Zabbix-proxy的搭建和配置全过程

Posted 2020-10-16

Zabbix-proxy的用途和构建图

Zabbix-server是建立在金山云的，现在需要监控阿里云的redis，但是阿里云跟金山云之间通信是无法走内网的，如果直接让zabbix-server与redis直接联系，一旦公网的信息被截获的话，整个金山的zabbix可能都会遭殃，那么既然有这种“远程监控+当监控的位置通信不便”的时候，那么就搭建一个zabbix-proxy来解决问题。Zabbix-proxy是一个监控代理服务器，它收集监控到的数据，先存放在缓冲区，保存的时间可以通过配置文件设定，然后再传送到zabbix-server，这样也大大减缓了zabbix-server的压力；监控代理需要一个单独的数据库。

有人可能问了，说来说去你的zabbix-proxy跟阿里的redis依旧是走公网的啊，不过这样我只需要配置一个防火墙规则来让他俩保证通信即可。通过防火墙来提升安全系数。

安装mysql 5.5

Zabbix-proxy机器情况：金山云centos 6.5，安装zabbix版本：3.0.8

yum list installed | grep mysql    #列出已经安装过的mysql情况
yum -y remove mysql-libs.x86_64    #把之前的mysql连根拔起
[[email protected] opt]# rpm -ivh http://repo.mysql.com/yum/mysql-5.5-community/el/6/x86_64/mysql-community-release-el6-5.noarch.rpm
Retrieving http://repo.mysql.com/yum/mysql-5.5-community/el/6/x86_64/mysql-community-release-el6-5.noarch.rpm
Preparing...                ########################################### [100%]
   1:mysql-community-release########################################### [100%]

现在要修改一下 /etc/yum.repos.d/mysql-community.repo 这个文件，将5.5的enabled改为1,5.6的enabled改为0：

# Enable to use MySQL 5.5
[mysql55-community]
name=MySQL 5.5 Community Server
baseurl=http://repo.mysql.com/yum/mysql-5.5-community/el/6/$basearch/
enabled=1    #这里改成1
gpgcheck=1

gpgkey=file:/etc/pki/rpm-gpg/RPM-GPG-KEY-mysql
# Enable to use MySQL 5.6
[mysql56-community]
name=MySQL 5.6 Community Server
baseurl=http://repo.mysql.com/yum/mysql-5.6-community/el/6/$basearch/
enabled=0    #这里改成0
gpgcheck=1
gpgkey=file:/etc/pki/rpm-gpg/RPM-GPG-KEY-mysql

然后执行#yum install mysql-community-client mysql-community-devel mysql-community-server php-mysql ， 安装服务端和客户端，安装完毕之后可以#mysql -h127.0.0.1 看一下。

安装完毕之后，修改一下/etc/my.cnf，如图：

innodb_buffer_pool_size = 512M        #这个根据服务器性能填写，这个机器是2核2G的，所以我拿出1G给mysql
innodb_file_per_table=1               #这个是新增的字段，设置InnoDB为独立表空间模式，每个数据库的每个表都会生成一个数据目录

mysql安装完毕之后，我们还要导表进去。

service mysqld start
mysqladmin -uroot password '123456'
mysql -uroot -p123456 -e 'create database zabbix_proxy character set utf8;'
mysql -uroot -p123456 -e "grant all privileges on zabbix_proxy.* to [email protected] identified by 'zabbix';"
mysql -uroot -p123456 -e "flush privileges;"
mysql -uzabbix -pzabbix zabbix_proxy </解压路径/zabbix-3.0.8/database/mysql/schema.sql

至此，mysql部分已经全部搞定。

安装Zabbix-proxy

先去https://sourceforge.net/projects/zabbix/files/ZABBIX%20Latest%20Stable/3.0.8/ 下载zabbix-3.0.8.tar.gz，上传到proxy服务器里。

tar -zxvf zabbix-3.0.8.tar.gz
./configure --prefix=/usr/local/zabbix-3.0.8  --sysconfdir=/etc/zabbix  --enable-proxy  --enable-agent  --enable-ipv6  --with-mysql=/usr/bin/mysql_config  --with-net-snmp  --with-libcurl  --with-openipmi  --with-unixodbc  --with-ldap  --with-ssh2  --enable-java

如果出现了“configure: error: Invalid LDAP directory - unable to find ldap.h”，如图：

解决方法就是：

yum -y install openldap*
groupadd zabbix     #新建用户zabbix
useradd -g zabbix -u 808 -m zabbix
#-g：指定用户所属的群组；
#-u：指定用户id。
#-m：自动建立用户的登入目录；

zabbix-proxy的配置

打开/etc/zabbix/zabbix_proxy.conf，需要修改几个地方：

Server=A.B.C.D                #这里填写zabbix-server的内网IP
Hostname=J.Q.K.A              #这里要与/etc/hosts下的名字一模一样
LogFile=/tmp/zabbix_proxy.log
DBHost=localhost
DBName=zabbix_proxy
DBUser=zabbix
DBPassword=zabbix
ConfigFrequency=120  #主动去server端去拉去配置更新的频率120秒一次
DataSenderFrequency=60  #发送采集的监控数据到服务器端，默认是1秒，我们一分钟发送一次
#roxyLocalBuffer=0        #代理配置文件中的ProxyLocalBuffer和ProxyOfflineBuffer参数控制数据在本地保存多长时间。
#ProxyOfflineBuffer=1

保存退出之后，再编辑/etc/zabbix/zabbix_agentd.conf，修改如下：

Server=A.B.C.D            #agentd被动模式下的server或者proxy的IP地址
ServerActive=A.B.C.D           #如果agentd端是被动模式的话，此条和下面那条并不非用配置，但是如果agentd端是主动模式的话，此条一定要配置上。
Hostname=J.Q.K.A

然后就是启动agent和proxy: 

# /etc/init.d/zabbix_agentd restart  
# /usr/local/zabbix_proxy/sbin/zabbix_proxy

用netstat查看一下端口和进程是否都OK：

zabbix-server端的配置

登入zabbix-server的网页，如图添加proxy：

点击“create proxy”之后，就对应填写资料吧：

这里对上面的几个选项多说几句：

Connections to proxy：服务器如何连接到被动代理：无加密（默认），使用PSK（预共享密钥）或证书。
Connections from proxy：从活动代理中选择允许的连接类型。 可以同时选择几种连接类型（用于测试和切换到其他连接类型）。 默认为“无加密”。
#点击Certificate之后又两个参数：
Issuer：允许颁发证书。 证书首先通过CA（认证机构）验证。 如果CA有效，则由CA签名，则可以使用Issuer字段来进一步限制允许的CA。 该字段是可选的，如果您的Zabbix安装使用多个CA的证书，则使用该字段。
Subject：允许的证书。 证书首先通过CA验证。 如果它有效，由CA签名，则主题字段可用于仅允许Subject字符串的一个值。 如果此字段为空，则接受由配置的CA签名的任何有效证书。

#点击PSK之后又两个参数：
PSK identity：预共享密钥身份字符串。
PSK ： 预共享密钥（hex-string）。 如果Zabbix使用mbed TLS（PolarSSL）库，Zabbix将使用GnuTLS或OpenSSL库，64位十六进制（32字节PSK），最大长度为512位十六进制数（256字节PSK）。 示例：1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952

保存之后，就在zabbix-server用zabbix-get 去ping一下proxy，看看返回值是否是1，如果是“zabbix_get [18290]: Check access restrictions in Zabbix agent configuration”，就检查一下刚才的hostname等值是否正确。

在WEB界面里，新建一个host，我们在zabbix-agent.conf里选择了active模式，那么hostname一定要填写对，Monitored by proxy也要写成这个机器。如图：

上面已经提到过，用proxy模式并且zabbix的客户端也是主动模式提交数据，这样能大大提高采集效率，降低zabbix服务器端和proxy端的压力。现在我们希望添加的还是使用zabbix_agent的方式，新加到zabbix_proxy里面的主机使用zabbix_agent（active）的方式。注意在模板的克隆要选择“full clone”，不要选“clone”，那样的话就是把iterm的名字克隆过去，如图：

然后在items选择具体的类型，根据需要，想改那个改哪个，如图，注意！我图里写的是Zabbix agent，但是type这里选择Zabbix agent (active)

改完之后，保存一下，就会看到type都是zabbix agent（active）了。

最后在host里把这个机器添加到proxy的模板里，如图：

在Administration的Proxies也看到效果了:

整个proxy的配置过程完毕，最后就是在阿里云redis的服务器里的zabbix-agentd.conf里，把zabbix-server的名字写成这台proxy的外网地址即可。

因为我们线上环境基本都是用的zabbix_proxy方式是active方式，然后客户端也是active方式，既然都是active方式，那么zabbix_agent的Hostname就很重要，打个比方如果再zabbix_server端把一个主机的Hostname改了，然后客户端那边也改了，服务端和客户端的Hostname是统一的，但是proxy那里还记录的是旧Hostname，然后就会在proxy日志里面看到下面一条：

cannot send list of active checks to "proxy内网IP地址": host [virt_proxy内网IP地址] not found

proxy主动模式下，ConfigFrequency默认的是3600秒一小时，显然有点大了，可以适当的调低一下，如10分钟或者几分钟什么的。然后出现问题多看看zabbix服务端和proxy的日志，对症下药。

参考资料：http://www.51niux.com/?id=156