ich würde mich gerne über etwas Feedback zu meinem folgenden Gedankenspiel freuen.
Die Idee ist es, eine zentrale VM (Host “im Büro”) mit CheckMK laufen zu lassen, die per VPN Client an einen VPN-Server am Standort dauerhaft verbunden ist.
Also der Plan kurzgefasst:
Host PC mit VM(s) auf einem lokalen Server in der Firma “Zentrale”
VM mit CheckMK (Debian)
Debian VM mit dauerhafter VPN Verbindung (VPN Client) zum Standort (VPN Server)
Hintergrund:
Nicht an allen Standorten besteht die Möglichkeit eine lokale physische Instanz einzurichten, weil keine Hardware vorhanden ist (ungern würde ich z. Bsp. eine VM vor Ort auf der Hardware des Kunden nutzen wollen) und es somit Kosten sparen würde, da keine Anschaffung von Hardware für die Standorte nötig ist.
Ein weiterer Vorteil wären die Vorteile der VM an sich (lokal immer Zugriff, Backup/Restore,…).
Soweit ich es selber mitbekommen habe werden, mit einer VPN Verbindung in ein LAN, diese Geräte auch gefunden, was ja Sinn ergibt.
Z. Bsp. finde ich meinen PC im home office mit VPN in die Zentrale ebenfalls in CheckMK (Netzwerkscan). Dies würde ich quasi mit meiner Idee umgekehrt probieren wollen.
Ein Nachteil gegenüber einer Instanz vor Ort (als Slave) ist natürlich, dass wenn die VPN Verbindung abreißt keine Daten übermittelt werden können. Dies könnte man mit autom. reconnects etc. etwas “stabilisieren”(Wireguard?).
Fällt der Router am Standort oder in der “Zentrale” aus ebenfalls, aber dann ist eh kein Remote-Zugriff und Übermittlung möglich.
Ich hoffe ich konnte meinen Gedanken zu dem Setup gut vermitteln und würde mich sehr über Meinungen freuen. Oder ist es sogar eine gängige Praxis?
Thema: Stabilität, Zuverlässigkeit, Sicherheit, Traffic, Grundlegendes …
du bist für deine Frage auch in der falschen Kategorie… Das hat ja mit Feedback oder Product Ideas nichts zu tun.
An sich kann man das so machen wie du es beschreibst, das wird auch so sicherlich von viele so umgesetzt, das Design hat aus meiner Sicht technisch aber einige Nachteile, die man bedenken / abwägen muss:
Deine Host checks sind immer abhängig von deinem VPN und der Qualität deiner Internetverbindung
Die Anzahl der checks wird durch das VPN bzw. deiner Bandbreite zum Standort eingeschränkt
Die benötigte Bandbreite ist massiv höher als bei Zugriff auf einen Satelliten via Livestatus
Die Laufzeit von SNMP und datasource program Abfragen ist länger als bei “lokalem” Zugriff
Daten über Laufzeit / Latenz sind in den Reports mehr oder weniger sinnlos
Je nach Netzwerkdesign ist es ein Security Thema, was der zentrale checkmk Server alles erreichen können darf/muss
( Bei Zugriff auf einen Satelliten reicht eine 1zu1 Firewall Regel für eine IP und 4/5 Ports)
Wie stark sich die Nachteile auswirken, hängt denke ich hauptsächlich davon ab, wie viele Hosts du in dem jeweiligen Standort überwachst, wie viel Bandbreite du hast und wie stabil das VPN ist.
Bei kleinen Standorten kann man das sicherlich so machen, wenn man dort die ein paar Regeln anpasst, wie die nr. of check attempts, ICMP Latenzen, SNMP Timeouts etc.
Danke!
Das mit der Kategorie hier dachte ich mir nachträglich auch. Vielleich mag ein Mod das schieben.
Bei weniger kritischen Hosts würde ich die Checks auch nicht jede Minute machen, reicht zur Übersicht auch.
Ich taste mich wahrscheinlich mal langsam ran.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact @fayepal if you think this should be re-opened.
