5
Überwachung von Systemen ohne direkten Netzwerkzugriff
Moin,
wir haben ein klassisches Veeam-Linux-Repoistory allerdings mit einem dedizieren Storage was per iSCSI gemountet wird.
Das Konstrukt sieht also so aus:
Netzwerk - Linux-Repository - Storage
So, das Linux-Repository läuft auf einen HP DL360.
Die Empfehlung von Veeam ist es ja das System per SNMP über die ILO-Karte zu überwachen. Dort weigere ich mich aber da ich über die ILO ja viel machen kann. Also habe ich nur die eine NIC vom Repository in meinem Netzwerk.
Nun möchte ich aber wissen ob HDDs vom Storage defekt sind oder ähnliches (ist eine Synology Rackstation).
Wie würdet ihr vorgehen? Sowohl die ILO als auch die Synology können ja snmp.
Ich habe hier diverse LANCOM Router liegen. War schon am überlegen ob ich die LANCOM als Firewall nutze und dafür sorge, dass die nur SNMP durchlassen. Oder ein SNMP NAT oder so.
Alternative war schon ob ich auf dem Linux Repo einen Zabbix Proxy installiere und der per SNMP sowohl die ILO als auch die Synology abfragt.
Jemand noch einen Vorschlag?
Monitoring-System ist zabbix angedacht, wobei ich dort noch in der Ideenfindung bin.
Vielen Dank für euern Input.
wir haben ein klassisches Veeam-Linux-Repoistory allerdings mit einem dedizieren Storage was per iSCSI gemountet wird.
Das Konstrukt sieht also so aus:
Netzwerk - Linux-Repository - Storage
So, das Linux-Repository läuft auf einen HP DL360.
Die Empfehlung von Veeam ist es ja das System per SNMP über die ILO-Karte zu überwachen. Dort weigere ich mich aber da ich über die ILO ja viel machen kann. Also habe ich nur die eine NIC vom Repository in meinem Netzwerk.
Nun möchte ich aber wissen ob HDDs vom Storage defekt sind oder ähnliches (ist eine Synology Rackstation).
Wie würdet ihr vorgehen? Sowohl die ILO als auch die Synology können ja snmp.
Ich habe hier diverse LANCOM Router liegen. War schon am überlegen ob ich die LANCOM als Firewall nutze und dafür sorge, dass die nur SNMP durchlassen. Oder ein SNMP NAT oder so.
Alternative war schon ob ich auf dem Linux Repo einen Zabbix Proxy installiere und der per SNMP sowohl die ILO als auch die Synology abfragt.
Jemand noch einen Vorschlag?
Monitoring-System ist zabbix angedacht, wobei ich dort noch in der Ideenfindung bin.
Vielen Dank für euern Input.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2101726711
Url: https://administrator.de/contentid/2101726711
Printed on: May 1, 2024 at 23:05 o'clock
5 Comments
Latest comment
+1 für Zabbix. Läuft bei mir seit Jahren anspruchslos und zuverlässig.
Viele Grüße, commodity
Viele Grüße, commodity
Zabbix ist super. Ich liebe es
Ansonsten: Mach ein Monitoring mit Zabbix auf das ILO.
Entweder das Netz entsprechend isolieren oder, falls du es wirklich nicht am Netz haben willst:
Schalte einen Switch zwischen ILO und Netzwerk und schalte diesen mit einer Zeitschaltuhr an/ab. Lass dann nur 1x am Tag für ein paar Minuten den Switch laufen. Das reicht ja um per Zabbix die Alerts abzufragen.
Persönlich halte ich das bei mir recht simpel mit der Backupumgebung:
Der Mediaagent (also der Server der die Backups abgreift) steht in seinem eigenen isolierten Netzwerk. Dieses wird von einer eigenen Firewall isoliert und lässt nur Traffic von innen nach aussen. Eingehend ist ausschliesslich RDP von einem nur für diesen Zwecke existierenden PC erlaubt. Der ist natürlich nicht im AD und wiederum in seinem eigenen VLAN.
Ansonsten: Mach ein Monitoring mit Zabbix auf das ILO.
Entweder das Netz entsprechend isolieren oder, falls du es wirklich nicht am Netz haben willst:
Schalte einen Switch zwischen ILO und Netzwerk und schalte diesen mit einer Zeitschaltuhr an/ab. Lass dann nur 1x am Tag für ein paar Minuten den Switch laufen. Das reicht ja um per Zabbix die Alerts abzufragen.
Persönlich halte ich das bei mir recht simpel mit der Backupumgebung:
Der Mediaagent (also der Server der die Backups abgreift) steht in seinem eigenen isolierten Netzwerk. Dieses wird von einer eigenen Firewall isoliert und lässt nur Traffic von innen nach aussen. Eingehend ist ausschliesslich RDP von einem nur für diesen Zwecke existierenden PC erlaubt. Der ist natürlich nicht im AD und wiederum in seinem eigenen VLAN.
Nabend.
+1 für Zabbix.
Stelle doch die Synology mit einem Bein und das iLO in ein Management Netzwerk. Dieses dann via VLAN vom Rest segmentieren und abschotten, dass nur der Zabbix Server auf Port UDP 161 mit denen sprechen kann.
Dann konfigurierst du SNMP v3 mit Authentifizierung.
So haben wir das im Einsatz und sind glücklich damit.
Gruß
Marc
+1 für Zabbix.
Stelle doch die Synology mit einem Bein und das iLO in ein Management Netzwerk. Dieses dann via VLAN vom Rest segmentieren und abschotten, dass nur der Zabbix Server auf Port UDP 161 mit denen sprechen kann.
Dann konfigurierst du SNMP v3 mit Authentifizierung.
So haben wir das im Einsatz und sind glücklich damit.
Gruß
Marc
Moin,
pack dein ILO in ein separates Netz. Dann stellt sich die Security Frage von dir nicht.
Gruß
Spirit
pack dein ILO in ein separates Netz. Dann stellt sich die Security Frage von dir nicht.
Gruß
Spirit
Weder das iLO noch das Management Interface der Synology sollten im Netzwerk erreichbar sein; auch nicht wenn eine Firewall davor steht. Bekommt ein Angreifer Zugriff auf eines von beiden, kann er eure Backups löschen.
Das einfachste (und banalste) wäre eine regelmäßige Prüfung der Disks vor Ort; oder auch per Webcam von remote aus.
Ansonsten klemmt die Synology nur an den Linux Server an und wertet von diesem dann den Disk Status aus. Wenn möglich per Push vom Server selbst aus, und nicht aktiv per Pull von einem anderen System.
Das einfachste (und banalste) wäre eine regelmäßige Prüfung der Disks vor Ort; oder auch per Webcam von remote aus.
Ansonsten klemmt die Synology nur an den Linux Server an und wertet von diesem dann den Disk Status aus. Wenn möglich per Push vom Server selbst aus, und nicht aktiv per Pull von einem anderen System.
