Monitorización de entornos aislados: Sync server

Monitorización de entornos aislados: Sync server

Introducción

El sistema de monitorización de entornos aislados con Sync server y Tentacle server permite desplegar monitorización en redes remotas desde las que no es posible la comunicación hacia el servidor principal de Pandora FMS. Será el propio servidor de Pandora FMS quien inicie las comunicaciones hacia el entorno aislado para recuperar toda la información de monitorización.

Esta funcionalidad cobra especial sentido a la hora de monitorizar redes remotas en localizaciones diferentes al servidor de Pandora FMS, con la particularidad de que las comunicaciones nunca se inician desde la red remota hacia Pandora FMS, sino que es el propio servidor el que “recoge” la información iniciando las comunicaciones.

Funcionamiento

Este Sync Server se utilizará generalmente en entornos con la siguiente estructura:sync_scheme.jpg

Se parte de un servidor central de Pandora FMS, como si se tratase de una instalación estándar. En la red remota se instalará un punto de recolección de información (Tentacle Server), que almacenará todos los datos hasta que el servidor principal (Sync server) inicie las comunicaciones y descargue la información, de forma similar a un buffer.

Los paquetes almacenados en buffer en el entorno remoto desaparecerán una vez hayan sido descargados por el server principal (Sync Server).

La gran diferencia del Sync Server con respecto a un Satellite Server está en que es el servidor principal el que inicia las comunicaciones y recoge los paquetes de la red remota. En un entorno con Satellite Server y/o Satellite Server (proxy), es que precisamente es el Satellite Server (y/o proxy) el que envía la información al servidor de Pandora FMS.

Configuración

De un servidor principal de Pandora FMS se configura un Sync Server. Para ello debe modificar los siguientes parámetros en el fichero de configuración:

 syncserver 1
 sync_address <IP del servidor de Tentacle>
 sync_port <puerto del servidor de Tentacle, por defecto 41121>

Donde <IP_address> es la dirección IP del Tentacle Server y <port> es 41121, el número por defecto del protocolo Tentacle.

En la red remota aislada debe instalar un Tentacle Server actualizado, y modifique el script de arranque tentacle_serverd (ubicado por defecto en /etc/init.d/ ) añadiendo los parámetros -I y -o a la línea TENTACLE_EXT_OPS, del siguiente modo:

TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -I -o"

En el servidor Tentacle remoto es innecesario indicar dirección IP alguna, ya que será el Sync Server el que se encargará de iniciar las comunicaciones y recuperar los ficheros del servidor (o servidores) de Tentacle indicados en el parámetro sync_address.

Es posible configurar múltiples Tentacle Server remotos para que el Sync Server comunique con todos ellos colocando sus direcciones IP separadas por comas en el parámetro sync_address, de este modo:

sync_address 10.142.50.10,20.152.50.20

A continuación mostramos una configuración de ejemplo. En pandora_server.conf:

 syncserver 1
 sync_address 10.140.70.110
 sync_port 41121

En el script de arranque (/etc/init.d/tentacle_serverd) del Tentacle Server identificado en sync_address con 10.140.70.110 :

TENTACLE_EXT:OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -I -o"

Configuración sync server con SSL

Las comunicaciones con Sync server soportan el uso de certificados SSL. Tiene que añadir varios parámetros al fichero pandora_server.conf y en el script del Tentacle Server remoto utilice las mismas opciones que para una conexión SSL normal.

En pandora_server.conf:

  • sync_ca: <vía del certificado de la CA que firma los certificados>
  • sync_cert: <vía del certificado del servidor>
  • sync_key: <vía de la clave privada del certificado del servidor>

Configuración de ejemplo en pandora_server.conf :

 sync_ca /home/cacert.pem
 sync_cert /home/tentaclecert.pem
 sync_key /home/tentaclekey.pem

En tentacle_serverd:

  • -e: <vía del certificado>
  • -k: <vía de la clave pública>
  • -f: <vía del certificado CA>

Es necesario indicar SIEMPRE en los parámetros las rutas absolutas donde se encuentren los certificados. Por ejemplo:

/home/tentaclecert.pem

La línea completa de configuración tendría este aspecto:

TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"

Otros parámetros de configuración:

sync_retries: Número de intentos. Por defecto 3.

sync_timeout: Tiempo de expiración. Por defecto 10 segundos.

Existe una sección específica con toda la información sobre cómo montar un servidor de Tentacle con opciones de seguridad.

Volver a Indice de Documentacion Pandora FMS