Skip to content

checkmk - Dockerinstallation

Verschoben checkmk
  • Nachdem ich wieder ein wenig hier umgebaut habe, wollte ich eine checkmk Installation installieren. Aber wo? Ich habe hier eine pfSense, ok mit FreeBSD scheidet das als Installationsziel aus. Auf meinem ROCKPro64, mein neues NAS mit Debian Buster 10.1, scheiterte die Installation an nicht vorhandenem arm Pakete. Gut, das ich da noch über die Docker Installation gestolpert bin 🙂

    Da auf meinem Haupt-PC sowieso Docker installiert ist, bot sich das an es mal auszuprobieren.

    Die Anleitung zur Dockerinstallation findet man hier. https://checkmk.de/cms_introduction_docker.html

    Installation

    Docker

    apt install docker.io
    

    checkmk Container

    root@debian:~# docker container run -dit -p 8080:5000 --tmpfs /opt/omd/sites/cmk/tmp:uid=1000,gid=1000 -v monitoring:/omd/sites --name monitoring -v /etc/localtime:/etc/localtime:ro --restart always checkmk/check-mk-raw:2.0.0-latest
    Unable to find image 'checkmk/check-mk-raw:1.6.0-latest' locally
    1.6.0-latest: Pulling from checkmk/check-mk-raw
    8f91359f1fff: Pull complete 
    3d794619eec5: Pull complete 
    1468b0cb296b: Pull complete 
    787a36ef0a12: Pull complete 
    159fac9366a1: Pull complete 
    fefc9fe50b26: Pull complete 
    Digest: sha256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Status: Downloaded newer image for checkmk/check-mk-raw:1.6.0-latest
    

    Nach der Installation müssen wir uns Logfile schauen, damit wir das Passwort bekommen.

    root@debian:~# docker container logs monitoring
    ### CREATING SITE 'cmk'
    Adding /opt/omd/sites/cmk/tmp to /etc/fstab.
    Going to set TMPFS to off.
    Created new site cmk with version 1.6.0p5.cre.
    
      The site can be started with omd start cmk.
      The default web UI is available at http://xxxxxxxxxx/cmk/
    
      The admin user for the web applications is cmkadmin with password: password
      (It can be changed with 'htpasswd -m ~/etc/htpasswd cmkadmin' as site user.
    )
      Please do a su - cmk for administration of this site.
    
    ### STARTING XINETD
    [ ok ] Starting internet superserver: xinetd.
    ### STARTING SITE
    Starting mkeventd...OK
    Starting rrdcached...OK
    Starting npcd...OK
    Starting nagios...OK
    Starting apache...OK
    Initializing Crontab...OK
    ### STARTING CRON
    ### CONTAINER STARTED
    

    Danach kann man den Container erreichen. Jetzt sollte man als erstes das generierte Passwort durch ein eigenes ersetzen. Dazu brauchen wird die ID des Containers

    root@frank-MS-7C37:~# docker ps
    CONTAINER ID   IMAGE                               COMMAND                  CREATED         STATUS                   PORTS                              NAMES
    b59475ab385b   checkmk/check-mk-raw:2.0.0-latest   "/docker-entrypoint.…"   3 minutes ago   Up 3 minutes (healthy)   6557/tcp, 0.0.0.0:8080->5000/tcp   monitoring
    

    Jetzt einloggen

    root@frank-MS-7C37:~# docker exec -it b59475ab385b bash
    root@b59475ab385b:/# 
    

    Jetzt sind wir innerhalb des Docker Containers. Und nun das Passwort wechseln!!

    root@b59475ab385b:/# omd su cmk
    OMD[cmk]:~$ htpasswd etc/htpasswd cmkadmin
    New password: 
    Re-type new password: 
    Updating password for user cmkadmin
    

    Nun steht dem Einloggen nichts mehr im Wege.

    c76ff794-223f-452e-86ec-9f74459e1136-grafik.png

    Und hier nach dem Einloggen.

    7dd2a7a1-b89e-45cf-a228-e0645f55cbc0-grafik.png

    Sicherheit

    Bitte das hier unbedingt beachten. https://checkmk.de/cms_agent_linux.html#security

    Docker

    docker ps zeigt alle laufenden Docker Container an.

    root@debian:~# docker ps
    CONTAINER ID        IMAGE                               COMMAND                  CREATED             STATUS                  PORTS                              NAMES
    Container-ID        checkmk/check-mk-raw:1.6.0-latest   "/docker-entrypoint.…"   25 hours ago        Up 25 hours (healthy)   6557/tcp, 0.0.0.0:8080->5000/tcp   monitoring
    

    In die Kommandozeile des Containers wechseln.

    docker exec -it Container-ID bash
    

    Sicherheit der Agents

    Dazu bitte die Dokumentation beachten!

  • Ich hatte damals vergessen, die CheckMK Installation zu sichern. Jo, dann halt von vorne. Aber das ist bei den Dockerinstallationen für mich alles noch was neu 😉

    Backup erstellen

    24a87d1d-2951-4793-b60b-bf6d17d065f0-grafik.png

    Was muss in das Feld "Directory to save the backup to" rein!?!?!?

    Es hat etwas gedauert, bis es bei mir Klick gemacht hat. Wenn man sich in die Dockerinstallation einloggt

    docker exec -it Container-ID bash
    

    dann wird es etwas klarer. Wir bewegen uns ja in diesem Dateiverzeichnis.

    root@5e2e67e33438:/# ls -lha opt/omd/sites
    total 20K
    drwxr-xr-x 4 cmk  1001 4.0K Jun 12 22:27 .
    drwxr-xr-x 1 root root 4.0K Jun 10 18:52 ..
    drwxr-xr-x 3 cmk  1001 4.0K Jun 12 22:30 backup
    drwxr-xr-x 8 cmk  1001 4.0K Jun 11 20:23 cmk
    

    Das Verzeichnis backup habe ich angelegt. Danach konnte ich mit CheckMK ein Backup anlegen. Jo, aber wo liegen die Daten auf dem Host?

    Suche auf dem Host

    Beim Startaufruf, wird das hier übergeben.

    -v monitoring:/omd/sites
    

    In der Anleitung steht folgendes.

    Diese Option bindet die Daten der Instanz in diesem Container an eine persistente Stelle im Dateisystem des Docker-Node. Sie gehen daher nicht verloren, wenn der Container wieder entfernt wird.

    Ok. Hilft mir leider noch nicht so richtig. Weiter suchen....

    root@frank:/# docker volume inspect monitoring
    [
        {
            "CreatedAt": "2020-06-12T22:27:13+02:00",
            "Driver": "local",
            "Labels": null,
            "Mountpoint": "/var/lib/docker/volumes/monitoring/_data",
            "Name": "monitoring",
            "Options": null,
            "Scope": "local"
        }
    ]
    

    Und hier finden wir dann den Mountpoint!

    root@frank:/# ls -lha /var/lib/docker/volumes/monitoring/_data
    insgesamt 16K
    drwxr-xr-x 4 frank omd  4,0K Jun 12 22:27 .
    drwxr-xr-x 3 root  root 4,0K Jun 11 20:23 ..
    drwxr-xr-x 3 frank omd  4,0K Jun 12 22:30 backup
    drwxr-xr-x 8 frank omd  4,0K Jun 11 20:23 cmk
    

    Die Gruppe omd habe ich eingetragen, muss ich noch mal testen ob das überhaupt sein muss. Wird ergänzt.....

    Und dort liegen jetzt die persistenten Daten der Docker Installation.

    root@frank:/# ls -lha /var/lib/docker/volumes/monitoring/_data/backup/
    insgesamt 12K
    drwxr-xr-x 3 frank omd        4,0K Jun 12 22:30 .
    drwxr-xr-x 4 frank omd        4,0K Jun 12 22:27 ..
    drwxrwxr-x 2 frank messagebus 4,0K Jun 12 22:30 Check_MK-5exxxxx3438-cmk-backup-complete
    

    Und dieses Backup kann ich mir dann auf mein NAS schieben 🙂

  • Auf meinem jetzigen Ubuntu 20.04 hatte ich das Problem, das ich checkmk nach einem Neustart nicht aufrufen konnte. Kurz mal ein wenig umgeschaut und dann klingelte es 😉

    systemctl enable docker
    

    Der Dienst Docker lief nicht. Problem gelöst.

  • Sichern der Backup Daten aus der CheckMK Installation

    rsync -av /var/lib/docker/volumes/monitoring/_data/backup/ /media/NAS/Dokumente/Sicherungen/checkmk
    
  • Das hat so nicht geklappt 😞

    Dann mal schauen, wie man es noch machen könnte. Docker Container sichern.

    Sicherung

    root@frank-MS-7C37:~# docker ps
    CONTAINER ID        IMAGE                               COMMAND                  CREATED             STATUS                 PORTS                              NAMES
    3ba19e0a9d12        checkmk/check-mk-raw:1.6.0-latest   "/docker-entrypoint.…"   14 hours ago        Up 2 hours (healthy)   6557/tcp, 0.0.0.0:8080->5000/tcp   monitoring
    
    root@frank-MS-7C37:~# docker commit -p 3ba19e0a9d12 checkmk_backup
    sha256:f75be0ea3c256be98979577b880d77718394352ab2b1551343a0a1a3db6a44dc
    
    root@frank-MS-7C37:~# docker ps
    CONTAINER ID        IMAGE                               COMMAND                  CREATED             STATUS                   PORTS                              NAMES
    3ba19e0a9d12        checkmk/check-mk-raw:1.6.0-latest   "/docker-entrypoint.…"   14 hours ago        Up 2 hours (unhealthy)   6557/tcp, 0.0.0.0:8080->5000/tcp   monitoring
    
    root@frank-MS-7C37:~# docker image ls
    REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
    checkmk_backup         latest              f75be0ea3c25        11 seconds ago      832MB
    checkmk/check-mk-raw   1.6.0-latest        c3efcf4b5c6e        2 weeks ago         830MB
    
    root@frank-MS-7C37:~# docker save -o checkmk_backup.tar checkmk_backup
    

    Danach haben wir eine Sicherung des Docker Containers auf der Platte.

    root@frank-MS-7C37:~# ls -lha
    insgesamt 827M
    drwx------  8 root root 4,0K Aug  1 09:57 .
    drwxr-xr-x 23 root root 4,0K Jul 26 11:14 ..
    -rw-------  1 root root 826M Aug  1 09:57 checkmk_backup.tar
    

    Den können wir jetzt noch packen

    root@frank-MS-7C37:~# gzip checkmk_backup.tar 
    root@frank-MS-7C37:~# ls -lha
    insgesamt 307M
    drwx------  8 root root 4,0K Aug  1 09:58 .
    drwxr-xr-x 23 root root 4,0K Jul 26 11:14 ..
    -rw-------  1 root root 307M Aug  1 09:57 checkmk_backup.tar.gz
    

    Wiederherstellung

    Ungetestet im Moment, kommt noch 😉

    docker load -i checkmk_backup.tar
    

    Starten des Containers dann mit

    docker container run -dit -p 8080:5000 --ulimit nofile=1024 --tmpfs /opt/omd/sites/cmk/tmp:uid=1000,gid=1000 -v monitoring:/omd/sites --name monitoring -v /etc/localtime:/etc/localtime:ro --restart always checkmk_backup
    

    Quelle: https://www.laub-home.de/wiki/Docker_Backup_und_Restore_-_eine_kleine_Anleitung

  • Heute mal das Thema noch mal angefasst.

    Das Backup heute erstellt und ausprobiert. Läuft 😉

    root@:~# docker ps
    CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                             PORTS                              NAMES
    a1ca31c7290b        checkmk_backup      "/docker-entrypoint.…"   31 seconds ago      Up 31 seconds (health: starting)   6557/tcp, 0.0.0.0:8080->5000/tcp   monitoring3
    
  • Das ganze jetzt auch mal praktisch umsetzen, damit der Docker Container auch immer schön gesichert wird.

    #!/bin/sh
    # Script sichert den Docker Container von checkmk. Das Script funktioniert nur, da ich nur EINEN
    # Docker Container laufen habe!
    
    # Wir holen uns die Ausgabe von docker ps
    docker ps > ps.txt
    
    # Mich interessiert nur die 2. Zeile
    tail -n 1 ps.txt > ps_2.txt
    
    # Wir brauchen die ID und speichern diese zwischen
    ID="$(cut -d' ' -f1 ps_2.txt)"
    echo $ID
    
    # Docker Container sichern!
    # Damit wird eine Docker Kopie angelegt.
    docker commit -p $ID checkmk_backup
    
    # Hiermit sichern wir den Docker Container als .tar File im angegebenen Pfad.
    docker save -o /root/checkmk_Docker_Container/checkmk_backup.tar checkmk_backup
    
    # Den gesicherten Container aufs NAS schieben
    rsync -av /root/checkmk_Docker_Container/ /media/NAS/Dokumente/Sicherungen/checkmk_Docker_Container
    
  • Meine Dockersicherungen versagen immer kläglich, so bald sich die Versionen bei checkmk ändern. Da ich dieses checkmk aber unbedingt brauche, habe ich das mal als Cloud Server bei Hetzner getestet. Da bekam ich beim kleinsten Server, beim Anlegen eines Hostes sofort Speicherprobleme (2GB). Ok, seltsam.. Dann habe ich den Server auf 4GB hoch skaliert. Danach lief es.

    Aber, jetzt das Problem. Das hätte ca. 72€ im Jahr nur fürs Monitoring verbrannt. Das war es mir nicht wert, obwohl für das Hobby schon der ein oder andere Euro drauf geht 🙂

    Also, kommt wieder eine Dockerinstallation auf meine Haupt-PC. Der ist sowieso an und ich weiß das das gut funktioniert. Habe heute im Eingangspost ein paar Anpassungen vorgenommen, was einem halt so auffällt bei einer Neuinstallation.

    Danach die ganzen Hosts anlegen, das muss ja einfacher gehen. In der Firma der SysAdmin importiert die ja auch. Also mal die checkmk Dokumentation durchsucht und fündig geworden.

    Unter Punkt 6 findet man Import von CSV Dateien.

    Das Beispiel aus der Dokumentation

    hostname;ip address;alias;agent;snmp_ds
    lnx17.example.com;192.168.178.48;Webserver;cmk-agent;
    lnx18.exmpl.com;192.168.178.55;Backupserver;cmk-agent;
    switch47-11;;Switch47;no-agent;snmp-v2
    

    Das bekommen wir hin, alle meine Server eingetragen,

    bf1ddc6f-c726-4c20-8c9c-9156b732a0b6-grafik.png

    Fertig, noch ein wenig Feinarbeit danach an den Diensten und es lief wieder.

  • Und noch was Wichtiges.

    6777da6e-3b4f-41b9-bf6e-26496ae67cd8-grafik.png

    Damit sichert man den Datenaustausch ab.

    Kapitel 7.4. Inbuilt encryption

    Den Ordner findet man hier -> /etc/check_mk/encryption.cfg

  • FrankMF FrankM verschob dieses Thema von Linux am
  • FrankMF FrankM hat am auf dieses Thema verwiesen

  • Fedora erhebt KDE zur offiziellen Workstation Alternative

    Linux
    1
    0 Stimmen
    1 Beiträge
    83 Aufrufe
    Niemand hat geantwortet
  • KDE Plasma 6 - RC1

    Linux
    3
    0 Stimmen
    3 Beiträge
    135 Aufrufe
    FrankMF

    Heute die letzte Unstable Edition von KDE Neon installiert. Es gab folgende Version.

    neon-unstable-20240201-2132.iso

    Meldet sich bei mir immer noch nur als DEV Version und nicht als RC2 🤔 Wenn einer einen Tipp für mich hat....

    Der Installer soll mich ja nicht mehr interessieren, aber mir ist aufgefallen, das er jetzt den Standort hinbekommt.

    Ansonsten läuft es soweit rund. Habt ihr schon mal einen Firefox ohne Addblocker benutzt? Grausam! Kann mir gar nicht vorstellen, so was in meinem Leben nochmal zu benutzen.

  • HSTS - Sicherheitsmechanismus für HTTPS-Verbindungen

    Linux
    1
    0 Stimmen
    1 Beiträge
    68 Aufrufe
    Niemand hat geantwortet
  • Manjaro KDE Plasma 21.2.2

    Linux
    5
    0 Stimmen
    5 Beiträge
    171 Aufrufe
    FrankMF

    Ok, geht nicht. Manjaro und ich werden leider keine Freunde. Da sind zu viele Dinge, die nicht besonders gut umgesetzt sind. Heute mal den Test gemacht und mein geliebtes Linux Mint Cinnamon installiert.

    Passwort für die Verschlüsselung nimmt anstandslos deutsche Sonderzeichen an WiFi geht auch nicht mit WPA3, man kann aber einfach auf WPA2 umstellen und das funktioniert.

    Damit endet dieser Versuch jetzt..

  • Kopia - Kopia-Server mit Kopia-UI

    Kopia
    1
    0 Stimmen
    1 Beiträge
    386 Aufrufe
    Niemand hat geantwortet
  • ROCKPro64 - Debian Bullseye Teil 2

    Verschoben ROCKPro64
    3
    0 Stimmen
    3 Beiträge
    432 Aufrufe
    FrankMF

    Gestern mal das Ganze mit einem Cinnamon Desktop ausprobiert. Eine verschlüsselte Installation auf eine PCIe NVMe SSD. So weit lief das alles reibungslos. Der Cinnamon Desktop hat dann leider keine 3D Unterstützung. Sieht so aus, als wenn keine vernünftigen Grafiktreiber genutzt würden. Da ich auf diesem Gebiet aber eine Null bin, lassen wir das mal so. Außerdem mag ich sowieso keine Desktops auf diesen kleinen SBC. Da fehlt mir einfach der Dampf 😉

    Gut, was ist mir so aufgefallen?

    Unbedingt die Daten des Daily Images erneuern, keine alten Images nutzen. Ich hatte da jetzt ein paar Mal Schwierigkeiten mit. Da das ja nun keine Arbeit ist, vorher einfach neu runterladen und Image bauen.

    Warum zum Henker bootet eigentlich. außer meiner Samsung T5, nichts vom USB3 oder USB-C Port?? 👿

  • Restic & Rclone & Nextcloud

    Linux
    3
    0 Stimmen
    3 Beiträge
    720 Aufrufe
    FrankMF

    Hier mal eine Ausgabe vom ersten Durchgang

    root@frank-MS-7C37:~# restic --password-file /root/passwd -r rclone:Nextcloud:HOME_UBUNTU backup --files-from /root/includes.txt repository 99xxxxa0 opened successfully, password is correct created new cache in /root/.cache/restic rclone: 2020/05/08 17:47:57 ERROR : locks: error listing: directory not found rclone: 2020/05/08 17:47:58 ERROR : index: error listing: directory not found rclone: 2020/05/08 17:47:58 ERROR : snapshots: error listing: directory not found Files: 3503 new, 0 changed, 0 unmodified Dirs: 2 new, 0 changed, 0 unmodified Added to the repo: 16.872 GiB processed 3503 files, 21.134 GiB in 1:02:56 snapshot fdxxxxec saved

    Der erste Durchgang hat also etwa eine Stunde benötigt. Durch die Deduplikation der Daten, ist der Vorgang beim zweiten Durchgang viel schneller weil nur neue oder geänderte Daten gesichert werden. Und außerdem sind alle Daten AES-256 verschlüsselt. Also perfekt zur Ablage in irgendeiner Cloud 😉

    root@frank-MS-7C37:~# restic --password-file /root/passwd -r rclone:Nextcloud:HOME_UBUNTU backup --files-from /root/includes.txt repository 99xxxxa0 opened successfully, password is correct Files: 57 new, 41 changed, 3449 unmodified Dirs: 0 new, 2 changed, 0 unmodified Added to the repo: 22.941 MiB processed 3547 files, 21.137 GiB in 0:13 snapshot c6xxxxe4 saved

    Wie ihr seht, hat der zweite Durchgang nur ein paar neue und geänderte Daten gesichert. Der Rest ist ja schon vorhanden. Und das kann man dann auch problemlos täglich, wöchentlich oder was auch immer mal eben schnell durchführen.

    Eines meiner absoluten Lieblingstool 🙂

  • Node.js Paketmanager npm Sicherheitsproblem!

    Linux
    1
    0 Stimmen
    1 Beiträge
    231 Aufrufe
    Niemand hat geantwortet