 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Resumen
Para supervisar hosts y servicios, así como la comunicación entre los distintos componentes de una instalación de Checkmk, Checkmk utiliza en muchos casos la transmisión de datos a través de TCP/IP o UDP/IP.
Este artículo te ofrece una visión general de los puertos que se necesitan para cada tipo de comunicación. Estos puertos deben estar habilitados en la configuración del cortafuegos o vinculados a un contenedor cuando Checkmk se utilice en dicho contenedor.
La dirección de la comunicación es entrante hacia el componente mencionado en el título del capítulo, a menos que se indique lo contrario.
 |
La mayoría de los números de puerto que aparecen aquí son puertos estándar. Estos se pueden cambiar manualmente a otros puertos en cualquier momento. Los puertos que no están activos por defecto, sino que deben habilitarse según sea necesario, están marcados además con una nota. |
2. Supervisión de hosts (agente, SNMP)
2.1. Host supervisado
El servidor de Checkmk debe poder acceder a los siguientes puertos de los hosts supervisados.
| Puerto | Protocolo | Denominación | Información adicional |
|---|---|---|---|
161 |
UDP |
Los hosts supervisados a través de SNMP reciben el servicio de gestión de red ( |
|
6556 |
TCP |
Los hosts supervisados a través del agente de Checkmk se consultan a través de este puerto. La comunicación está cifrada con TLS o es de texto sin formato (como en el caso del agente de Linux en modo heredado). |
|
- |
ICMP |
Ping |
Checkmk supervisa la accesibilidad de los hosts mediante ping. Si esto no es posible, la determinación del estado del host debe especificarse con la regla «Host check command». |
Las comprobaciones activas acceden directamente a los puertos de los servicios supervisados, por lo que estos también deben ser accesibles desde el servidor Checkmk. La supervisión con agentes especiales puede requerir la apertura de otros puertos o puertos adicionales. Por ejemplo, el agente especial para VMware ESXi (así como NetApp y muchos otros) requiere la apertura del puerto 443 en el servidor ESXi.
2.2. El servidor Checkmk
Los siguientes puertos del servidor Checkmk deben ser accesibles para los hosts en la supervisión.
| Puerto | Protocolo | Denominación | Información adicional |
|---|---|---|---|
80 |
TCP |
Protocolo de transferencia de hipertexto (HTTP) |
Actualizador de agentes (Agent Bakery), detección de puertos del controlador de agentes |
162 |
UDP |
Trampas del Protocolo simple de gestión de redes (SNMPTRAP) EC |
Recibe trampas SNMP a través de la consola de eventos (se puede habilitar opcionalmente) |
443 |
TCP |
Protocolo de transferencia de hipertexto sobre SSL/TLS (HTTPS) |
Actualizador de agentes (Agent Bakery), detección de puertos del controlador de agentes, con cifrado de transporte |
514 |
TCP y UDP |
Syslog (EC) |
Recibe mensajes de syslog a través de la consola de eventos (se puede habilitar opcionalmente) |
4317 |
TCP |
OpenTelemetry (sobre gRPC) |
Recibe métricas de OpenTelemetry (se puede activar opcionalmente en Checkmk Ultimate) |
4318 |
TCP |
OpenTelemetry (a través de HTTP/HTTPS) |
Recibir métricas de OpenTelemetry (se puede habilitar opcionalmente en Checkmk Ultimate) |
6559 |
UDP |
Recibe paquetes UDP para comprobaciones en tiempo real de servicios individuales (se usa poco, se puede activar opcionalmente) |
|
8000 |
TCP |
Controlador de agentes Registro TLS, agentes en modo push |
Si hay varios sitios ejecutándose en el servidor Checkmk, es posible que se necesiten puertos adicionales (8001, 8002…). |
El registro TLS de los agentes utiliza la API REST en el puerto 80/443 para detectar el puerto en el que registrarse (normalmente el 8000 TCP). Si no se puede acceder a ninguno de los dos puertos, el puerto se puede especificar mediante una opción de la línea de comandos. Si no se puede acceder al puerto 8000, se puede realizar un registro por proxy a través de otros hosts de la supervisión.
3. Supervisión distribuida
3.1. Sitios remotos
Los siguientes puertos de los sitios remotos deben ser accesibles desde el servidor Checkmk que actúa como sitio central.
| Puerto | Protocolo | Nombre | Información adicional |
|---|---|---|---|
80 |
TCP |
Protocolo de transferencia de hipertexto (HTTP) |
Sincronización en la monitorización distribuida |
443 |
TCP |
Protocolo de transferencia de hipertexto sobre SSL/TLS (HTTPS) |
Sincronización en la monitorización distribuida, con cifrado de transporte |
5671 |
TCP |
Protocolo avanzado de colas de mensajes (AMQP) |
Se utiliza un broker de mensajes para reenviar datos Piggyback en la monitorización distribuida. El número de puerto se incrementa por cada instancia remota recién integrada. |
6555 |
TCP |
Spooler de notificaciones |
El spooler de notificaciones se usa para enviar notificaciones de forma centralizada, en este caso cuando el sitio central establece una conexión (se puede habilitar opcionalmente) |
6557 |
TCP |
Si hay varios sitios ejecutándose en el servidor de Checkmk, es posible que se necesiten puertos adicionales (se puede activar opcionalmente). El número de puerto se incrementa por cada instancia remota recién integrada. |
|
6558 |
TCP |
Puerto de estado de la consola de eventos (se puede habilitar opcionalmente) |
3.2. El sitio central
En principio, la monitorización distribuida ya es posible sin necesidad de recursos adicionales como el túnel, siempre que el sitio central pueda establecer una conexión con los sitios remotos. El acceso de los sitios remotos al sitio central solo es necesario para funciones opcionales (por ejemplo, Agent Bakery).
Los siguientes puertos del servidor Checkmk que funciona como sitio central deben ser accesibles desde los sitios remotos asociados para proporcionar la funcionalidad descrita.
| Puerto | Protocolo | Denominación | Información adicional |
|---|---|---|---|
80 |
TCP |
Protocolo de transferencia de hipertexto (HTTP) |
|
443 |
TCP |
Protocolo de transferencia de hipertexto sobre SSL/TLS (HTTPS) |
Para Agent Bakery y la gestión dinámica de hosts, con cifrado de transporte |
5671 |
TCP |
Protocolo avanzado de colas de mensajes (AMQP) |
Se utiliza un broker de mensajes para reenviar datos Piggyback en la monitorización distribuida. El número de puerto se incrementa por cada instancia remota recién integrada. |
6555 |
TCP |
Spooler de notificaciones |
El spooler de notificaciones se usa para enviar notificaciones de forma centralizada, en este caso cuando un sitio remoto establece una conexión (se puede habilitar opcionalmente) |
|
Si se utiliza el broker de mensajes RabbitMQ (actualmente solo es necesario para reenviar datos Piggyback en la monitorización distribuida), asegúrate de que haya accesibilidad mutua en forma de estrella en el puerto 5671: Cada sitio remoto debe poder comunicarse con el sitio central y el sitio central debe poder comunicarse con cada sitio remoto. Si también es posible la accesibilidad en malla, donde los sitios remotos pueden comunicarse entre sí directamente, los mensajes se transmiten a través de esta ruta directa. |
4. Puertos locales del servidor Checkmk
El servidor Checkmk utiliza los siguientes puertos en la interfaz de bucle local. Si tienes una configuración de firewall muy estricta en tu servidor Checkmk, estos puertos deben estar habilitados para la comunicación entrante y saliente en la dirección IP 127.0.0.1 (IPv4) y ::1 (IPv6), respectivamente.
| Puerto | Protocolo | Denominación | Información adicional |
|---|---|---|---|
4369 |
TCP |
Demonio mapeador de puertos de Erlang ( |
Este puerto se usa internamente para la administración del broker de mensajes RabbitMQ (actualmente solo es necesario para el reenvío de datos piggyback en la monitorización distribuida). |
5000 |
TCP |
Sitio HTTP Apache |
Cada sitio de Checkmk tiene su propio Apache, al que accede el Apache accesible desde el exterior como proxy inverso. Los sitios adicionales usan el puerto 5001, etc. |
6558 |
TCP |
Puerto de estado de la consola de eventos (se puede habilitar opcionalmente) |
|
14317 |
TCP |
Gestión de OpenTelemetry |
Se requiere acceso a la interfaz de gestión del colector de OpenTelemetry (se puede habilitar opcionalmente en Checkmk Ultimate) para supervisar el colector. |
15671 |
TCP |
Gestión de RabbitMQ |
Este puerto se usa internamente para la administración del broker de mensajes RabbitMQ (ver más arriba). |
25672 |
TCP |
5. Puerto local en equipos con Windows
En los hosts Windows, se utiliza el siguiente puerto para la comunicación entre los dos componentes: el programa agente y el controlador de agentes. Si utilizas una configuración de firewall muy estricta en el host supervisado, este puerto debe estar habilitado para la comunicación entrante y saliente en la dirección IP 127.0.0.1 (IPv4) y ::1 (IPv6), respectivamente.
| Puerto | Protocolo | Designación | Información adicional |
|---|---|---|---|
28250 |
TCP |
Agente de Checkmk |
El programa del agente abre el puerto. El controlador del agente de |
6. El clúster de dispositivos Checkmk
Puedes combinar dos dispositivos Checkmk («nodos») en un clúster. De este modo, todas las configuraciones y los datos se sincronizarán entre los dos dispositivos.
Los siguientes puertos deben estar habilitados para la comunicación entrante y saliente en ambos nodos.
¡Atención! Dado que la comunicación entre ambos dispositivos no está cifrada, es posible que tengas que tomar algunas medidas para evitar que personas no autorizadas intercepten el tráfico de red. Por ejemplo, esto podría ser una conexión directa si ambos dispositivos están en un rack, o el uso de una VLAN cifrada si no se desea la proximidad física.
| Puerto | Protocolo | Designación | Información adicional |
|---|---|---|---|
3121 |
TCP |
Pacemaker |
Gestor de recursos del clúster Pacemaker |
4321 |
UDP |
Corosync |
Motor de clúster Corosync |
4323 |
UDP |
Corosync |
Motor de clúster Corosync |
7789 |
TCP |
DRBD |
Sincronización de DRBD (Dispositivo de bloques replicados distribuidos) |
7. Puertos accesibles (salientes)
Es posible que necesites algunos puertos adicionales a los que se pueda acceder desde el servidor Checkmk:
| Puerto | Protocolo | Denominación | Información adicional |
|---|---|---|---|
53 |
UDP |
DNS |
Los servidores de nombres especificados en la configuración del sistema deben estar accesibles |
123 |
UDP |
NTP |
Sincronización de hora |
25/465/587 |
TCP |
SMTP |
Envío de notificaciones desde el servidor Checkmk por correo electrónico (puertos según la configuración del servidor de correo) |
389/636 |
TCP |
LDAP |
Autenticación LDAP (puerto 389 TCP, como LDAPS en el puerto 636 TCP) |
443 |
TCP |
HTTPS |
Comunicación con el servidor de licencias (solo ediciones comerciales, servidor: |