Pandora:Documentation ja:GestionRemota

From Pandora FMS Wiki

Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

Pandora FMS でのシステムリモート管理

概要

Pandora FMS は監視ツールですが、エージェントを使わずにシステムに接続することができます。しかし、監視対象システムをリモートで操作するには便利ではありません。ルータやスイッチのようないくつかのシステムでは、Telnet や SSH を通して管理ができ、アクセスしてコマンドを実行することができます。

Pandora FMS には、"デフォルトで" ウェブコンソールから VNC を使って設定した IP のリモートのサーバへ接続できる Java プラグインがあります。同一のローカルネットワークセグメントにあり直接接続できる場合は簡単です。それ以外の場合は複雑になります。

複雑な環境か単純な環境かは区別できます。単純な環境は例えば次のようなものです。

  • サーバの IP アドレスは変化しない。
  • 管理端末PCからサーバへのアクセス (経路やファイアーウォール) はポートが開いており、通常の TCP/IP で通信できる状態になっている。
  • サーバにリモートコントロールソフトをインストールできるか、すでに入っている。

逆に複雑な環境は例えば次のようなものです。

  • サーバの IP アドレスが(動的に)変化する。
  • 管理端末PCから監視対象サーバへ直接アクセスできない。
  • リモートシステムに、リモートコントロールソフトをインストールできない。

また、中間のケースもあります。例えば、マシンは固定 IP を持っているけれども、操作端末PCからサーバへ TCP/IP で直接リモートアクセスできないといった場合。多くの場合、このようなシステムへリモートアクセスする方法は次の 3通りがあります。

  1. 例えば、SSHサーバや、リモートデスクトップの有効化、または VNC サーバのインストールができる場合。リモートシステムの IP をクライアントプログラムで指定して実行し、操作端末PCからアクセスします。これは、単純な環境でのみ実現できます。ここでは、 UltraVNC をお勧めします。
  1. 逆の(inverse)システムを利用すること。そう呼ぶには、リモートで操作するシステムが TCP ポートを開いて接続を待ち受ける代わりに、インターネット上のサーバに接続し、操作端末PCが同じインターネット上のサーバに接続して、お互いが直接通信できなくても双方のコンピュータが通信できるようになる仕組だからです。このシステムは、複雑な環境で便利ですが、通信速度や操作したいサーバがインターネットに接続できない環境だと通信できないといったデメリットもあります。このような場合には、TeamViewer をお勧めします。
  1. UltraVNC による接続では、リモートのサーバに接続できるプロキシを設定することができます。中間のサーバ(プロキシ)に接続し、プロキシが目的のサーバに接続します。これは、"Ultra VNC Repeater" と呼ばれます。より詳細の情報は、http://www.uvnc.com/docs/uvnc-repeater.html から確認できます。以下は基本的な接続図です。



Ultra vnc modeI.png

UltraVNC ツールは、GUI での設定が可能です。



Ultra vnc repeater.gif

以下の画面のように、VNC サーバへの接続にプロキシを利用します。



Vnc sample2.gif

Pandora FMS 内での VNC の利用

Pandora FMS "VNC" 拡張を使って、ウェブコンソールから追加ソフトウエアをインストールすることなしにアクセスすることができます。これをするための要件は以下のみです。

  • リモートから管理したいサーバに、Java アプレットを含む VNC サーバがインストールされており、5800番ポートで接続を受け付けていること。
  • ブラウザに Java プラグインがインストールされていること。
  • Pandora コンソールに接続している PC から直接管理対象サーバへ接続できること。5800/TCP の接続が許可されていること。

これらの要件を満たせば、エージェントの操作画面で "VNC" 拡張のアイコンをクリックするだけです。


Vnc tab.png
VNC アイコン (一番左)

接続できると、VNC サーバをインストールしたときに設定したパスワードの入力が必要です。


Vnc ext 1.png

パスワードを入力すると、そこにいるかのようにサーバへアクセスできます。


Vnc ext 2.png

大変強力で、接続エンコーディングのサポート、また、あるマシンから他のマシンへのファイル転送ができるため、UltraVNC [1] の利用をお勧めします。オープンソースでフリーです。

このシステムにおける制限事項は主に次の通りです。

  • PC とリモート監視対象のマシンの間で通信ができる必要があります。インターネット越しでファイアーウォールやルータ配下にあった場合などは、接続できません。
  • IP アドレスを知る必要があります。Pandora FMS では、現在の IP をエージェントで通知することができます。しかし、(複数のネットワークアダプタがあったり、通常の方法で IP 情報を更新しないような場合には) 時たま正しく動作しません。
  • UltraVNC のソフトウエアをインストールする必要があります。セキュリティポリシー上不可能な場合もあるかもしれません。

最初の問題の場合は、プロキシを通した接続手法を利用できます。しかし、示した手法では接続できません。この場合は、クライアントプログラムをダウンロードし、それをリモートシステムへ接続できるように PC から手動で実行します。

Pandora FMS での TeamViewer の利用

TeamViewer は、IPアドレスが変わったりファイアーウォールがあったりその他前述の問題がある場合でも、インターネット上の中間サーバを利用して接続できるリモート管理の強力なシステムです。必要なのは以下の 3点です。

  • 双方のマシン (監視対象サーバと操作端末) からのインターネット接続
  • マシン ID とパスワード
  • リモートサーバへの TeamViewer のインストール

インストールしたら、そのマシンに ID を割り当て、恒久的ななアクセスのためのパスワードを設定します。TeamViewer ID は、例えば UltraVNC [2] といったものです。このために、"カスタムフィールド" を利用し、全エージェントでこのフィールドを作成し、それぞれのマシンの ID を記述します。

カスタムフィールドを作成します。(システム管理メニュー -> エージェント管理 -> カスタムフィールド管理 -> 作成)


Custom field create.png

作成すると、このマシンの ID を設定できます。この場合、623 596 886 です。


Custom field create1.png

あとは、TeamViewer のページ https://login.teamviewer.com/ へ行き ID を渡すだけです。


Team viewer.png

Teamviewer の技術詳細

TeamViewer は非常に強力で、システム間のファイル転送もできます。

リモートサーバに接続するツールは、機密情報に関するルールがある場合は、セキュリティの問題になるかもしれません。商用版ではこれに関する優位性があります。

TeamViewer の接続で利用するリモートの管理サーバの接続一覧です。

TCP    desktop:1379           server530.teamviewer.com:http  ESTABLISHED
TCP    desktop:1380           master4.teamviewer.com:http  ESTABLISHED
TCP    desktop:1381           server311.teamviewer.com:http  ESTABLISHED
TCP    desktop:1382           server311.teamviewer.com:http  ESTABLISHED

Pandora FMS から SSH/Telnet を使ったリモートシステムへの接続

バージョン 4.0.2 から、Pandora FMS にはユーザがリモートデバイスに telnet や ssh 接続を行える拡張が付属しています。これは、リモートゲートウェイ拡張で実施できます。これを利用するには特別な設定が必要でデフォルトではインストールされていません。これは、GPL2 で公開されている anytermd というソフトをベースにしたオープンソースの機能です。



Ssh snapshot1.png





Ssh snapshot2.png



Pandora FMS は、"anytermd" というソフトを、ユーザのブラウザとリモートの機器の間でプロキシを実現するために利用しています。このツールはデーモンとして起動し、ポートで待ち受けコマンドを実行します。そして、出力をユーザのブラウザに行います。これはつまり、すべてのリモート接続は telnet や ssh のクライアントがインストールされている pandora サーバから実施されることを意味します。以下に基本的なアーキテクチャを示します。



Anytermd.png



インストールと設定

ソースファイルは、Pandora FMS SVN リポジトリの extras/anytermd にあります。

gnu c++ コンパイラ(gcc-c++)、make、boost-devel、zlib-devel がインストールされている必要があります。

以下を実行します。

make

そして、手動でバイナリを /usr/bin にインストールします。

cp anytermd /usr/bin

サーバデーモンを実行は手動で実施する必要があります。Pandora FMS サーバやコンソールからは自動的に起動されません。Pandora FMS の SSH/Telnet 拡張は、anytermd がそれぞれ待ち受けている 8023 ポートの telnet、8022 ポートの ssh を検出します。

起動スクリプトは contrib/anytermd にあります。それを /etc/init.d/anytermd にコピーし、次のように実行します。

/etc/init.d/anytermd start

デフォルトでは、実行に "pandora" ユーザを利用します。変更したい場合は、システムに存在する httpd 関連のユーザになるようスクリプトファイルを修正してください。

Info.png

これは、8023 および 8022番ポートを利用します。ユーザのブラウザからコンソールが動いているサーバに対してこれらのポートで接続できるようにしてください。これらをフィルタリングしてはいけません。

 


以上で、リモートのサーバへ telnet や ssh 接続する拡張が利用できるようになります。

Pandora FMS での eHorus の利用

eHorus は、SaaS ベースのリモートデバイス管理ツールです。クラウドベースであり、IPアドレスの変更、ファイアーウォールの存在、その他の問題を気にすることなく、デバイスへ接続することがでいます。

これを有効にするためには、設定画面で統合を有効化する必要があります。



Ehorus setup.png



このあと、サービスへの正しいログインユーザを設定する必要があります。このユーザ名は、エージェントにリモート接続するときの認証に使われます。

通常は不要ですが、API ホスト名(デフォルトは switch.ehorus.com です)や API ポート(デフォルトは 18080 です) 等の eHorus のパラメータを変更することもできます。



Ehorus setup full.png



Info.png

変更を保存する前に、接続が正しくできるか確認してください。

 


接続設定ができると、エージェント設定の下に eHorus ID という新たなカスタムフィールドがあります。このフィールドには、管理したいエージェントの eHorus ID を指定する必要があります。この ID は、デバイス上ですでに動作している eHorus のエージェントや eHorus ポータル上(以下の画像参照)など、さまざまな場所で確認できます。



Ehorus agent id.png



Info.png

管理対象の eHorus エージェントは、統合設定で指定したユーザで参照できる必要があります。

 


Pandora FMS エージェントのカスタムフィールドに eHorus エージェント ID が定義されていると、管理者ユーザまたはエージェント管理の権限があるユーザでは、エージェントメニューで新しいタブが表示されます。そのメニューにより、Pandora FMS コンソールから離れることなく eHorus を利用することができます。



Ehorus vnc.png