Proxmox VE überwachen

Es gibt auch Dienstleister, die dafür Support anbieten. :wink:

Hallo,
arbeite seit 25 Jahren als Supportleiter in einem Softwarehaus.
Für Installationen in nicht produktiven Umgebungen die auch mal ausfallen dürfen reicht das Wissen. .-)
Bei unseren produktiven Umgebungen mit High-End-Hardware sind Dienstleister absolute Pflicht. Wir kennen unsere Grenzen.
Ich brauche Proxmox aktuell nur um VMs von unserem Couldanbieter mit wenig Aufwand intern starten zu können.
Gruss
Ralf

Bin mit Special Agents bisher auch noch nicht so vertraut – wie genau stelle ich das bei Proxmox am schlausten an?

Hi, Du musst nur den Proxmox VE Special Agent gegen alle Deine Proxmox Nodes konfigurieren:

Dazu legst Du in Proxmox einen User an, den Du dann einer Gruppe hinzufügst (hier haben wir die mal Read Only genannt) und unter Permissions gibst Du dieser Gruppe dann ab “/” das Rollen-Recht “PVEAuditor”

1 Like

Hallo,
kurzer Hinweis auf das Kleingedruckte.
username@Auth-Verfahren ist als Username einzutragen.

Frage an den Profi:
Ich habe natürlich keine Subscription. Den Updatemechanismus fürs Betriebssystem habe ich gefunden aber kann man auch Proxmox-Updates einspielen?

Ach ja:
Danke für die Infos.

Gruß

1 Like

Danke dir – falls darüber hinaus nichts weiter zu tun ist, muss ich irgendeinen Fehler gemacht haben. Ich sehe nämlich keine neuen Services… :nerd_face:

Hast du neben dem Agenten auch Regeln konfiguriert und dem den Servern zugewiesen?
Services auch neu erkennen lassen?
Gruss
Ralf

Du meinst diese Regeln hier?

Proxmox VE VM Backup
Proxmox VE Node Info
Proxmox VE VM Info
Proxmox VE disk percentage used
Proxmox VE memory percentage used

Tatsächlich nicht (ich dachte, das würde durch Aktivieren des Agents passieren – mit Standardwerten), werde das nun aber einzurichten versuchen.

Falls darüber hinaus noch etwas nötig ist, lass es mich wissen :slight_smile: Danke!

Das Proxmox-Wiki ist dafür eine gute Informationsquelle.

Es gibt auch ein Proxmox-Forum, damit es hier nicht zu off-topic wird.

Special Agent Proxmox reicht erstmal. Als Siteuser kann man übrigens cmk -D PROXMOX_NODE aufrufen und sieht dort auch, ob/wie der Special Agent konfiguriert ist, bzw. man kann sich da das Kommando klauen, um weiter zu debuggen.

@rprengel Weitere Regeln sind nicht notwendig.

Ein Großteil der Services sind Piggyback Services. D.h. sie gehören den gemonitorten VMs, daher müssen natürlich die Namen der VMs im Proxmox auf die Namen in Checkmk matchen → ~/tmp/check_mk/piggyback checken / angleichen oder ggf. piggyback Translation Regeln konfigurieren)

1 Like

Memo an mich selbst: In Zukunft das Kleingedruckte lesen.

Der Rest lief dann ziemlich automatisch ab – ich wunderte mich erst darüber, dass mir der RAM-Check ja nichts bringt, bis die einzelnen Maschinen dann aber die Checks gefunden und aufgenommen haben.

Vielen Dank euch! :slight_smile:

Hallo Leute, häng mich hier mal dran, ist ja noch nicht so alt.

Ich bekomme den API-login nicht an den start. Ich habe eine Gruppe angelegt, der Gruppe die Rolle PVEAuditor zugewiesen einen user auditor@pve erstellt und in die Gruppe gepackt und einen Token erstellt und auch dem Token die Rolle PVEAuditor zugewiesen. Ich bekomme den Spezial Agent nicht dazu, sich am Proxmox zu authentifizieren.

[agent] Communication failed: [Errno 111] Connection refusedCRIT

Wie kann ich testen, ob die API tut, was sie soll und was genau muss ich in der Rolle für den CMK eingeben. Der Host ist angelegt und die Regel ist dem gelichen Host zugewiesen. Benutzer auditor@pve / passwort des Benutzers.
Ich hab soziehmlich alles probiert: Mit ! und Token beim Benutzer, TokenKey als Passwort alles mögliche. Ich bekomme es nicht zum laufen. Der Agent muss ja für den Spezial Agent nicht installiert werden, oder? Die Daten sollen ja über die API geholt werden.

Und wäre für Unterstützung dankbar.

VG - Fossi

/omd/sites/monitor/share/check_mk/agents/special/agent_proxmox_ve ‘-u’ ‘auditor@pve’ ‘-p’ ‘xxxxxxx’ ‘–no-cert-check’ ‘BER-PROX1’
Unhandled exception: ConnectionError(MaxRetryError(“HTTPSConnectionPool(host=‘ber-prox1’, port=8006): Max retries exceeded with url: /api2/json/access/ticket (Caused by NewConnectionError(’<urllib3.connection.HTTPSConnection object at 0x7f4d7b846f40>: Failed to establish a new connection: [Errno -5] No address associated with hostname’))”))

Einen entscheidenden Fehler habe ich gefunden. Der Spezial Agent nutzt beim eigentlichen Check-Aufruf den Hostnamen, und nicht die IP Adresse. Der Hostname muss also per DNS aufgelöst werden oder als Hostname eine IP eingerichtet werden, was aber unschön ist. Ein Eintrag in der /etc/hosts löst das Problem auf kurzem Wege.

Ich würde das als Bug einstufen, die ich die hosts per VPN Abfrage aber natürlich nicht die ganzen Hosts der Remotenetze bei mir in den DNS schreiben wollen würde. Da in der Hostkonfiguration eine IP eingegeben wird, frage ich mich, warum die nicht auch vom Agenten genutzt wird. Das ist bei den normalen Agenten ja auch so.

Wo ist gulaschcowboy wenn man ihn mal braucht ,-)

Eher kein Bug, meiner bescheidenen Meinung nach. Das Zauberwort lautet hier HTTPS/SSL.
Ohne gültige Hostnamen auch keine ordentlichen Zertifikate usw.
Die Option “–no-cert-check” ist halt wie bei allen Checks immer nur ein Hilfsmittel das es überhaupt geht aber normalerweise nicht Sinn der Sache.
Der Proxmox Agent ist eigentlich auch so explizit geschrieben, dass er auf den Hostnamen geht.
Früher oder später führt kein Weg an einem ordentlichen DNS incl. funktionierender Zertifikate Infrastruktur vorbei.

2 Likes

Bug oder nicht: Ein gültiges Zertifikat setzt einen gültigen öffentlichen FQDN voraus und das der Rechner aus dem Netz erreichbar ist. Das kann nicht als Voraussetzung für ein Monitoring gelten. Deshalb wir der Haken dort sein. Wenn der Host im INet steht, Prüf das Cert. Sonst lieber nicht. Ich werde die Proxmox Kisten sicherlich nicht übers Internet erreichbar machen.

Der Check selber lässt sich über Bash mit einer IP-Adresse aufrufen - so bin ich ja auf den Fehler gekommen. Daher gehe ich von einem nicht gewollten Verhalten aus. Sonst würde sicherlich nicht IP in der Gui stehen, sondern ein Hinweis auf FQDN. Ich trage die Rechnernamen in der Gui ja auch nicht als FQDN ein.

VG Fossi

Nein. Das lässt sich auch mit einer internen CA lösen.
Für den Linux-Desktop kann ich da xca empfehlen.

1 Like

Ich kann hier @r.sander nur beipflichten. Heute kann ich mir kein größeres Netz mehr ohne eigene CA vorstellen.

Die Hacker wird es freuen, dass man überall im Netz MitM spielen kann.

Warum nicht es gibt durchaus Anwendungsfälle wo der FQDN als Hostname notwendig ist. Aber auch der Shortname ist in Ordnung wenn die Zertifikate stimmen steht meist auch dieser im SAN Feld mit drin.

Und funktionierendes DNS sollte in jedem Netz eine Selbstverständlichkeit sein.

2 Likes

Vor nicht wenigen Jahren hatte ich einen Kunden, da kannte jeder Mitarbeiter die IP-Adressen der Server. Denn mit DNS hätte es ja auch ein Angreifer leicht…

3 Likes

i have open a thread around the same subject in english , if you could help me : Proxmox discovering