 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Vista general
Para la monitorización de host y servicios, así como para la comunicación entre los distintos componentes de una instalación de Checkmk, éste utiliza en muchos casos la transmisión de datos a través de TCP/IP o UDP/IP.
Este artículo te dará una visión general de qué puertos son necesarios para cada tipo de comunicación. Estos puertos deben estar habilitados en la configuración del cortafuegos o vinculados a un contenedor cuando se utilice Checkmk en ese contenedor.
La dirección de la comunicación es entrante hacia el componente mencionado en el encabezamiento del capítulo, salvo que se indique lo contrario.
Nota: La mayoría de los números de puerto que aparecen en esta lista son puertos estándar, que pueden cambiarse manualmente a otros puertos en cualquier momento. Los puertos que no están activos por defecto, sino que deben habilitarse cuando sea necesario, se marcan adicionalmente con una nota.
2. Monitorización de host (agente, SNMP)
2.1. Host monitorizado
Los siguientes puertos de los hosts monitorizados deben ser accesibles desde el servidor Checkmk.
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
161 |
UDP |
Los host monitorizados mediante SNMP reciben el |
|
6556 |
TCP |
Los host monitorizados mediante el agente Checkmk se consultan a través de este puerto. La comunicación es encriptada TLS o en texto plano (como para el agente Linux en modo Legacy). |
|
- |
ICMP |
Ping |
Checkmk monitoriza la accesibilidad de los host mediante ping. Si esto no es posible, la determinación del estado del host debe especificarse con la regla Host Check Command regla. |
Los chequeos activos acceden directamente a los puertos de los servicios monitorizados, que, por tanto, también deben ser accesibles desde el servidor Checkmk. La monitorización con agentes especiales puede requerir la apertura de otros puertos/adicionales. Por ejemplo, el agente especial para VMware ESXi (así como NetApp y muchos otros) requiere la apertura del puerto 443 en el servidor ESXi.
2.2. El servidor Checkmk
Los siguientes puertos del servidor Checkmk deben ser accesibles para los host de la monitorización.
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
80 |
TCP |
Protocolo de transferencia de hipertexto (HTTP) |
Actualizador de agentes(Agent bakery), descubrimiento del puerto del Controlador de agentes |
162 |
UDP |
Protocolo Simple de Gestión de Red de Trampas (SNMPTRAP) CE |
Recepción de Traps SNMP a través de la Consola de eventos (puede activarse opcionalmente) |
443 |
TCP |
Protocolo de Transferencia de Hipertexto sobre SSL/TLS (HTTPS) |
Actualizador de agentes (Agent bakery), descubrimiento de puertos del Controlador de agentes, con encriptación de transporte |
514 |
TCP y UDP |
Syslog (EC) |
Recibe mensajes syslog a través de la Consola de eventos (puede activarse opcionalmente) |
6559 |
UDP |
Recibe paquetes UDP para check en tiempo real de servicios individuales (raramente utilizado, puede activarse opcionalmente) |
|
8000 |
TCP |
Controlador de agentes Registro TLS, agentes en modo push |
Si se ejecutan varios sites en el servidor Checkmk, pueden ser necesarios puertos adicionales (8001, 8002...). |
El registro TLS de agentes utiliza la API-REST en el puerto 80/443 para descubrir el puerto a registrar (normalmente 8000 TCP). Si ambos puertos son inalcanzables, se puede especificar el puerto mediante una opción de la línea de comandos. Si el puerto 8000 es inalcanzable, se puede realizar un registro por proxy a través de otros hosts en la monitorización.
3. Monitorización distribuida
3.1. Sitios remotos
Los siguientes puertos de los sites remotos deben ser accesibles desde el servidor Checkmk que funciona como site central.
| Puerto | Protocolo | Nombre | Información complementaria |
|---|---|---|---|
80 |
TCP |
HTTPS (Protocolo de transferencia de hipertexto) |
Sincronización en monitorización distribuida |
443 |
TCP |
Protocolo de transferencia de hipertexto sobre SSL/TLS (HTTPS) |
Sincronización en monitorización distribuida, con encriptación del transporte |
6555 |
TCP |
spooler de notificación |
El spooler de notificación se utiliza para enviar notificaciones de forma centralizada, aquí cuando el site central establece una conexión (puede activarse opcionalmente) |
6557 |
TCP |
Si se ejecutan varios sites en el servidor Checkmk, pueden ser necesarios puertos adicionales (puede activarse opcionalmente) |
|
6558 |
TCP |
Puerto de estado de la Consola de eventos (puede habilitarse opcionalmente) |
3.2. El site central
En principio, la monitorización distribuida ya es posible sin más ayudas, como la tunelización, si el site central puede establecer una conexión con los sites remotos. La accesibilidad del site central por parte de los sites remotos sólo es necesaria para las funcionalidades opcionales (por ejemplo, Agent bakery).
Los siguientes puertos del servidor Checkmk que funciona como site central deben ser accesibles por los sites remotos asociados para proporcionar la funcionalidad descrita.
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
80 |
TCP |
Protocolo de transferencia de hipertexto (HTTP) |
|
443 |
TCP |
Protocolo de transferencia de hipertexto sobre SSL/TLS (HTTPS) |
Para Agent bakery y configuración dinámica de host, con cifrado de transporte |
6555 |
TCP |
spooler de notificación |
El spooler de notificación se utiliza para enviar notificaciones de forma centralizada, aquí cuando se establece una conexión por un site remoto (puede activarse opcionalmente) |
4. Puertos locales del servidor Checkmk
El servidor Checkmk utiliza los siguientes puertos en la interfaz loopback local. Si utilizas una configuración de cortafuegos muy estricta en tu servidor Checkmk, estos puertos deben estar habilitados para la comunicación entrante y saliente en la dirección IP 127.0.0.1 (IPv4), respectivamente ::1 (IPv6).
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
5000 |
TCP |
Sitio HTTP Apache |
Cada site de Checkmk tiene su propio Apache, al que se accede mediante el Apache de llamada externa como proxy inverso. Los sites adicionales utilizan el puerto 5001, etc. |
6558 |
TCP |
Puerto de estado de la Consola de eventos (puede activarse opcionalmente) |
5. Puerto local en hosts Windows
El siguiente puerto se utiliza en hosts Windows en monitorización para la comunicación de los dos componentes, el programa del agente y el Controlador de agentes. Si utilizas una configuración de cortafuegos muy estricta en el host monitorizado, este puerto debe estar habilitado para la comunicación entrante y saliente en la dirección IP 127.0.0.1 (IPv4), respectivamente ::1 (IPv6).
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
28250 |
TCP |
Agente Checkmk |
El programa del agente abre el puerto. El Controlador de agentes |
6. El clúster de appliance Checkmk
Puedes combinar dos appliance Checkmk ("nodos") en un cluster. Todas las configuraciones y datos se sincronizarán entonces entre los dos dispositivos.
Los siguientes puertos deben estar habilitados para la comunicación entrante y saliente de ambos nodos.
Atención:como la comunicación entre ambos appliance no está cifrada, puede que tengas que tomar algunas medidas para evitar que personas no autorizadas intercepten el tráfico de red. Por ejemplo, podría ser una conexión directa si ambos appliance están en un rack, o el uso de una VLAN cifrada si no se desea la proximidad física.
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
3121 |
TCP |
Pacemaker |
Gestor de recursos de clúster Pacemaker |
4321 |
UDP |
Corosync |
Motor de clúster Corosync |
4323 |
UDP |
Corosync |
Motor de clúster de Corosync |
7789 |
TCP |
DRBD |
Sincronización de DRBD (Distributed Replicated Block Device) |
7. Puertos accesibles (salientes)
Puede que necesites algunos puertos adicionales accesibles desde el servidor Checkmk:
| Puerto | Protocolo | Designación | Información complementaria |
|---|---|---|---|
53 |
UDP |
DNS |
Los servidores de nombres especificados en la configuración del sistema deben ser accesibles |
123 |
UDP |
NTP |
Sincronización horaria |
25/465/587 |
TCP |
SMTP |
Transmisión de notificaciones del servidor Checkmk por correo electrónico (los puertos dependen de la configuración del servidor de correo) |
443 |
TCP |
HTTPS |
Comunicación con el servidor de licencias (sólo ediciones comerciales, Servidor: |
389/636 |
TCP |
LDAP |
Autenticación LDAP (puerto 389 TCP, como LDAPS en el puerto 636 TCP) |