ich habe derzeit eine Kundenanfrage bezüglich des Monitorings vor Ort.
Derzeit bin ich noch nicht so richtig durchgestiegen was da mit CheckMK möglich ist.
Folgendes zum Szenario.
Der CheckMK Master steht bei uns und ist über das Internet von überall erreichbar.
Beim Kunden soll ein Satellit auf einer VM erstellt werden, welche ausschließlich über HTTP / HTTPS nach draußen kommunizieren darf.
Wir haben keine aktive VPN und keine Möglichkeit deren Firewall anzupassen.
Würde das so schon funktionieren? Welche Möglichkeiten gäbe es?
So “out of the box” wird das nicht funktionieren.
Der master greift via HTTPS/HTTP und Livestatus TCP 6557 auf die remote site zu.
Ich glaube es gab mal so ein Projekt wo die Monitoring Daten via Mail von der remote site zum Master geschickt wurden. Weis nur nicht mehr wo ich davon gelesen habe, aber das könnte in Deinem Fall helfen.
Die PSI überwacht halt eine Menge Systeme, die nicht miteinander reden dürfen. Die haben den Workaround mit Mailversand des CMCDump implementiert, der afaik auch ganz ordentlich funktioniert.
schon einmal vielen Dank für die zahlreichen (teils auch sehr amüsanten) Rückmeldungen!
Die Möglichkeit die Daten per Mail zu übermitteln ist schon mal ein Schritt in die richtige Richtung.
Ich habe noch ein bisschen Bauchschmerzen bezüglich der Infrastruktur dahinter.
Der Kunde nutzt mehrere AlwaysOn SQL Cluster mit verteilten Nodes und ist daher auf eine mehr oder weniger “Live” Überwachung angewiesen.
Ich hatte jetzt dazu schon die angefügten Docs von @mike1098 gelesen und bin noch nicht komplett Fein mit den folgenden Einschränkungen bzw. Unterschieden.
> Ein solches Setup weist gegenüber dem „normalen“ verteilten Monitoring folgende Unterschiede auf:
*> * > * Die Aktualisierung der Zustände und Messdaten in der Zentrale geschieht verzögert. > * Eine Berechnung der Verfügbarkeit wird auf der Zentralinstanz, im Vergleich mit der Remote-Instanz, geringfügig abweichende Werte ergeben. > * Zustandswechsel, die schneller geschehen als das Aktualisierungsintervall, sind für die Zentrale unsichtbar. > * Ist eine Remote-Instanz „tot“, so veralten die Zustände auf der Zentralinstanz, die Services werden „stale“, sind aber immer noch sichtbar. Messdaten und Verfügbarkeitsdaten gehen für diesen Zeitraum verloren (auf der Remote-Instanz sind sie noch vorhanden).
Wäre ggf. ein OpenVPN Tunnel über HTTPS eine alternative in diesem Setup? Bin leider kein OpenVPN Experte, es dämmert mir nur dunkel dass der Tunnel da die Firewalls komplett umgeht…
Hallo,
nicht böse verstehen aber deine Fragen zeigen das du dir da einen erfahrene(n) Frau/Mann an die Seite holen solltest. Du stellst die richtigen Fragen aber die Gefahr das du dir Probleme und Ärger einfängst ist ziemlich hoch.
Zur Frage:
Du musst immer mindestens den Verzug von “Mail wird erzeugt” über “Mail ist unterwegs” bis “Mail ist eingelesen” zwangsweise mit einplanen. Dazu noch den Fakt das Mails immer mal hängen bleiben oder Server ausfallen können.
Für zeitkritische Systeme ist der Ansatz also nicht geeignet.
Gruß
Wenn Du die Lösung mit den Tauben wählst musst Du unbedingt die Kosten für Futter und die Unterbringung in die Kalkulation miteinfließen lassen. Da können schon erhebliche Beträge auflaufen.
Ralf hat natürlich Recht, es wäre angebracht einen Experten hinzuzuziehen der sich mit den Fragen zu VPN und Sicherheit auskennt.
nein achwas, ich schreibe ja eben für eine offene Diskussion in das Forum.
Grundsätzlich sind mir alle VPN Technologien bekannt, die einen implementiert man mehr, die anderen weniger.
Deine Nachricht @rprengel zeigt mir aber, dass meine Bedenken absolut korrekt sind.
Wir werden dann vermutlich den Security Consultant des Kunden einschalten und schauen was da möglich ist.
Ein weiterer Ansatz unsererseits wäre noch SSTP als Protokoll zu überlegen, aber das geht ja dann auch wieder in die Richtung das grundsätzlich ein VPN die beste Wahl wäre.
Das Futter für die Brieftauben können wir uns leider in Zeiten der Inflation nicht leisten …
Besten Dank für eure Antworten bisher!
Wer noch weitere Ideen im Kopf hat, gerne einfach einwerfen.
xxx
Wir werden dann vermutlich den Security Consultant des Kunden einschalten und schauen was da möglich ist.
xxx
Hat auch den Vorteil das ein anderer den Ärger am Hals hat wenn es Probleme gibt.
Man muss ja nicht jedes mal hier schreien wenn Probleme günstig im Angebot sind.
Gruß
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.
