1 proxy代理
概述
Zabbix proxy 可以代表 Zabbix 服务器收集性能和可用性数据。
这样,proxy 可以自行承担一部分数据收集负载,从而减轻 Zabbix 服务器的压力。
此外,当所有 agent 和 proxy 都向同一台 Zabbix 服务器报告,并且所有数据都集中收集时,使用 proxy 是实现集中式和分布式监控的最简单方式。
Zabbix proxy 可用于:
- 监控远程位置
- 监控通信不稳定的位置
- 在监控数千台设备时减轻 Zabbix 服务器负载
- 简化分布式监控的维护
proxy 只需要与 Zabbix 服务器建立一个 TCP 连接。
因此,只需配置一条防火墙规则,就更容易绕过防火墙。
Zabbix proxy 必须使用单独的数据库。
将其指向 Zabbix 服务器数据库会破坏配置。
proxy 收集的所有数据都会先保存在本地,然后再传输到服务器。
这样,即使与服务器之间出现临时通信问题,也不会丢失数据。
proxy 配置文件中的 ProxyLocalBuffer 和 ProxyOfflineBuffer 参数控制数据在本地保留的时长。
可能会出现这样的情况:某个 proxy 直接从 Zabbix 服务器数据库接收最新的配置变更,因此其配置比 Zabbix 服务器本身更为最新;而由于 CacheUpdateFrequency 的值,Zabbix 服务器上的配置更新速度可能没有那么快。
结果,proxy 可能开始收集数据并将其发送给 Zabbix 服务器,而 Zabbix 服务器会忽略这些数据。
Zabbix proxy 是一个数据收集器。
它不会计算触发器、处理事件或发送告警。
有关 proxy 功能概览,请参阅下表:
| Function | Supported by proxy | |
|---|---|---|
| Items | ||
| Zabbix agent checks | Yes | |
| Zabbix agent checks (active) | Yes 1 | |
| Simple checks | Yes | |
| Trapper items | Yes | |
| SNMP checks | Yes | |
| SNMP traps | Yes | |
| IPMI checks | Yes | |
| JMX checks | Yes | |
| Log file monitoring | Yes | |
| Internal checks | Yes | |
| SSH checks | Yes | |
| Telnet checks | Yes | |
| External checks | Yes | |
| Dependent items | Yes | |
| Script items | Yes | |
| Browser items | Yes | |
| Built-in web monitoring | Yes | |
| Item value preprocessing | Yes | |
| Network discovery | Yes | |
| Active agent autoregistration | Yes | |
| Low-level discovery | Yes 2 | |
| Remote commands | Yes | |
| Calculating triggers | No | |
| Processing events | No | |
| Event correlation | No | |
| Sending alerts | No | |
[1] 为确保 agent 向 proxy(而不是服务器)请求主动检查,必须在 agent 配置文件的 ServerActive 参数中列出该 proxy。
[2] 对于 LLD,Zabbix proxy 只收集并预处理数据,然后将其发送到 Zabbix 服务器进行进一步处理。
过载保护
如果 Zabbix 服务器曾宕机一段时间,而 proxies 收集了大量数据,那么当服务器启动后,可能会发生过载(历史缓存使用率会在一段时间内保持在 95-100%)。 这种过载可能导致性能下降,使检查处理速度低于应有水平。 为避免因历史缓存过载而引发的问题,系统实现了针对这种场景的保护机制。
当 Zabbix 服务器的历史缓存已满时,会对历史缓存写入访问进行限流,从而阻塞服务器的数据采集进程。 历史缓存过载最常见的情况,是服务器停机后 proxies 开始上传已收集的数据。 为避免这种情况,系统增加了 proxy 限流机制(目前无法禁用)。
当历史缓存使用率达到 80% 时,Zabbix 服务器会进入限流模式。 在限流模式下,只有当历史缓存使用率低于 60% 时,服务器才会接受 proxy 数据,并轮流接受不同的 proxies。 一旦历史缓存使用率降到 20% 以下,服务器将切换回正常模式。
此外,在正常模式下,如果历史缓存使用率超过 60%,Zabbix 服务器会对发送超大数据包(10,000+ 条记录)的单个 proxies 进行限流。
该决策是在服务器评估某个 proxy 上传请求的瞬间作出的,因此不一定会立即反映在历史缓存使用率图表中(内部监控项 zabbix[wcache,history,pused] 及其更新间隔可能无法捕捉到短暂峰值)。
这种限流模式将持续,直到缓存使用率再次达到 80%、降至 20%,或者限流列表为空。 在第一种情况下,服务器将再次停止接受 proxy 数据。 在另外两种情况下,服务器将恢复正常工作,接受所有 proxies 的数据。
以上信息可通过下表说明:
| 历史写入 缓存使用率 |
Zabbix 服务器模式 | Zabbix 服务器动作 |
|---|---|---|
| 达到 80% | 等待 | 停止接受 proxy 数据,但保留一个限流列表(按优先级排序、稍后联系的 proxies 列表)。 |
| 达到 60% | 正常,但准备进入限流 | 在决定是否接受数据时,可能会拒绝超大的 proxy 上传(超过 10k 条记录);继续接受其他 proxy 数据。 |
| 降至 20% | 正常 | 丢弃限流列表,并开始正常接受 proxy 数据。 |
你可以使用 zabbix[wcache,history,pused] 内部监控项,将 Zabbix 服务器的这种行为与某个指标关联起来。
配置
在你已经安装并配置了 proxy 之后,就可以在 Zabbix 前端中对其进行配置了。
添加 proxy
要在 Zabbix 前端中配置 proxy:
- 转到:Administration > Proxies
- 单击 Create proxy
| Parameter | Description | |
|---|---|---|
| Proxy name | 输入 proxy 名称。它必须与 proxy 配置文件中的 Hostname 参数名称相同。 | |
| Proxy group | 为 proxy 负载均衡/高可用 选择一个 proxy 组。 | |
| Address for active agents | 输入受监控的 active agent 或发送器必须连接到的地址。仅 支持 Zabbix 7.0 agent 或更高版本。 此地址用于连接 active 和 passive proxy。仅当在 Proxy group 字段中选择了 proxy 组时,此字段才可用。 |
|
| Address | 要连接的 IP 地址/DNS 名称。 | |
| Port | 要连接的 TCP 端口号(默认 10051)。支持用户宏。 | |
| Proxy mode | 选择 proxy 模式。 Active - proxy 将连接到 Zabbix 服务器并请求配置数据 Passive - Zabbix 服务器连接到 proxy 注意:在使用 active proxy 时,如果没有加密通信,proxy 配置数据(敏感信息)可能会被能够访问 Zabbix 服务器 trapper 端口的人员获取。这是因为任何人都可以伪装成 active proxy 并请求配置数据,前提是未进行身份验证,或者未在 Proxy address 字段中限制 proxy 地址。 |
|
| Proxy address | 如果指定,则仅接受来自此列表中的 active proxy 请求;列表项以逗号分隔,可以是 CIDR 表示法的 IP 地址,也可以是 active Zabbix proxy 的 DNS 名称。 仅当在 Proxy mode 字段中选择了 active proxy 时,此字段才可用。不支持宏。 |
|
| Interface | 输入 passive proxy 的接口详细信息。 仅当在 Proxy mode 字段中选择了 passive proxy 时,此字段才可用。 |
|
| Address | passive proxy 的 IP 地址/DNS 名称。 | |
| Port | passive proxy 的 TCP 端口号(默认 10051)。支持用户宏。 | |
| Description | 输入 proxy 描述。 | |
Encryption 选项卡允许你要求与 proxy 建立加密连接。
| Parameter | Description |
|---|---|
| Connections to proxy | 服务器如何连接到 passive proxy:不加密(默认)、使用 PSK(预共享密钥)或证书。 |
| Connections from proxy | 选择允许来自 active proxy 的连接类型。可以同时选择多种连接类型(适用于测试以及切换到其他连接类型)。默认值为“不加密”。 |
| Issuer | 允许的证书颁发者。证书首先会通过 CA(证书颁发机构)验证。如果证书有效且由 CA 签名,则可使用 Issuer 字段进一步限制允许的 CA。此字段为可选项,适用于 Zabbix 安装使用来自多个 CA 的证书的情况。 |
| Subject | 允许的证书主题。证书首先会通过 CA 验证。如果证书有效且由 CA 签名,则可使用 Subject 字段仅允许一个 Subject 字符串值。如果此字段为空,则接受任何由已配置 CA 签名的有效证书。 |
| PSK identity | 预共享密钥标识字符串。 不要在 PSK identity 中放入敏感信息,因为它会在网络中以未加密方式传输,用于告知接收方应使用哪个 PSK。 |
| PSK | 预共享密钥(十六进制字符串)。最大长度:如果 Zabbix 使用 GnuTLS 或 OpenSSL 库,则为 512 个十六进制数字(256 字节 PSK);如果 Zabbix 使用 mbed TLS(PolarSSL)库,则为 64 个十六进制数字(32 字节 PSK)。示例:1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952 |
Timeouts 选项卡允许你为支持该功能的监控项类型覆盖全局超时设置。
| Parameter | Description |
|---|---|
| Timeouts for item types | 设置监控项超时(基于其类型): Global - 使用全局超时(在每种监控项类型的灰色 Timeout 字段中显示); Override - 设置自定义超时(在每种监控项类型的 Timeout 字段中)。允许范围:1 - 600s(默认:继承自全局超时)。支持时间后缀,例如 30s、1m,以及用户宏。 单击 Global timeouts 链接可配置全局超时。请注意,只有具有 Super admin 类型且对 Administration > General 前端部分拥有权限的用户才能看到 Global timeouts 链接。 请注意,虽然 proxy 级别的超时会覆盖全局超时,但如果单个监控项超时已配置,则会被其覆盖。 |
如果 proxy 主版本与服务器主版本不匹配,Timeouts for item types 旁边将显示 
图标,悬停提示为“由于 proxy 和服务器版本不匹配,已禁用超时”。
在这种情况下,proxy 将使用 proxy 配置文件中的 Timeout 参数。
现有 proxy 的编辑表单包含以下附加按钮:
- Refresh configuration - 刷新 proxy 配置
- Clone - 基于现有 proxy 的属性创建一个新的 proxy
- Delete - 删除 proxy
主机配置
您可以在主机配置表单中,使用 Monitored by 字段指定某个单独的主机应由 proxy 或 proxy 组进行监控。
主机批量更新是另一种指定主机应由 proxy 或 proxy 组监控的方式。