Noob vs. Icinga 2

von Nicole Frosch | Mai 16, 2018 | NETWAYS, Icinga, Apps, Web Services, Team, Monitoring & Observability

Nachdem unser Michael Friedrich letzte Woche einen Blog-Post zum 9. Icinga Geburtstag auf icinga.com veröffentlicht hat, fängt man schon mal an, über die eigenen ersten Schritte mit dem Icinga 2 Stack nachzudenken. Vor allem, wenn man auf einem Live-System mal wieder über etwas aus der Anfangszeit stolpert.

Eines meiner ersten Aha!-Erlebnisse war recht klein, jedoch wurde mir dann versichert, dass da auch gestandene User bzw. Admins darüberstolpern. Kern der Frage war damals: „Warum geht dieser *biep* http-check nicht?!“ Als Symptom zeigte sich, dass unserem Check der Zugriff verweigert wurde – und das, obwohl doch alle Permissions korrekt gesetzt waren. Da grübelt und googlet der Junior System Engineer erstmal eine Zeit lang. Um das Verfahren hier abzukürzen – es gibt folgende Möglichkeiten, das Problem anzugehen:
Der Grund liegt darin, dass der Check durch den Parameter –expect einen String mit dem Returnwert 200 als Default erwartet. Von daher kann man

als Quick’n’Dirty Lösung ganz einfach eine leere Datei mit dem Namen index.html im entsprechenden Verzeichnis angelegt werden
den String nach –expect auf einen sicher zu erwartenden Wert setzen, z. B. 302.
mit –url einen Pfad angeben, der geprüft werden soll, z. B. /start/menu

Auch schön war der Punkt, an dem man verstanden hat, was es mit dem Parameter command_endpoint auf sich hat – und man plötzlich merkt, dass unterschiedliche Festplatten z. B. auch unterschiedliche Füllstände aufweisen. Genauso faszinierend ist es natürlich auch, dass man durch Apply Rules viele Services weitläufig ausrollen oder umgekehrt auch einschränken kann.
Um nun abschließend einen unserer NETWAYS Consultants zu zitieren: „Das Kommando icinga2 daemon -C sollte man jedem neuen User irgendwohin tätowieren!“
Als Fazit aus den letzten zwei Jahren mit Icinga 2 kann ich ziehen, dass einem der Einstieg recht gut und schnell gelingt – egal, ob es sich um das Aufsetzen, die Wartung oder die täglich Nutzung handelt. Wer sich vor allem von letzterem gerne selbst überzeugen möchte, kann bei den NETWAYS Web Services in unserem kostenfreien Testmonat sowohl einen Icinga 2 Master als auch Satellite starten. Wer sich gerne tiefer in die Materie einarbeiten möchte, kann sich auf icinga.com schlau machen. Dort ist nicht nur die offizielle Dokumentation zu finden, sondern auch Termine zu Trainings und Events. Sehr zu empfehlen ist auch die überarbeitete Auflage des Buches Icinga 2: Ein praktischer Einstieg ins Monitoring von Lennart Betz und Thomas Widhalm.
Bildquelle: https://memegenerator.net/instance/40760148/jackie-chan-dafuq-is-wrong-with-ur-icinga-checks

NETWAYS Web Services: Meet and greet at Icinga Camp Berlin 2018

von Nicole Frosch | Mrz 7, 2018 | Monitoring & Observability, Serien, NETWAYS, Kunden, Icinga, Apps, Web Services, Events

Again, everybody who is interested in NETWAYS Web Services and especially in our Icinga 2 Master and Icinga 2 Satellite hosting can meet and greet our team lead Sebastian Saemann at Icinga Camp Berlin 2018, starting on Thursday, 8 March. Do not miss the chance to listen to his talk „Icinga as a Service“.
Main emphasis will of course be put on hosted instances of Icinga 2 Master and Icinga 2 Satellite which are two independent products on the NWS platform, but which can of course be combined to interact with each other. Furthermore – which is probably the most important aspect to our customers – is integration into an already existing environment. Running your monitoring on NWS is smooth, simple and fast.

How customers benefit from a hosted Icinga 2 instance

no need for investement on hardware
software is kept up-to-date by our team of experts
backup is done and kept save by NWS
Icinga 2 Satellite can be set up at three different locations around the globe
Icinga 2 integration with Rocket.Chat for notifications: automated integration when Rocket.Chat is hosted on NWS
each app is monthly callable

Anybody who is not able to attend Icinga Camp Berlin 2018 can have a look at our other upcoming Icinga events or watch our product videos on the NWS platform:

More information can be found on our NWS homepage, in our FAQ sections or by contacting us via the NWS livechat.
Important note: All NWS products are up for a 30 day free trial!

Icinga 2 Best Practice Teil 5: Autosign von Zertifikatsanfragen in verteilten Umgebungen

von Lennart Betz | Mai 5, 2017 | Icinga

Ein jeder kennt das Problem, im Unternehmensnetz gibt es unterschiedliche netzwerkbezogene Sicherheitszonen, die mittels Perimeter voneinander getrennt sind. Für das Monitoring bedeutet dies im Idealfall, man stellt in jeder dieser Zonen einen Icinga-Satelliten bereit, der die von ihm ermittelten Ergebnisse an eine zentrale Instanz weiter meldet, den Icinga-Master. Damit ist gewährleistet, was Firewall-Admins berechtigterweise verlangen, lediglich Punkt-zu-Punkt-Verbindungen zu erlauben. Auch die Richtung des Verbindungsaufbaus ist mit Icinga 2 wählbar.
Setzt man zusätzlich auch Icinga 2 in der Ausprägung Agent ein, benötigt dieser ein signiertes Zertifikat um mit seinem jeweiligen Satelliten oder direkt mit dem Master zu kommunizieren. Im letzten Fall entstehen hieraus keine Probleme. In der Regel wird die CA, in einer Umgebung mit mehreren Satelliten auf dem Master betrieben. Bei lediglich einem Satelliten könnte die CA auch auf genau diesem Satelliten laufen, was jedoch Sicherheitsbedenken hervorruft. Ein Zertifikat aus einer niedrigen Sicherheitszone könnte verwendet werden, um mit einer höheren zu kommunizieren. Gleiches gilt natürlich auch bei der Benutzung lediglich einer CA, aber die Netzwerksicherheit soll ja dieses Risiko Minimieren.
Bleibt das Problem auf einem neuinstallierten Agenten mittels Autosigning ein beglaubigtes Zertifikat zu erhalten. Hier kann eine eigene CA auf jedem Satelliten Abhilfe schaffen. Der jeweilige Agent benötigt nun nur eine Verbindung zu seinem Satelliten um einen Request zu senden und keine Kommunikation zum Master. Wie wird nun dieses genau bewerkstelligt?

Erstellen einer CA auf dem Satelliten
Der Satellit bekommt ein Zertifikat signiert von seiner eigene CA
Der Satellit benötigt sein eigenes RootCA-Zertifikat und das vom Master
Der Master bekommt umgekehrt ebenfalls das RootCA vom Satelliten

Lennart Betz

Senior Consultant

Der diplomierte Mathematiker arbeitet bei NETWAYS im Bereich Consulting und bereichert seine Kunden mit seinem Wissen zu Icinga, Nagios und anderen Open Source Administrationstools. Im Büro erleuchtet Lennart seine Kollegen mit fundierten geschichtlichen Vorträgen die seinesgleichen suchen.

Lies mehr von Lennart und triff unser Team

Medizintechnik für höchste Ansprüche

von Birger Schmidt | Mrz 12, 2010 | Kunden, Team

Gerade habe ich bei der Mitarbeitervorstellung die Frage beantwortet was mir bei meiner Arbeit besonders viel Spass macht. Ich kann der Antwort noch etwas hinzufügen! Die Vielseitigkeit der Consultingtermine ist aussergewöhnlich.

Auf einem eigentlich sehr knapp bemessenen zwei Tage Beratungstermin bei Stryker in Duisburg habe ich das volle Programm genossen.

Auf den Beweisfotos ist folgendes zu sehen:

1. Das gute alte Flipchart hilft beim Durchschauen der Template basierten Konfiguration des Master/Slave Monitoringkonzeptes.

2. Die Produkte die Stryker herstellt sind beileibe nicht von der Stange.

3. Daher braucht man dann auch das hauseigene Werkzeug dazu.

4.-6. In Düsseldorf kann man (beinahe ;-)) so gut essen wie in Franken.

Dabei treten die verschiedenen technischen Herausforderungen fast in den Hintergrund.