Модификовање Ицинга2 да користи модел Мастер/Цлиент на ЦентОС 6 или ЦентОС 7

Ицинга2 је моћан систем за праћење, и када се користи у моделу мастер-цлиент, може да замени потребу за провером праћења заснованом на НРПЕ. Модел мастер-клијент је сигурнији из различитих разлога . Такође омогућава више дистрибуирано надгледање дозвољавајући да се провере модификују на једном серверу и да се преносе на друге. Такође даје једну централизовану локацију за промене.

На пример: Рецимо да имате 4 различита веб сервера са уравнотеженим оптерећењем. Ако знате да ће доћи до наглог оптерећења (можда продаја или нешто за шта очекујете много активности), можда бисте желели да повећате нивое на којима висока употреба ЦПУ-а упозорава администраторе система. Ако користите НРПЕ провере, мораћете да одете на сваки сервер и измените /etc/nrpe.d/common_commands.cfgдокумент на сваком од њих. У моделу мастер-цлиент, можете једноставно да измените њихове дефиниције хоста у /etc/icinga2/repository.d/hosts/фасцикли, а затим поново учитате Ицинга. Провере ће се ширити на сваки сервер и аутоматски ће бити подигнуте. Такође можете врло лако додати провере тако што ћете модификовати /etc/icinga2/repository.d/services/датотеке, и оне ће се аутоматски ширити и бити препознате, све док додаци постоје на клијентским серверима.

Предуслови

• Инстанца сервера са Ицинга2 и Ицингавеб2 већ инсталираним и конфигурисаним ( упутства ) је именована icinga2master.example.com.
• Нова Вултр ЦентОС 6 или 7 инстанца сервера коју желите да надгледате под називом icinga2client.example.com.
• Судо приступ.

Неки од ових водича ће одражавати горе наведена упутства за инсталацију, али то мора да се уради на клијентској машини, а не на серверској.

Корак 1: Ажурирајте систем

Додајте "ИЦИНГА" репо у клијентски систем да бисте инсталирали Ицинга пакете.

sudo cat > /etc/yum.repos.d/ICINGA-release.repo << 'EOF'
[icinga-stable-release]
name=ICINGA (stable release for epel)
baseurl=http://packages.icinga.org/epel/$releasever/release/
enabled=1
gpgcheck=1
gpgkey=http://packages.icinga.org/icinga.key
EOF

Корак 2: Инсталирајте потребне пакете

Инсталирајте потребне пакете.

# CentOS 6
sudo yum -y install icinga2 mysql-server mysql icinga2-ido-mysql nagios-plugins-disk nagios-plugins-load nagios-plugins-procs nagios-plugins-ssh nagios-plugins-users nagios-plugins-swap nagios-plugins-ping icingacli

# CentOS 7
sudo yum -y install icinga2 mariadb-server mysql icinga2-ido-mysql nagios-plugins-disk nagios-plugins-load nagios-plugins-procs nagios-plugins-ssh nagios-plugins-users nagios-plugins-swap nagios-plugins-ping icingacli

ЦентОС 7 користи МариаДБ уместо МиСКЛ, тако да су неопходни пакети мало другачији. Покрените услуге и подесите их да се покрећу при покретању.

sudo chkconfig icinga2 on
sudo service icinga2 start

Подесите МиСКЛ услугу да се покреће при покретању и покрените је сада да бисмо могли да је обезбедимо.

# CentOS 6
sudo chkconfig mysqld on
sudo service mysqld start

#CentOS 7
sudo systemctl enable mariadb.service
sudo systemctl start mariadb.service

Обезбедите МиСКЛ/МариаДБ инсталацију. И ЦентОС 6 и 7 користе исту команду.

sudo mysql_secure_installation

Током процеса одговорите на питања као што је приказано:

Enter current password for root (enter for none): Enter
Set root password? [Y/n]: Y
New password: $newRootPassword
Re-enter new password: $newRootPassword
Remove anonymous users? [Y/n]: Y
Disallow root login remotely? [Y/n]: Y
Remove test database and access to it? [Y/n]: Y
Reload privilege tables now? [Y/n]: Y

Имајте на уму $newRootPasswordда ће вам требати неколико пута, а ресетовање је тешко.

Корак 3: Подесите базу података

Морате да креирате icingaкорисничко име и увезете шему у базу података. Ово се ради на исти начин и на ЦентОС 6 и на 7.

sudo mysql -u root -p
>CREATE DATABASE icinga;
>GRANT SELECT, INSERT, UPDATE, DELETE, DROP, CREATE VIEW, INDEX, EXECUTE ON icinga.* TO 'icinga'@'localhost' IDENTIFIED BY '$someIcingaPassword'; 
>exit

Затим увезите шему у базу података коју сте управо креирали.

sudo mysql -u root -p icinga < /usr/share/icinga2-ido-mysql/schema/mysql.sql

Мораћете да унесете $newRootPasswordМиСКЛ/МариаДБ лозинку коју сте користили током mysql_secure_installationгорње команде, а не ону $someIcingaPasswordкоју сте управо креирали – она се користи касније.

Омогућите idoмодул (база података).

sudo icinga2 feature enable ido-mysql

Мораћете да уредите /etc/icinga2/features-enabled/ido-mysql.confдатотеку да бисте додали информације о бази података. То можете учинити са следећом командом.

sudo vi /etc/icinga2/features-enabled/ido-mysql.conf

У тој датотеци пронађите редове који су коментарисани (почните са //).

//user = "icinga"
//password = "icinga"
//host = "localhost"
//database = "icinga"

...и уредите их користећи корисника/лозинку коју сте управо креирали.

user = "icinga"
password = "$someIcingaPassword"
host = "localhost"
database = "icinga"

Уверите се да сте декоментирали редове тако што ћете уклонити прве две косе црте.

Затим поново покрените услугу да бисте преузели промене.

sudo service icinga2 restart

Мораћете да додате везу између клијентског сервера и Ицинга2 мастера који је већ конфигурисан. То ћете морати да урадите користећи Фиреваллд на ЦентОС 7 или ИПТаблес у ЦентОС 6 или 7.

# CentOS 6
sudo vi /etc/sysconfig/iptables
...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5665 -j ACCEPT
...
#Icinga2 Master
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5665 -j ACCEPT

sudo iptables restart

# CentOS 7    
sudo firewall-cmd --add-port=5665/tcp --permanent
sudo firewall-cmd --reload

Сада уредите датотеку хостс да бисте додали мастер као име локалног домена.

sudo vi /etc/hosts
...
$masterIP  icinga2master icinga2master.example.com

Корак 4: Иницијализујте мастер

Овај корак треба да се уради на Ицинга2 мастеру. Мораћете да га иницијализујете као главног, а затим генеришете захтев за потписивање сертификата који ће ваш клијент користити за комуникацију.

sudo icinga2 node wizard

Ово ће покренути чаробњак за чворове, који ће поставити неколико питања. Екран ће изгледати овако, а одговори које ћете дати су наведени.

Welcome to the Icinga 2 Setup Wizard!

We'll guide you through all required configuration details.

Please specify if this is a satellite setup ('n' installs a master setup) [Y/n]: n
Starting the Master setup routine...
Please specify the common name (CN) [icinga2-master1.localdomain]: icinga2master.example.com
Checking for existing certificates for common name 'icinga2master.example.com'...
Certificates not yet generated. Running 'api setup' now.
information/cli: Generating new CA.
information/base: Writing private key to '/var/lib/icinga2/ca/ca.key'.
information/base: Writing X509 certificate to '/var/lib/icinga2/ca/ca.crt'.
information/cli: Generating new CSR in '/etc/icinga2/pki/icinga2master.example.com.csr'.
information/base: Writing private key to '/etc/icinga2/pki/icinga2master.example.com.key'.
information/base: Writing certificate signing request to '/etc/icinga2/pki/icinga2master.example.com.csr'.
information/cli: Signing CSR with CA and writing certificate to '/etc/icinga2/pki/icinga2master.example.com.crt'.
information/cli: Copying CA certificate to '/etc/icinga2/pki/ca.crt'.
Generating master configuration for Icinga 2.
information/cli: Adding new ApiUser 'root' in '/etc/icinga2/conf.d/api-users.conf'.
information/cli: Enabling the 'api' feature.
Enabling feature api. Make sure to restart Icinga 2 for these changes to take effect.
information/cli: Dumping config items to file '/etc/icinga2/zones.conf'.
information/cli: Created backup file '/etc/icinga2/zones.conf.orig'.
Please specify the API bind host/port (optional):
Bind Host []: <hit enter>
Bind Port []: <hit enter>
information/cli: Created backup file '/etc/icinga2/features-available/api.conf.orig'.
information/cli: Updating constants.conf.
information/cli: Created backup file '/etc/icinga2/constants.conf.orig'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
Done.

Now restart your Icinga 2 daemon to finish the installation!

Затим поново покрените Ицинга2 да бисте преузели промене.

sudo service icinga2 restart

Сада када је главни, можете га користити за генерисање стринга захтева за потписивање сертификата.

sudo icinga2 pki ticket --cn icinga2client.example.com

Добићете неки низ $pkiString. Копирајте тај стринг, јер ће вам требати на клијенту.

Корак 5: Иницијализујте клијента

Покрените чаробњак за чворове да генеришете сертификате и повежете се са мастером.

sudo icinga2 node wizard

Појавиће се страница слична горњој. Ова страница је приказана испод са укљученим одговорима.

Welcome to the Icinga 2 Setup Wizard!

We'll guide you through all required configuration details.



Please specify if this is a satellite setup ('n' installs a master setup) [Y/n]: Y
Starting the Node setup routine...
Please specify the common name (CN) [icinga2client.example.com]:
Please specify the master endpoint(s) this node should connect to:
Master Common Name (CN from your master setup): icinga2master.example.com
Do you want to establish a connection to the master from this node? [Y/n]: Y
Please fill out the master connection information:
Master endpoint host (Your master's IP address or FQDN): icinga2master.example.com
Master endpoint port [5665]: 5665
Add more master endpoints? [y/N]: N
Please specify the master connection for CSR auto-signing (defaults to master endpoint host):
Host [icinga2master.example.com]: icinga2master.example.com
Port [5665]: 5665
information/cli: Created backup file '/etc/icinga2/pki/icinga2client.example.com.key.orig'.
information/cli: Created backup file '/etc/icinga2/pki/icinga2client.example.com.crt.orig'.
information/base: Writing private key to '/etc/icinga2/pki/icinga2client.example.com.key'.
information/base: Writing X509 certificate to '/etc/icinga2/pki/icinga2client.example.com.crt'.
information/cli: Fetching public certificate from master (icinga2master.example.com, 5665):

Certificate information:

 Subject:     CN = icinga2master.example.com
 Issuer:      CN = Icinga CA
 Valid From:  Jan 10 21:08:37 2017 GMT
 Valid Until: Jan  7 21:08:37 2032 GMT
 Fingerprint: FE 72 AB F3 18 A5 12 E0 0C 5D 94 8B 96 C4 57 3B 00 5C E0 04

Is this information correct? [y/N]: Y
information/cli: Received trusted master certificate.

Please specify the request ticket generated on your Icinga 2 master.
 (Hint: # icinga2 pki ticket --cn 'icinga2client.example.com'): $pkiString

information/cli: Requesting certificate with ticket '$pkiString'.

warning/cli: Backup file '/etc/icinga2/pki/icinga2client.example.com.crt.orig' already exists. Skipping backup.
information/cli: Writing signed certificate to file '/etc/icinga2/pki/icinga2client.example.com.crt'.
information/cli: Writing CA certificate to file '/etc/icinga2/pki/ca.crt'.
Please specify the API bind host/port (optional):
Bind Host []: <enter key>
Bind Port []: <enter key>
Accept config from master? [y/N]: Y
Accept commands from master? [y/N]: Y
information/cli: Disabling the Notification feature.
Disabling feature notification. Make sure to restart Icinga 2 for these changes to take effect.
information/cli: Enabling the Apilistener feature.
warning/cli: Feature 'api' already enabled.
information/cli: Created backup file '/etc/icinga2/features-available/api.conf.orig'.
information/cli: Generating local zones.conf.
information/cli: Dumping config items to file '/etc/icinga2/zones.conf'.
information/cli: Created backup file '/etc/icinga2/zones.conf.orig'.
information/cli: Updating constants.conf.
information/cli: Created backup file '/etc/icinga2/constants.conf.orig'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
information/cli: Updating constants file '/etc/icinga2/constants.conf'.
Done.

Now restart your Icinga 2 daemon to finish the installation!

Само напред и поново покрените Ицинга2 да бисте преузели промене.

sudo icinga2 restart

Ово је можда већ урађено, али морате осигурати да су команда и АПИ функције омогућене.

sudo icinga2 feature enable command
sudo icinga2 feature enable api

If they weren't enabled, it will say "feature enabled", so you'll need to restart the Icinga2 daemon. But first, you need to change ownership of the files in the /etc/icinga2 directory, as some of them have the wrong permissions after running the node wizard. They should all have their owner and group set to icinga. Change the permissions by using the following command:

sudo chown -R icinga:icinga /etc/icinga2/

Now, you can restart the Icinga2 daemon.

sudo service icinga2 restart

Step 6: Configure the client

The client configuration requires editing a few different files.

• /etc/icinga2/zones.conf: Contains the endpoints (servers) and zones that contain them. This is how the servers are partitioned. Make sure the client names match the server names.
• /etc/icinga2/icinga2.conf: You are accepting commands and configs from the master, so you need to do a minor edit on this file to avoid duplicate command definitions.

First, we're going to modify the zones.conf file to define the server and the zone it's in, as well as creating a "global" zone for command definitions that are universal to ALL servers, instead of unique to each (such as disk checks).

sudo vi /etc/icinga2/zones.conf

object Zone clientZone { 
        endpoints = [ "icinga2master.example.com" ]
}

object Zone "global-templates" { # Add global templates zone
        global = true
}

object Endpoint NodeName {
        host = "$icinga2clientIP" 
}

object Zone ZoneName {
        endpoints = [ NodeName ]
        parent = clientZone
} 

It is important to know, there can only be 2 nodes per zone at the moment. You can make as many zones as you wish, but if there are more than 2 nodes per zone there is a chance that the Icinga2 service will not work properly. This is not a problem on the client, unless you already have 2 nodes in the zone clientZone, in which case you will need to make another zone name.

Now, make the modification in the /etc/icinga2/icinga2.conf file. You need to comment out the line include_recursive "conf.d".

sudo vi /etc/icinga2/icinga2.conf
...
//include_recursive "conf.d"
...

Verify config to ensure that everything is formatted correctly.

sudo icinga2 daemon -C

If you get permissions problems, it's likely because the item is owned by root:root. Chown to icinga:icinga to resolve.

sudo chown -R icinga:icinga /etc/icinga2/

There are other issues with the configs, generally the information given from the output of the sudo icinga2 daemon -C command will be verbose enough to track them down. Addressing every potential issue that arises is outside the scope of this guide.

If the verification succeeds, go ahead and reload the service:

sudo service icinga2 restart

You'll need to give the icinga user sudo permissions so that the commands can be run. These sudo permissions will be restricted to the specific plugin directory. This can just be put at the end of the file.

sudo vi /etc/sudoers
...
Defaults:icinga !requiretty
icinga          ALL=(ALL) NOPASSWD: /usr/lib64/nagios/plugins/

Сада је конфигурација клијента званично завршена. Не би требало да правите више модификација, све провере услуге ће бити конфигурисане на мастеру и преносиће се до клијента. Међутим, мораћете да инсталирате све додатне додатке који вам могу затребати. Додаци се такође могу писати помоћу питхон-а, перл-а, БАСХ-а, ПХП-а и других скриптованих језика.

Корак 7: Додајте клијента у главну конфигурацију

Мораћете да се вратите на мастер да бисте конфигурисали клијента тако да може да се повеже. Постоји неколико корака које ћете морати предузети:

1. Додајте конфигурацију хоста у repository.d.
2. Додајте хост у зону као крајњу тачку.
3. Конфигуришите све провере за клијента. Ово је мало ван оквира овог водича, ја ћу дати само основно објашњење укључених корака.

Конфигурација хоста ће бити унета у /etc/icinga2/repository.d/hosts/icinga2client.example.com.confдатотеку.

sudo vi /etc/icinga2/repository.d/hosts/icinga2client.example.com.conf
object Host "icinga2client.example.com" {
  import "satellite-host"
  address = "$icinga2clientIP"
  vars.os = "Linux"
}
sudo chown icinga:icinga /etc/icinga2/repository.d/hosts/icinga2client.example.com.conf

Сада хост постоји у конфигурацији клијента, али га треба ставити у зону. Ова зона ће бити у /etc/icinga2/repository.d/zonesфасцикли, са истим именом као и назив зоне да би се лакше пратило.

sudo vi /etc/icinga2/repository.d/zones/clientZone.conf
object Zone "clientZone" {
        endpoints = [ "icinga2client.example.com" ]
        parent = "icinga2master.example.com"
}

Затим морате додати global-templatesзону.

sudo vi /etc/icinga2/repository.d/zones/global-templates.conf
object Zone "global-templates" {
        global = true
}

На крају, додајте крајњу тачку клијента тако да се низ крајњих тачака "цлиентЗоне" попуни када се покрене.

sudo vi /etc/icinga2/repository.d/endpoints/icinga2client.example.com.conf

#Change values to match the host you're adding
object Endpoint "icinga2client.example.com" {
        host = "$icinga2clientIP"
}

Да бисте били сигурни да нема проблема са дозволама, само напред и поново промените власника/групу.

sudo chown -R icinga:icinga /etc/icinga2

Проверите промене конфигурације да бисте били сигурни да више нема проблема.

sudo icinga2 daemon -C

Ако верификација успе, наставите са поновним учитавањем.

sudo service icinga2 restart

Ако посетите вашу Ицинга2 веб локацију, видећете да сервер постаје доступан.

Корак 8: Прилагођене команде и провере

Можда ћете наићи на грешке о „команда није пронађена“ или „чек није дефинисан“. Овде се појављује зона глобалних шаблона. Мораћете да копирате конфигурацију у /etc/icinga2/conf.d/датотеке и ставите их у /etc/icinga2/zones.d/global-templates/датотеке. На пример, да бисте креирали команду „цхецк_софтваре“, требало би да урадите следеће.

sudo mkdir /etc/icinga2/zones.d/global-templates
sudo vi /etc/icinga2/zones.d/global-templates/commands.conf
object CheckCommand "check_software" {
  import "plugin-check-command"
  command = [ "/usr/bin/sudo",  PluginDir + "/software_service_check.sh" ]
}

software_service_check.shФајл ће морати да постоји у /usr/lib64/nagios/pluginsфасцикли на клијенту .

Затим додајте проверу услуге у /etc/icinga2/repository.d/hosts/services.confдатотеку.

sudo vi /etc/icinga2/repository.d/hosts/services/services.conf
apply Service "Check Software Service" {
  import "mail-service"
  check_command = "check_software" # This check command is the same name as the one you defined in global-templates/commands.conf

  assign where host.vars.client_endpoint # This will apply to every client server. If you need it to be more restrictive, you should look into custom variables
}

Мораћете поново да промените дозволе.

sudo chown -R icinga:icinga /etc/icinga2

Затим поново проверите конфигурацију.

sudo icinga2 daemon -C

Коначно, ако успе, поново учитајте:

sudo service icinga2 restart

Честитам! Сада користите Ицинга2 у моделу мастер-цлиент и сада можете да избегнете коришћење несигурних НРПЕ провера!