Superviser la consommation des serveurs VMware ESX(i) avec Nagios

YoannLeave a comment

Dans un article précédent, je vous présentais une solution pour superviser un serveur VMware ESX(i). Elle reposait sur l’utilisation du plugin Nagios check_esx3.pl de la société OP5.
A l’aide du client vSphere, il est possible d’obtenir la consommation d’un serveur VMware ESX(i) (test effectué avec un serveur Dell PowerEdge R710).

Cette donnée de performance ne pouvait pas être mesurer avec le plugin Nagios check_esx3.pl. J’ai donc décidé d’implémenter cette fonctionnalité.

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez le plugin Nagios : wget "http://git.op5.org/git/?p=nagios/op5plugins.git;a=blob_plain;f=check_esx3.pl" -O check_esx3.pl
– Téléchargez le patch pour prendre en compte la consommation des serveurs VMWare ESX(i) : wget http://www.be-root.com/downloads/nagios/check_esx3/0001-check_esx3.pl-Added-power-consumption.patch
– Appliquez le patch sur le plugin check_esx3.pl : patch < 0001-check_esx3.pl-Added-power-consumption.patch

Ce patch a été récemment soumis à la liste de diffusion des utilisateurs OP5 pour intégrer le plugin check_esx3.pl. Je n’ai pas encore eu de réponse pour le moment.

– Copiez ce script dans le répertoire contenant les plugins Nagios : cp check_esx3.pl /usr/local/nagios/libexec/
– Rendez le script exécutable : chmod +x /usr/local/nagios/libexec/check_esx3.pl
– Modifiez le propriétaire pour ce script : chown nagios:nagios /usr/local/nagios/libexec/check_esx3.pl

– Vérifiez la consommation d’un serveur VMware ESX(i) : /usr/local/nagios/libexec/check_esx3.pl -H xxx.xxx.xxx.xxx -u supervision -p MotDePasse -l power -w 500 -c 600

CHECK_ESX3.PL OK - power=216.22 Watts | power=216.22W;500;600

– Ajoutez la définition de l’objet command : vi /etc/nagios/objects/commands.cfg

define command {
command_name check_esx_power
command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l power -w $ARG1$ -c $ARG2$
}

– Ajoutez la définition de l’objet host pour le serveur : vi /etc/nagios/objects/hosts.cfg

define host {
host_name server01
use generic_host
alias VMware ESXi
address xxx.xxx.xxx.xxx
contact_groups +admin
}

– Ajoutez la définition de l’objet service pour le serveur : vi /etc/nagios/objects/services.cfg

define service {
host_name server01
use generic_service
service_description Puissance
check_command check_esx_power!917!966
contact_groups +admin
}

– Rechargez la configuration de Nagios : service nagios reload

La configuration de Nagios dépend bien entendu de la structure que vous avez adopté.

Création d’un VPN avec OpenVPN sous Centos 5

Cyril10 Comments

Dans cet article, nous allons créer un point d’accès vpn chargé de router l’ensemble du trafic des clients vpn.
Le système retenu pour créer ce point d’accés est une machine sous Centos 5 sur laquelle nous allons installer le logiciel OpenVPN.

Installation du serveur vpn :

Nous considérons que la machine est déjà installée sous Centos 5 et que les outils de développement y sont également installés (autoconf, automake, gcc, …). SELinux ainsi que IPtables sont désactivés.

Tous d’abord, nous allons installer la librairie lzo (téléchargeable en version 2.04 depuis ici, permettant de compresser en temps réel les flux qui transiteront par le tunnel :

[root@vador sources]# tar zxf lzo-2.04.tar.gz
[root@vador sources]# cd lzo-2.04
[root@vador lzo-2.04]# ./configure --prefix=/usr && make && make install

Nous pouvons ensuite installer openvpn depuis les sources, téléchargeables depuis le site officiel :

[root@vador sources]# tar zxf openvpn-2.1.4.tar.gz
[root@vador sources]# cd openvpn-2.1.4
[root@vador openvpn-2.1.4]# ./configure --prefix=/usr --sysconfdir=/etc/openvpn
[root@vador openvpn-2.1.4]# make && make install
[root@vador openvpn-2.1.4]# cp sample-scripts/openvpn.init /etc/init.d/
[root@vador openvpn-2.1.4]# chmod +x /etc/init.d/openvpn.init
[root@vador openvpn-2.1.4]# cd plugin/auth-pam/
[root@vador openvpn-2.1.4]# make
[root@vador auth-pam]# mkdir /usr/lib/openvpn
[root@vador auth-pam]# cp openvpn-auth-pam.so /usr/lib/openvpn/

Nous allons ensuite générer les certificats :

[root@vador auth-pam]# cd ../..
[root@vador openvpn-2.1.4]# cd easy-rsa/2.0/
[root@vador 2.0]# vi vars
[root@vador 2.0]# . ./vars
[root@vador 2.0]# ./clean-all
[root@vador 2.0]# ./build-ca
[root@vador 2.0]# ./build-key-server server
[root@vador 2.0]# ./build-dh
[root@vador 2.0]# mkdir -p /etc/openvpn/keys
[root@vador 2.0]# cp keys/ca.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/ca.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/dh1024.pem /etc/openvpn/keys/

Le fichier ca.crt sera a distribuer sur les clients.
Créons le fichier de configuration d’OpenVPN /etc/openvpn/openvpn.conf :

port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem


server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

comp-lzo
max-clients 100

user nobody
group nobody

# of the privilege downgrade.
persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log

verb  4

client-cert-not-required
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

push "redirect-gateway def1"
push "dhcp-option DNS xxx.xxx.xxx.xxx"  #Optionnel : Adresse IP du serveur dns

Ainsi configuré, OpenVPN écoutera sur le port 1194/udp et l’authentification se fera via login/mot de passe grace aux PAM. Ainsi, chaque utilisateur ayant un compte sur la machine pourra se connecter au VPN.
Il est possible d’aller plus loin en configurant les pam pour aller chercher les informations dans un annuaire LDAP par exemple.
La directive push « redirect-gateway def1 » permet de rediriger l’ensemble du trafic des clients via le VPN.
verb 4 pourra être diminué par la suite afin de rendre les logs moins volumineux.

[root@vador openvpn]# touch /var/log/openvpn.log
[root@vador openvpn]# touch /var/log/openvpn-status.log
[root@vador openvpn]# chown nobody:nobody /var/log/openvpn*.log

Nous pouvons ensuite demarrer openvpn grace à la commande :

/etc/init.d/openvpn.init start

Créons ensuite le script /etc/rc.d/rc.firewall qui permettra de masquerader le traffic provenant de l’interface virtuelle tun0.

#!/bin/sh
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F FORWARD
/sbin/iptables -F INPUT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

Rendons le exécutable avec la commande : 

chmod +x /etc/rc.d/rc.firewall

et nous pouvons modifier le fichier /etc/rc.local afin que rc.firewall soit lancé au démarrage de la machine.
La configuration du point d’accés et désormais terminée. Il faut juste s’assurer que le port 1194/udp est ouvert pour les clients.

Configuration d’un client vpn sous linux :

Pour cet exemple, nous allons configurer un client fonctionnant sous Ubuntu. Installons le plugin openvpn pour le networkmanager :

sudo apt-get install network-manager-openvpn-gnome

Il faut ensuite redemarrer le network-manager (ou la machine pour les plus fénéants 🙂 ).

Sur l’applet de configuration de réseau, nous choisissons « Configurer le VPN » :

La passerelle est l’adresse IP de notre serveur OpenVPN.
Le certificat du ca est le fichier ca.crt récupéré du répertoire /etc/openvpn/keys sur le serveur.

Cliquer sur « Avancé » et activer la compression lzo :

Après activation du vpn, à l’aide de la commande traceroute, nous voyons bien que le traffic passe par le vpn (10.8.0.1) :

Configuration d’un client vpn sous windows :

Il faut installer le logiciel Openvpn-GUI disponible ici. Installer le pilote
TAP-Win32 (soit depuis l’installation, soit depuis le menu demarrer->openvpn).

Dans le répertoire c:\program files\openvpn\config, placer le fichier ca.crt récupéré sur le serveur.

Éditer un fichier c:\program files\openvpn\config\client.ovpn :

### Client configuration file for OpenVPN
client
dev tun
remote 192.168.0.10 1194   # Adresse & port du serveur openvpn
proto udp
nobind
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cipher BF-CBC
comp-lzo
verb 3
auth-user-pass
route-method exe
route-delay 2

La connexion au vpn se fait par un clic droit sur l’icone openvpn dans la zone de notification et en cliquant sur connect.

Supervision de VMware ESX(i) avec Nagios

Yoann39 Comments

Pour superviser le serveur VMware ESX(i), nous allons utiliser le plugin Nagios check_esx3.pl de la société OP5. En pré-requis à son utilisation, il est nécessaire d’installer VMware vSphere SDK for PERL et le module PERL Nagios::Plugin sur le serveur de supervision.

Apercu de la supervision d'un serveur VMWare ESX(i)
Nous installerons VMware vSphere SDK for PERL dans le répertoire /opt/vmware-vsphere-perl-sdk/.

– Depuis le serveur de supervision, créez le répertoire suivant : mkdir /opt/vmware-vsphere-perl-sdk/

Depuis le site de VMware vous devez télécharger VMware vSphere SDK for Perl. Le téléchargement de ce composant nécessite un compte VMware.

– Installez la bibliothèque de développement d’OpenSSL : yum install openssl-devel
– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Décompressez l’archive : tar -xzvf VMware-vSphere-Perl-SDK-4.1.0-254719.x86_64.tar.gz
– Placez-vous dans le répertoire suivant : cd vmware-vsphere-cli-distrib
– Lancez l’installation de VMware vSphere SDK for Perl : ./vmware-install.pl

Avant de procéder à l’installation, vous devez  accepter la licence d’utilisation.

Indiquez l’emplacement des fichiers exécutables (/opt/vmware-vsphere-perl-sdk/bin/).

Installation de VMware

Pour désinstaller VMware vSphere SDK for Perl, il vous suffira de lancer la commande suivante : /opt/vmware-vsphere-perl-sdk/bin/vmware-uninstall-vSphere-CLI.pl.

Nous allons installer le module PERL Nagios::Plugin.

perl -MCPAN -e ‘shell’
cpan > install Nagios::Plugin
cpan > quit

Ensuite, nous allons récupérer le plugin Nagios check_esx3.pl depuis le site d’OP5.

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez le plugin Nagios : wget "http://git.op5.org/git/?p=nagios/op5plugins.git;a=blob_plain;f=check_esx3.pl" -O check_esx3.pl
– Copiez ce script dans le répertoire contenant les plugins Nagios : cp check_esx3.pl /usr/local/nagios/libexec/
– Rendez le script exécutable : chmod +x /usr/local/nagios/libexec/check_esx3.pl
 – Modifiez le propriétaire pour ce script : chown nagios:nagios /usr/local/nagios/libexec/check_esx3.pl

Le plugin Nagios check_esx3.pl récupère les informations d’un serveur VMware ESX(i) en s’y connectant à l’aide d’un compte utilisateur. Nous allons créer un compte utilisateur supervision possédant les droits de lecture.

Connectez-vous au serveur VMware ESX(i) avec le client VMware vSphere.

Dans l’onglet Local Users & Groups, cliquez sur l’option Add du menu surgissant pour créer un nouvel utilisateur supervision avec un mot de passe associé.

Dans l’onglet Permissions, cliquez sur l’option Add Permission…. Dans la partie Users and Groups, cliquez sur le bouton Add pour ajouter l’utilisation supervision. Dans la partie Assigned Role, sélectionnez le rôle Read-only pour cet utilisateur.

L’installation est terminée. Voici quelques exemple d’utilisation du plugin Nagios check_esx3.pl.

– Placez-vous dans le répertoire suivant : cd /usr/local/nagios/libexec/
– Vérifiez l’utilisation du CPU de l’hyperviseur en pourcentage : ./check_esx3.pl -H xxx.xxx.xxx.xxx -u supervision -p MotDePasse -l cpu -s usage -w 80 -c 90

CHECK_ESX3.PL OK - cpu usage=1.24 % | cpu_usage=1.24%;80;90

– Vérifiez l’utilisation de la mémoire vive de l’hyperviseur  en Mo : ./check_esx3.pl -H xxx.xxx.xxx.xxx -u supervision -p MotDePasse -l mem -s usagemb -w 14336 -c 16384

CHECK_ESX3.PL OK - mem usage=6022.40 MB | mem_usagemb=6022.40MB;14336;16384

– Vérifiez l’état de l’hyperviseur : ./check_esx3.pl -H xxx.xxx.xxx.xxx -u supervision -p MotDePasse -l runtime -s status

CHECK_ESX3.PL OK - overall status=green

– Vérifiez que toutes les cartes réseaux de l’hyperviseur sont connectées : ./check_esx3.pl -H xxx.xxx.xxx.xxx  -u supervision -p MotDePasse -l net -s nic

CHECK_ESX3.PL OK - All 8 NICs are connected | OK_NICs=8;; Bad_NICs=0;;

Pour obtenir de l’aide sur ce plugin Nagios, il vous suffit de lancer la commande suivante : ./check_esx3.pl -h

Cette partie dépend de votre arborescence de configuration et de votre installation de Nagios. Nous allons modifier la configuration de Nagios pour superviser un serveur VMware ESX(i).

– Ajoutez deux nouvelles variables : vi /etc/nagios/resource.cfg

$USER2$=supervision
$USER3$=MotDePasse

Les variables USER2 et USER3 correspondent aux identifiants de l’utilisateur possédant les droits de lecture sur le serveur VMware ESX(i).

– Ajoutez les définitions des objets command : vi /etc/nagios/objects/commands.cfg

define command {
  command_name check_esx_cpu
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l cpu -s usage -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_memory
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l mem -s usagemb -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_swap
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l mem -s swap -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_network
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l net -s usage -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_disk_io_read
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l io -s read -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_disk_io_write
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l io -s write -w $ARG1$ -c $ARG2$
}

define command {
  command_name check_esx_nic
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l net -s nic
}

define command {
  command_name check_esx_service
  command_line $USER1$/check_esx3.pl -H $HOSTADDRESS$ -u $USER2$ -p $USER3$ -l service -s $ARG1$
}

– Ajoutez la définition de l’objet host pour le serveur : vi /etc/nagios/objects/hosts.cfg

define host {
  host_name server01
  use generic_host
  alias VMware ESXi
  address xxx.xxx.xxx.xxx
  contact_groups +admin
}

– Ajoutez la définition des objets service pour le serveur : vi /etc/nagios/objects/services.cfg

define service {
  host_name server01
  use generic_service
  service_description CPU
  check_command check_esx_cpu!80!90
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Memoire
  check_command check_esx_memory!14336!16384
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Trafic_Reseau
  check_command check_esx_network!5120!102400
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Disque_IO_Lecture
  check_command check_esx_disk_io_read!50!90
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Disque_IO_Ecriture
  check_command check_esx_disk_io_write!50!90
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Interfaces_Reseaux
  check_command check_esx_nic
  contact_groups +admin
}

define service {
  host_name server01
  use generic_service
  service_description Services
  check_command check_esx_service!DCUI,lbtd,ntpd,vmware-vpxa
  contact_groups +admin
}

– Rechargez la configuration de Nagios : service nagios reload

Votre serveur VMWare ESX(i) est maintenant supervisé depuis Nagios.

Supervision du CPU d'un serveur VMware ESX

Supervision de la mémoire vive d'un serveur VMware ESX