 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Panoramica
Per il monitoraggio di host e servizi e per la comunicazione tra i diversi componenti di un'installazione di Checkmk, in molti casi Checkmk utilizza la trasmissione di dati su TCP/IP o UDP/IP.
Questo articolo ti fornirà una panoramica su quali porte sono necessarie per ogni tipo di comunicazione. Queste porte devono essere abilitate nella configurazione del firewall o legate a un container quando Checkmk viene utilizzato in quel container.
La direzione della comunicazione è in entrata verso il componente menzionato nel titolo del capitolo, a meno che non sia indicato diversamente.
Nota: la maggior parte dei numeri di porta elencati sono porte standard che possono essere cambiate manualmente in altre porte in qualsiasi momento. Le porte che non sono attive per impostazione predefinita, ma che devono essere attivate a seconda delle necessità, sono contrassegnate da una nota.
2. Monitoraggio degli host (agente, SNMP)
2.1. Host monitorati
Le seguenti porte degli host monitorati devono essere accessibili dal server Checkmk.
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
161 |
UDP |
Gli host monitorati tramite SNMP ricevono il sito |
|
6556 |
TCP |
Gli host monitorati tramite l'agente Checkmk vengono interrogati su questa porta. La comunicazione è criptata TLS o in chiaro (come per l'agente Linux in modalità legacy). |
|
- |
ICMP |
Ping |
Checkmk controlla l'accessibilità degli host tramite ping. Se questo non è possibile, la determinazione dello stato dell'host deve essere specificata con la regola. Host Check Command regola. |
Icontrolli attivi accedono direttamente alle porte dei servizi monitorati, che devono quindi essere accessibili anche dal server Checkmk. Il monitoraggio con agenti speciali può richiedere l'apertura di altre porte. Ad esempio, l'agente speciale per VMware ESXi (così come per NetApp e molti altri) richiede l'apertura della porta 443 sul server ESXi.
2.2. Il server Checkmk
Le seguenti porte del server Checkmk devono essere accessibili agli host del monitoraggio.
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
80 |
TCP |
Protocollo di trasferimento ipertestuale (HTTP) |
Aggiornamento dell'agente(Agent bakery), ricerca della porta dell'Agent Controller |
162 |
UDP |
Trap del protocollo di gestione di rete semplice (SNMPTRAP) CE |
Ricezione di SNMP trap tramite la Console degli Eventi (può essere abilitata facoltativamente) |
443 |
TCP |
Protocollo di trasferimento ipertestuale su SSL/TLS (HTTPS) |
Aggiornamento dell'agente (Agent bakery), ricerca della porta dell'Agent Controller, con crittografia del trasporto |
514 |
TCP e UDP |
Syslog (EC) |
Ricezione di messaggi syslog tramite la Console degli Eventi (può essere abilitata opzionalmente) |
6559 |
UDP |
Riceve pacchetti UDP per il controllo in tempo reale di singoli servizi (usato raramente, può essere abilitato come opzione). |
|
8000 |
TCP |
Registrazione Agent Controller TLS, agenti in modalità push |
Se sul server Checkmk sono in esecuzione più siti, potrebbero essere necessarie altre porte (8001, 8002...). |
La registrazione TLS degli agenti utilizza l'API REST sulla porta 80/443 per scoprire la porta da registrare (normalmente 8000 TCP). Se entrambe le porte non sono raggiungibili, la porta può essere specificata tramite un'opzione della riga di comando. Se la porta 8000 non è raggiungibile, è possibile eseguire una registrazione tramite proxy attraverso altri agenti di monitoraggio.
3. Monitoraggio distribuito
3.1. Siti remoti
Le seguenti porte dei siti remoti devono essere accessibili dal server Checkmk che opera come sito centrale.
| Porta | Protocollo | Nome | Informazioni supplementari |
|---|---|---|---|
80 |
TCP |
HTTPS (Hypertext Transfer Protocol) |
Sincronizzazione nel monitoraggio distribuito |
443 |
TCP |
Protocollo di trasferimento di ipertesti su SSL/TLS (HTTPS) |
Sincronizzazione nel monitoraggio distribuito, con crittografia di trasporto |
6555 |
TCP |
Spooler di notifica |
Lo spooler di notifica viene utilizzato per inviare notifiche a livello centrale, in questo caso quando viene stabilita una connessione dal sito centrale (può essere abilitato facoltativamente) |
6557 |
TCP |
Se sul server Checkmk sono in esecuzione più siti, potrebbero essere necessarie altre porte (può essere abilitata facoltativamente). |
|
6558 |
TCP |
Porta di stato della Console degli Eventi (può essere abilitata facoltativamente) |
3.2. Il sito centrale
In linea di principio, il monitoraggio distribuito è già possibile senza ulteriori ausili come il tunneling se il sito centrale è in grado di stabilire una connessione con i siti remoti. L'accessibilità del sito centrale da parte dei siti remoti è necessaria solo per le funzionalità opzionali (es. Agent bakery).
Le seguenti porte del server Checkmk che opera come sito centrale devono essere accessibili dalle istanze remote associate per fornire le funzionalità descritte.
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
80 |
TCP |
Protocollo di trasferimento ipertestuale (HTTP) |
Per l'agent bakery e la configurazione dinamica degli host |
443 |
TCP |
Protocollo di trasferimento di ipertesti su SSL/TLS (HTTPS) |
Per l'agent bakery e la configurazione dinamica dell'host, con crittografia del trasporto |
6555 |
TCP |
Spooler di notifica |
Lo spooler di notifica viene utilizzato per inviare notifiche a livello centrale, ad esempio quando viene stabilita una connessione da un sito remoto (può essere abilitato come opzione). |
4. Porte locali sul server Checkmk
Le seguenti porte sono utilizzate dal server Checkmk sull'interfaccia loopback locale. Se utilizzi una configurazione firewall molto rigida sul tuo server Checkmk, queste porte devono essere abilitate per le comunicazioni in entrata e in uscita all'indirizzo IP 127.0.0.1 (IPv4), rispettivamente ::1 (IPv6).
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
5000 |
TCP |
HTTP Sito Apache |
Ogni istanza Checkmk ha il proprio Apache, al quale si accede tramite l'Apache richiamabile dall'esterno come proxy inverso. Altri siti utilizzano la porta 5001, ecc. |
6558 |
TCP |
Porta di stato della Console degli Eventi (può essere abilitata facoltativamente) |
5. Porta locale su host Windows
La seguente porta viene utilizzata sugli host Windows nel monitoraggio per la comunicazione dei due componenti, il programma agente e l'Agent Controller. Se utilizzi una configurazione firewall molto rigida sull'host monitorato, questa porta deve essere abilitata per le comunicazioni in entrata e in uscita all'indirizzo IP 127.0.0.1 (IPv4), rispettivamente ::1 (IPv6).
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
28250 |
TCP |
Agente Checkmk |
Il programma agente apre la porta. L'Agent Controller di |
6. Il cluster Appliance Checkmk
Puoi combinare due Checkmk Appliance ("nodi") in un cluster. Tutte le configurazioni e i dati saranno sincronizzati tra i due dispositivi.
Le seguenti porte devono essere abilitate per la comunicazione in entrata e in uscita per entrambi i nodi.
Attenzione:poiché la comunicazione tra le due appliance non è criptata, potrebbe essere necessario adottare alcune misure per evitare che persone non autorizzate possano intercettare il traffico di rete. Ad esempio, potrebbe trattarsi di una connessione diretta se le due appliance si trovano in un rack, oppure dell'uso di una VLAN criptata se non si desidera una vicinanza fisica.
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
3121 |
TCP |
Pacemaker |
Gestore delle risorse del cluster Pacemaker |
4321 |
UDP |
Corosync |
Motore del cluster Corosync |
4323 |
UDP |
Corosync |
Motore del cluster Corosync |
7789 |
TCP |
DRBD |
Sincronizzazione di DRBD (Distributed Replicated Block Device) |
7. Porte accessibili (in uscita)
Potresti aver bisogno di alcune porte aggiuntive raggiungibili dal server Checkmk:
| Porta | Protocollo | Per progettazione | Informazioni supplementari |
|---|---|---|---|
53 |
UDP |
DNS |
I server dei nomi specificati nelle impostazioni di sistema devono essere raggiungibili |
123 |
UDP |
NTP |
Sincronizzazione temporale |
25/465/587 |
TCP |
SMTP |
Trasmissione di notifiche dal server Checkmk via e-mail (le porte dipendono dalla configurazione del server di posta) |
443 |
TCP |
HTTPS |
Comunicazione con il server delle licenze (solo edizioni commerciali, Server: |
389/636 |
TCP |
LDAP |
Autenticazione LDAP (porta 389 TCP, come LDAPS sulla porta 636 TCP) |