Pandora: Documentation fr: Supervision environnements isoles

From Pandora FMS Wiki
Jump to: navigation, search

Revenir à l’Index de Documentation Pandora FMS

1 Surveillance des environnements isolés : Sync server

1.1 Introduction

Le système de surveillance des environnements isolés avec Sync server et Tentacle server permet de déployer la surveillance dans des réseaux à distance à partir desquels la communication avec le serveur principal de Pandora FMS n’est pas possible. Ce sera le serveur de Pandora FMS qui démarrera des communications vers l'environnement isolé pour récupérer toutes les informations de surveillance.

Cette fonctionnalité est particulièrement utile lors de la surveillance de réseaux distants situés en dehors du serveur Pandora FMS. Les communications ne sont jamais démarrées du réseau distant vers Pandora FMS, mais c'est le serveur lui-même qui "collecte" les informations en démarrant des communications.

1.2 Fonctionnement

Nous allons commencer par un serveur central de Pandora FMS, comme s’il s’agissait d’une installation standard. Un point de collecte d’informations sera installé sur le réseau distant (Tentacle Server) qui conservera toutes les données jusqu’à ce que le serveur principal (Sync server) démarre les communications et télécharge les informations, de la même façon qu’un “buffer”.

Les paquets stockés “en buffer” dans l’environnement à distance disparaîtront une fois qu’ils seront téléchargés par le serveur principal.

Cette fonctionnalité s’appliquera en général dans des environnements avec la structure suivante :

Sync scheme.jpg


La grande différence entre le Sync Server par rapport à un serveur satellite est que c’est le serveur principal qui démarre les communications et collecte les paquets du réseau à distance. Dans un environnement avec serveur satellite et/ou proxy, c’est le satellite/proxy qui envoie les informations au serveur de Pandora FMS.

1.3 Configuration

Nous allons commencer par un environnement dans lequel nous avons un serveur principal de Pandora FMS, sur lequel nous lancerons le sync server. Pour cela, nous n’avons qu’à modifier les paramètres suivants dans le fichier de configuration :

syncserver 1
sync_address <IP du serveur de Tentacle>
sync_port <port du serveur de Tentacle, par défaut 41121>

Sur le réseau isolé distant, nous installerons un serveur Tentacle mis à jour et nous modifierons le script de démarrage (par défaut /etc/init.d/tentacle_serverd) en ajoutant les paramètres -I y -o à la ligne TENTACLE_EXT_OPS, de la façon suivante :

TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -I -o"

Il ne sera pas utile d’indiquer une adresse IP sur le serveur Tentacle à distance pusiquel le Sync Server se chargera de démarrer les communications et de récupérer les fichiers du serveur ou des serveurs Tentacle indiqués dans le paramètre sync_address.

Il est possible de configurer de multiples serveurs Tentacle à distance et que le Sync Server communique avec chacun d’entre eux, si nous indiquons plusieurs adresses IP dans le paramètre sync_address, séparées par des virgules, comme dans l’exemple suivant :

sync_address 10.142.50.10,20.152.50.20

Ci-dessous, un exemple de configuration. Dans pandora_server.conf :

syncserver 1
sync_address 10.140.70.110
sync_port 41121

Dans le script de démarrage du serveur Tentacle 10.140.70.110 /etc/init.d/tentacle_serverd:

TENTACLE_EXT:OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -I -o"

1.3.1 Configuration sync server avec SSL

Les communications avec Sync server supportent l’utilisation de certificats SSL. Il faudra ajouter plusieurs paramètres au fichier pandora_server.conf. Sur le script du serveur à distance Tentacle, nous utiliserons les mêmes options que pour une connexion SSL normale. Dans pandora_server.conf:

  • sync_ca : <path du certifcat de la CA que signe les certifiés>
  • sync_cert : <path du certificat du serveur>
  • sync_key : <path de la clé privée du certificat du serveur>

Configuration d’exemple dans pandora_server.conf :

sync_ca /home/cacert.pem
sync_cert /home/tentaclecert.pem
sync_key /home/tentaclekey.pem

Danstentacle_serverd :

  • -e : <path du certificat>
  • -k : <path de la clé publique>
  • -f : <path du certificat CA>

Template warning.png

Il faut TOUJOURS indiquer dans les paramètres, les chemins d’accès où se trouvent les certificats. Par exemple, /home/tentaclecert.pem

 


La ligne complète de la configuration ressemblerait à :

TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"

Autres paramètres de configuration :

sync_retries : Sync nombre d’essais. 3 par défaut 
sync_timeout: Sync timeout. 10 par défaut

Il existe une section spéciale qui explique en détails comment mettre en place un serveur Tentacle avec des options de sécurité.

Revenir à l’Index de Documentation Pandora FMS