 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. Panoramica
Per monitorare host e servizi, nonché la comunicazione tra i diversi componenti di un'installazione Checkmk, Checkmk utilizza in molti casi la trasmissione dei dati tramite TCP/IP o UDP/IP.
Questo articolo ti fornirà una panoramica delle porte necessarie per ciascun tipo di comunicazione. Queste porte devono essere abilitate nella configurazione del firewall o associate a un container quando Checkmk viene utilizzato in quel container.
La direzione della comunicazione è in entrata verso il componente menzionato nel titolo del capitolo, salvo diversa indicazione.
 |
La maggior parte dei numeri di porta qui elencati sono porte standard. Queste possono essere modificate manualmente in altre porte in qualsiasi momento. Le porte che non sono attive di default, ma che devono invece essere abilitate secondo necessità, sono contrassegnate con una nota aggiuntiva. |
2. Monitoraggio degli host (agente, SNMP)
2.1. Host monitorato
Le seguenti porte sugli host monitorati devono essere accessibili dal server Checkmk.
| Porta | Protocollo | Denominazione | Informazioni aggiuntive |
|---|---|---|---|
161 |
UDP |
Gli host monitorati tramite SNMP ricevono il servizio di gestione della rete ( |
|
6556 |
TCP |
Gli host monitorati tramite l'agente Checkmk vengono interrogati su questa porta. La comunicazione è crittografata con TLS o in chiaro (come per l'agente Linux in modalità legacy). |
|
- |
ICMP |
Ping |
Checkmk monitora l'accessibilità degli host tramite ping. Se ciò non è possibile, la determinazione dello stato dell'host deve essere specificata con la regola "Host check command". |
I controlli attivi accedono direttamente alle porte dei servizi monitorati, che devono quindi essere accessibili anche dal server Checkmk. Il monitoraggio con agenti speciali potrebbe richiedere l'apertura di altre porte o di porte aggiuntive. Ad esempio, l'agente speciale per VMware ESXi (così come NetApp e molti altri) richiede l'apertura della porta 443 sul server ESXi.
2.2. Il server Checkmk
Le seguenti porte sul server Checkmk devono essere accessibili agli host nel monitoraggio.
| Porta | Protocollo | Denominazione | Informazioni aggiuntive |
|---|---|---|---|
80 |
TCP |
Protocollo di trasferimento ipertestuale (HTTP) |
Agent Updater (Agent Bakery), individuazione delle porte dell'Agent Controller |
162 |
UDP |
Trap del protocollo SNMP (SNMPTRAP) EC |
Ricevi trap SNMP tramite la Console Eventi (può essere abilitata opzionalmente) |
443 |
TCP |
Protocollo di trasferimento ipertestuale su SSL/TLS (HTTPS) |
Agent Updater (Agent Bakery), rilevamento delle porte dell'Agent Controller, con crittografia del trasporto |
514 |
TCP e UDP |
Syslog (EC) |
Ricevi i messaggi syslog tramite la Console Eventi (può essere abilitata opzionalmente) |
4317 |
TCP |
OpenTelemetry (su gRPC) |
Ricevi le metriche OpenTelemetry (può essere abilitato opzionalmente in Checkmk Ultimate) |
4318 |
TCP |
OpenTelemetry (su HTTP/HTTPS) |
Ricevi le metriche OpenTelemetry (può essere abilitato opzionalmente in Checkmk Ultimate) |
6559 |
UDP |
Ricevi pacchetti UDP per i controlli in tempo reale dei singoli servizi (usato raramente, può essere abilitato opzionalmente) |
|
8000 |
TCP |
Registrazione TLS dell'Agent Controller, agenti in modalità push |
Se sul server Checkmk sono in esecuzione più siti, potrebbero essere necessarie porte aggiuntive (8001, 8002…). |
La registrazione TLS degli agenti utilizza l'API REST sulla porta 80/443 per individuare la porta da registrare (normalmente 8000 TCP). Se entrambe le porte sono irraggiungibili, la porta può essere specificata tramite un'opzione della riga di comando. Se la porta 8000 è irraggiungibile, è possibile eseguire una registrazione tramite proxy attraverso altri host nel monitoraggio.
3. Monitoraggio distribuito
3.1. Siti remoti
Le seguenti porte sui siti remoti devono essere accessibili dal server Checkmk che funge da sito centrale.
| Porta | Protocollo | Nome | Informazioni aggiuntive |
|---|---|---|---|
80 |
TCP |
Protocollo di trasferimento ipertestuale (HTTP) |
Sincronizzazione nel monitoraggio distribuito |
443 |
TCP |
Protocollo di trasferimento ipertestuale su SSL/TLS (HTTPS) |
Sincronizzazione nel monitoraggio distribuito, con crittografia del trasporto |
5671 |
TCP |
Protocollo avanzato di accodamento dei messaggi (AMQP) |
Un broker di messaggi viene utilizzato per inoltrare i dati Piggyback nel monitoraggio distribuito. Il numero di porta viene incrementato per ogni nuova istanza remota integrata. |
6555 |
TCP |
Spooler di notifiche |
Lo spooler delle notifiche viene utilizzato per inviare notifiche a livello centrale, in questo caso quando viene stabilita una connessione dal sito centrale (può essere abilitato facoltativamente) |
6557 |
TCP |
Se sul server Checkmk sono in esecuzione più siti, potrebbero essere necessarie porte aggiuntive (può essere abilitato opzionalmente). Il numero di porta viene incrementato per ogni nuova istanza remota integrata. |
|
6558 |
TCP |
Porta di stato della console eventi (può essere abilitata opzionalmente) |
3.2. Il sito centrale
In linea di principio, il monitoraggio distribuito è già possibile senza ulteriori ausili come il tunneling, se il sito centrale è in grado di stabilire una connessione con i siti remoti. L'accessibilità del sito centrale da parte dei siti remoti è richiesta solo per le funzionalità opzionali (ad es. Agent Bakery).
Le seguenti porte sul server Checkmk che funge da sito centrale devono essere accessibili dai siti remoti associati per fornire la funzionalità descritta.
| Porta | Protocollo | Denominazione | Informazioni aggiuntive |
|---|---|---|---|
80 |
TCP |
Protocollo di trasferimento ipertestuale (HTTP) |
|
443 |
TCP |
Protocollo di trasferimento ipertestuale su SSL/TLS (HTTPS) |
Per Agent Bakery e la gestione dinamica degli host, con crittografia del trasporto |
5671 |
TCP |
Protocollo avanzato di accodamento dei messaggi (AMQP) |
Un broker di messaggi viene utilizzato per inoltrare i dati Piggyback nel monitoraggio distribuito. Il numero di porta viene incrementato per ogni nuova istanza remota integrata. |
6555 |
TCP |
Spooler di notifiche |
Lo spooler di notifiche serve a inviare notifiche in modo centralizzato, in questo caso quando un sito remoto stabilisce una connessione (può essere abilitato facoltativamente) |
|
Se si utilizza il broker di messaggi RabbitMQ (attualmente richiesto solo per l'inoltro dei dati piggyback nel monitoraggio distribuito), assicurati che la porta 5671 sia accessibile in modo bidirezionale: Ogni sito remoto deve poter raggiungere il sito centrale e il sito centrale deve poter raggiungere ogni sito remoto. Se è possibile anche l'accessibilità a maglia, in cui i siti remoti possono raggiungersi direttamente, i messaggi vengono trasmessi tramite questo percorso diretto. |
4. Porte locali sul server Checkmk
Le seguenti porte vengono utilizzate dal server Checkmk sull'interfaccia loopback locale. Se utilizzi una configurazione firewall molto rigida sul tuo server Checkmk, queste porte devono essere abilitate per la comunicazione in entrata e in uscita rispettivamente sull'indirizzo IP 127.0.0.1 (IPv4) e ::1 (IPv6).
| Porta | Protocollo | Denominazione | Informazioni aggiuntive |
|---|---|---|---|
4369 |
TCP |
Daemon di mappatura delle porte Erlang ( |
Questa porta viene utilizzata internamente per l'amministrazione del broker di messaggi RabbitMQ (attualmente richiesta solo per l'inoltro dei dati piggyback nel monitoraggio distribuito). |
5000 |
TCP |
Sito HTTP Apache |
Ogni sito Checkmk ha il proprio Apache, a cui si accede tramite l'Apache richiamabile dall'esterno come proxy inverso. I siti aggiuntivi utilizzano la porta 5001, ecc. |
6558 |
TCP |
Porta di stato della console eventi (può essere abilitata opzionalmente) |
|
14317 |
TCP |
Gestione OpenTelemetry |
Per monitorare il collector OpenTelemetry è necessario l'accesso all'interfaccia di gestione del collector stesso (può essere abilitato opzionalmente in Checkmk Ultimate). |
15671 |
TCP |
Gestione RabbitMQ |
Questa porta viene utilizzata internamente per l'amministrazione del broker di messaggi RabbitMQ (vedi sopra). |
25672 |
TCP |
5. Porta locale sugli host Windows
La porta seguente viene utilizzata sugli host Windows durante il monitoraggio per la comunicazione tra i due componenti, il programma agente e l'Agent Controller. Se utilizzi una configurazione firewall molto rigida sull'host monitorato, questa porta deve essere abilitata per la comunicazione in entrata e in uscita rispettivamente sull'indirizzo IP 127.0.0.1 (IPv4) e ::1 (IPv6).
| Porta | Protocollo | Designazione | Informazioni aggiuntive |
|---|---|---|---|
28250 |
TCP |
Agente Checkmk |
Il programma agente apre la porta. L' |
6. Il cluster di appliance Checkmk
Puoi combinare due appliance Checkmk ("nodi") in un cluster. Tutte le configurazioni e i dati verranno quindi sincronizzati tra i due dispositivi.
È necessario abilitare le seguenti porte per la comunicazione in entrata e in uscita su entrambi i nodi.
Attenzione! Poiché la comunicazione tra i due appliance non è crittografata, potrebbe essere necessario adottare alcune misure per impedire a persone non autorizzate di intercettare il traffico di rete. Ad esempio, si potrebbe optare per una connessione diretta se entrambi gli appliance si trovano in un rack, oppure utilizzare una VLAN crittografata se non si desidera una vicinanza fisica.
| Porta | Protocollo | Designazione | Informazioni aggiuntive |
|---|---|---|---|
3121 |
TCP |
Pacemaker |
Gestore delle risorse del cluster Pacemaker |
4321 |
UDP |
Corosync |
Motore del cluster Corosync |
4323 |
UDP |
Corosync |
Motore cluster Corosync |
7789 |
TCP |
DRBD |
Sincronizzazione di DRBD (Distributed Replicated Block Device) |
7. Porte accessibili (in uscita)
Potresti aver bisogno di alcune porte aggiuntive raggiungibili dal server Checkmk:
| Porta | Protocollo | Denominazione | Informazioni aggiuntive |
|---|---|---|---|
53 |
UDP |
DNS |
I server dei nomi specificati nelle impostazioni di sistema devono essere raggiungibili |
123 |
UDP |
NTP |
Sincronizzazione dell'ora |
25/465/587 |
TCP |
SMTP |
Invio di notifiche dal server Checkmk via e-mail (porte a seconda della configurazione del server di posta) |
389/636 |
TCP |
LDAP |
Autenticazione LDAP (porta 389 TCP, come LDAPS sulla porta 636 TCP) |
443 |
TCP |
HTTPS |
Comunicazione con il server delle licenze (solo edizioni commerciali, Server: |