OSDC 2017 Countdown – 1 day until Berlin

This entry is part 17 of 17 in the series OSDC 2017 Countdown

OSDC-Countdown 2017: rkt and Kubernetes – What´s new with Container Runtimes and Orchestration by Jonathan Boulle

OSDC 2017 | Simplifying Complex IT Infrastructures with Open Source | May 16 – 18, 2017

Join us in Berlin and take part in the Open Source Data Center Conference 2017, where internationally recognized Open Source specialists report on the latest developments in Data Center solutions and share their experiences and best practices with experienced administrators and architects. This is also a great opportunity for you to deepen and expand your own know-how in a relaxed atmosphere as well as to establish contacts and to get to know the Open Source community.

In addition to the speeches, you have the opportunity to take part in one of three interesting hands-on workshops on May 16.

More information and your tickets can be found on: www.osdc.de

See you in Berlin!

Julia Hackbarth

Autor: Julia Hackbarth

Julia ist seit 2015 bei NETWAYS. Sie hat im September ihre Ausbildung zur Kauffrau für Büromanagement gestartet. Etwas zu organisieren macht ihr großen Spaß und sie freut sich auf vielseitige Herausforderungen. In ihrer Freizeit spielt Handball eine große Rolle: Julia steht selbst aktiv auf dem Feld, übernimmt aber auch gerne den Part als Schiedsrichterin.

Icinga 2 – Monitoring automatisiert mit Puppet Teil 3: Plugins

This entry is part 3 of 3 in the series Icinga 2 Monitoring automatisiert mit Puppet

Heute gehen wir der Frage nach wann und wie Plugins installiert werden sollten, was besonders wichtig bei Systemen mit icinga Benutzern zum Gegensatz nagios zu beachten ist. Auf z.B. RedHat-Systemen besteht das Problem, dass der Prozess Icinga 2 unter dem Benutzer icinga läuft, aber unteranderem das Plugin check_icmp oder auch check_dhcp nur vom Benutzer root oder einem Mitglied der Gruppe nagios mittels suid-Bit ausgeführt werden können.

# ls -l /usr/lib64/nagios/plugins/check_icmp
-rwsr-x---. 1 root nagios ... /usr/lib64/nagios/plugins/check_icmp

Das Ändern der Gruppenzugehörigkeit mit Puppet ist wenig hilfreich, da leider bei einem Update des Paketes nagios-plugins die alten Berechtigungen wieder hergestellt werden. Man könnte nun natürlich den Benutzer icinga und das Paket nagios-plugins explizit vor der Klasse icinga2 managen, verliert dann jedoch die Paketkontrolle über die uid und muss das Home-Directory, Shell und weitere Eigenschaften per Hand in Puppet entscheiden. Klarer ist die Methode genau diese Sachen dem Paket zu überlassen und erst danach icinga in die Gruppe nagios aufzunehmen.

yumrepo { 'icinga-stable-release':
  ...
}
->
package { [ 'icinga2', 'nagios-plugins' ]:
  ensure => installed,
}
->
user { 'icinga':
  groups => [ 'nagios' ],
}
->
class { '::icinga2':
  manage_package => false,
}

Um dieses Vorhaben umzusetzen ist es erforderlich die benötigten Repositories zuerst einzubinden, hier mit yumrepo angedeutet, dann die Pakete zu installieren, den Benutzer anzupassen und erst dann die Klasse icinga2 zu deklarieren.

Lennart Betz

Autor: Lennart Betz

Der diplomierte Mathematiker arbeitet bei NETWAYS im Bereich Consulting und bereichert seine Kunden mit seinem Wissen zu Icinga, Nagios und anderen Open Source Administrationstools. Im Büro erleuchtet Lennart seine Kollegen mit fundierten geschichtlichen Vorträgen die seinesgleichen suchen.

Externe Überwachung von Webseiten und Diensten mit Icinga 2

Icinga 2 - Externe ÜberwachungIcinga 2 eignet sich bekannterweise hervorragend für die Überwachung von Webseiten, Diensten, Online-Shops und allen anderen Angeboten und Services, welche für Kunden oder für das eigene Unternehmen extern zur Verfügung stehen müssen.

Allerdings sind die meisten Icinga 2 Installation on premise im eigenen Netzwerk installiert, womit der Blick auf extern verfügbare Dienste z.T. wenig Aussagekraft besitzt. Daher kommt man um ein externes Monitoring aus unserer Sicht im Normalfall nicht herum.

Im folgenden möchten wir daher zwei Möglichkeiten aufzeigen, wie dies mit relativ wenig Aufwand umgesetzt werden kann.

Standalone-Lösung mit einer Icinga 2 Master-Instanz

Der erste Möglichkeit besteht aus einer komplett eigenständigen Icinga 2 Instanz, welche neben den entsprechenden Addons (Icinga Web 2, Icinga Director, Graphite/Grafana) für die Konfiguration und die Live-Ansicht der Messwerte auch die passenden Plugins gleich mitbringt.

Zielgruppe: Diese Lösung eignet sich perfekt für alle Projekte, bei denen man eine externe Sicht auf eine bestimmte Umgebung benötigt und keine weitere Integration in andere Systeme gewünscht wird, also z.B. für in sich abgeschlossene Kundenprojekte oder als Kundenportal für IT-Dienstleister, welche eine Überwachung Ihrer Leistungen mit anbieten möchten.

Die Alarmierung per E-Mail oder per SMS erfolgt dann auch über diese Instanz und mit dem Icinga 2 Agent kann man darüber hinaus auch noch eine sichere und einfache Möglichkeit nutzen, um weitere Systeme und Dienste innerhalb von (kunden-)eigenen Netzwerken zu überwachen.

Über die NETWAYS Web Services können wir dieses komplette Paket als SaaS-Angebot zur Verfügung stellen. Weitere Informationen dazu finden Sie hier.

Integration als Icinga 2 Satellit in die eigene Icinga 2 Umgebung

Die (aus unserer Sicht) noch schönere Möglichkeit für die Überwachung von externen Diensten, wenn man schon eine eigene Icinga 2 Umgebung besitzt, ist die Nutzung eines extern gehosteten Icinga 2 Satelliten. Damit lassen sich alle von außen verfügbaren Systeme überwachen und der Icinga 2 Satellit wird über das Icinga 2 Clusterprotokoll in die eigene Umgebung integriert.

Icinga 2 Satellite

Zielgruppe: Bestehende Icinga 2 Nutzer, welche eine externe Überwachung benötigen und die Steuerung und Konfiguration über die eigene Icinga 2 Umgebung umsetzen wollen und auch eine zentrale Instanz für Icinga Web 2 und z.B. Grafana haben möchten.

Der Icinga 2 Satellit führt alle konfigurierten Checks von außen aus und übermittelt die Messwerte sicher und einfach über das Icinga 2 Clusterprotoll an die übergeordneten Icinga 2 Instanzen im eigenen Netzwerk. Somit hat man den perfekten Blick von außen auf alle relevanten Systeme und muss trotzdem nur eine in sich geschlossene Umgebung betreuen.

Natürlich bieten wir Icinga 2 Satelliten auch bei den NETWAYS Web Services an. Weitere Informationen finden Sie hier.

Wichtiger Hinweis: Alle Angebote bei den NETWAYS Web Services können Sie 30 Tage kostenfrei testen!

Martin Krodel

Autor: Martin Krodel

Der studierte Volljurist leitet bei NETWAYS die Sales Abteilung und berät unsere Kunden bei ihren Monitoring- und Hosting-Projekten. Privat reist er gerne durch die Weltgeschichte und widmet sich seinem ständig wachsenden Fuhrpark an Apple Hardware.

OSDC 2017 Countdown – 2 weeks until Berlin

This entry is part 16 of 17 in the series OSDC 2017 Countdown

OSDC-Countdown 2017: What´s wrong with my Puppet by Felix Frank 

OSDC 2017 | Simplifying Complex IT Infrastructures with Open Source | May 16 – 18, 2017

Join us in Berlin and take part in the Open Source Data Center Conference 2017, where internationally recognized Open Source specialists report on the latest developments in Data Center solutions and share their experiences and best practices with experienced administrators and architects. This is also a great opportunity for you to deepen and expand your own know-how in a relaxed atmosphere as well as to establish contacts and to get to know the Open Source community.

In addition to the speeches, you have the opportunity to take part in one of three interesting hands-on workshops on May 16.

More information and your tickets can be found on: www.osdc.de

See you in Berlin!

Julia Hackbarth

Autor: Julia Hackbarth

Julia ist seit 2015 bei NETWAYS. Sie hat im September ihre Ausbildung zur Kauffrau für Büromanagement gestartet. Etwas zu organisieren macht ihr großen Spaß und sie freut sich auf vielseitige Herausforderungen. In ihrer Freizeit spielt Handball eine große Rolle: Julia steht selbst aktiv auf dem Feld, übernimmt aber auch gerne den Part als Schiedsrichterin.

Icinga 2 Best Practice Teil 5: Autosign von Zertifikatsanfragen in verteilten Umgebungen

This entry is part 5 of 5 in the series Icinga 2 Best Practice

Ein jeder kennt das Problem, im Unternehmensnetz gibt es unterschiedliche netzwerkbezogene Sicherheitszonen, die mittels Perimeter voneinander getrennt sind. Für das Monitoring bedeutet dies im Idealfall, man stellt in jeder dieser Zonen einen Icinga-Satelliten bereit, der die von ihm ermittelten Ergebnisse an eine zentrale Instanz weiter meldet, den Icinga-Master. Damit ist gewährleistet, was Firewall-Admins berechtigterweise verlangen, lediglich Punkt-zu-Punkt-Verbindungen zu erlauben. Auch die Richtung des Verbindungsaufbaus ist mit Icinga 2 wählbar.
Setzt man zusätzlich auch Icinga 2 in der Ausprägung Agent ein, benötigt dieser ein signiertes Zertifikat um mit seinem jeweiligen Satelliten oder direkt mit dem Master zu kommunizieren. Im letzten Fall entstehen hieraus keine Probleme. In der Regel wird die CA, in einer Umgebung mit mehreren Satelliten auf dem Master betrieben. Bei lediglich einem Satelliten könnte die CA auch auf genau diesem Satelliten laufen, was jedoch Sicherheitsbedenken hervorruft. Ein Zertifikat aus einer niedrigen Sicherheitszone könnte verwendet werden, um mit einer höheren zu kommunizieren. Gleiches gilt natürlich auch bei der Benutzung lediglich einer CA, aber die Netzwerksicherheit soll ja dieses Risiko Minimieren.
Bleibt das Problem auf einem neuinstallierten Agenten mittels Autosigning ein beglaubigtes Zertifikat zu erhalten. Hier kann eine eigene CA auf jedem Satelliten Abhilfe schaffen. Der jeweilige Agent benötigt nun nur eine Verbindung zu seinem Satelliten um einen Request zu senden und keine Kommunikation zum Master. Wie wird nun dieses genau bewerkstelligt?

  • Erstellen einer CA auf dem Satelliten
  • Der Satellit bekommt ein Zertifikat signiert von seiner eigene CA
  • Der Satellit benötigt sein eigenes RootCA-Zertifikat und das vom Master
  • Der Master bekommt umgekehrt ebenfalls das RootCA vom Satelliten
Lennart Betz

Autor: Lennart Betz

Der diplomierte Mathematiker arbeitet bei NETWAYS im Bereich Consulting und bereichert seine Kunden mit seinem Wissen zu Icinga, Nagios und anderen Open Source Administrationstools. Im Büro erleuchtet Lennart seine Kollegen mit fundierten geschichtlichen Vorträgen die seinesgleichen suchen.

OSDC 2017 Countdown – 3 weeks until Berlin

This entry is part 15 of 17 in the series OSDC 2017 Countdown

OSDC-Countdown 2017: Terraform – Config Management for Cloud Services by Martin Schuette 


OSDC 2017 | Simplifying Complex IT Infrastructures with Open Source | May 16 – 18, 2017

Join us in Berlin and take part in the Open Source Data Center Conference 2017, where internationally recognized Open Source specialists report on the latest developments in Data Center solutions and share their experiences and best practices with experienced administrators and architects. This is also a great opportunity for you to deepen and expand your own know-how in a relaxed atmosphere as well as to establish contacts and to get to know the Open Source community.

In addition to the speeches, you have the opportunity to take part in one of three interesting hands-on workshops on May 16.

More information and your tickets can be found on: www.osdc.de

See you in Berlin!

Julia Hackbarth

Autor: Julia Hackbarth

Julia ist seit 2015 bei NETWAYS. Sie hat im September ihre Ausbildung zur Kauffrau für Büromanagement gestartet. Etwas zu organisieren macht ihr großen Spaß und sie freut sich auf vielseitige Herausforderungen. In ihrer Freizeit spielt Handball eine große Rolle: Julia steht selbst aktiv auf dem Feld, übernimmt aber auch gerne den Part als Schiedsrichterin.