Решил поделиться данным экспериментом с сообществом, в том числе с целью получить конструктивную критику.
Первым делом, естественно, нужно зарегистрироваться на openshift. Для работы zabbix потребуется application с набором картриджей mysql и crontab. Выглядит это примерно следующим образом:
Тут же можно взять строку для соединения с сервером openshift, нажав на «Want to log in your application?». Надо разместить в хранилище публичных ключей openshift свой публичный ssh-ключ.
Скачать последнюю версию zabbix можно с официального сайта. На сервере openshift создаём каталог для сборки исполняемых файлов zabbix, заливаем туда исходники, распаковываем и собираем:
]\>mkdir -p /tmp/BUILD ; cd /tmp/BUILD ; wget http://downloads.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/2.4.6/zabbix-2.4.6.tar.gz ; tar xf zabbix-2.4.6.tar.gz ; cd zabbix-2.4.6 ; > mkdir /var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix
]\>./configure --enable-server --enable-java --with-mysql --with-libcurl --enable-agent --with-ssh2 --prefix=/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix
]\> make
]\> make install
Настраиваем сервер и агент для работы в среде openshift. Тут надо будет в конфигурационном файле заменить $OPENSHIFT_APP_UUID и $OPENSHIFT_PHP_IP на соответствующий приложению:
]\> export | grep OPENSHIFT_PHP_IP
declare -x OPENSHIFT_PHP_IP="127.13.151.129"
]\> export | grep OPENSHIFT_APP_UUID
declare -x OPENSHIFT_APP_UUID="55e9bc400c1e66a589000029"
]\>vi /var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_server.conf
ListenIP=$OPENSHIFT_PHP_IP
ListenPort=30051
LogFile=/tmp/zabbix_server.log
LogFileSize=5
DebugLevel=3
PidFile=/tmp/zabbix_server.pid
DBHost=localhost
DBName=zabbix
#DBSchema=zabbix
DBUser=zabbix
DBPassword=<ПАРОЛЬ>
DBSocket=/var/lib/openshift/$OPENSHIFT_APP_UUID/mysql/socket/mysql.sock
]\>vi /var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_agentd.conf
PidFile=/tmp/zabbix_agentd.pid
LogFile=/tmp/zabbix_agentd.log
LogFileSize=5
DebugLevel=3
Server=127.13.151.129
ServerActive=127.13.151.129:30051
ListenPort=30050
ListenIP=127.13.151.129
StartAgents=3
Hostname=Zabbix server
Запускаем для проверки:
/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/sbin/zabbix_server -c /var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_server.conf
/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/sbin/zabbix_agentd -c /var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_agentd.conf
Смотрим в логи:
[zabbix-chinacoolhacker.rhcloud.com zabbix]\> tail -3 /tmp/zabbix_server.log
82320:20150904:153339.334 server #24 started [escalator #1]
82321:20150904:153339.334 server #25 started [proxy poller #1]
82323:20150904:153339.335 server #26 started [self-monitoring #1]
[zabbix-chinacoolhacker.rhcloud.com zabbix]\> tail -2 /tmp/zabbix_agentd.log
111422:20150904:154248.644 agent #4 started [listener #3]
111423:20150904:154248.644 agent #5 started [active checks #1]
Исполняемый код работает, можно переходить к фронт-энду.
Тут я решил воспользоваться встроенным функционалом openshift — деплой через git. Клонировал себе на локалхост «болванку» сайта:
% git clone ssh://55e9bc400c1e66a589000029@zabbix-chinacoolhacker.rhcloud.com/~/git/zabbix.git/
Существует 2 варианта настройки фронт-энда zabbix- с помощью правки конфига и через удобный gui. Оба варианта рабочие, но при рестарте рискуем потерять изменения внесённые помимо гита — поэтому я делаю через конфиг, это не сложно. Скопировал содержимое фронт-энда из архива zabbix. Удаляю setup.php чтобы злоумышленники не смогли внести изменения в мою инсталляцию и правлю конфиг под свои нужды:
c@pentahon:~/ZABBIX/zabbix % rm -f setup.php
c@pentahon:~/ZABBIX/zabbix % cd conf
c@pentahon:~/ZABBIX/zabbix/conf % mv zabbix.conf.php.example zabbix.conf.php
c@pentahon:~/ZABBIX/zabbix/conf % vi zabbix.conf.php
// Zabbix GUI configuration file.
global $DB;
$DB["TYPE"] = 'MYSQL';
$DB["SERVER"] = 'localhost';
$DB["PORT"] = '0';
$DB["DATABASE"] = 'zabbix';
$DB["USER"] = 'zabbix';
$DB["PASSWORD"] = 'oDWp7akWrxWiMAIRCoYJ';
// Schema name. Used for IBM DB2 and PostgreSQL.
$DB["SCHEMA"] = '';
$ZBX_SERVER = '127.13.151.129';
$ZBX_SERVER_PORT = '30051';
$ZBX_SERVER_NAME = 'Overseer';
$IMAGE_FORMAT_DEFAULT = IMAGE_FORMAT_PNG;
?>
Создаём .htaccess в корне сайта:
c@pentahon:~/ZABBIX/zabbix/conf % cd ..
c@pentahon:~/ZABBIX/zabbix % vi .htaccess
php_value upload_max_filesize 20M
php_value date.timezone Europe/Moscow
php_value post_max_size 20M
php_value max_execution_time 300
php_value max_input_time 300
php_value max_input_time 300
php_value mysql.default_socket "/var/lib/stickshift/$OPENSHIFT_APP_UUID/mysql-5.1/socket/mysql.sock"
Все в гит!
git add *
git add .htaccess
git commit -m "zabb"
git push
После удачного пуша можно заходить в веб-интерфейс (логин\пароль — admin\zabbix, не забудьте его сменить!) и настраивать мониторинг:
Чтобы заработал агент и начали собираться метрики необходимо изменить настройки ip и порта:
Теперь надо добавить несколько задач в крон — для рестарта приложений сервера и агента в случае их падения. Crontab расположен в /var/lib/openshift/55e9bc400c1e66a589000029/app-root/runtime/repo/.openshift/cron. Создаём файлы:
mkdir /tmp/status
]\> vi minutely/zabbixwatchog.sh
#!/bin/bash
### config
pidof_prog="/sbin/pidof"
###
zabbix_agentd_prog=/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/sbin/zabbix_agentd
zabbix_agentd_conf=/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_agentd.conf
zabbix_server_prog=/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/sbin/zabbix_server
zabbix_server_conf=/var/lib/openshift/$OPENSHIFT_APP_UUID/app-root/data/zabbix/etc/zabbix_server.conf
###
agentstatlog=/tmp/status/agentstat.log
serverstatlog=/tmp/status/serverstat.log
###
### server lifekeeper ###
serverststat=`$pidof_prog $zabbix_server_prog`
if [ "$serverststat" ]
then
echo "`date` : server pids: $serverststat" >> $serverstatlog;
else
echo "restarting server at `date`" >> $serverstatlog;
$zabbix_server_prog -c $zabbix_server_conf;
sleep 3
echo "`date` SERVER started with pids: `$pidof_prog $zabbix_server_prog` " >> $serverstatlog;
fi
### agent lifekeeper ###
agentstat=`$pidof_prog $zabbix_agentd_prog`
if [ "$agentstat" ]
then
echo "`date` : agent pids: $agentstat" >> $agentstatlog;
else
echo "restarting agent at `date`" >> $agentstatlog;
$zabbix_agentd_prog -c $zabbix_agentd_conf;
sleep 3
echo "`date` agent started with pids: `$pidof_prog $zabbix_agentd_prog` " >> $agentstatlog;
fi
#
]\> vi daily/zabbix.sh
#!/bin/bash
cp /tmp/status/agentstat.log /tmp/status/agentstat.log.`date +%Y-%m-%d` && echo '' > /tmp/status/agentstat.log
cp /tmp/status/serverstat.log /tmp/status/serverstat.log.`date +%Y-%m-%d` && echo '' > /tmp/status/serverstat.log
find /tmp/status/ -mtime +7 -exec rm {} \;
Теперь в случае отсутствия в системе процессов zabbix они автоматически запустятся по крону.
P.S.
Данная инсталляция хорошо подходит для web-scenarios и кастомных проверок на основе UserParamater, запускаемых с агента, непосредственно установленного на сервер OpenShift.
Как правильно заметил Disen, по соображениям безопасности не рекомендуется выставлять порты zabbix-agent своих серверов в интернет!
Комментарии (10)
Disen
08.09.2015 11:37Возможно я не понял Вашей задумки, но что Вы вообще хотите мониторить таким способом? Вы ведь не собираетесь на внешку пробрасывать SNMP и zabbix-агенты Ваших железок? Или нееее...?
chinacoolhacker
08.09.2015 13:07+1Примерно год — два назад я использовал подобную инсталляцию для резервного базового мониторинга (прежде всего на время работ с даунтаймом на основном мониторинге) — проверки вида HTTP 200 от сервера, веб-сценарии на аутентификацию и т.п. Тогда не было задачи с помошью резерва мониторить именно железо.
Сейчас я использую только веб-сценарии и кастомные скрипты через UserParameter для небольшого ресурса. В планах чуть позже попробовать добавить агентские active проверки через ssh-туннель, но это скорее эксперимента ради.
Как правильно заметил 1it, данная инсталляция не предназначена для полноценной промышленной эксплуатации с большим количеством серверов (хотя вариант с покупкой платного плана я не рассматривал). Извиняюсь что не обозначил этот момент сразу, опыта написания подобных статей у меня практически нет.
Однако, как показывает практика, с задачей резервного базового мониторинга или мониторинга небольшого портала подобная инсталляция вполне справляется.Disen
08.09.2015 13:20Пожалуй, для использования web-проверок такая инсталляция подойдет, но вот использовать zabbix-agent я бы не рискнул. Причину я описал в комментарии для thunderspb.
chinacoolhacker
08.09.2015 13:45+1Спасибо за замечания, добавил предостережение в статью.
Справедливости ради замечу что у агента всё же есть некая аутентификация в виде сопоставления ip src запроса и ip указанного в конфиге в поле Server, и в случае несоответствия агент вернёт пустое значение. Однако я согласен с Вашим мнением, и стоило изначально указать в статье потенциальную опасность открытых портов zabbix-агента в интернет.
По поводу SNMP — сервер собран без его подджерки, т.к. на OpenShift нет соответствующих библиотек.
Disen
08.09.2015 13:09Я предостерегаю Вас от этого необдуманного поступка.
Для начала хотя бы загуглите, какие проблемы с безопасностью есть у SNMP (у v.3 дела обстоят получше, но, как показывает практика на нее чаще всего забивают и используют v2). И если у SNMP есть хоть какая-то аутентификация, то zabbix-agent шпыняет всё в открытом виде без всякой аутентификации. Плюс ко всему, разработчики zabbix'а тоже люди и порой допускают ошибки.
Если Вас устраивает такое положение дел, Вы не ведите в этом огромнейшей дыры в безопасности и Вас не смущает тот факт, что информация о ваших устройствах будет как минимум доступна поисковикам типа SHODAN, то чтож… Хозяин — барин.thunderspb
08.09.2015 15:10Может быть я чтото упускаю из виду, но под правильно настроенным фаерволом я имел ввиду, что коннекты на порты, в данном случае, должны быть доступны только для определенного списка IP адресов, так же как и морда должны быть доступна только для определенного списка. Так же как и snmp. Меня учили, что наружу должны смотреть только те порты, которые должны быть публичными, все остальное — нет. Поэтому первое, что я настраиваю на сервере это фаерволл.
зыж вообще это все мне напоминает статьи про настройку elasticsearch, в которых про безопасность ни слова, зато в комментариях почемуто задают вопросы «а что с этим делать?». И вот именно такие люди/сервера потом и попадают в shodan. А ведь самое простое решение это просто закрыть порты фаерволлом.
ззыж возможно в OpenShift не все так просто, не работал с ним — не знаю.
1it
Едва ли этого хватит на полноценный мониторинг. Разве что один хост мониторить и хранить не более месяца истории.
chinacoolhacker
Само собой, для полноценного мониторинга нужен полноценный хостинг.
Суть данного решения в том что оно — бесплатное, и при этом имеет практически полный функционал zabbix-сервера. Буду крайне признателен если подскажете альтернативу.
postdig
сразу возникла мысль про icinga2/nagios а не забикс…