 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Introduzione
Checkmk è disponibile in varie edizioni che si differenziano sia per la gamma di funzioni che per le possibili applicazioni. Di seguito ti presentiamo Checkmk MSP, una delle edizioni commerciali.
Nel monitoraggio distribuito con una configurazione distribuita, gli utenti si collegano generalmente al sito centrale per effettuare le configurazioni o per accedere ai dati di monitoraggio. Gli utenti possono anche collegarsi ai siti remoti perché sono responsabili solo degli host e dei servizi che vengono monitorati da lì, ad esempio. Tuttavia, il concetto di autorizzazione di Checkmk che limita la visibilità e la configurabilità di host e servizi utilizzando ruoli e gruppi di contatto è del tutto sufficiente per entrambi gli scenari. Gli utenti con autorizzazioni molto limitate non avranno generalmente accesso diretto alla linea di comando del server Checkmk e potranno quindi vedere solo i dati di cui sono responsabili. Il fatto che possano essere informati dell'esistenza di altri host e servizi non rappresenta un problema.
In una configurazione distribuita, Checkmk in Checkmk Raw, Checkmk Enterprise e Checkmk Cloud distribuirà quindi tutti i dati di configurazione a tutti i siti partecipanti, dato che in linea di principio i dati potrebbero trovarsi o essere richiesti in uno qualsiasi di essi. Ad esempio, le password gestite a livello centrale devono essere rese disponibili anche per i siti remoti, dato che gli host/servizi dei gruppi di contatto possono essere distribuiti su più siti.
Tuttavia, quando Checkmk deve essere offerto come servizio a terzi (ad esempio a un cliente), alcuni dati di configurazione possono essere distribuiti solo a siti remoti designati. Ciò significa che i dati sensibili di un cliente non devono essere archiviati sul server di un altro cliente: una semplice restrizione della visibilità nell'interfaccia web non è più sufficiente. Infine, è possibile che il server di monitoraggio locale sia gestito dal cliente stesso o che abbia accesso diretto alla linea di comando del server in qualche altro modo.
Inoltre, non è più necessario che il cliente sia in grado di configurare il proprio sito, poiché il concetto stesso di servizio distribuito è proprio quello di risparmiare al cliente questo lavoro. Il cliente non ha nemmeno bisogno di una visualizzazione del sito centrale, in quanto ha bisogno solo di accedere ai propri dati.
Con Checkmk MSP, attraverso il monitoraggio distribuito, un fornitore di servizi (ovvero un managed service provider, MSP o provider in breve) per ciascuno dei suoi clienti integra uno o più siti remoti nell'istanza centrale MSP del fornitore - a questi siti remoti può accedere solo il cliente in questione. I singoli elementi del sito Setup sono quindi assegnati a questo cliente. Quando distribuisce i dati di configurazione, Checkmk invierà questi dati a un sito di natura generale o che è stato rilasciato per questo cliente. Il provider può comunque effettuare la configurazione comodamente tramite l'istanza distribuita del proprio sito centrale. Il provider ha anche un'interfaccia web centrale per tutti i suoi clienti per lavorare con i dati di monitoraggio. Questo funziona esattamente come in un normale ambiente di configurazione distribuito, con l'unica differenza che tutte le istanze partecipanti devono utilizzare Checkmk MSP.
I dati di configurazione importanti (es. siti e utenti dell'istanza remota in Checkmk MSP) possono essere assegnati ai clienti. Il cliente ha quindi accesso alla propria configurazione con i dati dell'host e del servizio solo attraverso il sito che gli è stato assegnato. Dovrà solo effettuare il log-in al proprio sito e riceverà quindi solo i propri dati. Non è necessario, né possibile, effettuare il login all'istanza centrale del provider!
Importante: devi utilizzare Checkmk MSP se utilizzi Checkmk per monitorare non solo la tua infrastruttura ma anche quella di altre organizzazioni.
2. Panoramica di Checkmk MSP
Checkmk MSP è attualmente l'edizione più completa di Checkmk. In termini di contenuti, si basa su Checkmk Cloud ed è la sua estensione con supporto multiutente. Dispone di tutte le funzioni necessarie per gestire istanze Checkmk separate per più clienti attraverso un monitoraggio distribuito.
Se come provider vuoi offrire Checkmk come servizio ai tuoi clienti, questa è l'edizione che fa per te.
3. Funzioni aggiuntive con Checkmk MSP
La funzione principale di Checkmk MSP che la distingue dalle altre edizioni è la possibilità di assegnare ai clienti i seguenti elementi:
Siti remoti
Utenti
Connessioni LDAP
Regole e pacchetti di regole per la Console degli Eventi
Password nell'archivio password
Gruppi di contatto
AggregazioniBI
Impostazioni globali per i siti remoti
4. Aggiornare a Checkmk MSP
Per passare da una delle altre edizioni a Checkmk MSP, segui la descrizione dell'aggiornamento. Per un aggiornamento a Checkmk MSP in ambienti distribuiti, è possibile utilizzare solo l'aggiornamento offline.
Dopo l'aggiornamento, tutti i componenti compatibili di Checkmk vengono assegnati a Provider. Tutte le funzioni sono ora disponibili per creare clienti e assegnare loro istanze Checkmk, utenti, ecc.
Presta attenzione alle possibili dipendenze che possono derivare da una configurazione esistente e, di conseguenza, assegna al cliente anche gli elementi corretti degli altri componenti di Checkmk prima di attivare l'assegnazione a un sito.
Importante: è necessario trasferire almeno un utente al sito del cliente. Non importa se si tratta di un utente globale che viene replicato in tutti i siti o di un utente specifico del cliente.
Ulteriori informazioni al riguardo sono fornite nel capitolo seguente.
5. Configurazione
5.1. Creare clienti
Puoi creare uno dei tuoi clienti in un solo passaggio: alla voce Setup > Users > Customers, seleziona il pulsante Add customer e assegnagli un ID univoco e il nome che dovrà essere visualizzato in Checkmk. Dopo aver salvato, il tuo primo cliente sarà stato creato in Checkmk:
Come puoi vedere, anche il provider è trattato come un cliente e quindi è già stato creato come Provider. Questa assegnazione non può essere cancellata.
5.2. Assegnare i siti
Una volta creato un cliente, il passo successivo è collegare i componenti corrispondenti in Checkmk a questo cliente. Il sito centrale, a cui tutti gli altri siti del cliente inviano i loro dati, viene anche chiamato sito del provider. La separazione dei dati funziona solo se crei un sito separato per ogni cliente e lo colleghi al sito del provider. In questo caso, l'impostazione differisce in un solo punto: in Basic settings inserisci il sito Customer, che hai creato in precedenza, oltre all'ID e all'alias:
Poiché anche il provider viene trattato come un cliente, l'istanza Checkmk sa sempre quale host appartiene a quale cliente in base alla sua assegnazione a un sito specifico.
 |
Puoi configurare il sito Global settings per un cliente come di consueto tramite le impostazioni globali specifiche del sito. |
5.3. Altre assegnazioni
Oltre al sito stesso, puoi assegnare altri elementi di Setup a un cliente, come già detto in precedenza. Un elemento viene assegnato direttamente a un cliente. In alternativa, puoi anche rendere un utente o una password disponibile per tutti con la voce Global. Ecco un esempio di assegnazione di un utente dell'istanza:
L'assegnazione avviene sempre tramite le proprietà del rispettivo elemento utilizzando l'opzione Customer. Le impostazioni globali specifiche del sito sono escluse da questa assegnazione.
Caratteristiche speciali della Console degli Eventi
Nella Console degli Eventi puoi assegnare a un cliente sia singole regole che interi pacchetti di regole. È importante notare che l'ereditarietà è sempre obbligatoria per i pacchetti di regole. A differenza delle cartelle, non può essere sovrascritta dalle singole regole. In questo modo, puoi sempre essere sicuro che l'assegnazione sia garantita per ogni regola.
Se un pacchetto di regole non è assegnato a un cliente, puoi anche assegnare le singole regole a un cliente.
5.4. Componenti non personalizzabili
Tutti i componenti che non sono stati menzionati nel capitolo precedente non possono essere assegnati a singoli clienti. Tuttavia, ci sono alcune parole da dire su vari componenti per richiamare l'attenzione su caratteristiche particolari. La mancata osservanza di queste note può rappresentare un moderato rischio per la sicurezza.
I tag degli host
Lo stesso vale per i tag degli host: non devono contenere informazioni riservate, poiché i tag vengono distribuiti a tutti i siti.
Notifiche
Le regole di notifica spesso contengono gruppi di contatto e condizioni molto specifiche per l'attivazione e l'invio della notifica. Poiché anche queste regole vengono distribuite a tutti i siti, non includere nomi espliciti di host e servizi, indirizzi di contatti o altri dati sensibili.
Personalizzazioni per utenti globali
Tieni presente che tutte le personalizzazioni effettuate per un utente globale vengono trasferite a tutti i siti del cliente. Gli utenti globali non sono quindi adatti per visualizzazioni speciali, grafici personalizzati o segnalibri, in quanto potrebbero contenere dati sensibili e specifici del cliente. Dovresti quindi utilizzare gli utenti globali solo in casi eccezionali e non per le normali attività quotidiane.
5.5. Gestione dei certificati
I punti menzionati nel capitolo precedente, come le notifiche con i gruppi di contatto o i tag degli host, possono rivelare solo informazioni sulle strutture organizzative di altri clienti.
La situazione è diversa per quanto riguarda la distribuzione dei certificati CA ("certificate authority"): se un certificato CA destinato al cliente A venisse distribuito al cliente B, ci sarebbe il rischio che dipendenti malintenzionati del cliente A possano effettuare un attacco machine-in-the-middle alla comunicazione criptata del cliente B. Per questo motivo, i certificati CA memorizzati con l'impostazione globale Trusted certificate authorities for SSL non vengono trasmessi ai siti remoti.
Il modo corretto per configurare i certificati CA specifici del cliente è quello di inserirli nelle impostazioni globali specifiche dei siti remoti del cliente.
6. Differenze dei componenti in dettaglio
6.1. Interfaccia di configurazione
Puoi accedere alla visualizzazione per la gestione dei clienti in Setup > Users > Customers.
Quando si impostano gli elementi che possono essere assegnati ai clienti, è disponibile un ulteriore campo Customer.
Queste funzioni sono descritte come esempi nel capitolo sulla configurazione.
6.2. Interfaccia di monitoraggio
Dashboard
La novità di Main dashboard è il dashlet Customers, che si trova a sinistra dei problemi del servizio:
Quando selezioni un cliente, appare una visualizzazione in cui sono elencati tutti i suoi host. Questa visualizzazione a tabella funziona quindi come quella di All hosts, con la differenza che in questo caso vengono visualizzati solo gli elementi di un cliente specifico.
Barra laterale
Per la barra laterale, nel sito centrale c'è lo snap-in Customers, che funziona allo stesso modo dello snap-in simile Site status. Qui puoi visualizzare lo stato dei siti per i singoli clienti e anche, cliccando sullo stato, nascondere o mostrare clienti specifici nella visualizzazione.
Costruire e filtrare le visualizzazioni
Naturalmente, puoi utilizzare i filtri e i set di dati utilizzati per la dashlet e lo snap-in anche per le tue visualizzazioni. Da un lato, il filtro Site è stato ampliato per personalizzare le visualizzazioni:
Dall'altro lato, puoi anche creare visualizzazioni completamente nuove basate su uno o tutti i clienti. Per farlo, seleziona All customers come origine dati:
