Wir nutzen Cookies, um Ihnen eine optimale Nutzung dieser Webseite zu ermöglichen. Mehr Informationen finden Sie im Datenschutzhinweis. Wir nehmen an, dass Sie damit einverstanden sind, falls Sie diese Webseite weiter besuchen.

Ihre Cookie-Einstellungen
Ihre Einstellungen wurden aktualisiert.
Damit die Änderungen wirksam werden, löschen Sie bitte Ihre Browser-Cookies und den Cache und laden dann die Seite neu.

Appliance einrichten und nutzen

Checkmk Manual

Auf dieser Seite

Suche im Handbuch

Dieser Artikel ist noch nicht fertig und nur ein Entwurf!

1. Grundkonfiguration

1.1. Initialisierung beim Erststart

An diesem Punkt sollten Sie die Appliance auf einem Rack beziehungsweise in einer virtuellen Maschine, wahlweise VirtualBox oder VMWare ESXi, eingerichtet und gestartet haben. Während des ersten Starts erscheint zunächst eine Meldung zur Auswahl der gewünschten Sprache. Diese Sprache wird für das gesamte Gerät gespeichert.

Im Anschluss erscheint eine Meldung, die zur Intialisierung des Datenmediums auffordert. Bestätigen Sie diesen Dialog und warten Sie, bis der Start des Geräts fortgesetzt und anschließend der Statusbildschirm angezeigt wird.

Nach dem Start des Geräts sehen Sie an der lokalen Konsole den Statusbildschirm.

Dieser Bildschirm zeigt Ihnen allgemeine Statusinformationen und die wichtigsten Konfigurationsoptionen Ihres Geräts an.

1.2. Netzwerk- und Zugriffskonfiguration via Konsole

Vom Statusbildschirm aus erreichen Sie das Konfigurationsmenü über die Taste F1.

Für die Inbetriebnahme des Geräts müssen Sie nun die Netzwerkkonfiguration einstellen und das Gerätepasswort festlegen.

Netzwerkkonfiguration

Über den Punkt Network Configuration richten Sie zunächst das Netzwerk ein. Dazu werden die IP-Adresse, Netzmaske und das optionale Standard-Gateway abgefragt.

In den meisten Fällen soll das Gerät auch auf Netzwerkgeräte außerhalb des eigenen Netzwerksegments zugreifen können. Hierfür muss das Standard-Gateway ebenfalls konfiguriert werden.

Nach der Eingabe dieser Werte wird die Konfiguration aktiviert. Damit ist das Gerät sofort unter der angegebenen IP-Adresse über das Netzwerk erreichbar. Dies können Sie z. B. mit einem ping von einem anderen Gerät im Netzwerk testen.

Zugriff auf die Weboberfläche

Der Großteil der Konfiguration des Geräts wird über die Weboberfläche erledigt. Der Zugriff darauf ist durch das Gerätepasswort geschützt, das Sie zunächst festlegen müssen.

Im Auslieferungszustand ist kein solches Passwort gesetzt, also auch kein Zugriff auf die Weboberfläche möglich. Drücken Sie im Statusbildschirm F1 und wählen Sie Device Password, um das Passwort festzulegen.

Anschließend wählen Sie aus dem Konfigurationsmenü die Option Web Configuration, um die Weboberfläche zu aktivieren.

Wenn Sie diese Schritte abgeschlossen haben, sehen Sie auf dem Statusbildschirm der Konsole, wie im obigen Screenshot, die konfigurierte IP-Adresse im Kasten Device Infos und Web Configuration: on im Kasten Access. Wenn Sie das Gerät bereits korrekt mit Ihrem Netzwerk verbunden haben, sehen Sie nun, dass die Netzwerkverbindung aktiv ist (LAN: UP im Kasten Status.)

Zugriff auf die Konsole schützen

Beim Start der Appliance ist Ihnen vielleicht aufgefallen, dass es keine Passwortabfrage gab. Jeder mit physischem Zugriff auf das Rack oder die Management-Oberfläche der Virtualisierungslösung könnte die Grundeinstellungen über die Konsole ändern. Über den Menpüpunk Console Login sollten Sie daher den Passwortschutz aktivieren.

Anschließend sehen Sie auf der Startseite im Kasten Access die Meldung Console Login: on.

1.3. Grundeinstellungen in der Weboberfläche

Nachdem Sie durch die vorherige Konfiguration den Zugriff auf die Weboberfläche freigeschaltet haben, können Sie nun die Weboberfläche über einen Webbrowser auf einem Computer, der mit dem Gerät über das Netzwerk verbunden ist, öffnen. Dazu geben Sie in die Adresszeile des Browsers die Appliance-URL ein, hier etwa http://192.168.178.111/. Hier sehen Sie nun den Loginbildschirm der Weboberfläche.

Nachdem Sie sich mit dem vorher festgelegten Passwort eingeloggt haben, öffnet sich das Hauptmenü, aus dem Sie alle Funktionen der Weboberfläche erreichen können.

Wählen Sie hier den Menüpunkt Device Settings. In diesem Dialog können Sie die wichtigsten Einstellungen des Geräts einsehen und ändern.

Per Klick auf die Titel der Einstellungen gelangen Sie zum jeweiligen Dialog zum Anpassen dieser Einstellung.

Sofern in Ihrer Umgebung vorhanden, sollten Sie nun zunächst einen oder mehrere DNS-Server konfigurieren, damit die Auflösung von Hostnamen genutzt werden kann. Wenn in Ihrer Umgebung ein oder mehrere NTP-Server für die Zeitsynchronisation zur Verfügung stehen, geben Sie diese über IP-Adressen oder Hostnamen unter dem Punkt NTP Servers ein.

Wenn von Ihrem Gerät aus E-Mails verschickt werden sollen, z. B. Notifikationen bei erkannten Problemen, müssen Sie die Option Outgoing Emails konfigurieren. Dazu tragen Sie den für dieses Gerät zuständigen SMTP-Relay-Server und eventuell dafür benötigte Zugangsdaten ein. An diesen Server werden alle E-Mails geschickt, die auf dem Gerät erzeugt werden.

Sie können unter dieser Einstellung auch konfigurieren, dass alle E-Mails, die vom Betriebssystem des Geräts erzeugt werden, z. B. bei kritischen Fehlern, an eine separate E-Mail-Adresse geschickt werden sollen.

Nun ist die Grundkonfiguration des Geräts abgeschlossen und Sie können mit der Einrichtung der ersten Monitoring-Instanz fortfahren.

2. Monitoring-Instanzen verwalten

2.1. Neue Instanz anlegen

Öffnen Sie das Hauptmenü der Weboberfläche und klicken auf den Menüpunkt Site Management. In diesem Dialog haben Sie Zugriff auf alle Monitoring-Instanzen dieses Geräts, können diese konfigurieren, aktualisieren, löschen und neue Instanzen anlegen.

Beim ersten Zugriff ist der Dialog noch leer. Zum Erstellen Ihrer ersten Monitoring-Instanz, klicken Sie nun auf den Knopf Create New Site. Im daraufhin erscheinenden Dialog können Sie die initiale Konfiguration der Monitoring-Instanz festlegen.

Tragen Sie hier zunächst eine Instanz-ID ein, die der Identifikation der Monitoring-Instanz dient. Die Instanz-ID darf nur Buchstaben, Ziffern, - und _ enthalten, muss mit einem Buchstaben oder _ beginnen und darf maximal 16 Zeichen lang sein.

Wählen Sie nun die Checkmk-Version mit der die Monitoring-Instanz erstellt werden soll.

Alle weitere Einstellungen können Sie zunächst unverändert lassen. Diese Einstellungen können Sie später über den Dialog zum Bearbeiten der Instanz anpassen.

Sobald Sie den Dialog mit Create Site bestätigen, wird die neue Monitoring-Instanz angelegt. Dies kann einige Sekunden dauern. Nachdem die Instanz angelegt und gestartet wurde, gelangen Sie zur Auflistung aller Monitoring-Instanzen.

Hier sehen Sie die soeben angelegte Instanz mit der ID mysite und ihren Status, hier running. Mit dem rechts daneben sichtbaren Knopf in der Spalte Control können Sie die Instanz starten bzw. stoppen. Links sehen Sie verschiedene Icons mit denen Sie a) die Einstellungen der Instanz bearbeiten, b) die Instanz updaten und c) die Instanz löschen können.

Nachdem die Instanz angelegt und gestartet wurde, können Sie wahlweise auf die Instanz-ID klicken oder in der Adresszeile Ihres Webbrowsers direkt die URL zur Monitoring-Instanz aufrufen, hier 192.168.178.111/mysite.

Hier sehen Sie nun den Loginbildschirm der Monitoring-Instanz. Sie können sich mit den Zugangsdaten, die Sie beim Anlegen der Instanz eingegeben haben, einloggen. Nach dem Login können Sie Checkmk wie gewohnt einrichten. In allen Monitoring-Instanzen ist für alle Administratoren in der Sidebar das Snapin Checkmk Appliance verfügbar. Damit gelangen Sie aus Ihren Monitoring-Instanzen direkt zur Weboberfläche der Appliance.

2.2. Existierende Instanzen migrieren

Es kommt häufig vor, dass eine bereits auf einem anderen Linux-System laufende Monitoring-Instanz auf eine Checkmk-Appliance migriert werden soll. Die Checkmk-Appliance bietet hierzu einen Dialog an, der für Sie die Migration durchführt.

Folgende Voraussetzungen müssen erfüllt sein:

  • Sie benötigen eine Netzwerkverbindung zwischen dem Quellsystem und Ihrem Gerät.
  • Die Checkmk-Version der Quellinstanz muss auf Ihrem Gerät installiert sein (Architekturwechsel von 32-bit auf 64-bit sind möglich).
  • Die Quellinstanz muss während der Migration gestoppt sein.

In der Weboberfläche finden Sie unter dem Punkt Site Management einen Knopf Migrate Site.

In diesem Dialog müssen Sie zunächst die Hostadresse (Hostname, DNS-Name oder IP-Adresse) des Quellsystems unter Source Host angeben. Außerdem geben Sie die ID der zu migrierenden Instanz unter Source site ID an.

Die Migration der Instanz geschieht über SSH. Sie benötigen hierzu die Zugangsdaten für einen Nutzer, der sich auf dem Quellsystem einloggen kann und berechtigt ist, auf alle Dateien der Instanz zuzugreifen. Hierzu können Sie den root-Benutzer des Quellsystems oder, falls ein Passwort für den Instanz-Nutzer konfiguriert ist, den Instanz-Nutzer verwenden.

Optional können Sie nun noch wählen, ob Sie für die Zielinstanz auf Ihrem Gerät eine neue Instanz-ID verwenden oder die Original-ID unverändert lassen wollen.

Weiterhin können Sie auch konfigurieren, dass Sie die Performancedaten (Messwerte bzw. Graphen) und historische Aufzeichnungen der Ereignisse des Monitorings bei der Migration nicht mit übertragen wollen. Dies kann sinnvoll sein, wenn Sie kein 1:1-Abbild der Instanz brauchen, sondern diese nur, z. B. zu Testzwecken, duplizieren wollen.

Nachdem Sie diesen Dialog ausgefüllt und mit Start bestätigt haben, wird Ihnen der Fortschritt der Migration angezeigt.

Nach Abschluss der Migration können Sie die Migrationsverwaltung über den Knopf Complete verlassen. Sie landen wieder in der Instanzverwaltung und können die importierte Instanz wie gewohnt starten und verwalten.

3. Checkmk-Versionen verwalten

Es ist möglich, auf dem Gerät mehrere Checkmk-Versionen parallel zu installieren. Dadurch können mehrere Instanzen in verschiedenen Versionen betrieben und einzelne Instanzen unabhängig voneinander auf neuere bzw. ältere Versionen gewechselt werden. Damit können Sie beispielsweise eine neue Version installieren und diese zunächst in einer Testinstanz ausprobieren um, nach erfolgreichem Test, anschließend Ihre Produktivinstanz zu aktualisieren.

Zum Verwalten der Checkmk-Versionen wählen Sie im Hauptmenü der Weboberfläche den Eintrag Checkmk versions.

Im folgenden Dialog werden Ihnen alle installierten Checkmk-Versionen aufgelistet. Sofern eine Version von keiner Instanz verwendet wird und nicht die letzte installierte Version ist, haben Sie die Möglichkeit, diese von der Appliance zu löschen.

Außerdem können Sie hier neue Checkmk-Versionen auf das Gerät hochladen, um diese in neuen Instanzen zu verwenden oder bestehende Instanzen zu aktualisieren.

Laden Sie dazu zunächst die gewünschte Checkmk-Version von unserer Webseite auf Ihren Computer herunter (suchen Sie in der Spalte Distribution nach Checkmk Appliance).

Wählen Sie anschließend mit Hilfe des Dateiauswahldialogs die Datei von Ihrer Festplatte aus und bestätigen Sie die Auswahl mit einem Klick auf Upload & Install.

Nun wird die Checkmk-Version auf das Gerät hochgeladen. Dies kann, je nach Netzwerkverbindung zwischen Ihrem Computer und dem Gerät, einige Minuten dauern. Nachdem das Hochladen erfolgreich abgeschlossen wurde, sehen Sie die neue Version in der Tabelle der installierten Versionen.

4. Firmware-Installation

Sie können die Software Ihres Geräts auf eine neuere Version aktualisieren oder auf eine ältere Version zurück wechseln. Beides geschieht über das sogenannte Firmware-Update in der Weboberfläche.

Laden Sie zunächst das gewünschte Firmware-Paket von unserer Webseite auf Ihren Computer herunter. Öffnen Sie im Anschluss die Weboberfläche des Geräts und wählen Sie im Hauptmenü den Punkt Firmware Update.

Wählen Sie hier das vorher heruntergeladene Firmware-Paket von der Festplatte aus und bestätigen Sie den Dialog durch einen Klick auf Upload & Install. Nun wird das Paket auf Ihr Gerät geladen, was je nach Netzwerkverbindung einige Minuten dauern kann.

Nachdem das Paket als gültige Firmware erkannt wurde, wird Ihnen ein Dialog zur Bestätigung des Firmware-Updates angezeigt. Dabei erscheinen, je nach Versionsunterschieden der aktuellen und der zu installierenden Version, verschiedene Meldungen, die Sie über die Behandlung Ihrer Daten während des Updates informieren:

  • Änderung der ersten Stelle der Versionsnummer: Sie müssen die Daten Ihres Geräts manuell sichern und nach dem Update wieder einspielen. Ein Update ohne Datenmigration ist nicht möglich.
  • Update auf höhere Nummer an der zweiten Stelle: Das Update kann ohne eine Migration von Daten durchgeführt werden. Eine vorherige Sicherung wird trotzdem empfohlen.
  • Downgrade auf niedrigere Nummer an der zweiten Stelle: Sie müssen die Daten Ihres Geräts manuell sichern und nach dem Update wieder einspielen. Ein Update ohne Datenmigration ist nicht möglich.
  • Änderung der dritten Stelle der Versionsnummer: Das Update kann ohne eine Migration von Daten durchgeführt werden. Eine vorherige Sicherung wird trotzdem empfohlen.

Wenn Sie diesen Dialog bestätigen, wird das Gerät sofort neu gestartet. Beim Neustart des Geräts wird die zuletzt hochgeladene Firmware installiert. Der Neustart dauert dadurch deutlich länger als sonst, jedoch in der Regel weniger als 10 Minuten. Nach der Installation wird ein weiterer Neustart ausgeführt, damit ist das Firmware-Update abgeschlossen.

5. Geräteeinstellungen

5.1. Sprache anpassen

Während der Grundkonfiguration haben Sie die Sprache Ihres Geräts festgelegt. Diese können Sie jederzeit sowohl über die Konfiguration der Konsole, als auch über die Geräteeinstellungen in der Weboberfläche anpassen. Wie auch alle sonstigen Einstellungen in diesem Dialog, werden Änderungen durch das Speichern sofort wirksam.

5.2. Netzwerkkonfiguration anpassen

Auch das Netzwerk haben Sie bereits während der Grundkonfiguration über die Konsole eingestellt, können die Werte jedoch wiederum über diesen Punkt in der Weboberfläche ändern. Sollte Ihnen dabei ein Fehler unterlaufen und das Gerät über den Browser nicht mehr erreichbar sein, müssen Sie zum Korrigieren wieder die Konsole nutzen.

5.3. Host- und Domainnamen konfigurieren

Host- und Domainnamen dienen der Identifikation eines Computers im Netzwerk. Diese Namen werden beispielsweise beim Versenden von E-Mails zum Bilden der Absenderadresse genutzt. Außerdem werden alle Logeinträge, die an einen Syslog-Server gesendet werden, mit den konfigurierten Hostnamen als Quellhost ergänzt, um die Einträge leichter zuordnen zu können.

5.4. Namensauflösung konfigurieren

In den meisten Umgebungen werden DNS-Server zum Übersetzen von IP-Adressen zu Hostnamen und umgekehrt eingesetzt. Häufig werden auch zum Monitoring statt IP-Adressen die Hostnamen oder FQDNs (Full Qualified Domain Names) genutzt.

Um die Namensauflösung auf Ihrem Gerät nutzen zu können, müssen Sie die IP-Adressen mindestens eines DNS-Servers Ihrer Umgebung konfigurieren. Empfehlung ist, mindestens zwei DNS-Server einzutragen.

Nur wenn Sie diese Option konfiguriert haben, können Sie z. B. bei der Konfiguration der NTP- oder Mailserver Host- und Domainnamen verwenden.

5.5. Zeitsynchronisation konfigurieren

Die Systemzeit des Geräts wird an vielen Stellen, z. B. zum Erfassen von Messwerten oder Schreiben von Logdateien, genutzt. Daher ist eine stabile Systemzeit sehr wichtig. Diese wird am Besten durch die Nutzung eines Zeitsynchronisationsdiensts (NTP) sichergestellt.

Zum Aktivieren der Synchronisation, tragen Sie die Hostadresse mindestens eines Zeitservers unter NTP-Server ein.

5.6. Syslog-Einträge weiterleiten

Auf dem Gerät werden durch das Betriebssystem und einige dauerhaft laufende Prozesse Logmeldungen erzeugt, die per Syslog zunächst in ein lokales Log geschrieben werden.

Diese Einträge können Sie auch an einen zentralen oder übergeordneten Syslog-Server schicken lassen, um sie dort auszuwerten, zu filtern oder zu archivieren.

Wählen Sie zur Konfiguration der Weiterleitung den Punkt Syslog.

Im folgenden Dialog können Sie nun konfigurieren, welches Protokoll Sie zur Weiterleitung verwenden wollen. Syslog über UDP ist weiter verbreitet, allerdings nicht so zuverlässig, wie über TCP. Wenn Ihr Syslog-Server also beide Protokolle unterstützt, empfehlen wir TCP.

Weiterhin müssen Sie noch die Hostadresse des Syslog-Servers konfigurieren, der die Logmeldungen annehmen soll.

5.7. Standard-Webseite ändern

Wenn Sie im Browser die URL der Appliance ohne weitere Pfadangaben aufrufen, gelangen Sie standardmäßig auf deren Startseite. Über HTTP access without URL brings you to können Sie alternativ eine installierte Monitoring-Instanz auswählen, auf die umgeleitet werden soll. Die Appliance-Startseite erreichen Sie dann über die URL samt Pfadangabe, also zum Beispiel 192.168.178.111/webconf.

5.8. Ausgehende E-Mails konfigurieren

Damit Sie von dem Gerät aus E-Mails verschicken können, z. B. bei Ereignissen während des Monitorings, muss die Weiterleitung der Mails an einen Ihrer Mailserver über Outgoing Emails konfiguriert werden.

Damit der Mailversand funktioniert, muss mindestens die Hostadresse Ihres Mailservers als SMTP-Relay-Server konfiguriert werden. Dieser Server nimmt die E-Mails von Ihrem Gerät an und leitet sie weiter.

Die Konfiguration des SMTP-Relay-Servers ist allerdings nur ausreichend, solange Ihr Mailserver E-Mails über anonymes SMTP akzeptiert. Wenn Ihr Mailserver eine Authentifizierung voraussetzt, dann müssen Sie unter dem Punkt Authentication die passende Loginmethode aktivieren und die Zugangsdaten eines Accounts angeben, der sich am Mailserver anmelden kann.

Sollten Sie selbst nach der Konfiguration keine E-Mails erreichen, lohnt ein Blick in das Systemlog des Geräts. Hier werden alle Versuche, Mails zu verschicken, protokolliert.

Das Gerät selbst kann Systemmails verschicken, wenn es kritische Probleme gibt, z. B. ein Job nicht ausgeführt werden kann oder ein Hardwareproblem erkannt wurde. Um diese E-Mails zu empfangen, müssen Sie über Send local system mails to eine E-Mail-Adresse konfigurieren, an die diese Mails verschickt werden sollen.

5.9. Zugriff auf Checkmk-Agenten anpassen

Auf dem Gerät ist ein Checkmk-Agent installiert, der in der Grundeinstellung nur vom Gerät selbst abgefragt werden kann. So können Sie die Appliance selbst in eine auf ihr laufende Monitoring-Instanzen aufnehmen.

Es ist ebenfalls möglich, den Checkmk-Agenten von einem entfernten Gerät aus erreichbar zu machen, so dass die lokale Appliance auch von einem anderen Checkmk-System überwacht werden kann, z. B. in einer verteilten Umgebung von einem zentralen Server. Hierzu können Sie eine Liste von IP-Adressen konfigurieren, die den Checkmk-Agenten kontaktieren dürfen.

6. Remote-Zugriff über SSH

6.1. Zugriffsoptionen

Sie können verschiedene Zugriffsarten über das Fernwartungsprotokoll SSH aktivieren. Grundsätzlich werden

  • der Zugriff auf die Konsole und
  • der direkte Login in die Instanzen

unterstützt. Der Zugriff auf den Systembenutzer root ist zwar möglich, wird aber nicht empfohlen bzw. supportet, da es hiermit sehr einfach möglich ist, die Konfiguration oder die Software zu beschädigen.

6.2. Instanzlogin über SSH aktivieren

Sie können den Zugriff auf die Kommandozeile der einzelnen Monitoring-Instanzen aktivieren. Hiermit können Sie die gesamte Umgebung der Instanz einsehen und steuern.

Dieser Zugriff wird über die Instanzverwaltung gesteuert. Im Einstellungsdialog jeder einzelnen Instanz können Sie den Zugriff aktivieren und deaktivieren sowie ein Passwort zum Schutz des Zugriffs festlegen.

6.3. Konsole über SSH aktivieren

Es ist möglich, den Zugriff auf die Konsole des Geräts über das Netzwerk zu aktivieren. Damit können Sie die Grundkonfiguration des Geräts auch ohne direkten Zugriff auf das Gerät einsehen und anpassen.

Sie können den Zugriff über den Konfigurationsdialog der Konsole freischalten. Wählen Sie dazu den Menüpunkt Console via SSH.

Wenn Sie die Option aktivieren, werden Sie zur Eingabe eines Passworts aufgefordert. Dieses Passwort müssen Sie eingeben, wenn Sie sich als Benutzer setup per SSH verbinden. Direkt nach dem Bestätigen dieses Dialogs wird der Zugriff automatisch freigeschaltet.

Sie können sich nun als Nutzer setup mit Hilfe eines SSH-Clients (z. B. PuTTY) mit dem Gerät verbinden.

Ob der Zugriff aktuell freigeschaltet ist, können Sie im Statusbildschirm im Kasten Access der Konsole einsehen.

6.4. root-Zugriff über SSH aktivieren

Es ist möglich, den Zugriff als Systembenutzer root auf das Gerät zu aktivieren. Nach der Initialisierung des Geräts ist dieser Zugriff jedoch deaktiviert. Einmal aktiviert, können Sie sich als Benutzer root über SSH am Gerät anmelden.

Befehle, die Sie als root auf dem Gerät ausführen, können nicht nur Ihre Daten, sondern auch das ausgelieferte System nachhaltig verändern oder beschädigen. Der Hersteller haftet nicht für Veränderungen, die Sie auf diese Art vorgenommen haben. Aktivieren und verwenden Sie den Benutzer root nur, wenn Sie sich sicher sind, was Sie tun und nur zu Diagnosezwecken.

Sie können den Zugriff über den Konfigurationsdialog der Konsole freischalten. Wählen Sie dazu den Menüpunkt Root Access via SSH.

Anschließend setzen Sie die Option auf enable.

Sobald Sie die Option aktivieren, werden Sie zur Eingabe eines Passworts aufgefordert. Dieses Passwort müssen Sie eingeben, wenn Sie sich als Benutzer root per SSH verbinden. Direkt nach dem Bestätigen dieses Dialogs wird der Zugriff automatisch freigeschaltet.

Sie können sich nun als Nutzer root mit Hilfe eines SSH-Clients (z. B. PuTTY) mit dem Gerät verbinden.

Ob der Zugriff aktuell freigeschaltet ist, können Sie im Statusbildschirm im Kasten Access der Konsole einsehen.

7. Appliance-GUI per TLS absichern

7.1. Zugriff über TLS einrichten

Im Auslieferungszustand geschieht der Zugriff auf die Weboberfläche Ihres Geräts über HTTP im Klartext. Sie können diesen Zugriff per HTTPS (TLS) absichern, so dass die Daten zwischen Ihrem Browser und dem Gerät verschlüsselt übertragen werden.

Die Konfiguration erreichen Sie über den Knopf Web Access in den Device Settings.

7.2. Zertifikat installieren

Um den Datenverkehr verschlüsseln zu können, benötigt das Gerät zunächst ein Zertifikat und einen privaten Schlüssel. Sie haben nun mehrere Möglichkeiten, wie Sie das Zertifikat installieren können:

  • Neues Zertifikat erstellen und mit einer Zertifikatsregistrierungsanforderung von einer Zertifizierungsstelle signieren lassen.
  • Existierenden privaten Schlüssel und Zertifikat hochladen.
  • Neues Zertifikat erstellen und selbst signieren.

Je nachdem, wie Ihre Anforderungen und Möglichkeiten sind, können Sie eine der obigen Optionen wählen. Zertifikate, die von Zertifizierungsstellen signiert sind, haben im Allgemeinen den Vorteil, dass Clients beim Zugriff automatisch verifizieren können, dass die Gegenstelle (das Gerät) authentisch ist. Dies ist für offizielle Zertifizierungsstellen in der Regel sichergestellt.

Wenn ein Nutzer auf die Weboberfläche per HTTPS zugreift und das Zertifikat entweder selbst oder von einer Zertifizierungsstelle signiert ist, der er nicht vertraut, führt das zunächst zu einer Warnung im Webbrowser.

Neues Zertifikat erstellen und signieren lassen

Um ein neues Zertifikat zu erstellen, wählen Sie die Option New Certificate. Im folgenden Dialog geben Sie nun Informationen zu Gerät und Betreiber ein, die dann in dem Zertifikat hinterlegt werden und sowohl von der Zertifizierungsstelle als auch später von Clients genutzt werden können, um das Zertifikat zu verifizieren.

Nachdem Sie den Dialog mit Save bestätigt haben, gelangen Sie wieder zur Startseite des Bereichs Web Access und können die Datei zur Zertifikatsregistrierungsanforderung (CSR) herunterladen. Diese Datei müssen Sie Ihrer Zertifizierungsstelle zur Verfügung stellen. Anschließend bekommen Sie von Ihrer Zertifizierungsstelle ein signiertes Zertifikat und ggf. eine Zertifikatskette (oft bestehend aus Intermediate- und/oder Root-Zertifikaten). Diese erhalten Sie üblicherweise in Form von .pem- oder .crt-Dateien.

Das signierte Zertifikat können Sie nun über den Dialog Upload Certificate auf das Gerät übertragen. Wenn Sie eine Zertifikatskette erhalten haben, können Sie diese ebenfalls über den Dialog hochladen.

Nachdem Sie den Dialog mit Upload bestätigt haben, können Sie mit der Konfiguration der Zugriffswege fortfahren.

Neues Zertifikat erstellen und selbst signieren

Um ein neues Zertifikat zu erstellen, wählen Sie die Option New Certificate. Im folgenden Dialog geben Sie nun Informationen zu Gerät und Betreiber ein, die dann in dem Zertifikat hinterlegt werden und später von Clients genutzt werden können, um das Zertifikat zu verifizieren.

Beim letzten Punkt Signing method wählen Sie nun Create a self signed certificate. Anschließend haben Sie noch die Möglichkeit, die maximale Laufzeit des Zertifikats zu bestimmen.

Nach dieser Laufzeit müssen Sie ein neues Zertifikat erzeugen. Dies sollte allerdings rechtzeitig vor Ablauf passieren, damit es keine Probleme beim Zugriff auf Ihr Gerät gibt.

Nachdem Sie den Dialog mit Save bestätigt haben, können Sie mit der Konfiguration der Zugriffswege fortfahren.

Existierendes Zertifikat hochladen

Wenn Sie ein existierendes Zertifikat und einen privaten Schlüssel besitzen, die Sie zur Absicherung des HTTPS-Verkehrs nutzen wollen, können Sie diese Dateien über den Dialog Upload Certificate auf Ihr Gerät übertragen.

Nachdem Sie den Dialog mit Upload bestätigt haben, können Sie mit der Konfiguration der Zugriffswege fortfahren.

7.3. Zugriffswege konfigurieren

Nachdem Sie ein Zertifikat installiert haben, können Sie die Zugriffswege nun entsprechend Ihrer Anforderungen konfigurieren.

Wenn Sie den Zugriff auf Ihr Gerät per HTTPS absichern wollen, empfiehlt sich die Option HTTPS enforced (incl. redirect from HTTP to HTTPS). Das Gerät antwortet nur per HTTPS, leitet allerdings alle eingehenden HTTP-Anfragen auf HTTPS um. Nutzer, die versehentlich direkt oder über Bookmarks per HTTP auf die Weboberfläche zugreifen, werden also automatisch auf HTTPS umgeleietet.

Wenn es Ihnen sehr wichtig ist, dass keine einzige Anfrage im Klartext über das Netz geht, können Sie die Option HTTPS only wählen. Nutzer, die per HTTP zugreifen, erhalten mit dieser Einstellung eine Fehlermeldung.

Sie können außerdem beide Protokolle über HTTP and HTTPS gleichzeitig aktivieren. Allerdings ist diese Einstellung nur in Ausnahmefällen, zu Migrationszwecken oder zum Testen, empfehlenswert.

Sollten Sie HTTPS einmal deaktivieren wollen, so können Sie dies mit der Option HTTP only erreichen.

7.4. Aktuelle Konfiguration/Zertifikate anzeigen

Auf der Seite zur Konfiguration der Zugriffswege können Sie jederzeit die aktuell aktiven Zugriffswege sowie Informationen zum aktuellen Zertifikat einsehen.

8. Steuerung des Geräts

8.1. Neustarten/Herunterfahren

Das Gerät können Sie sowohl über die Weboberfläche als auch über die Konsole neu starten bzw. herunterfahren.

In der Weboberfläche finden Sie die Menüpunkte Reboot Device bzw. Shutdown Device unterhalb des Punkts Control Device im Hauptmenü. Das Gerät führt die Aktion unmittelbar nach der Auswahl des Befehls aus.

In der Konsole erreichen Sie das Menü zur Steuerung des Geräts durch einen Druck auf F2.

Sie sollten Ihre rail2-Appliance nur herunterfahren, wenn Sie physikalischen Zugriff auf das System haben, da Sie das Gerät nur durch Trennen und Wiederherstellen der Stromzufuhr wieder einschalten können.

8.2. Werkskonfiguration wiederherstellen

Sie können Ihr Gerät auf die Werkseinstellungen zurücksetzen. Das bedeutet, dass alle Änderungen, die Sie am Gerät vorgenommen haben, z. B. Ihre Geräteeinstellungen, Monitoringkonfiguration oder die erfassten Statistiken und Logs, gelöscht werden. Beim Zurücksetzen der Einstellungen bleibt die aktuell installierte Firmware-Version erhalten, die bei der Auslieferung des Geräts installierte Firmware wird nicht wiederhergestellt.

Diese Aktion können Sie auf der Konsole durchführen. Drücken Sie dazu am Statusbildschirm die Taste F2 und wählen Sie im folgenden Dialog Factory Reset und bestätigen Sie den darauf folgenden Dialog mit yes. Nun werden Ihre Daten vom Gerät gelöscht und direkt im Anschluss wird ein Neustart des Geräts ausgeführt. Das Gerät startet nun mit einer frischen Konfiguration.

9. Datensicherung

9.1. Grundlagen

Damit Ihre Monitoringdaten im Falle eines Hardwaredefekts oder einer andersartigen Zerstörung gesichert sind, können Sie über die Weboberfläche Ihres Geräts die Sicherung Ihrer Daten konfigurieren.

Um die Daten wirklich zu sichern, müssen Sie auf einem anderen Gerät, z. B. einem Fileserver, abgelegt werden. Hierzu konfigurieren Sie zunächst über die Dateisystemverwaltung die für die Sicherung zu nutzende Netzwerkfreigabe. Diese richten Sie anschließend in der Konfiguration der Datensicherung als Sicherungsziel ein. Sobald Sie dies gemacht haben, können Sie einen Sicherungs-Job anlegen, der dann im festgelegten Intervall eine Datensicherung Ihres Geräts auf der Netzwerkfreigabe ablegt.

Die volle Datensicherung beinhaltet alle von Ihnen auf dem Gerät getätigten Konfigurationen, installierte Dateien sowie Ihre Monitoring-Instanzen.

Die Datensicherung wird während des Betriebs (online) durchgeführt. Dies ist allerdings erst vollständig möglich, wenn alle Monitoring-Instanzen auf dem Gerät mindestens Checkmk 1.2.8p6, 1.4.0i1 oder einen Daily-Build ab dem 22.07.2016 nutzen. Laufende Instanzen, die ältere Versionen einsetzen, werden vor der Sicherung gestoppt und anschließend wieder gestartet.

9.2. Automatische Sicherung

Um eine automatische Datensicherung einzurichten, konfigurieren Sie einen oder mehrere Sicherungs-Jobs. Pro Sicherungs-Job wird auf dem Sicherungsziel eine Datensicherung abgelegt. Beim Abschluss der Folgesicherung wird die vorherige Sicherung gelöscht. Das bedeutet, dass Sie auf dem Zielsystem temporär mit dem doppelten Speicherbedarf rechnen müssen.

Die Sicherung kümmert sich nicht um die Verwaltung mehrerer Generationen. Wenn Sie also von einem Sicherungs-Job mehrere Kopien über längere Zeiträume aufheben wollen, müssen Sie diese selbst anlegen.

9.3. Konfiguration der Sicherung

Konfigurieren Sie mit Hilfe der Dateisystemverwaltung zunächst Ihre Netzwerkfreigaben. Hier im Beispiel ist eine Netzwerkfreigabe unter dem Pfad /mnt/auto/backup konfiguriert.

Wählen Sie nun aus dem Hauptmenü der Weboberfläche den Punkt Device backup und öffnen Sie von dort aus die Backup-Ziele über Backup targets. Erzeugen Sie nun über New backup target ein neues Ziel. Die ID und den Titel können Sie frei wählen. Unter dem Punkt Directory to save the backup to konfigurieren Sie den Pfad der eingehängten Netzwerkfreigabe, hier /mnt/auto/backup. Die Option Is mountpoint sollte aktiv sein, wenn Sie auf eine Netzwerkfreigabe sichern. Damit prüft die Datensicherung vor der Speicherung, ob die Netzwerkfreigabe auch wirklich eingehängt ist.

Nachdem Sie das Sicherungsziel angelegt haben, gehen Sie zurück auf die Seite Device backup und wählen dort New job aus. Hier können Sie wieder eine ID und einen Titel wählen. Wählen Sie dann das soeben angelegte Sicherungsziel aus und legen Sie das gewünschte Ausführungsintervall der Sicherung fest.

Nach dem Speichern sehen Sie auf der Seite Device backup einen Eintrag für Ihren neuen Sicherungs-Job. Hier wird Ihnen am Ende der Zeile der Zeitpunkt der nächsten Ausführug angezeigt. Sobald der Job läuft, bzw. abgeschlossen ist, wird Ihnen in dieser Ansicht der Status angezeigt. Hier können Sie den Job auch manuell starten bzw. laufende Sicherungen abbrechen.

Starten Sie nun testweise Ihren soeben eingerichteten Job durch einen Klick auf das Play-Icon. Sie sehen nun in der Tabelle, dass der Job aktuell ausgeführt wird. Mit einem Klick auf das Log-Icon können Sie sich den Fortschritt des Jobs in Form der Log-Ausgaben anzeigen lassen.

Sobald die Sicherung abgeschlossen ist, wird dies ebenfalls in der Tabelle angezeigt.

9.4. Format der Sicherung

Jeder Sicherungs-Job erzeugt auf dem Sicherungsziel ein Verzeichnis. Dieses Verzeichnis wird nach folgendem Schema benannt:

  • Gerätesicherungen: Checkmk_Appliance-[HOSTNAME]-[LOCAL_JOB_ID]-[STATE]
  • Instanzsicherungen: Checkmk-[HOSTNAME]-[SITE]-[LOCAL_JOB_ID]-[STATE]

In den Platzhaltern werden die Bindestriche jeweils durch +-Zeichen ersetzt, damit die einzelnen Felder auseinander gehalten werden können.

Während der Sicherung wird in das Verzeichnis mit dem Suffix -incomplete gesichert. Bei Abschluss der Sicherung wird dieses Vezeichnis umbenannt und das Suffix zu -complete geändert.

In dem Verzeichnis liegt eine Datei mkbackup.info, die Metainformationen zu der Sicherung enthält. Neben dieser Datei werden mehrere Archive in dem Verzeichnis abgelegt.

Das Archiv mit dem Namen system enthält die Gerätekonfiguration, system-data enthält die Daten des Datendateisystems exklusive der Monitoring-Instanzen. Die Monitoring-Instanzen sind in separaten Archiven nach dem Namensschema site-[SITENAME] gespeichert.

Je nach Modus der Sicherung werden diese Dateien mit den Dateiendungen .tar für unkomprimierte und unverschlüsselte, .tar.gz für komprimierte aber unverschlüsselte und .tar.gz.enc für komprimierte und verschlüsselte Archive gespeichert.

9.5. Verschlüsselung

Wenn Sie Ihre Datensicherung verschlüsseln wollen, können Sie dies direkt aus der Weboberfläche heraus konfigurieren. Ihre gesicherten Dateien werden hierbei vor der Übertragung auf das Sicherungsziel komplett verschlüsselt. Die Verschlüsselung geschieht mit einem zuvor angelegten Sicherungsschlüssel. Dieser Schlüssel ist durch ein Passwort geschützt, das Sie beim Anlegen des Schlüssels festlegen und zusammen mit dem Schlüssel gut verwahren müssen, da nur damit die Wiederherstellung der Sicherung möglicht ist.

Öffnen Sie hierzu die Seite Device backup und wählen Sie von dort aus die Seite Backup keys. Erzeugen Sie hier von hier aus einen neuen Sicherungsschlüssel. Bei der Angabe des Passworts sollten Sie auf genügend Komplexität achten.

Nachdem Sie den Schlüssel erzeugt haben, laden Sie ihn herunter und verwahren Sie ihn an einem sicheren Ort.

Eine verschlüsselte Sicherung kann nur mit dem Sicherungsschlüssel und dem dazugehörigen Passwort wiederhergestellt werden.

Editieren Sie nun von der Seite Device backup aus den Sicherungs-Job, der verschlüsselte Sicherungen erzeugen soll, aktivieren Sie dort den Punkt Encryption und wählen Sie den soeben angelegten Sicherungsschlüssel aus.

Nachdem Sie den Dialog bestätigt haben, wird die nächste Sicherung automatisch verschlüsselt.

9.6. Komprimierung

Es ist möglich, die gesicherten Daten während des Kopiervorgangs zu komprimieren. Dies kann nützlich sein, wenn Sie Bandbreite sparen müssen oder auf dem Zielsystem nur begrenzt Platz haben.

Bitte beachten Sie jedoch, dass die Komprimierung deutlich mehr CPU-Zeit erfordert und daher den Vorgang der Sicherung verlängert. In der Regel ist es empfehlenswert, die Komprimierung nicht zu aktivieren.

Die nicht komprimierte Sicherung wird erst ab Checkmk-Version 1.2.8p5 unterstützt. Wenn Sie Monitoring-Instanzen mit älteren Versionen betreiben, müssen Sie die Komprimierung der gesamten Sicherung aktivieren.

9.7. Wiederherstellung

Eine Datensicherung können Sie über die in der Weboberfläche eingebauten Mechanismen nur komplett wiederherstellen. Die Wiederherstellung einzelner Dateien über die Weboberfläche ist nicht vorgesehen. Dies ist jedoch über die Kommandozeile durch manuelles Auspacken aus der Sicherung möglich.

Wenn Sie eine komplette Sicherung auf einem laufenden Gerät wiederherstellen wollen, wählen Sie auf der Seite Device backup den Punkt Restore und auf der Folgeseite das Sicherungsziel, von dem Sie die Sicherung wiederherstellen wollen. Nach der Auswahl des Sicherungsziels bekommen Sie alle dort vorhandenen Sicherungen aufgelistet.

Klicken Sie nun bei der Sicherung, die Sie wiederherstellen wollen, auf den Pfeil, um die Wiederherstellung zu starten. Nach einer Sicherheitsabfrage startet die Wiederherstellung und Sie landen wieder auf der Restore-Startseite. Durch Aktualisierung der Seite können Sie den aktuellen Status nachvollziehen.

Im Anschluss an die Wiederherstellung startet Ihr Gerät automatisch neu. Nach dem Neustart ist die Wiederherstellung abgeschlossen.

Desaster Recovery

Wenn Sie ein Gerät komplett neu wiederherstellen müssen, läuft das Desaster Recovery in folgenden Schritten ab:

  • Sie starten mit einem Gerät im Werkszustand (neues, baugleiches oder auf Werkszustand zurückgesetztes Gerät).
  • Stellen Sie sicher, dass die Firmware-Version mit der Version der Sicherung übereinstimmt.

Konfigurieren Sie an der Konsole mindestens folgende Einstellungen:

  • Netzwerkeinstellungen.
  • Zugriff auf Weboberfläche.

Konfigurieren Sie in der Weboberfläche:

  • Wählen Sie das Sicherungsziel, von dem Sie wiederherstellen wollen.
  • Laden Sie ggf. den Sicherungsschlüssel für gesicherte Datensicherungen hoch.

Zum Abschluss starten Sie dann die Wiederherstellung wie im vorherigen Kapitel beschrieben.

9.8. Monitoring

Für jeden konfigurierten Sicherungs-Job findet das Service Discovery von Checkmk ab Version 1.4.0i1 auf dem Gerät einen neuen Service Backup [JOB-ID]. Dieser Service informiert Sie über eventuelle Probleme bei der Sicherung und zeichnet hilfreiche Messwerte wie Größe und Dauer auf.

9.9. Besonderheiten im Cluster

Die gesamte Konfiguration der Datensicherung inkl. Sicherungsschlüssel wird zwischen den Cluster-Knoten synchronisiert. Die Cluster-Knoten führen Ihre Datensicherung voneinander getrennt aus, erstellen also im Sicherungsziel auch separate Verzeichnisse für die Sicherung.

Der aktive Cluster-Knoten sichert das komplette Gerät inklusive der Daten des Datendateisystems und der Monitoring-Sites. Der inaktive Cluster-Knoten sichert nur seine lokale Gerätekonfiguration.

Bei der Wiederherstellung einer Sicherung kann demnach auch nur die Sicherung des aktiven Cluster-Knotens die Monitoring-Instanzen wiederherstellen.

10. Einbinden von Netzwerkdateisystemen

Wenn Sie eine Datensicherung auf eine Netzwerkfreigabe machen möchten, müssen Sie zunächst das gewünschte Netzwerkdateisystem konfigurieren.

Aktuell werden die Netzwerkdateisysteme NFS in Version 3 und Windows-Netzwerkfreigaben (Samba bzw. CIFS) sowie SSHFS (SFTP) unterstützt.

Eine Netzwerkdateisystem einbinden

Wählen Sie aus dem Hauptmenü der Weboberfläche den Punkt Manage mounts und legen Sie von dort aus ein neues Dateisystem über New mount an. Geben Sie hier eine ID ein, die später zur Identifizierung des Dateisystems genutzt wird.

Wählen Sie dann ob und wie das Dateisystem eingebunden werden soll. Empfohlen wird hier das automatische Einbinden bei Zugriff bzw. automatische Aushängen bei Inaktivität.

Konfigurieren Sie dann noch, welchen Freigabetyp Sie einbinden wollen und anschließend, davon abhängig, die nötigen Einstellungen zum Einbinden der Freigabe, wie z. B. die Netzwerkadresse des Fileservers und den exportierten Pfad im Falle von NFS.

Nach dem Speichern sehen Sie in der Dateisystemverwaltung das soeben konfigurierte Dateisystem und den aktuellen Zustand. Mit einem Klick auf den Stecker können Sie nun das Dateisystem manuell einhängen um zu testen, ob die Konfiguration korrekt ist.

Sollte es Probleme geben, können Sie eventuelle Fehlermeldungen im Systemlog finden.

11. Failover Cluster

11.1. Grundlagen

Sie können zwei Checkmk-Appliances zu einem Failover-Cluster zusammenschließen. Dabei werden alle Konfigurationen und Daten zwischen den beiden Geräten abgeglichen. Die Geräte, die als Cluster verbunden sind, nennt man auch Knoten. Einer der Knoten im Cluster übernimmt die aktive Rolle, führt also die Aufgaben des Clusters aus. Beide Knoten tauschen sich dauerhaft über ihren Zustand aus. Sobald der inaktive Knoten erkennt, dass der aktive Knoten seine Aufgaben nicht mehr erfüllen kann, z. B. aufgrund eines Ausfalls, übernimmt der inaktive Knoten die Aufgaben und wird zum aktiven Knoten.

Der Failover-Cluster ist dazu da, die Verfügbarkeit Ihrer Monitoring-Installation zu erhöhen, indem diese gegen Hardwareausfälle eines Geräts oder einzelner Komponenten abgesichert wird. Die Clusterung ersetzt keine Datensicherung.

In den folgenden Situationen sorgt der Cluster für eine geringere Ausfallzeit:

  • Wenn das RAID in einer Checkmk rack1 oder die SD-Karte in einer Checkmk rail2 nicht mehr zugreifbar sind, übernimmt der inaktive Knoten die Ressourcen.
  • Wenn das bisher aktive Gerät nicht mehr erreichbar (ausgefallen) ist, übernimmt der inaktive Knoten die Ressourcen.
  • Wenn das bisher aktive Gerät das „externe“ Netzwerk nicht mehr erreichen kann und im Gegensatz dazu der inaktive Knoten eine Verbindung zu diesem Netzwerk hat, übernimmt der inaktive Knoten die Ressourcen.
  • Wenn Sie ein Firmware-Update durchführen, können Sie die Knoten einzeln aktualisieren. Während der Aktualisierung des einen Knotens führt der andere Knoten das Monitoring weiter durch.

11.2. Voraussetzungen

Damit Sie einen Cluster aufbauen können, brauchen Sie zunächst zwei kompatible Checkmk-Appliances. Folgende Modelle können miteinander geclustert werden:

  • 2 x Checkmk rack1
  • 2 x Checkmk rail2
  • 2 x Checkmk virt1
  • 1 x Checkmk rack1 und 1x Checkmk virt1

Weiterhin müssen die beiden Geräte eine kompatible Firmware nutzen, mindestens aber die Version 1.1.0.

Die Geräte müssen mit mindestens zwei voneinander unabhängigen Netzwerkverbindungen verkabelt sein. Es wird empfohlen, möglichst eine direkte Verbindung zwischen den Geräten zu verwenden und eine weitere Verbindung über Ihr LAN herzustellen.

Um die Verfügbarkeit der Netzwerkverbindungen zu erhöhen, sollten Sie statt zwei Verbindungen über einzelne Netzwerkanschlüsse eine Bonding-Konfiguration erstellen, die alle vier Netzwerkanschlüsse der Checkmk rack1 nutzt. Dabei verwenden Sie die Schnittstellen LAN1 und LAN2 für den Anschluss an Ihr Netzwerk und die Schnittstellen LAN3 und LAN4 für die direkte Verbindung zwischen der Geräten.

Virtuelle Maschinen: Wenn Sie die Cluster-Funktion mit zwei „Checkmk virt1“-Appliances und VirtualBox durchführen wollen, beispielsweise zum Testen, sollten Sie auf die Bonding-Konfiguration mit insgesamt vier Netzwerkschnittstellen verzichten – das wird unter VirtualBox zum Glücksspiel, so es denn überhaupt funktioniert. Selbst wenn beide VMs auf demselben Rechner laufen und es entsprechend nicht mehrere Hardware-Leitungen gibt, benötigen Sie dennoch zwei virtuelle Netzwerkschnittstellen, um später einen separaten Kanal zum Synchronisieren der Daten einzurichten. Diese können Sie ganz simpel in der Managementoberfläche von VirtualBox der virt1-Maschine hinzufügen.

Statt also wie im Folgenden gezeigt das Bonding einzurichten, aktivieren Sie einfach die ungenutzte zweite Netzwerkschnittstelle – allerdings nicht für Ihr normales LAN-Subnetz (etwa 192.168.178.0/24), sondern ein separates Subnetz (etwa 192.168.100.0/24). Beim eigentlichen Clustern wählen Sie dann schlicht Ihre beiden einzelnen Schnittstellen statt der gebündelten Bonding-Schnittstellen.

11.3. Migration bestehender Installationen

Geräte, die mit der Firmware-Version 1.1.0 oder neuer ausgeliefert und initialisiert wurden, können ohne Migration geclustert werden.

Geräte, die mit einer älteren Firmware initialisiert wurden, müssen zunächst auf die Version 1.1.0 oder neuer aktualisiert werden. Anschließend müssen die Werkseinstellungen des Geräts wiederhergestellt werden, dadurch wird das Gerät für die Clusterung vorbereitet. Bitte beachten Sie, dass Sie, um Datenverlust zu vermeiden, vorher Ihre Daten von dem Gerät sichern und anschließend wieder herstellen müssen.

11.4. Konfiguration des Clusters

Diese Anleitung geht davon aus, dass Sie beide Geräte bereits so weit vorkonfiguriert haben, dass Sie die Weboberfläche mit einem Webbrowser öffnen können.

Vor der eigentlichen Einrichtung des Clusters müssen Sie zunächst beide Geräte vorbereiten. Dabei müssen Sie hauptsächlich die Netzwerkkonfiguration so anpassen, dass die Anforderungen der Clusterung erfüllt werden (siehe Voraussetzungen).

Im Folgenden wird die Konfiguration eines Clusters mit zwei Checkmk rack1 gezeigt. Dabei wird ein Cluster aufgebaut, der folgendem Schaubild entspricht.

Die im Schaubild verwendeten Schnittstellenbezeichnungen LAN1, LAN2 usw. entsprechen den Bezeichnungen der physikalischen Schnittstellen am Gerät. Im Betriebssystem entspricht LAN1 dem Gerät eth0, LAN2 dem Gerät eth1 usw.

Diese Konfiguration entspricht den Empfehlungen für die Clusterung von zwei Checkmk rack1. Sie können in Ihrer Umgebung selbstverständlich IP-Adressen verwenden, die in Ihre Umgebung passen. Achten Sie jedoch darauf, dass das interne Cluster-Netz (bond1 im Schaubild) ein anderes IP-Netz verwendet, als das „externe“ Netz (bond0 im Schaubild).

Netzwerkkonfiguration

Öffnen Sie die Weboberfläche des ersten Knotens, wählen Sie die Geräteeinstellungen und oben Network Settings. Sie befinden Sich jetzt auf der Seite zur Konfiguration der Netzwerkeinstellungen. Hier stehen Ihnen zwei Modi zur Verfügung. Der Simple Mode, mit dem Sie nur LAN1 Ihres Geräts konfigurieren können, ist standardmäßig aktiviert.

Für die Clusterung wird der erweiterte Modus benötigt. Um diesen Modus zu aktivieren, klicken Sie oben auf die Schaltfläche Advanced Mode und bestätigen Sie die Sicherheitsabfrage.

Auf der folgenden Seite werden Ihnen alle im Gerät verfügbaren Netzwerkschnittstellen angezeigt. Nur die Standardschnittstelle, auf den Racks eth0 (entspricht LAN1), hier im Screenshot enp0s17, hat aktuell eine Konfiguration. Diese wurde vom einfachen Modus übernommen.

Erstellen Sie nun durch Klick auf Create Bonding die erste Bonding-Schnittstelle bond0. Tragen Sie dazu im darauf folgenden Dialog alle Daten entsprechend des folgenden Schaubilds ein und bestätigen Sie den Dialog mit Save.

Erstellen Sie nun die zweite Bonding-Schnittstelle bond1 mit der passenden Konfiguration.

Nachdem Sie die beiden Bonding-Schnittstellen erstellt haben, sehen Sie im Dialog zur Netzwerkkonfiguration noch einmal alle getätigten Einstellungen zu den Netzwerkschnitstellen ...

... sowie zu den erstellten Bondings:

Wenn Sie alle Schritte zur Konfiguration erfolgreich abgeschlossen haben, machen Sie die Einstellungen mit einem Klick auf Activate Changes wirksam. Daraufhin werden die neuen Netzwerkeinstellungen geladen. Nach wenigen Sekunden zeigt die Netzwerkkonfiguration überall den Status OK, bei den echten Netzwerkschnittstellen ...

... sowie wiederum den Bondings:

Wiederholen Sie die Konfiguration der Netzwerkeinstellungen mit den passenden Einstellungen nun auch auf Ihrem zweiten Gerät.

Hostnamen

Geräte, die in einem Cluster verbunden werden sollen, müssen unterschiedliche Hostnamen haben. Diese können Sie jetzt in den Geräteeinstellungen festlegen. Im Beispiel bekommen die Geräte die Namen node1 und node2.

Verbinden des Clusters

Nachdem Sie nun die Vorbereitungen abgeschlossen haben, können Sie mit dem Einrichten des Clusters fortfahren. Öffnen Sie dazu in der Weboberfläche im Hauptmenü des ersten Geräts (hier node1) das Modul Clustering und klicken Sie dort auf Create Cluster.

Tragen Sie im Dialog zum Erstellen des Clusters nun die entsprechende Konfiguration ein und bestätigen Sie den Dialog mit Save. Wenn Sie zu diesem Dialog weiterführende Informationen benötigen, klicken Sie oben rechts auf das Icon neben dem Checkmk-Logo. Daraufhin erscheint im Dialog eine Kontexthilfe, die die einzelnen Optionen erläutert.

Auf der folgenden Seite können Sie die beiden Geräte zu einem Cluster verbinden. Hierzu müssen Sie das Passwort der Weboberfläche des zweiten Geräts eingeben. Dieses wird einmalig dazu genutzt; die Verbindung zwischen den beiden Geräten herzustellen. Bestätigen Sie anschließend die Sicherheitsabfrage, wenn Sie sich sicher sind, dass Sie die Daten des Zielgeräts mit der angezeigten IP-Adresse überschreiben wollen.

Nachdem dieser Verbindungsaufbau erfolgreich war, wird mit der Einrichtung des Clusters begonnen. Den aktuellen Status können Sie sich auf der Cluster-Seite anzeigen lassen. Sobald der Cluster erfolgreich aufgebaut wurde, startet die Synchronisation der Monitoring-Daten vom ersten zum zweiten Knoten. Noch während dieser Synchronisation werden alle Ressourcen, u.a. auch Ihre möglicherweise bestehenden Monitoring-Instanzen, auf dem ersten Knoten gestartet.

Ab Sofort können Sie mit Hilfe der Cluster-IP-Adresse (hier 192.168.178.110) auf die Ressourcen des Clusters, z. B. Ihre Monitoring-Instanzen, zugreifen – egal von welchem Knoten die Ressourcen gerade gehalten werden.

11.5. Der Status des Clusters

Nach Abschluss der ersten Synchronisation ist Ihr Cluster voll einsatzbereit. Auf der Cluster-Seite können Sie den Zustand jederzeit einsehen.

Auch mit Hilfe des Statusbildschirms auf der Konsole können Sie den aktuellen Zustand des Clusters im Kasten Cluster in zusammengefasster Form einsehen. Die Rolle des jeweiligen Knotens wird hinter dem aktuellen Status mit (M) für den Master-Host und (S) für den Slave-Host dargestellt.

11.6. Besonderheiten im Cluster

Zugriff auf Ressourcen

Alle Anfragen an die Monitoring-Instanzen, wie z. B. Zugriffe auf die Weboberfläche, aber auch eingehende Meldungen, wie z. B. SNMP-Traps oder Syslog-Meldungen an die Event-Console oder Anfragen an Livestatus, sollten im Normalfall immer über die Cluster-IP-Adresse gehen.

Nur in Ausnahmefällen, wie z. B. Fehlerdiagnosen oder Updates eines bestimmen Knotens, sollten Sie direkt auf die einzelnen Knoten zugreifen müssen.

Geräteeinstellungen

Die Einstellungen, wie z. B. Zeitsynchronisation oder Einstellungen zur Namensauflösung, die bisher auf den einzelnen Geräten unabhängig voneinander gemacht wurden, werden im Cluster zwischen den beiden Knoten synchronisiert.

Sie können diese Einstellungen aber nur auf dem jeweils aktiven Knoten bearbeiten. Auf dem inaktiven Knoten sind die Einstellungen gesperrt.

Es gibt einige gerätespezifische Einstellungen, wie z. B. die des Management-Interfaces des Checkmk rack1, die Sie zu jeder Zeit auf den einzelnen Geräten anpassen können.

IP-Addressen oder Hostnamen der Knoten

Um die IP-Konfiguration der einzelnen Knoten bearbeiten zu können, müssen Sie zunächst die Verbindung zwischen den Knoten lösen. Hierzu klicken Sie auf der Cluster-Seite auf Disconnect Cluster. Anschließend können Sie über die Weboberfläche der einzelnen Knoten die gewünschten Einstellungen anpassen.

Nachdem Sie die Anpassungen abgeschlossen haben, müssen Sie nun auf der Cluster-Seite Reconnect Cluster wählen. Wenn sich die Knoten erfolgreich wieder verbinden können, nimmt der Cluster nach wenigen Minuten den Betrieb wieder auf. Den Status können Sie auf der Cluster-Seite einsehen.

Checkmk-Versionen und Monitoring-Instanzen verwalten

Auch die Monitoring-Instanzen und Checkmk-Versionen werden zwischen den beiden Knoten synchronisiert. Diese können Sie nur in der Weboberfläche des aktiven Knotens modifizieren.

Wenn Sie hierfür ebenfalls direkt auf die Cluster-IP-Adresse zugreifen, kommen Sie immer auf das Gerät, mit dem Sie diese Dinge konfigurieren können.

11.7. Administrative Aufgaben

Firmware-Update im Cluster

Die Firmware-Version eines Geräts wird auch im Cluster-Betrieb nicht synchronisiert. Das Update geschieht also pro Knoten. Sie haben jedoch den Vorteil, dass der eine Knoten weiterhin das Monitoring durchführen kann, während der andere Knoten aktualisiert wird.

Bei einem Update auf eine kompatible Firmware-Version sollten Sie stets wie folgt vorgehen:

Öffnen Sie zunächst das Modul Clustering in der Weboberfläche des Knotens, der aktualisiert werden soll.

Klicken Sie nun auf das Herz-Symbol in der Spalte dieses Knotens und bestätigen Sie die folgende Sicherheitsabfrage. Dadurch setzen Sie den Knoten in den Wartungszustand.

Knoten, die sich im Wartungszustand befinden, geben alle Ressourcen frei, die aktuell auf dem Knoten aktiv sind, woraufhin der andere Knoten diese übernimmt.

Während sich ein Knoten im Wartungszustand befindet, ist der Cluster nicht ausfallsicher. Wenn jetzt also der aktive Knoten ausgeschaltet wird, übernimmt der inaktive Knoten, der sich im Wartungszustand befindet, nicht die Ressourcen. Sollten Sie nun auch noch den zweiten Knoten in den Wartungszustand setzen, werden alle Ressourcen heruntergefahren. Diese werden erst wieder aktiviert, wenn ein Knoten aus dem Wartungszustand geholt wird. Den Wartungszustand müssen Sie stets wieder manuell entfernen.

Wenn die Cluster-Seite Folgendes zeigt, sehen Sie, dass sich der Knoten im Wartungszustand befindet.

Nun können Sie auf diesem Knoten, wie auf allen betriebenen Geräten auch, das Firmware-Update durchführen.

Öffnen Sie, nachdem Sie das Firmware-Update erfolgreich durchgeführt haben, wieder die Cluster-Seite und entfernen Sie den Wartungszustand des aktualisierten Geräts. Das Gerät fügt sich anschließend automatisch in den Cluster-Betrieb ein, womit der Cluster wieder voll funktionsfähig ist.

Es wird empfohlen auf beiden Knoten die gleiche Firmware-Version zu betreiben, also sollten Sie im Anschluss die gleiche Prozedur für den anderen Knoten wiederholen.

Cluster auflösen

Es ist möglich, die Knoten aus einem Cluster zu lösen und einzeln weiter zu betreiben. Dabei können Sie auf beiden Geräten die synchronisierte Konfiguration weiter nutzen, oder z. B. eines der Geräte wieder auf den Werkszustand zurücksetzen und neu konfigurieren.

Sie können einen oder beide Knoten im laufenden Betrieb aus dem Cluster entfernen. Wenn Sie beide Knoten mit den aktuellen Daten weiterverwenden wollen, müssen Sie vorher sicherstellen, dass die Synchronisation der Daten ordnungsgemäß funktioniert. Dies sehen Sie auf der Cluster-Seite.

Um einen Cluster aufzulösen, klicken Sie auf der Cluster-Seite der Weboberfläche auf Disband Cluster. Beachten Sie den Text der folgenden Sicherheitsabfrage. Dieser gibt in den verschiedenen Situationen Aufschluss darüber, in welchem Zustand sich das jeweilige Gerät nach dem Auflösen der Verbindung befinden wird.

Die Trennung der Geräte muss auf beiden Knoten separat durchgeführt werden, damit zukünftig beide Geräte einzeln betrieben werden können.

Wenn Sie nur eines der Geräte zukünftig verwenden wollen, lösen Sie den Cluster auf dem Gerät, das Sie weiterhin verwenden wollen und stellen Sie auf dem anderen Gerät anschließend den Werkszustand wieder her.

Nachdem Sie einen Knoten aus dem Cluster getrennt haben, werden die Monitoring-Instanzen nicht automatisch gestartet. Das müssen Sie im Anschluss bei Bedarf manuell erledigen.

Ein Gerät austauschen

Wenn die Festplatten des alten Geräts in Ordnung sind, können Sie diese aus dem alten Gerät in das neue Gerät einbauen und das neue Gerät genau so verkabeln, wie das alte Gerät verkabelt war und es anschließend einschalten. Nach dem Start fügt sich das neue Gerät wieder so in den Cluster ein wie das alte Gerät.

Wenn Sie ein altes Gerät komplett durch ein neues Gerät ersetzen wollen, sollten Sie so vorgehen, wie wenn Sie den Cluster komplett auflösen (siehe vorheriges Kapitel). Wählen Sie dazu eines der bisherigen Geräte aus, lösen Sie dieses Gerät aus dem Cluster und erstellen Sie einen neuen Cluster mit diesem und dem neuen Gerät.

11.8. Fehlerdiagnose und -behebung

Logging

Die Cluster-Verwaltung geschieht weitestgehend automatisch. Dabei entscheiden automatische Prozesse auf den Knoten, auf welchem Gerät welche Ressourcen gestartet und gestoppt werden sollen. Dieses Verhalten wird in Form von Logeinträgen detailliert protokolliert. Diese Einträge erreichen Sie von der Cluster-Seite aus über den Knopf Cluster Log.

Bitte beachten Sie, dass diese Einträge, genau wie die anderen Systemmeldungen, bei einem Neustart des Geräts verloren gehen. Wenn Sie die Meldungen darüber hinaus erhalten möchten, können Sie sich die aktuelle Logdatei über Ihren Browser herunterladen oder dauerhaft eine Weiterleitung der Logmeldungen an einen Syslog-Server einrichten.

12. SMS-Benachrichtigungen

12.1. Hardware

Es ist möglich, ein GSM-Modem an das Gerät anzuschließen, um darüber, z. B. bei kritischen Problemen, von Checkmk SMS-Benachrichtungen verschicken zu lassen.

Aktuell ist es nicht möglich, ein UMTS-/GSM-Modem zusammen mit der Appliance oder nachträglich als Zubehör zu erwerben. Es gibt aber diverse Modems, wie z. B. das MTD-H5-2.0, die mit der Appliance kompatibel sind.

12.2. Inbetriebnahme des Modems

Um das Modem in Betrieb zu nehmen, müssen Sie eine funktionsfähige SIM-Karte einlegen, es mit dem beiliegenden USB-Kabel an einen freien USB-Anschluss Ihrer Appliance anschließen und das Modem mit Hilfe des beiliegenden Netzteils mit dem Stromnetz verbinden.

Sobald dies erledigt ist, erkennt das Gerät das Modem automatisch und richtet es ein. Öffnen Sie die Weboberfläche des Geräts und wählen Sie das Modul Manage SMS. Auf dieser Seite wird Ihnen der aktuelle Zustand des Modems sowie der Verbindung mit dem Mobilfunknetz angezeigt.

Sofern Sie zur Nutzung Ihrer SIM-Karte eine PIN eingeben müssen, können Sie diese unter SMS Settings festlegen.

12.3. Fehlerdiagnose

Falls verschickte Nachrichten Sie nicht erreichen, können Sie alle verschickten oder nicht verschickten Nachrichten sowie Nachrichten, die darauf warten verschickt zu werden auf der Seite Manage SMS einsehen. Die Einträge in diesen Listen werden für maximal 30 Tage aufgehoben und anschließend automatisch gelöscht.

Über den Menüpunkt Send test SMS ist es möglich, eine Test-SMS an eine Nummer Ihrer Wahl zu verschicken.

Weiterführende Informationen zu eventuellen Fehlern beim SMS-Versand finden Sie im SMS Log.

13. Administration des RAIDs auf den Racks

13.1. Der RAID-Verbund

Ihr Rack verfügt über zwei Festplatteneinschübe an der Vorderseite des Gehäuses. Diese sind mit den Nummern 1 und 2 markiert. Die hier eingebauten Festplatten sind in einem RAID-1-Verbund (Spiegel) zusammengeschaltet, so dass Ihre Daten auf beiden Festplatten redundant gespeichert werden. Sollte eine der Festplatten ausfallen, sind die Daten weiterhin auf der zweiten Festplatte verfügbar.

13.2. Verwaltung in Weboberfläche

Den Zustand des RAIDs können Sie in der Weboberfläche Ihres Geräts einsehen. Wählen Sie dazu im Hauptmenü der Weboberfläche den Punkt RAID-Setup. Außerdem haben Sie in dieser Maske die Möglichkeit, das RAID zu reparieren, wenn es erforderlich sein sollte.

13.3. Tausch einer defekten Festplatte

Wenn eine Festplatte als defekt erkannt wird, wird diese in der Weboberfläche als fehlerhaft angezeigt. Am Gerät selbst wird der Fehler, je nach Art, durch eine blau blinkende LED-Lampe am Festplatteneinschub angezeigt.

Durch Betätigen des kleinen Hebels an der linken Seite des Einschubs wird die Befestigung entriegelt und Sie können den Rahmen inklusive Festplatte aus dem Gehäuse ziehen. Nun können Sie die Schrauben an der Unterseite des Rahmens lösen und die defekte Festplatte aus dem Rahmen entfernen. Montieren Sie jetzt die neue Festplatte im Rahmen und schieben Sie diesen wieder in den freien Einschub des Geräts.

Wenn das Gerät eingeschaltet ist, während Sie die Festplatte austauschen, startet die Wiederherstellung des RAIDs automatisch. Den Fortschritt können Sie in der Weboberfläche einsehen.

Die Ausfallsicherheit ist erst wieder hergestellt, wenn das RAID vollständig repariert wurde.

Die Festplatte muss mindestens die gleiche Größe haben wie das RAID selbst. Diese können Sie in der RAID-Status-Ansicht einsehen.

13.4. Defekt beider Festplatten

Wenn das Gerät erkennt, dass beide Festplatten defekt sind oder aus dem Gerät entfernt wurden, wird automatisch ein Neustart ausgelöst.

14. Management-Interface des Racks

Ihr Rack verfügt über ein eingebautes Management-Interface, welches den Zugriff über das Netzwerk auf das Gerät ermöglicht, selbst wenn es nicht eingeschaltet ist. Sie können über die Weboberfläche dieses Management-Interfaces beispielsweise das Gerät steuern, wenn es nicht eingeschaltet oder nicht mehr erreichbar sein sollte sowie die lokale Konsole fernsteuern.

Wenn Sie das Management-Interface nutzen möchten, müssen Sie zunächst den dedizierten IPMI-LAN-Anschluss mit Ihrem Netzwerk verbinden.

Wir empfehlen, aus Sicherheitsgründen, das IPMI-LAN mit einem dedizierten Management-Netzwerk zu verbinden, sofern dies möglich ist.

Das Management-Interface ist im Auslieferungszustand deaktiviert. Sie können es über die Einstellung Management Interface in den Geräteeinstellungen aktivieren und konfigurieren.

Hier müssen Sie für das Management-Interface eine separate IP-Adresse vergeben sowie dedizierte Zugangsdaten für den Zugriff auf das Management-Interface einstellen.

Nachdem Sie diese Einstellungen gespeichert haben, können Sie mit Ihrem Webbrowser die IP-Adresse des Management-Interfaces öffnen und sich dort mit den soeben festgelegten Zugangsdaten einloggen.

15. Fehlerdiagnose

15.1. Logs

Trotz sorgfältiger Tests ist es nicht auszuschließen, dass es zu unvorhergesehenen Fehlern kommt, die ohne Blick auf das Betriebssystem nur schwer zu diagnostizieren sind.

Eine Möglichkeit ist, die Logeinträge, die auf dem System erzeugt werden, per Syslog an einen Syslog-Server schicken zu lassen. Allerdings werden die Logeinträge der einzelnen Monitoring-Instanzen nicht per Syslog verarbeitet, so dass diese nicht weitergeleitet werden und nur am Gerät eingesehen werden können.

Um die Fehlerdiagnose auf dem Gerät zu vereinfachen, existiert eine Ansicht zum Anzeigen diverser Logdateien des Geräts. Diese erreichen Sie über den Menüpunkt View Log Files im Hauptmenü der Weboberfläche.

Hier können Sie die Logs des Geräts auswählen und deren aktuellen Inhalt einsehen.

Das Systemlog wird bei jedem Start des Geräts neu initialisiert. Wenn Sie die Logeinträge erhalten möchten, müssen Sie diese an einem Syslog-Server schicken.

An der lokalen Konsole gibt es ebenfalls die Möglichkeit, das Systemlog einzusehen. Auf dem zweiten Terminal werden die letzten Einträge des Systemlogs angezeigt. Dieses Terminal erreichen Sie durch die Tastenkombination CTRL+ALT+F2. Auf dem dritten Terminal werden alle Kernelmeldungen ausgegeben. Hier finden Sie bei Hardwareproblemen die entsprechenden Meldungen. Dieses Terminal ist mit der Tastenkombination CTRL+ALT+F3 erreichbar. Mit Hilfe der Tastenkombination CTRL+ALT+F1 können Sie wieder auf den Statusbildschirm zurückschalten.

15.2. Verfügbarer Arbeitsspeicher

Der im Gerät verbaute Arbeitsspeicher steht Ihren Monitoring-Instanzen abzüglich des Speichers, der von den Systemprozessen der Checkmk-Appliance benötigt wird, zur freien Verfügung.

Um die Stabilität der Systemplattform gewährleisten zu können, wird eine feste Menge des Arbeitsspeichers für die Systemprozesse reserviert. Je nach Konfiguration Ihres Geräts ist die Menge des reservierten Speichers wie folgt:

  • Einzelgerät (ohne Clusterkonfiguration): 100 MB
  • Geclustert: 300 MB

Wenn Sie genau wissen wollen, wie viel Arbeitsspeicher Ihren Monitoring-Instanzen zur Verfügung steht und wie viel aktuell belegt ist, können Sie Ihr Gerät von Checkmk überwachen lassen. Auf dem Gerät wird ein Service User_Memory angelegt, der Ihnen die aktuellen und historischen Auslastungen anzeigt.

Falls von den Monitoring-Instanzen mehr Arbeitsspeicher belegt wird als verfügbar ist, wird automatisch einer der Prozesse der Monitoring-Instanzen beendet. Dies wird durch Standard-Mechanismen des Linux-Kernels umgesetzt.

16. Service und Support

16.1. Handbuch

Bei Problemen während der Inbetriebnahme oder während des Betriebs, bitten wir Sie, zuerst dieses Handbuch zu Rate zu ziehen.

16.2. Internet

Aktuelle Supportinformationen sind jederzeit im Internet über unsere Webseite abrufbar. Hier finden Sie die aktuellste Fassung der Dokumentation und allgemeine aktuelle Informationen, die über die Angaben in diesem Handbuch hinaus gehen.

16.3. Firmware

Die aktuellen Versionen der Firmware finden Sie auf unserer Webseite. Auf diese Firmwares können Sie mit den Zugangsdaten Ihres laufenden Supportvertrags zugreifen.

16.4. Hardware-Support

Bei einem Hardwareausfall kontaktieren Sie uns bitte per Email an cma-support@checkmk.com oder per Telefon unter +49 89 99 87 097 - 20. Die Abwicklung erfolgt gemäß der vereinbarten Wartung und direkt vom Distributor.

16.5. Software-Support

Im Fall eines Softwarefehlers, egal ob Firmware oder Checkmk-Monitoring-Software, kontaktieren Sie uns bitte über Ihre firmeneigene Supportadresse. Die Unterstützung erfolgt im Rahmen des abgeschlossenen Supportvertrags.