Hướng dẫn cấu hình SNMP trên ESXi để giám sát ESXi
Việc giám sát hạ tầng rất quan trọng đối với các tổ chức vì nó giúp phát hiện các sự cố kịp thời và ngăn chặn các lỗi hệ thống. Nếu xảy ra sự cố, các thông báo sớm về sự cố sẽ giúp bạn bắt đầu xử lý các vấn đề liên quan càng sớm càng tốt. Trong môi trường VMware vSphere, bạn nên cấu hình giám sát ESXi. Một trong những phương pháp hợp lý nhất để giám sát các máy chủ ESXi là sử dụng chức năng tích hợp sẵn và Giao thức quản lý mạng đơn giản (SNMP). Trong trường hợp này, phải cấu hình một máy chủ chuyên dụng với phần mềm giám sát. Bài đăng trên blog này đề cập đến cấu hình SNMP của ESXi và giải thích cách bật SNMP trên các máy chủ ESXi.
Chuẩn bị môi trường
Dưới đây là cách kích hoạt SNMP trên ESXi:
- Kích hoạt Secure Shell (SSH)
- Cấu hình SNMP
- Cấu hình tường lửa ESXi
Tôi sẽ giải thích cách cấu hình SNMP trên ESXi thông qua một ví dụ với một ESXi 7.0 máy chủ và một máy tính Ubuntu Linux đã cài đặt phần mềm giám sát.
Địa chỉ IP của máy chủ ESXi là 192.168.101.208.
Địa chỉ IP của máy Ubuntu Linux là 192.168.101.209.
Sử dụng địa chỉ IP và các giá trị khác của bạn cho các tham số thích hợp khi cấu hình giám sát ESXi qua SNMP trong cơ sở hạ tầng của bạn để đáp ứng cấu hình của bạn.
Kích hoạt truy cập SSH trên ESXi
Cần có quyền truy cập SSH trên máy chủ ESXi để chạy các lệnh ESXCLI từ xa trên máy chủ. Để kích hoạt truy cập SSH vào máy chủ ESXi của bạn, bạn có thể sử dụng VMware Host Client. Mở trình duyệt web, nhập địa chỉ IP của máy chủ ESXi vào thanh địa chỉ, sau đó nhập thông tin đăng nhập để đăng nhập.
Trong cửa sổ ” Navigator “, truy cập ” Host > Manage ” và nhấp vào tab ” Services “.
Nhấp chuột phải vào ” TSM-SSH ” và trong menu ngữ cảnh, chọn ” Start.
” Trên hình ảnh minh họa bên dưới, bạn có thể thấy dịch vụ máy chủ SSH đã được khởi động trên máy chủ ESXi.
Bây giờ bạn có thể kết nối với máy chủ ESXi từ một máy tính có cài đặt phần mềm khách SSH. Nếu bạn sử dụng Windows, bạn có thể sử dụng PuTTY, một phần mềm khách SSH miễn phí và tiện lợi. Trong Linux, chạy trình khách SSH từ dòng lệnh với lệnh:
ssh your_username@host_ip_address
Nhập địa chỉ IP của máy chủ ESXi và cổng TCP 22 (số cổng mặc định) vào cài đặt phiên của trình khách SSH để kết nối với máy chủ ESXi qua SSH.
Cấu hình SNMP cho ESXi
Sau khi kết nối SSH với máy chủ ESXi được thiết lập, bạn có thể cấu hình các tùy chọn SNMP của VMware ESXi. Trên máy chủ ESXi, SNMP chỉ có thể được cấu hình trong giao diện dòng lệnh. Giao diện người dùng đồ họa (GUI) chỉ cho phép bạn khởi động, dừng và khởi động lại dịch vụ SNMP.
Chạy lệnh trong bảng điều khiển (terminal) và kiểm tra trạng thái SNMP trên máy chủ ESXi:
esxcli system snmp get
SNMP bị tắt theo mặc định. Kết quả cho SNMP bị tắt trên ESXi được hiển thị trên ảnh chụp màn hình. Hầu hết các tham số đều trống hoặc chưa được cấu hình.
Cấu hình các tham số của một tác nhân SNMP
Đặt các tham số SNMP cho một tác nhân SNMP trên máy chủ ESXi. Tác nhân SNMP được sử dụng để gửi thông báo (SNMP traps và informs) đến máy chủ giám sát và nhận các yêu cầu GET, GETNEXT và GETBULK.
Đặt tên cộng đồng (“ public ” là tên cộng đồng được đặt mặc định). Tên cộng đồng trong ví dụ này là “ nakivo ”. esxcli system snmp set --communities nakivo
Đặt mục tiêu SNMP. Mục tiêu SNMP là một máy chủ có cài đặt phần mềm giám sát để xử lý các thông báo SNMP và thu thập thông tin giám sát. Trong ví dụ của tôi, mục tiêu SNMP là máy chạy Ubuntu Linux ( 192.168.101.209 ). UDP 161 là cổng mặc định được sử dụng cho SNMP và cổng này được định nghĩa trong cấu hình SNMP của ESXi:
esxcli system snmp set --targets=192.168.101.209@161/nakivo
Chỉ định vị trí, ví dụ: vị trí địa lý, địa chỉ, trung tâm dữ liệu hoặc phòng nơi máy chủ được đặt:
esxcli system snmp set --syslocation "Server room"
Chỉ định thông tin liên hệ. Địa chỉ email của quản trị viên hệ thống có thể được định nghĩa cho tham số này:
esxcli system snmp set --syscontact michaelbose@nakivo.com
Kích hoạt SNMP trên ESXi:
esxcli system snmp set --enable true
Kiểm tra trạng thái SNMP trên máy chủ ESXi một lần nữa:
esxcli system snmp get
Bây giờ bạn có thể thấy các tham số đã được cấu hình.
ID Engine là mã định danh duy nhất cho trình đại lý SNMP (được sử dụng cho SNMP v3). ID Engine có thể được đặt bằng lệnh (tùy chọn):
esxcli system snmp set -engineid 544a33209458
Trạng thái SNMP hiện tại là đang chạy . Bạn cũng có thể mở VMware Host Client, truy cập Host > Manage > Services, và kiểm tra trạng thái của dịch vụ snmpd .
Kiểm tra cấu hình SNMP hiện tại.
esxcli system snmp test
Nếu bạn chỉnh sửa cài đặt SNMP sau đó, hãy khởi động lại trình điều khiển SNMP bằng lệnh:
/etc/init.d/snmpd restart
Ngoài ra, bạn có thể khởi động lại ESXi SNMP trong giao diện người dùng VMware Host Client tại tab Services . Nhấp chuột phải vào dịch vụ và chọn Restart trong menu ngữ cảnh.
Nếu bạn cần đặt lại cài đặt SNMP của ESXi, hãy sử dụng lệnh:
esxcli system snmp set -r
Lệnh để vô hiệu hóa SNMP trên máy chủ ESXi là:
esxcli system snmp set --enable false
Bạn có thể kiểm tra tính khả dụng của SNMP từ một máy Linux nếu máy Linux này là mục tiêu SNMP. Chúng tôi sử dụng Ubuntu Linux cho mục đích này.
Cài đặt trình khách SNMP cần thiết trên Ubuntu Linux nếu trình khách này chưa được cài đặt:
sudo apt-get install snmp
Kết nối với máy chủ ESXi qua SNMP để kiểm tra các thông số có sẵn cho việc giám sát:
snmpwalk -v2c -c nakivo 192.168.101.208
Bạn sẽ thấy một danh sách dài các đối tượng cho việc giám sát ESXi qua SNMP trong kết quả đầu ra của bảng điều khiển. Các đối tượng này là cơ sở dữ liệu thông tin quản lý (MIB) và mã định danh đối tượng (OID), là các thành phần của cấu trúc phân cấp các thông số giám sát.
MIB SNMP là tập hợp thông tin về các đối tượng (tham số và cài đặt) được tổ chức theo thứ bậc. Có MIB dạng số và dạng bảng. MIB có thể là tiêu chuẩn hoặc dành riêng cho nhà cung cấp.
OID SNMP là đối tượng được quản lý được xác định duy nhất trong cấu trúc MIB phân cấp. Các cấp độ khác nhau của cây được chỉ định bởi các tổ chức khác nhau. Các nhà cung cấp có thể định nghĩa các nhánh đặc biệt để theo dõi các thông số của sản phẩm của họ.
Tên đối tượng là một giá trị duy nhất trong toàn bộ MIB, tương ứng với OID thích hợp. Ví dụ: tên đối tượng cho OID 1.3.6.1.2.1.1.5 là sysName .
Cấu hình Tường lửa ESXi
Bạn phải cấu hình tường lửa và bật quyền truy cập SNMP từ các máy chủ giám sát đến máy chủ ESXi. Bạn có thể thiết lập một mạng con hoặc địa chỉ IP duy nhất của các thiết bị được phép trong mạng.
Chúng tôi chạy ba lệnh này để cho phép truy cập từ mạng 192.168.101.0/24 để giám sát ESXi qua SNMP:
esxcli network firewall ruleset set --ruleset-id snmp --allowed-all false
esxcli network firewall ruleset allowedip add --ruleset-id snmp --ip-address 192.168.101.0/24
esxcli network firewall ruleset set --ruleset-id snmp --enabled true
Nhập địa chỉ IP hoặc địa chỉ mạng theo cấu hình mạng của bạn.
Một cấu hình ít an toàn hơn là cho phép truy cập từ bất kỳ thiết bị mạng nào:
esxcli network firewall ruleset set --ruleset-id snmp --allowed-all true
esxcli network firewall ruleset set --ruleset-id snmp --enabled true
Cấu hình SNMP cho ESXi đã hoàn tất. Bây giờ bạn có thể cấu hình phần mềm giám sát trên máy chủ giám sát.
Cấu hình SNMP v3
SNMP v3 là phiên bản an toàn hơn của giao thức, cung cấp xác thực bằng khóa và mã hóa. Cấu hình SNMP v3 phức tạp hơn và được hỗ trợ từ vSphere 5.1. Dưới đây là tổng quan về cách kích hoạt SNMP v3 trên máy chủ ESXi.
Đặt giao thức xác thực và tùy chọn bảo mật.
esxcli system snmp set -a SHA1 -x AES128
Trong đó:
SHA1 là thuật toán mã hóa mật mã, hàm băm mật mã (Secure Hash Algorithm 1).
AES128 là phương pháp mã hóa (Tiêu chuẩn Mã hóa Nâng cao với khóa mã hóa 128-bit) sử dụng mã hóa khối đối xứng.
Tạo các chuỗi băm bằng cách sử dụng lệnh như sau:
esxcli system snmp hash –auth-hash authpass –priv-hash privhash –raw-secret
Trong trường hợp của tôi, lệnh là:
esxcli system snmp hash --auth-hash PasswordTest1 --priv-hash PasswordTest2 --raw-secret
Tránh sử dụng các mật khẩu được cung cấp trong ví dụ này trong môi trường sản xuất. Sử dụng các mật khẩu duy nhất (mật khẩu phải có ít nhất 7 ký tự). Lưu các chuỗi băm đã tạo. Trong trường hợp của tôi, các chuỗi băm như sau.
Authhash: 831a798d1cda90ca1a3ab80d38f81a44c0851ada
Privhash: 38cf6f13d09a4651362338eac2c3d62b42514bc9
Sử dụng các chuỗi băm đã tạo và thêm người dùng. Hệ thống hỗ trợ thêm tối đa năm người dùng.
esxcli system snmp set -e yes -C user -u snmpuser/authhash/privhash/priv
Trong đó:
user là địa chỉ email liên hệ của người dùng
snmpuser là tên người dùng (có thể dài tối đa 32 ký tự)
authhash là giá trị băm xác thực
privhash là giá trị băm bảo mật
Chúng ta thêm user1 và sử dụng các giá trị băm được tạo ra trong kết quả của lệnh trước đó. esxcli system snmp set -e yes -C user1@nakivo.com -u user1/831a798d1cda90ca1a3ab80d38f81a44c0851ada/38cf6f13d09a4651362338eac2c3d62b42514bc9/priv
Bạn có thể tạo một tài khoản người dùng mà không có cài đặt bảo mật (không xác thực và không bảo mật) bằng cách sử dụng lệnh:
esxcli system snmp set --user user2/-/-/none
Xác định địa chỉ đích SNMP:
esxcli system snmp set --v3targets 192.168.101.209@161/user1/priv/trap
Kích hoạt SNMP trên ESXi:
esxcli system snmp set --enable true
Kiểm tra cài đặt SNMP:
esxcli system snmp test
Bạn có thể sử dụng lệnh mở rộng để kiểm tra cấu hình SNMP của VMware trên ESXi:
esxcli system snmp test -u=user1 -A=PasswordTest1 -X=P2sswordTest2 -r
Trong đó user1 là tên của tài khoản người dùng SNMP đã được thêm vào cấu hình.
Nếu kiểm tra thành công, một thông báo sẽ hiển thị:
Người dùng đã được xác thực đúng cho ID động cơ và mức độ bảo mật đã cho: giao thức
Hãy thử kết nối với máy chủ ESXi qua SNMP v3 từ một máy chủ Linux giám sát (từ phía đích).
Lệnh này được sử dụng nếu chưa thiết lập các thông số xác thực:
snmpwalk -v3 -u user1 192.168.101.208
Nếu bạn đã thiết lập các tùy chọn bảo mật, hãy định nghĩa chúng trong lệnh:
snmpwalk -v3 -u user1 -l AuthPriv -a SHA -A PasswordTest1 -x AES -X PasswordTest2 192.168.101.208
Trong đó user1 là tên người dùng của tôi đã được thêm vào cấu hình SNMP của ESXi.
Nếu bạn thấy lỗi “ Unknown user name ” khi kiểm tra cấu hình SNMP của ESXi, hãy kiểm tra xem bạn đã thêm người dùng và định nghĩa tên người dùng chính xác trong các lệnh tiếp theo sau khi thêm người dùng hay chưa. Lưu ý rằng nếu bạn thay đổi Engine ID của agent, giao thức bảo mật hoặc giao thức xác thực sau khi cấu hình người dùng, các người dùng này sẽ không còn hợp lệ. Trong trường hợp này, bạn cần cấu hình lại người dùng.
Ngoài ra, hãy chú ý đến cài đặt bảo mật vì cấu hình SNMP không chính xác có thể tạo ra mối đe dọa và cho phép một máy chủ độc hại thu thập thông tin về máy chủ ESXi. Thông tin này có thể được sử dụng để phát hiện các điểm yếu và khởi động một cuộc tấn công mạng.
Cấu hình SNMP cho nhiều máy chủ ESXi
Sử dụng Cấu hình máy chủ VMware có thể giúp bạn kích hoạt SNMP và cấu hình nhiều máy chủ ESXi một cách hợp lý hơn nếu bạn có số lượng lớn máy chủ ESXi trong môi trường vSphere của mình.
Để kích hoạt SNMP và cấu hình nhiều máy chủ ESXi, bạn phải có VMware vSphere Enterprise Plus giấy phép để sử dụng VMware Host Profiles trong VMware vSphere Client. Cài đặt SNMP của VMware cho các cấu hình máy chủ ESXi nằm tại Management > Host Profiles > your Profile > SNMP Agent Configuration. Bạn cũng có thể sử dụng vSphere PowerCLI để tự động hóa quá trình cấu hình cho một số lượng lớn máy chủ ESXi nhằm thiết lập cấu hình SNMP trên chúng.
Kết luận
Cấu hình SNMP cho ESXi yêu cầu quyền truy cập SSH vào các máy chủ ESXi, cấu hình các đại lý SNMP và cho phép truy cập qua tường lửa ESXi. Việc giám sát ESXi cho phép bạn phản ứng kịp thời nếu phát hiện bất kỳ sự cố nào và cải thiện tính sẵn sàng tổng thể của dịch vụ. Đừng quên thực hiện sao lưu máy ảo VMware vSphere để tránh mất dữ liệu và có thể khôi phục dữ liệu cũng như các khối lượng công việc trong trường hợp xảy ra sự cố.
NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu toàn diện, cung cấp nhiều tùy chọn đa dạng để sao lưu và khôi phục máy ảo VMware vSphere cùng các dữ liệu khác trong trung tâm dữ liệu. Hơn nữa, phiên bản mới nhất của giải pháp này hỗ trợ giám sát ESXi như một phần của tính năng giám sát VMware vSphere.
