templates" { # Add global templates zone
global = true
}
object Endpoint NodeName {
host = "$icinga2clientIP"
}
object Zone ZoneName {
endpoints = [ NodeName ]
parent = clientZone
}
It is important to know, there can only be 2 nodes per zone at the moment. You can make as many zones as you wish, but if there are more than 2 nodes per zone there is a chance that the Icinga2 service will not work properly. This is not a problem on the client, unless you already have 2 nodes in the zone clientZone, in which case you will need to make another zone name.
Now, make the modification in the /etc/icinga2/icinga2.conf file. You need to comment out the line include_recursive "conf.d".
sudo vi /etc/icinga2/icinga2.conf
...
//include_recursive "conf.d"
...
Verify config to ensure that everything is formatted correctly.
sudo icinga2 daemon -C
Si teniu problemes amb els permisos, és probable que l'element sigui propietat de root:root. Chow to icinga:icingaper resoldre.
sudo chown -R icinga:icinga /etc/icinga2/
Hi ha altres problemes amb les configuracions, generalment la informació que es dóna a partir de la sortida de l' sudo icinga2 daemon -Cordre serà prou detallada per localitzar-les. Abordar tots els problemes potencials que sorgeixin queda fora de l'abast d'aquesta guia.
Si la verificació té èxit, seguiu endavant i torneu a carregar el servei:
sudo service icinga2 restart
Haureu de donar icingapermisos sudo a l' usuari perquè les ordres es puguin executar. Aquests permisos sudo es restringiran al directori de connectors específic. Això només es pot posar al final del fitxer.
sudo vi /etc/sudoers
...
Defaults:icinga !requiretty
icinga ALL=(ALL) NOPASSWD: /usr/lib64/nagios/plugins/
Ara la configuració del client s'ha acabat oficialment. No hauríeu de fer més modificacions, qualsevol comprovació del servei es configurarà al mestre i es propagarà al client. Tanmateix, haureu d'instal·lar els complements addicionals que necessiteu. Els complements també es poden escriure amb Python, Perl, BASH, PHP i altres llenguatges de script.
Haureu de tornar al mestre per configurar el client perquè es pugui connectar. Hi ha uns quants passos que caldrà fer:
repository.d.La configuració de l'amfitrió s'introduirà al /etc/icinga2/repository.d/hosts/icinga2client.example.com.conffitxer.
sudo vi /etc/icinga2/repository.d/hosts/icinga2client.example.com.conf
object Host "icinga2client.example.com" {
import "satellite-host"
address = "$icinga2clientIP"
vars.os = "Linux"
}
sudo chown icinga:icinga /etc/icinga2/repository.d/hosts/icinga2client.example.com.conf
Ara l'amfitrió existeix a la configuració del client, però s'ha de posar en una zona. Aquesta zona estarà a la /etc/icinga2/repository.d/zonescarpeta, amb el mateix nom que el nom de la zona per facilitar-ne el seguiment.
sudo vi /etc/icinga2/repository.d/zones/clientZone.conf
object Zone "clientZone" {
endpoints = [ "icinga2client.example.com" ]
parent = "icinga2master.example.com"
}
A continuació, heu d'afegir la global-templateszona.
sudo vi /etc/icinga2/repository.d/zones/global-templates.conf
object Zone "global-templates" {
global = true
}
Finalment, afegiu el punt final del client perquè la matriu de punts finals "clientZone" s'ompli quan s'executi.
sudo vi /etc/icinga2/repository.d/endpoints/icinga2client.example.com.conf
#Change values to match the host you're adding
object Endpoint "icinga2client.example.com" {
host = "$icinga2clientIP"
}
Per assegurar-vos que no hi ha problemes de permisos, aneu endavant i torneu a canviar el propietari/grup.
sudo chown -R icinga:icinga /etc/icinga2
Verifiqueu els canvis de configuració per assegurar-vos que no hi hagi més problemes.
sudo icinga2 daemon -C
Si la verificació té èxit, continueu amb la recàrrega.
sudo service icinga2 restart
Si visiteu el vostre lloc web d'Icinga2, veureu que el servidor esdevé accessible.
És possible que trobeu errors sobre "ordre no trobat" o "comprovació no definida". Aquí és on entra en joc la zona de plantilles globals. Haureu de copiar la configuració en /etc/icinga2/conf.d/fitxers i posar-los en /etc/icinga2/zones.d/global-templates/fitxers. Per exemple, per crear una ordre "check_software", hauríeu de fer el següent.
sudo mkdir /etc/icinga2/zones.d/global-templates
sudo vi /etc/icinga2/zones.d/global-templates/commands.conf
object CheckCommand "check_software" {
import "plugin-check-command"
command = [ "/usr/bin/sudo", PluginDir + "/software_service_check.sh" ]
}
El software_service_check.shfitxer haurà d'existir a la /usr/lib64/nagios/pluginscarpeta del client .
A continuació, afegiu la comprovació del servei al /etc/icinga2/repository.d/hosts/services.conffitxer.
sudo vi /etc/icinga2/repository.d/hosts/services/services.conf
apply Service "Check Software Service" {
import "mail-service"
check_command = "check_software" # This check command is the same name as the one you defined in global-templates/commands.conf
assign where host.vars.client_endpoint # This will apply to every client server. If you need it to be more restrictive, you should look into custom variables
}
Haureu de tornar a canviar els permisos.
sudo chown -R icinga:icinga /etc/icinga2
A continuació, torneu a verificar la configuració.
sudo icinga2 daemon -C
Finalment, si té èxit, torneu a carregar:
sudo service icinga2 restart
Felicitats! Ara feu servir Icinga2 en un model de client mestre i ara podeu evitar haver d'utilitzar les comprovacions NRPE insegures!
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
