 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
1. 概要
ホストやサービスの監視、および Checkmk インストール内のさまざまなコンポーネント間の通信のために、Checkmk は多くの場合、TCP/IP または UDP/IP によるデータ送信を使用します。
この記事では、各通信タイプに必要なポートの概要について説明します。 これらのポートは、ファイアウォール設定で有効にするか、Checkmk をそのコンテナで使用する場合はコンテナにバインドする必要があります。
通信方向は、章の見出しで指定されたコンポーネントへの着信通信を意味します。ただし、別途指定がある場合はその指定に従います。
 |
ここに記載されているポート番号のほとんどは標準ポートです。 これらは、いつでも手動で他のポートに変更することができます。デフォルトではアクティブになっていないが、必要に応じて有効にする必要があるポートには、追加で注記が付いています。 |
2. ホストの監視 (エージェント、SNMP)
2.1. 監視対象ホスト
監視対象ホストの以下のポートは、Checkmk サーバーからアクセス可能である必要があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
16 |
UDP |
SNMP によって監視されるホストは、このポートを介して |
|
655 |
TCP |
Checkmk エージェントによって監視されるホストは、このポートを介してクエリされます。通信は TLS 暗号化またはプレーンテキスト(レガシーモードの Linux エージェントの場合)で行われます。 |
|
- |
ICMP |
Ping |
Checkmk は、ping によってホストのアクセス可能性を監視します。これが不可能な場合は、ホストの状態判定を Host check commandルール. |
アクティブチェックは、監視対象サービスのポートに直接アクセスするため、Checkmk サーバーからもアクセスできる必要があります。 スペシャルエージェントによる監視では、他のポートまたは追加のポートを開く必要がある場合があります。 たとえば、VMware ESXi(および NetApp など)用のスペシャルエージェントでは、ESXi サーバーのポート 443 を開く必要があります。
2.2. Checkmk サーバー
監視対象のホストは、Checkmk サーバーの以下のポートにアクセスできる必要があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
80 |
TCP |
ハイパーテキスト転送プロトコル (HTTP) |
エージェントアップデータ―(エージェントベーカリー)、エージェントコントローラーポートディスカバリー |
162 |
UDP |
シンプルネットワーク管理プロトコルトラップ (SNMPTRAP)EC |
イベントコンソール経由で SNMP トラップを受信(オプションで有効化可能) |
4 |
TCP |
SSL/TLS 経由のハイパーテキスト転送プロトコル (HTTPS) |
エージェントアップデータ― (エージェントベーカリー)、エージェントコントローラーポートディスカバリー、トランスポート暗号化付き |
514 |
TCP および UDP |
Syslog (EC) |
イベントコンソール経由で syslog メッセージを受信(オプションで有効化可能) |
4317 |
TCP |
OpenTelemetry (gRPC 経由) |
OpenTelemetryメトリックを受信します(Checkmk Cloud 以降でオプションで有効化可能) |
4318 |
TCP |
OpenTelemetry (HTTP/HTTPS経由) |
OpenTelemetryメトリックを受信します(Checkmk Cloud 以降でオプションで有効化できます)。 |
6559 |
UDP |
個々のサービスのリアルタイムチェック用の UDP パケットを受信します(ほとんど使用されません。オプションで有効化できます)。 |
|
8000 |
TCP |
エージェントコントローラー TLS 登録、プッシュモードのエージェント |
Checkmk サーバーで複数のサイトが実行されている場合は、追加のポート (8001、8002…) が必要になる場合があります。 |
エージェントの TLS 登録では、ポート 80/443 の REST API を使用して、登録するポート (通常は 8000 TCP) を検出します。 両方のポートに接続できない場合は、コマンドラインオプションでポートを指定できます。 ポート 8000 に接続できない場合は、監視対象の他のホストを介してプロキシによる登録を実行できます。
3. 分散監視
3.1. リモートサイト
リモートサイトの以下のポートは、セントラルサイトとして動作する Checkmk サーバーからアクセスできる必要があります。
| ポート | プロトコル | 名前 | 補足情報 |
|---|---|---|---|
8 |
TCP |
HTTPS (ハイパーテキスト転送プロトコル) |
分散監視での同期 |
443 |
TCP |
SSL/TLS を使用したハイパーテキスト転送プロトコル (HTTPS) |
分散監視における同期、トランスポート暗号化付き |
5671 |
TCP |
高度メッセージキューイングプロトコル (AMQP) |
メッセージブローカは、分散監視でピギーバックデータを転送するために使用されます。ポート番号は、新しく統合されたリモートインスタンスごとにインクリメントされます。 |
6555 |
TCP |
通知スプーラ |
通知スプーラは、通知を一元的に送信するために使用されます。ここでは、セントラルサイトによって接続が確立されたときに使用されます(オプションで有効化可能)。 |
655 |
TC |
Checkmk サーバーで複数のサイトが実行されている場合、追加のポートが必要になる場合があります(オプションで有効化できます)。ポート番号は、新しく統合されたリモートインスタンスごとにインクリメントされます。 |
|
655 |
TCP |
イベントコンソールステータスポート (オプションで有効化可能) |
3.2. セントラルサイト
セントラルサイトがリモートサイトへの接続を確立できる場合、原則として、トンネルなどの追加の手段を使用せずに分散監視を行うことができます。 リモートサイトによるセントラルサイトへのアクセスは、オプション機能(エージェントベーカリーなど)の場合にのみ必要です。
セントラルサイトとして動作する Checkmk サーバーの以下のポートは、記載された機能を提供するために、関連するリモートサイトからアクセス可能である必要があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
80 |
TCP |
ハイパーテキスト転送プロトコル (HTTP) |
エージェントベーカリーおよびダイナミックホストマネージメント用です。 |
44 |
TCP |
SSL/TLS 経由のハイパーテキスト転送プロトコル (HTTPS) |
エージェントベーカリーおよびダイナミックホストマネージメント用、トランスポート暗号化付き |
567 |
TCP |
高度メッセージキューイングプロトコル (AMQP) |
メッセージブローカは、分散監視でピギーバックデータを転送するために使用されます。ポート番号は、新しく統合されたリモートインスタンスごとにインクリメントされます。 |
655 |
TCP |
通知スプーラ |
通知スプーラは、通知を一元的に送信するために使用されます。ここでは、リモートサイトによって接続が確立されたときに使用されます(オプションで有効化可能)。 |
|
メッセージブローカー RabbitMQを使用する場合(現在は分散監視でのピギーバックデータの転送にのみ必要)、ポート 5671 の星型相互アクセス可能性を確保してください。 各リモートサイトはセントラルサイトにアクセスでき、セントラルサイトは各リモートサイトにアクセスできる必要があります。 リモートサイトが相互に直接アクセスできるメッシュ型アクセスも可能な場合、メッセージはこの直接ルートを介して送信されます。 |
4. Checkmk サーバーのローカルポート
以下のポートは、ローカルループバックインターフェース上の Checkmk サーバーによって使用されます。 Checkmk サーバーで非常に厳格なファイアウォール設定を使用している場合は、IP アドレス 127.0.0.1 (IPv4) および ::1 (IPv6) に対して、これらのポートをそれぞれ着信および発信通信用に有効にする必要があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
5000 |
TCP |
HTTP サイト Apache |
各 Checkmk サイトには独自の Apache があり、外部から呼び出し可能な Apache がリバースプロキシとしてアクセスします。追加のサイトは、ポート 5001 などを使用します。 |
6558 |
TCP |
イベントコンソールステータスポート(オプションで有効化可能) |
|
1431 |
TCP |
OpenTelemetry 管理 |
コレクターを監視するには、OpenTelemetryコレクターの管理インターフェースへのアクセス(Checkmk Cloud 以降でオプションで有効化可能)が必要です。 |
15671 |
TCP |
RabbitMQ 管理 |
このポートは、RabbitMQ メッセージブローカーの管理のために内部で使用されます(現在は、分散監視におけるピギーバックデータの転送にのみ必要です)。 |
2567 |
TCP |
RabbitMQ 管理 |
このポートは、RabbitMQ メッセージブローカー(上記を参照)の管理のために内部で使用されます。 |
5. Windows ホストのローカルポート
エージェントプログラムと エージェントコントローラーの 2 つのコンポーネントの通信を監視するために、Windows ホストでは次のポートが使用されます。 監視対象のホストで非常に厳格なファイアウォール設定を使用している場合は、IP アドレス 127.0.0.1 (IPv4) および ::1 (IPv6) に対して、このポートをそれぞれ受信および送信の通信用に有効にする必要があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
28250 |
TCP |
Checkmkエージェント |
エージェントプログラムがポートを開きます。Checkmk サーバーとの暗号化通信を担当する |
6. Checkmk アプライアンスクラスタ
2 台の Checkmk アプライアンス(「ノード」)を1 つのクラスタに結合することができます。 これにより、すべての設定およびデータが 2 台のデバイス間で同期されます。
両方のノードで、送受信通信用に以下のポートを有効にする必要があります。
注意 2 つのアプライアンス間の通信は暗号化されていないため、不正な者がネットワークトラフィックを傍受できないよう、何らかの対策を講じる必要があります。 たとえば、2 つのアプライアンスがラック内にある場合は直接接続し、物理的に近接させたくない場合は暗号化された VLAN を使用します。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
312 |
TCP |
ペースメーカー |
ペースメーカークラスタリソースマネージャ |
4321 |
UDP |
Corosync |
Corosync クラスタエンジン |
4323 |
UDP |
Corosync |
Corosync クラスタエンジン |
7789 |
TCP |
DRBD |
DRBD(分散複製ブロックデバイス)の同期化 |
7. アクセス可能なポート(送信)
Checkmk サーバーからアクセス可能な追加のポートが必要になる場合があります。
| ポート | プロトコル | 指定 | 補足情報 |
|---|---|---|---|
53 |
UDP |
DNS |
システム設定で指定されているネームサーバーに到達できる必要があります。 |
12 |
UDP |
NTP |
時刻同期 |
25/465/587 |
TCP |
SMTP |
Checkmk サーバーからの電子メールによる通知の送信(ポートはメールサーバーの設定によって異なります) |
44 |
TCP |
HTT |
ライセンスサーバーとの通信(商業版のみ、サーバー: |
389/636 |
TCP |
LDAP |
LDAP 認証 (ポート 389 TCP、ポート 636 TCP の LDAPS として) |