 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Aperçu
Pour la surveillance des hôtes et des services ainsi que pour la communication entre les différents composants d'une installation Checkmk, Checkmk utilise dans de nombreux cas la transmission de données via TCP/IP ou UDP/IP.
Cet article vous donne un aperçu des ports nécessaires pour chaque type de communication. Ces ports doivent être activés dans la configuration du pare-feu ou liés à un conteneur lorsque Checkmk est utilisé dans ce conteneur.
Sauf indication contraire, la communication est entrante vers le composant mentionné dans le titre de la section.
 |
La plupart des numéros de ports répertoriés ici sont des ports standard. Ceux-ci peuvent être remplacés manuellement par d'autres ports à tout moment. Les ports qui ne sont pas actifs par défaut, mais qui doivent être activés selon les besoins, sont en outre signalés par une note. |
2. Surveillance des hôtes (agent, SNMP)
2.1. Hôte surveillé
Les ports suivants sur les hôtes surveillés doivent être accessibles depuis le serveur Checkmk.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
161 |
UDP |
Les hôtes surveillés via SNMP reçoivent l' |
|
6556 |
TCP |
Les hôtes surveillés via l'agent Checkmk sont interrogés via ce port. La communication est cryptée par TLS ou en texte clair (comme pour l'agent Linux en mode hérité). |
|
- |
ICMP |
Ping |
Checkmk surveille l'accessibilité des hôtes via ping. Si cela n'est pas possible, la détermination de l'état de l'hôte doit être spécifiée à l'aide de la règle « Host check command ». |
Les contrôles actifs accèdent directement aux ports des services surveillés, qui doivent donc également être accessibles depuis le serveur Checkmk. La surveillance à l'aide d'agents spéciaux peut nécessiter l'ouverture d'autres ports ou de ports supplémentaires. Par exemple, l'agent spécial pour VMware ESXi (ainsi que NetApp et bien d'autres) nécessite l'ouverture du port 443 sur le serveur ESXi.
2.2. Le serveur Checkmk
Les ports suivants sur le serveur Checkmk doivent être accessibles aux hôtes surveillés.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
80 |
TCP |
Protocole de transfert hypertexte (HTTP) |
Agent Updater (Agent Bakery), découverte des ports du contrôleur d'agent |
162 |
UDP |
Trap du protocole simple de gestion de réseau (SNMPTRAP) EC |
Réception des traps SNMP via la console d'événements (peut être activée en option) |
443 |
TCP |
Protocole de transfert hypertexte sur SSL/TLS (HTTPS) |
Agent Updater (Agent Bakery), découverte des ports de l'Agent Controller, avec chiffrement de la transmission |
514 |
TCP et UDP |
Syslog (EC) |
Réception des messages Syslog via la console d'événements (peut être activée en option) |
4317 |
TCP |
OpenTelemetry (via gRPC) |
Recevoir les métriques OpenTelemetry (peut être activé en option dans Checkmk Ultimate) |
4318 |
TCP |
OpenTelemetry (via HTTP/HTTPS) |
Recevoir les métriques OpenTelemetry (peut être activé en option dans Checkmk Ultimate) |
6559 |
UDP |
Recevoir des paquets UDP pour les contrôles en temps réel de services individuels (rarement utilisé, peut être activé en option) |
|
8000 |
TCP |
Enregistrement TLS du contrôleur d'agents, agents en mode push |
Si plusieurs sites sont en cours d'exécution sur le serveur Checkmk, des ports supplémentaires (8001, 8002…) peuvent être nécessaires. |
L'enregistrement TLS des agents utilise l'API REST sur le port 80/443 pour déterminer le port à enregistrer (normalement 8000 TCP). Si les deux ports sont inaccessibles, le port peut être spécifié via une option de ligne de commande. Si le port 8000 est inaccessible, un enregistrement par proxy peut être effectué via d'autres hôtes de la surveillance.
3. Surveillance décentralisée
3.1. Sites distants
Les ports suivants sur les sites distants doivent être accessibles depuis le serveur Checkmk faisant office de site central.
| Port | Protocole | Nom | Informations complémentaires |
|---|---|---|---|
80 |
TCP |
Protocole de transfert hypertexte (HTTP) |
Synchronisation dans la surveillance distribuée |
443 |
TCP |
Protocole de transfert hypertexte sur SSL/TLS (HTTPS) |
Synchronisation dans la surveillance distribuée, avec chiffrement du transport |
5671 |
TCP |
Protocole avancé de mise en file d'attente des messages (AMQP) |
Un courtier de messages est utilisé pour transférer les données Piggyback dans la surveillance distribuée. Le numéro de port est incrémenté pour chaque nouvelle instance distante intégrée. |
6555 |
TCP |
Spouleur de notifications |
Le spouleur de notifications est utilisé pour envoyer des notifications de manière centralisée, ici lorsqu'une connexion est établie par le site central (peut être activé en option) |
6557 |
TCP |
Si plusieurs sites sont en cours d'exécution sur le serveur Checkmk, des ports supplémentaires peuvent être nécessaires (peut être activé en option). Le numéro de port est incrémenté pour chaque nouvelle instance distante intégrée. |
|
6558 |
TCP |
Port d'état de la console d'événements (peut être activé en option) |
3.2. Le site central
En principe, la surveillance distribuée est déjà possible sans aide supplémentaire telle que le tunneling si le site central peut établir une connexion avec les sites distants. L'accessibilité du site central par les sites distants n'est requise que pour les fonctionnalités optionnelles (par exemple, Agent Bakery).
Les ports suivants sur le serveur Checkmk fonctionnant comme site central doivent être accessibles par les sites distants associés pour fournir la fonctionnalité décrite.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
80 |
TCP |
Protocole de transfert hypertexte (HTTP) |
|
443 |
TCP |
Protocole de transfert hypertexte sur SSL/TLS (HTTPS) |
Pour Agent Bakery et la gestion dynamique des hôtes, avec chiffrement de la transmission |
5671 |
TCP |
Protocole avancé de mise en file d'attente des messages (AMQP) |
Un courtier de messages est utilisé pour transférer les données Piggyback dans le cadre de la surveillance distribuée. Le numéro de port est incrémenté pour chaque nouvelle instance distante intégrée. |
6555 |
TCP |
Spouleur de notifications |
Le spooler de notifications sert à envoyer des notifications de manière centralisée, ici lorsqu’une connexion est établie par un site distant (peut être activé en option) |
|
Si le courtier de messages RabbitMQ est utilisé (actuellement requis uniquement pour le transfert des données Piggyback dans la surveillance distribuée), assurez-vous de l'accessibilité mutuelle en étoile du port 5671 : Chaque site distant doit pouvoir atteindre le site central et le site central doit pouvoir atteindre chaque site distant. Si une accessibilité en maillage est également possible, où les sites distants peuvent se joindre directement les uns aux autres, les messages sont transmis via cette voie directe. |
4. Ports locaux sur le serveur Checkmk
Les ports suivants sont utilisés par le serveur Checkmk sur l'interface de bouclage local. Si vous utilisez une configuration de pare-feu très stricte sur votre serveur Checkmk, ces ports doivent être activés pour les communications entrantes et sortantes sur l'adresse IP 127.0.0.1 (IPv4) et ::1 (IPv6) respectivement.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
4369 |
TCP |
Démon de mappage de ports Erlang ( |
Ce port est utilisé en interne pour l'administration du courtier de messages RabbitMQ (actuellement requis uniquement pour le transfert de données piggyback dans le cadre de la surveillance distribuée). |
5000 |
TCP |
Site HTTP Apache |
Chaque site Checkmk dispose de son propre serveur Apache, auquel l'Apache accessible depuis l'extérieur accède en tant que proxy inverse. Les sites supplémentaires utilisent le port 5001, etc. |
6558 |
TCP |
Port d'état de la console d'événements (peut être activé en option) |
|
14317 |
TCP |
Gestion OpenTelemetry |
L'accès à l'interface de gestion du collecteur OpenTelemetry (peut être activé en option dans Checkmk Ultimate) est nécessaire pour surveiller le collecteur. |
15671 |
TCP |
Gestion de RabbitMQ |
Ce port est utilisé en interne pour l'administration du courtier de messages RabbitMQ (voir ci-dessus). |
25672 |
TCP |
5. Port local sur les hôtes Windows
Le port suivant est utilisé sur les hôtes Windows dans le cadre de la surveillance pour la communication entre les deux composants, le programme agent et le contrôleur d'agent. Si vous utilisez une configuration de pare-feu très stricte sur l'hôte surveillé, ce port doit être activé pour les communications entrantes et sortantes sur l'adresse IP 127.0.0.1 (IPv4) et ::1 (IPv6), respectivement.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
28250 |
TCP |
Agent Checkmk |
Le programme de l'agent ouvre le port. Le contrôleur d'agent d' |
6. Le cluster d'appareils Checkmk
Vous pouvez regrouper deux appliances Checkmk (« nœuds ») au sein d'un cluster. Toutes les configurations et données seront alors synchronisées entre les deux appareils.
Les ports suivants doivent être activés pour les communications entrantes et sortantes sur les deux nœuds.
Attention ! La communication entre les deux appliances n'étant pas chiffrée, vous devrez peut-être prendre certaines mesures pour empêcher des personnes non autorisées d'intercepter le trafic réseau. Il peut s'agir, par exemple, d'une connexion directe si les deux appliances se trouvent dans un rack, ou de l'utilisation d'un VLAN chiffré si la proximité physique n'est pas souhaitée.
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
3121 |
TCP |
Pacemaker |
Gestionnaire de ressources du cluster Pacemaker |
4321 |
UDP |
Corosync |
Moteur de cluster Corosync |
4323 |
UDP |
Corosync |
Moteur de cluster Corosync |
7789 |
TCP |
DRBD |
Synchronisation de DRBD (Distributed Replicated Block Device) |
7. Ports accessibles (sortants)
Vous aurez peut-être besoin de ports supplémentaires accessibles depuis le serveur Checkmk :
| Port | Protocole | Désignation | Informations complémentaires |
|---|---|---|---|
53 |
UDP |
DNS |
Les serveurs de noms spécifiés dans les paramètres système doivent être accessibles |
123 |
UDP |
NTP |
Synchronisation de l'heure |
25/465/587 |
TCP |
SMTP |
Transmission des notifications depuis le serveur Checkmk par e-mail (ports en fonction de la configuration du serveur de messagerie) |
389/636 |
TCP |
LDAP |
Authentification LDAP (port 389 TCP, ou LDAPS sur le port 636 TCP) |
443 |
TCP |
HTTPS |
Communication avec le serveur de licences (éditions commerciales uniquement, serveur : |