Even with an open source monitoring solution one cannot avoid proprietary systems completely. The Windows monitoring is covered by Icinga 2 with its own agent, but how can it be deployed to hundreds of systems without actually touching each system? How does Icinga 2 assist me, and how do I monitor my Windows systems? This talk will show deployment possibilities of Icinga 2 agents on windows, and bring examples on how to perhaps improve its` monitoring
3. www.netways.de
• Installation des Agents auf allen Systemen
• Konfiguration für den Verbindungsaufbau
• Erstellen der SSL-Zertifikate
Herausforderungen
4. www.netways.de
• Manuelle Installation
• Verteilung des MSI-Installers per Policy
• Nutzung von Tools wie Puppet
• Embedded Installation im Windows-Image
Deployment Möglichkeiten
5. www.netways.de
• Konfiguration für Icinga Umgebung fehlt
• SSL-Zertifikate müssen pro Agent erstellt werden
• Jeder Agent dadurch individuell
Problemstellungen
6. www.netways.de
• Download des Installers aus definierten Quellen
• Installation und Updates / Downgrades von Agents
• Sicherheitsvalidierung der CA
• Erstellung von Zertifikaten für den Agent
• Konfiguration der Zonen / Endpunkte
• Validierung der Konfiguration und Neustart des Agents
• Optionale Installation des NSClient++
Icinga 2 PowerShell Modul
7. www.netways.de
• Nur allgemeine Icinga 2 Einstellungen notwendig
• Agent-Name wird automatisch ermittelt
• Ausrollen des PowerShell-Moduls über Group-Policies
• Ausführen des Skripts manuell, per Remote-Execution
oder Group-Policies
Automatisierung mit Parametern
exit $icinga = Icinga2AgentModule `
-InstallAgentVersion '2.8.0' `
-AllowUpdates `
-FetchAgentFQDN `
-CAServer 'icinga2a-master.example.com' `
-ParentZone 'icinga2-master-zone' `
-ParentEndpoints 'icinga2a-master.example.com', 'icinga2b-master.example.com' `
-RunInstaller;
8. www.netways.de
• Globale Einstellung der Basis-Parameter des Moduls
• Einfache Verwaltung
• Schnelle Änderungsmöglichkeiten
Automatisieren über Icinga Director Self-Service
9. www.netways.de
• Pro Host-Template im Director kann ein API-Key hinterlegt werden
• Automatische Zuweisung des Templates an einen Host
• Konfiguration basierend auf dem Icinga Director
• Pro Host-Template ein identischer Skript-Aufruf
Automatisieren über Icinga Director Self-Service II
exit $icinga = Icinga2AgentModule `
-DirectorUrl 'https://icinga2-master.example.com/icingaweb2/director/' `
-DirectorAuthToken '34086b3480965b083476c08346c34980' `
-RunInstaller;
13. www.netways.de
• PowerShell Modul auf dem Zielsystem installiert
• PowerShell Remote-Execution aktiviert (optional)
• Ab Icinga Version 2.8.0
• Windows Update KB2999226 installiert
• Windows VCRedist 120 (VS2013) installiert
Vorbereitungen
14. www.netways.de
• Agent kann sich zum Master verbinden
• Zertifikate können mittels Icinga CA erstellt werden
• Manuelle Konfiguration (Zonen / Endpunkte)
Variante 1 – Kommunikation mit Master
15. www.netways.de
• Agent kann sich zum Icinga Director verbinden
• Erhält vollständige Konfigurationsinformationen
• Vollständig automatisierte Zertifikaterstellung
Variante 2 – Kommunikation mit Master/Director
16. www.netways.de
• Agent kann sich nicht direkt zu Icinga verbinden
• Verbindungsaufbau durch Master / Satellit notwendig
• Manuelle Konfiguration von Zonen / Endpunkten
• Nutzen der CA-Proxy für Zertifikate (ab Icinga 2.8.0)
Variante 3 – DMZ-Knoten (keine eigene Verbindung zu Icinga)
18. www.netways.de
• Version 1.3.0
• Log Output Richtung Icinga Director
• Erweitertes Troubleshooting
• Langfristig
• (Icinga 2 PowerShell Framework)
• Alle Funktionen aus jetzigem Modul
• Framework für Windows-Checks
Roadmap
19. www.netways.de
• Direkt auf GitHub:
• https://github.com/Icinga/icinga2-powershell-module
Wo gibt‘s das Modul?