GoldenLine
Zaloguj się
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

jednym z najpowszechniejszych błędów jest monitorowanie usług poprzez przekierowanie portów, przykładowo:
Mamy:
sieć/komputery/usługi <--> router <--> internet lub inna sieć <--> ... <--> monitoring

Dla monitorowania usług są robione przekierowania portów na routerze, częstym błędem jest w szczególności przekierowywanie usług które nie powinny być w ogóle wystawiane na zewnątrz/do innej sieci (dochodzą tutaj problemy związane z bezpieczeństwem) .
Link do wypowiedziLink
Adam Tomasz K.

Adam Tomasz K. Zaawansowana
modyfikacja
rzeczywistości.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

Ja tutaj problemu nie widzę jeśli się zezwoli na dostęp do przekierowań
tylko z adresów monitorujących.

Samo przekierowywanie takie mało eleganckie mi się tu wydaje, lepiej VPN ale tu dochodzą dodatkowe elementy do monitorowania. :)Adam Tomasz K. edytował(a) ten post dnia 24.10.12 o godzinie 23:14
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

Adam Tomasz K.:
Ja tutaj problemu nie widzę jeśli się zezwoli na dostęp do przekierowań
tylko z adresów monitorujących.

Samo przekierowywanie takie mało eleganckie mi się tu wydaje, lepiej VPN ale tu dochodzą dodatkowe elementy do monitorowania. :)

Przekierowując nie monitorujesz właściwego hosta,usługi, tylko jej przekierowanie, dodatkowo masz problem w zidentyfikowaniu miejsca awarii.
Dodatkowo dochodzą aspekty związane z bezpieczeństwem.
Jeśli masz dodatkowe elementy po drodze też powinieneś je monitorować.
Link do wypowiedziLink
Adam Tomasz K.

Adam Tomasz K. Zaawansowana
modyfikacja
rzeczywistości.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

Zgadza się - przekierowując nie monitoruję hosta - ale jak najbardziej mogę monitorować usługi, pośrednio to też i monitoring hosta. :) Zależy co jest w jakim środowisku wymagane. Monitoring usług może być wystarczający. Odpowiednie regułki na routerze, mogą ograniczyć dostęp do wystawionych w przekierowaniu usług tylko dla IP serwera monitorującego i sprawy bezpieczeństwa też się rozwiązują.

Faktem jest że przy jakiejś awarii w takiej konfiguracji jest się w tym wypadku o jeden hop dalej od dokładnego ustalenia miejsca awarii (coś w końcu nie tak może być i z routerem) ale to nie tak znowu dużo dalej. :)

Zgodzimy się tu pewne również, że w przypadku VPN-u, ten dodatkowy element też trzeba brać pod uwagę i to po obu stronach połączenia. Warto w takiej sytuacji też się zastanowić nad jakąś logiką (zależnościami), tak aby jasne było czy pojawił się problem z VPN-em, siecią, monitorowanym hostem...
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

właśnie o to chodzi że:
- padają zależności - parents, hostdependencies, servicedependencies
- zostają przekierowane usługi które nie powinny być wystawiane (usługi które wystawiamy na zewnątrz to inna sprawa jak pokreśliłem wcześniej).
- mamy ograniczone możliwości poprawnego monitorowania środowiska.

w takich przypadkach poprawnym sposobem monitoringu jest np:wewnętrzny host monitorujący (nrpe, nsca, nagios, check-mk, mod-gearman) z ktòrym łączymy się aktywnie lub który łączy się z naszym monitoringiem (pasywnie).Michał Panasiewicz edytował(a) ten post dnia 26.10.12 o godzinie 02:10
Link do wypowiedziLink
Adam Tomasz K.

Adam Tomasz K. Zaawansowana
modyfikacja
rzeczywistości.

Temat: Monitoring środowisk rozproszonych - najczęstsze błędy

Jeśli mamy możliwość zrobienia monitoringu po stronie intranetu, w jakim chcemy monitorować hosty to super. Reguły gry się zmieniają i mamy nowe spektrum możliwości.

Do sprawdzania kilku usług w intranecie to może jednak nie mieć sensu i tak na prawdę jeszcze bardziej komplikować całość. Sądziłem że taką prostą (kilku-usługową) sytuację teoretyczną zarysowujesz w swoim pierwszym poście.

Sposób rozwiązania problemu zależy od skali. Do sprawdzania działania usług w intranecie VPN wystarczy. Ostatecznie dadzą radę i przekierowania (ale z odpowiednią filtracją połączeń) - warto tylko tu pamiętać, że jest to rozwiązanie użyteczne tylko przy małej skali.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Nagios, a monitoring drukarek




Wyślij zaproszenie do
Anuluj