matzewo
Goto Top

Überwachung von Systemen ohne direkten Netzwerkzugriff

Moin,
wir haben ein klassisches Veeam-Linux-Repoistory allerdings mit einem dedizieren Storage was per iSCSI gemountet wird.

Das Konstrukt sieht also so aus:
Netzwerk - Linux-Repository - Storage

So, das Linux-Repository läuft auf einen HP DL360.

Die Empfehlung von Veeam ist es ja das System per SNMP über die ILO-Karte zu überwachen. Dort weigere ich mich aber da ich über die ILO ja viel machen kann. Also habe ich nur die eine NIC vom Repository in meinem Netzwerk.

Nun möchte ich aber wissen ob HDDs vom Storage defekt sind oder ähnliches (ist eine Synology Rackstation).

Wie würdet ihr vorgehen? Sowohl die ILO als auch die Synology können ja snmp.

Ich habe hier diverse LANCOM Router liegen. War schon am überlegen ob ich die LANCOM als Firewall nutze und dafür sorge, dass die nur SNMP durchlassen. Oder ein SNMP NAT oder so.

Alternative war schon ob ich auf dem Linux Repo einen Zabbix Proxy installiere und der per SNMP sowohl die ILO als auch die Synology abfragt.

Jemand noch einen Vorschlag?

Monitoring-System ist zabbix angedacht, wobei ich dort noch in der Ideenfindung bin.

Vielen Dank für euern Input.

Content-ID: 2101726711

Url: https://administrator.de/forum/ueberwachung-von-systemen-ohne-direkten-netzwerkzugriff-2101726711.html

Ausgedruckt am: 27.12.2024 um 18:12 Uhr

commodity
commodity 08.11.2023 um 17:40:10 Uhr
Goto Top
+1 für Zabbix. Läuft bei mir seit Jahren anspruchslos und zuverlässig.

Viele Grüße, commodity
SeaStorm
SeaStorm 08.11.2023 aktualisiert um 19:18:06 Uhr
Goto Top
Zabbix ist super. Ich liebe es

Ansonsten: Mach ein Monitoring mit Zabbix auf das ILO.
Entweder das Netz entsprechend isolieren oder, falls du es wirklich nicht am Netz haben willst:
Schalte einen Switch zwischen ILO und Netzwerk und schalte diesen mit einer Zeitschaltuhr an/ab. Lass dann nur 1x am Tag für ein paar Minuten den Switch laufen. Das reicht ja um per Zabbix die Alerts abzufragen.

Persönlich halte ich das bei mir recht simpel mit der Backupumgebung:

Der Mediaagent (also der Server der die Backups abgreift) steht in seinem eigenen isolierten Netzwerk. Dieses wird von einer eigenen Firewall isoliert und lässt nur Traffic von innen nach aussen. Eingehend ist ausschliesslich RDP von einem nur für diesen Zwecke existierenden PC erlaubt. Der ist natürlich nicht im AD und wiederum in seinem eigenen VLAN.
radiogugu
radiogugu 08.11.2023 um 19:09:45 Uhr
Goto Top
Nabend.

+1 für Zabbix.

Stelle doch die Synology mit einem Bein und das iLO in ein Management Netzwerk. Dieses dann via VLAN vom Rest segmentieren und abschotten, dass nur der Zabbix Server auf Port UDP 161 mit denen sprechen kann.

Dann konfigurierst du SNMP v3 mit Authentifizierung.

So haben wir das im Einsatz und sind glücklich damit.

Gruß
Marc
Spirit-of-Eli
Spirit-of-Eli 08.11.2023 um 19:24:37 Uhr
Goto Top
Moin,

pack dein ILO in ein separates Netz. Dann stellt sich die Security Frage von dir nicht.

Gruß
Spirit
regnor
regnor 09.11.2023 um 22:17:03 Uhr
Goto Top
Weder das iLO noch das Management Interface der Synology sollten im Netzwerk erreichbar sein; auch nicht wenn eine Firewall davor steht. Bekommt ein Angreifer Zugriff auf eines von beiden, kann er eure Backups löschen.

Das einfachste (und banalste) wäre eine regelmäßige Prüfung der Disks vor Ort; oder auch per Webcam von remote aus.

Ansonsten klemmt die Synology nur an den Linux Server an und wertet von diesem dann den Disk Status aus. Wenn möglich per Push vom Server selbst aus, und nicht aktiv per Pull von einem anderen System.