Checkmk
DeutschEnglishEspañolFrançaisItaliano日本語
Cloud (SaaS) master2.3.02.2.02.1.02.0.01.6.0
to checkmk.com
Important

This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved.

1. 概要

Checkmk には、機能の範囲と用途が異なるさまざまなエディションがあります。 以下では、商業版の 1 つであるCheckmk MSP についてご紹介します。

セントラルセットアップによる分散監視では、ユーザーは通常、セントラルサイトにログインして 設定を行ったり、監視データにアクセスしたりします。 ユーザーは、リモートサイトにもログインすることができます。これは、例えば、そのサイトから監視されるホストやサービスのみを担当している場合などです。 ただし、役割や 連絡先グループを使用してホストやサービスの表示や設定を制限する Checkmk の認可の概念は、どちらのシナリオにも完全に十分です。 非常に制限された認可を持つユーザーは、通常、監視サーバーに直接コマンドラインアクセスすることはできません。 そのため、担当するデータのみを表示することができます。 他のホストやサービスの存在について通知されることは問題ではありません。

そのため、中央セットアップでは、Checkmk Raw、Checkmk Enterprise、および Checkmk Cloud の Checkmk は、すべての構成データを参加しているすべてのサイトに配布します。 これは、データは原則として、どのサイトにも配置または必要となる可能性があるためです。 たとえば、連絡先グループ内のホスト/サービスは複数のサイトに分散している可能性があるため、一元管理されているパスワードもリモートサイトでも利用できるようにする必要があります。

ただし、Checkmk をサードパーティ(つまり顧客)にサービスとして提供する場合、特定の構成データは指定されたリモートサイトにのみ配布する必要があります。 つまり、顧客の機密データは他の顧客のサーバーに保存してはなりません。そのため、web インターフェイスでの表示を制限するだけでは不十分です。 最後に、ローカル監視サーバーが顧客自身によって運用されている場合や、顧客が他の方法でサーバーのコマンドラインに直接アクセスできる場合があります。

さらに、分散型サービスのコンセプトは、顧客がそのような作業を行う必要を排除することにあるため、顧客が自分のサイトを構成できる必要もなくなります。 顧客は、自分のデータへのアクセスだけが必要なので、セントラルサイトのビューも必要ありません。 Checkmk MSP を使用すると、分散型モニタリングにより、サービスプロバイダ(マネージドサービスプロバイダ、MSP、またはプロバイダと略します)は、顧客ごとに 1 つ以上のリモートサイトをプロバイダのセントラルサイトに統合します。

Checkmk MSP では、分散監視により、サービスプロバイダ(マネージドサービスプロバイダ、MSP、またはプロバイダと略称)が、顧客ごとに 1 つ以上のリモートサイトをプロバイダの中央サイトに統合します。これらのリモートサイトには、関連する顧客のみアクセスできます。Setup 内の個々のエレメントは、この顧客に割り当てられます。 設定データを分散する場合、Checkmk は、このデータを、一般的なもの、またはその顧客に対して公開されているもののみ、その顧客のサイトに送信します。 プロバイダは、引き続き、自社セントラルサイトの中央セットアップから、設定を簡単に実行することができます。 また、プロバイダは、すべての顧客が監視データを操作するための中央 web インターフェイスも備えています。 これは、通常の分散環境とまったく同じように機能しますが、参加しているすべてのサイトがCheckmk MSP を使用しなければならないという点が異なります。

Illustration of communication in Checkmk MSP's distributed monitoring system.

重要な設定データ(リモートサイトやユーザーなど)は、Checkmk MSP で顧客に割り当てることができます。 そのため、顧客は、割り当てられたサイトを通じて、ホストおよびサービスデータを含む自分の設定にのみアクセスできます。 顧客は自分のサイトにログインするだけで、自分のデータのみを受け取ることができます。 プロバイダの中央インスタンスにログインする必要はありません。また、ログインも不可能です。

重要:Checkmk を使用して、自社インフラストラクチャだけでなく、他の組織のインフラストラクチャも監視する場合は、Checkmk MSPを使用する必要があります。

2. Checkmk MSP の概要

Checkmk MSP は、現在 Checkmk の最も包括的なエディションです。 内容的には、 Checkmk Cloud(セルフホスト型)をベースとし、マルチテナント対応に拡張したものです。 分散監視により、複数の顧客向けに個別の Checkmk サイトを運用するために必要なすべての機能を備えています。

プロバイダとして、顧客に Checkmk をサービスとして提供したい場合は、このエディションが最適です。

3. 追加機能

Checkmk MSP の他のエディションとの主な違いは、顧客に以下のエレメントを割り当てることができる点です。

4. Checkmk MSP へのアップグレード

他のエディションから Checkmk MSP に切り替えるには、アップグレードの説明に従ってください。 分散環境での Checkmk MSP へのアップグレードには、オフラインアップグレードのみを使用できます。

アップグレード後、Checkmk の互換性のあるすべてのコンポーネントは、Provider に割り当てられます。 これで、顧客を作成し、サイト、ユーザーなどを顧客に割り当てるためのすべての機能を使用できるようになります。

既存の構成によって生じる可能性のある依存関係に注意し 、サイトへの割り当てを有効にする前に、Checkmk の他のコンポーネントから顧客に正しいエレメントを割り当ててください。

重要:少なくとも 1 人のユーザーを顧客のサイトに転送する必要があります。 それが、すべてのサイトに複製されるグローバルユーザーであるか、顧客固有のユーザーであるかは問題ではありません。

これに関する詳細情報は、次の章で説明されています。

5. 設定

5.1. 顧客の作成

顧客は 1 つのステップで作成できます。Setup > Users > Customers で、Add customer ボタンを選択し、一意の ID と Checkmk で表示する名前を割り当てます。 保存すると、Checkmk に最初の顧客が作成されます。

The view for managing customers.

ご覧のとおり、プロバイダーも顧客として扱われ、既に「Provider 」として作成されています。 この割り当ては削除できません。

5.2. サイトの割り当て

顧客を作成したら、次のステップは、Checkmk 内の対応するコンポーネントをこの顧客にリンクすることです。 顧客の他のすべてのサイトがデータを送信するセントラルサイトは、プロバイダサイトとも呼ばれます。 データの分離は、顧客ごとに個別のサイトを作成し、これをプロバイダサイトに接続した場合にのみ機能します。 この場合、セットアップは 1 点だけ異なります。Basic settings で、ID とエイリアスに加えて、前に作成したCustomer を入力します。

Selection of a customer when connecting a remote site.

プロバイダも顧客として扱われるため、Checkmk は、特定のサイトへの割り当てに基づいて、どのホストがどの顧客に属しているかを常に認識しています。

Tip

顧客サイト用のGlobal settings は、サイト固有のグローバル設定で通常どおり設定できます。

5.3. 追加の割り当て

サイト自体に加えて、前述のように、 Setup の他のエレメントを顧客に割り当てることもできます。 エレメントは顧客に直接割り当てられます。 あるいは、Global エントリを使用して、ユーザーまたはパスワードをすべての人に利用可能にすることもできます。 以下は、ユーザー割り当ての例です。

The entries for the 'Customer' option.

割り当ては、Customer オプションを使用して、それぞれのエレメントのプロパティから行います。 サイト固有のグローバル設定は、この割り当てから除外されます。

イベントコンソールの特別な機能

イベントコンソールでは、個々のルールとルールパッケージ全体を顧客に割り当てることができます。 ルールパッケージでは、継承が常に必須であることにご注意ください。 フォルダとは異なり、個々のルールによって上書きされることはありません。 これにより、各ルールの割り当てが常に保証されます。

ルールパッケージが顧客に割り当てられていない場合は、個々のルールを顧客に割り当てることもできます。

5.4. カスタマイズできないコンポーネント

前の章で言及されていないすべてのコンポーネントは、個々の顧客に割り当てることができません。 ただし、いくつかのコンポーネントについては、特別な機能に注意を促すために説明が必要です。 これらの注意事項を遵守しない場合、中程度のセキュリティリスクが生じる可能性があります。

ホストタグ

ホストタグについても同様です。タグはすべてのサイトに配布されるため、機密情報は含めないでください。

通知

通知のルールには、多くの場合、連絡先グループや、通知をトリガーして送信するための非常に具体的な条件が含まれます。 これらのルールもすべてのサイトに配布されるため、ホスト名やサービス名、連絡先アドレス、その他の機密データは明示的に含めないでください。

グローバルユーザーのカスタマイズ

グローバルユーザーに対して行ったすべてのカスタマイズは、お客様のすべてのサイトに転送されます。 したがって、グローバルユーザーは、機密性の高い顧客固有のデータを含む可能性のある特別なビュー、カスタムグラフ、ブックマークには適していません。 したがって、グローバルユーザーは、例外的な場合のみに使用し、通常の日常的な作業には使用しないでください。

5.5. 証明書の管理

前の章で述べた、連絡先グループやホストタグを使用した通知など、他の顧客の組織構造に関する情報が漏えいする可能性があります。

CA(認証機関)ルート証明書の配布の場合は、状況が異なります。 顧客 A向けの CA 証明書が顧客 B に配布された場合、顧客 A の悪意のある従業員 顧客 B の暗号化された通信に対して中間者攻撃(MITM)を行う危険性があります。 このため、Trusted certificate authorities for SSL グローバル設定で保存されている CA 証明書は、リモートサイトには送信されません

顧客固有の CA 証明書を正しく設定するには、顧客のリモートサイトのサイト固有のグローバル設定に入力してください。

6. コンポーネントの詳細な違い

6.1. セットアップインターフェース

Setup > Users > Customers で、顧客を管理するためのビューにアクセスできます。

顧客に割り当て可能なエレメントを設定する場合、Customer フィールドが追加で表示されます。

これらの機能は、設定に関する章で例を挙げて説明されています。

6.2. モニターインターフェース

ダッシュボード

Main dashboard の新機能である「Customers 」ダッシュレットは、サービス問題の左側にあります。

The 'Customers' dashlet in the 'Main' dashboard.

顧客を選択すると、その顧客のすべてのホストがリストされたビューが表示されます。 このテーブルビューはAll hosts ビューと同じように機能しますが、この場合は特定の顧客のエレメントのみが表示されます。

サイドバー

サイドバーには、セントラルサイトに「Customers 」スナップインがあり、これは、外観が似ている「Site status 」スナップインと同じように機能します。 ここでは、個々の顧客のサイトのステータスを表示できます。また、ステータスをクリックして、特定の顧客をビューから非表示にしたり、表示したりすることもできます。

The 'Customers' snap-in of the sidebar.

ビューの構築とフィルタリング

もちろん、ダッシュレットやスナップインで使用されているフィルターやデータセットを、独自のビューにも使用することができます。 一方、Site フィルターは、ビューをカスタマイズするために拡張されています。

The 'Site' filter extended by customers.

また、1 つまたはすべての顧客に基づいて、まったく新しいビューを作成することもできます。 これを行うには、データソースとして「All customers 」を選択します。

The data source 'All customers' when creating a view.

さらに、cmk/customer というフォームのラベルがすべてのホストに対して作成され、顧客によるフィルタリングに使用できます。

このページでは