Icinga2 Client und Zones

This forum was archived to /woltlab and is now in read-only mode.
  • Hallo zusammen,


    auf die Gefahr hin, dass ich etwas zum 100sten Mal frage - es muss leider sein.

    Folgendes Szenario:

    * Icinga2 Master lokal im Haus

    * Icinga2 Client extern im RZ

    * Der Client soll einige Services, die lokal im Haus laufen, von extern checken

    Ich möchte das gerne per "Top-Down"-Schema durchführen.


    Dafür habe ich die Installation gemäß Manual durchgeführt und den Client mit dem Wizard zum Master gekoppelt.

    Das passt soweit.

    Was nicht klappt, ist dass die "global-templates"-Zone auf den Client übertragen wird.

    An einigen Stellen wird beschrieben, dass die in die /etc/icinga2/zones.conf des Clients manuell eingetragen werden soll.

    Wenn ich das mache, sagt mir allerdings der Client: "Ignoring config update for zone 'global-templates' because we have an authoritative version of the zone's config."

    Lass ichs weg, passiert auch nichts.

    Jedoch wird das testweise definierte "remotePing"-Service auf dem Client durchgeführt (erfolgreich, im RZ gibts ein anderes Subnetz, welches ganz sicher nur vom Client erreichbar sein kann).

    Kann es sein, dass der Client gar keine Service-Configs im "Top-Down"-Modus synchronisieren muss, sondern komplett alles per API gesagt bekommt?


    Grüße, Sascha

  • Ja, in den client-zonen ist parent = "master" drin.


    Code
    1. root@monitoring:/etc/icinga2# icinga2 --version
    2. icinga2 - The Icinga 2 network monitoring daemon (version: r2.6.0-1)

  • Verstehe ich nicht :-( - der Ubuntu-Client sagt


    Code
    1. [2017-01-20 20:20:05 +0100] warning/ApiListener: Ignoring config update for unknown zone 'global-templates'.


    Ist eine frische Installation, die über


    Code
    1. # icinga2 node wizard

    konfiguriert worden ist.

  • Und die globale Zone hast du am Client konfiguriert wie in der Doku beschrieben?

    Ich habs zumindest versucht - wenngleich wahrscheinlich nicht richtig.

    Sobald ich eine Änderung am Client in /etc/icinga2/zones.conf mache, sagt mir der Client: "Ignoring config update for zone 'global-templates' because we have an authoritative version of the zone's config."

  • Gerne. Die zones.conf des Clients ist unverändert so, wie sie der Wizard angelegt hat, wegen der Fehlermeldung im Client

    "Ignoring config update for zone 'global-templates' because we have an authoritative version of the zone's config."

  • Der /etc/icinga2/zones.d-Folder des Clients ist (bis auf die README), komplett leer, ja.

    Zur Sicherheit noch die zones.conf des Clients.

  • Zur Sicherheit noch die zones.conf des Clients.

    Da ist aber keine global zone drinn. Hast sie sicher wegen deiner Probleme weggelassen, aber ohne den Eintrag wird sie auch nicht repliziert.


    Habe keine Ahnung was das bei dir ist.

    Möchtest du nochmal die Subject Namen der Zertifikate mit den Endpoint Namen abgleichen, dass die wirklich ehrlich gleich sind:

    Auf Master und Client ausführen:

    Code
    1. [root@host]# find /etc/icinga2/pki/*.crt | grep -v ca.crt | xargs -ignpf openssl x509 -in gnpf -noout -text | grep 'Subject:'
    2. Subject: CN=my.wellworking.master.com


    Dann hätte ich gern die Zonen und Endpunkte vom Master und Client gedumpt damit ich weis womit die daemons arbeiten:

    icinga2 object list --type zone | grep -v '^ *%' | grep -v '__name\|type ='

    icinga2 object list --type endpoint | grep -v '^ *%' | grep -v '__name\|type ='


    Macht in Summe 6 Auszüge.

    Die darfst du natürlich gern anonymisieren, es wäre nur hilfreich wenn die Ersetzung durch den Text-Editor auch durchgängig erfolgt...