 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Introducción
Checkmk está disponible en varias ediciones comerciales que difieren tanto en su gama de funciones como en sus posibles aplicaciones.
A continuación, nos gustaría presentarte la edición comercial 
Checkmk Ultimate con multitenencia (antes Checkmk MSP), que te permite, como proveedor de servicios gestionados (MSP), gestionar sitios aislados para varios clientes utilizando la monitorización distribuida de Checkmk.
En una monitorización distribuida con configuración centralizada, los usuarios suelen iniciar sesión en el site central para realizar configuraciones allí o para acceder a los datos de monitorización. Los usuarios también pueden iniciar sesión en los sitios remotos, ya que solo son responsables de los hosts y servicios que se supervisan desde allí, por ejemplo. Sin embargo, el concepto de autorización de Checkmk, que restringe la visibilidad y la configurabilidad de los hosts y servicios mediante roles y grupos de contacto, es totalmente suficiente para ambos escenarios. Los usuarios con autorizaciones muy restringidas no suelen tener acceso directo a la línea de comandos del servidor de monitorización y, por lo tanto, solo pueden ver los datos de los que son responsables. El hecho de que puedan estar informados de la existencia de otros hosts y servicios no supone ningún problema.
En una configuración centralizada, Checkmk en Checkmk Community, Checkmk Pro y Checkmk Ultimate sin multitenencia distribuirá, por lo tanto, todos los datos de configuración a todos los sitios participantes, ya que, en principio, los datos podrían estar ubicados o ser necesarios en cualquiera de ellos. Por ejemplo, las contraseñas gestionadas de forma centralizada también deben estar disponibles para los sitios remotos, ya que los hosts/servicios de los grupos de contacto pueden estar distribuidos entre varios sitios.
Sin embargo, cuando Checkmk se ofrece como servicio a un tercero (es decir, un cliente), ciertos datos de configuración solo pueden distribuirse a sitios remotos designados. Esto significa que los datos confidenciales de un cliente no deben almacenarse en el servidor de otro cliente; por lo tanto, una mera restricción de visibilidad en la interfaz web ya no es suficiente. Por último, puede darse el caso de que el propio cliente gestione el servidor de monitorización local o de que tenga acceso directo a la línea de comandos del servidor de alguna otra forma.
Además, ya no es necesario que un cliente pueda configurar su propio sitio, ya que el concepto mismo de un servicio distribuido consiste precisamente en ahorrarle ese trabajo al cliente. El cliente tampoco necesita una vista de tabla del site central, ya que solo necesita acceso a sus propios datos.
Con Checkmk Ultimate con Multi-Tenancy, un proveedor de servicios gestionados (MSP) (o proveedor, para abreviar) integra uno o más sitios remotos que pertenecen exclusivamente a cada cliente en su site central mediante la monitorización distribuida. A continuación, se asignan a este cliente elementos individuales del «Setup». Al distribuir los datos de configuración, Checkmk ahora solo enviará a un sitio de cliente aquellos datos que sean de carácter general o que hayan sido habilitados para ese cliente. El proveedor sigue pudiendo realizar la configuración cómodamente a través de la configuración central de su propio site central. El proveedor también dispone de una interfaz web central para que todos sus clientes puedan trabajar con los datos de monitorización. Esto funciona exactamente igual que en un entorno distribuido normal, con la única diferencia de que todos los sitios participantes deben utilizar Checkmk Ultimate con Multi-Tenancy.
Los datos de configuración importantes (por ejemplo, sitios remotos y usuarios) se pueden asignar a los clientes en Checkmk Ultimate con Multi-Tenancy. Por lo tanto, el cliente solo tiene acceso a su propia configuración con los datos de host y servicio a través del sitio que se le ha asignado. Solo tendrá que iniciar sesión en su propio sitio y, por lo tanto, solo recibirá sus propios datos. No es necesario realizar un inicio de sesión en la instancia central del proveedor, ¡y tampoco es posible!
Importante: Debes utilizar Checkmk Ultimate con multitenencia si usas Checkmk para la monitorización no solo de tu propia infraestructura, sino también de la de otras organizaciones.
2. Vista general de Checkmk Ultimate con multitenencia
Checkmk Ultimate con multi-tenant es actualmente la edición más completa de Checkmk.
En cuanto al contenido, se basa en 
Checkmk Ultimate y es su extensión multi-tenant.
Cuenta con todas las funciones necesarias para gestionar sites Checkmk independientes para múltiples clientes mediante la monitorización distribuida.
Si, como proveedor, quieres ofrecer Checkmk como servicio a tus clientes, esta es tu edición.
3. Funciones adicionales
La función principal de Checkmk Ultimate con multitenencia que lo distingue de otras ediciones es la posibilidad de asignar los siguientes elementos a los clientes:
Sitios remotos
Usuarios
Conexiones LDAP
Reglas y paquetes de reglas para la Consola de eventos
Contraseñas en el almacén de contraseñas
Grupos de contacto
Agregación BI
Configuración global para sitios remotos
4. Actualización a Checkmk Ultimate con multitenencia
Puedes actualizar desde cualquiera de las otras ediciones a Checkmk Ultimate con multitenencia. Para ello, sigue las instrucciones de actualización a Checkmk Ultimate. Para actualizar a Checkmk Ultimate con multitenencia en entornos distribuidos, solo se puede utilizar la actualización sin conexión. Sin embargo, no está previsto el cambio de Checkmk Ultimate con multitenencia a otra edición y no lo admitimos.
Tras una actualización, todos los componentes compatibles de Checkmk se asignan al «Provider». Ahora tienes a tu disposición todas las funciones para crear clientes y asignarles emplazamientos, usuarios, etc.
Presta atención a las posibles dependencias que puedan derivarse de una configuración existente, y, en consecuencia, asigna también los elementos correctos de los demás componentes de Checkmk al cliente antes de activar la asignación a un site.
Importante: Se debe transferir al menos un usuario a la sede del cliente. No importa si se trata de un usuario global que se replica en todas las sedes o de un usuario específico del cliente.
Encontrarás más información al respecto en el siguiente capítulo.
5. Configuración
5.1. Creación de clientes
Puedes crear uno de tus clientes en un solo paso: En «Setup > Users > Customers», selecciona el botón «Add customer» y asigna allí un ID único, así como el nombre tal y como debe aparecer en Checkmk. Tras guardar, tu primer cliente habrá sido creado en Checkmk:
Como puedes ver, el proveedor también se considera un cliente y, por lo tanto, ya se ha creado como «Provider». Esta asignación no se puede eliminar.
5.2. Asignación de sites
Una vez que hayas creado un cliente, el siguiente paso es vincular los componentes correspondientes en Checkmk a este cliente. La site central, a la que envían sus datos todas las demás sedes del cliente, también se denomina site del proveedor. La separación de datos solo funciona si creas una sede independiente para cada cliente y la conectas a tu site del proveedor. En este caso, la configuración difiere en un único punto: En la configuración de la ubicación (Basic settings) introduces la ubicación del cliente (Customer), que has creado previamente, además del ID y el alias:
Dado que el proveedor también se trata como un cliente, Checkmk siempre sabe qué host pertenece a qué cliente en función de su asignación a un site específico.
 |
Puedes configurar el Global settings para un site de cliente como de costumbre a través de los ajustes globales específicos del site. |
5.3. Otras asignaciones
Además de la propia sede, también puedes asignar otros elementos de la «Setup» a un cliente, como ya se ha mencionado anteriormente. Un elemento se asigna directamente a un cliente. Como alternativa, también puedes poner un usuario o una contraseña a disposición de todos mediante la entrada «Global». Aquí tienes un ejemplo de asignación de usuario:
La asignación se realiza siempre a través de las propiedades del elemento correspondiente utilizando la opción Customer. La configuración global específica del site queda excluida de esta asignación.
Características especiales de la Consola de eventos
En la Consola de eventos puedes asignar tanto reglas individuales como paquetes de reglas completos a un cliente. Es importante tener en cuenta que la herencia es siempre obligatoria para los paquetes de reglas. A diferencia de lo que ocurre con las carpetas, no puede ser sobrescrita por las reglas individuales. De esta forma, siempre puedes estar seguro de que la asignación está garantizada para cada regla.
Si no se ha asignado un paquete de reglas a un cliente, también puedes asignarle las reglas individuales.
5.4. Componentes no personalizables
Todos los componentes que no se mencionaron en el capítulo anterior no se pueden asignar a clientes individuales. No obstante, hay que decir unas palabras sobre varios componentes para llamar la atención sobre características especiales. No tener en cuenta estas notas puede suponer un riesgo de seguridad moderado.
Tags del host
Lo mismo se aplica a los tags del host: estos no deben contener ninguna información confidencial, ya que los tags se distribuyen a todos los sites.
Notificaciones
Las reglas de notificación suelen incluir grupos de contacto y condiciones muy específicas bajo las cuales debe activarse y enviarse la notificación. Dado que estas reglas también se distribuyen a todos los sitios, no incluyas nombres explícitos de hosts y servicios, direcciones de contacto ni ningún otro dato sensible.
Personalizaciones para usuarios globales
Ten en cuenta que todas las personalizaciones realizadas para un usuario global se transfieren a todos los sitios del cliente. Por lo tanto, los usuarios globales no son adecuados para vistas de tabla especiales, gráficos definidos por el usuario o marcadores, ya que estos pueden contener datos sensibles específicos del cliente. Por lo tanto, debes utilizar los usuarios globales solo para casos excepcionales y no para tareas habituales y cotidianas.
5.5. Gestión de certificados
Los puntos mencionados en el capítulo anterior, como las notificaciones con grupos de contacto o tags del host, solo pueden revelar información sobre las estructuras organizativas de otros clientes.
La situación es diferente con la distribución de certificados raíz de CA («autoridad de certificación»): Si un certificado de CA destinado al Cliente A se distribuyera al Cliente B, existiría el riesgo de que empleados malintencionados del Cliente A pudieran llevar a cabo un ataque de tipo «man-in-the-middle» sobre la comunicación cifrada del Cliente B. Por este motivo, los certificados de CA almacenados con la configuración global Trusted certificate authorities for SSL no se transmiten a los sitios remotos.
La forma correcta de configurar los certificados de CA específicos del cliente es introducirlos en los ajustes globales específicos de cada sitio remoto de los sitios remotos del cliente.
6. Diferencias entre los componentes en detalle
6.1. Interfaz de configuración
Puedes acceder a una vista de tabla para gestionar clientes en Setup > Users > Customers.
Al configurar los elementos que se pueden asignar a los clientes, hay un campo adicional de Customer disponible.
Estas funciones se describen a modo de ejemplo en el capítulo sobre configuración.
6.2. Interfaz de monitorización
Dashboard
Una novedad en Main dashboard es el dashlet «Customers», que se encuentra a la izquierda de los problemas de servicio:
Cuando seleccionas un cliente, aparece una vista de tabla en la que se muestra una lista de todos sus hosts. Por lo tanto, esta vista de tabla funciona como la vista del panel de control (All hosts), con la diferencia de que, en este caso, solo se muestran los elementos de ese cliente específico.
Barra lateral
En la barra lateral, en el site central, se encuentra el snap-in «Customers», que funciona de la misma manera que el snap-in «Site status», de aspecto similar. Aquí puedes mostrar el estado de los sites de cada cliente y, además, al hacer clic en el estado, ocultar clientes específicos de la vista de tabla o mostrarlos en ella.
Creación y filtrado de vistas de tabla
Por supuesto, también puedes utilizar los filtros y los conjuntos de datos tal y como se utilizan para el dashlet y el snap-in en tus propias vistas de tabla. Por un lado, el filtro «Site» se ha ampliado para personalizar vistas de tabla:
Por otro lado, también puedes crear vistas de tabla completamente nuevas basadas en uno o en todos los clientes. Para ello, selecciona «All customers» como fuente de datos:
Además, se crean etiquetas con el formato «cmk/customer» para todos los hosts, que se pueden utilizar para filtrar por cliente.