Pull to refresh

Comments 38

Решена ли проблема с безопасностью и нагрузкой?

Это что, какая-то известная проблема netdata, о которой мы ничего не знаем, используя этот сервис? Что за проблема то? Вроде нет никаких пробелм

Вообще неюзабельно на чем-нибудь загруженном с 100+ виртуалок.
Процесс висит в 100% CPU и не желает ничего делать. Интерфейс тоже висит конкретно.

Любой узнать может состояние сервера заходя через IP:19999 последний раз когда ставили его куда-то уже не помню никакой безопасности и не было, кроме совета запустить через прокси и сделать basic auth

Ну, разные области применения у инструментов. У нас, например, нет таких нагрузок и нет потребности в авторизации, так что мы даже не в курсе этих проблем. А простота установки и использования подкупает.

Мониторинг не должен отвечать за безопасность выдаваемых им данных. Мониторинг должен заниматься мониторингом, а закрывать его от посторонних глаз и/или регулировать права доступа должен соответствующий инструмент.
Мониторинг, который заявляет простоту установки и доступа как основную свою фичу, а потом говорит «упс, а вот безопасность мы забыли», как-то не очень.

Более того, было бы просто если бы был агент и один сборщик данных (агент льет по тому же ssh в то время как сборщик можно защитить nginx), но нет, нужно везде ставить интерфейс и ходит по IP и порту.
а потом говорит «упс, а вот безопасность мы забыли», как-то не очень.
как будто другие инструменты из коробки это дают. Prometheus? Тоже самое, не назовешь же беопасностью то, что там не 80 порт. Grafana? Из коробки тоже «просто работает», если хочешь — заводишь юзеров и настраиваешь доступ, но это не обязаловка.
Графану, Кибану и других можно закрыть за Basic Auth или даже VPN и слать туда данные агентами. Так же как и Промитиус. Netdata просто этого в принципе не позволяет.
Закрыть ее за VPN или basicauth для 200 серверов без геморроя и смс и установки еще точек опасности (типа нгинкса и других)? Особенно порадует настройка vlanов или же фаервола для всего этого ужаса.
Это не лирика, а правда жизни. Netdata это утюг с пылесосом в одном. Совсем не Юникс.

то есть претензии к тому, что нужно ставить nginx?
вот честное слово, я гораздо больше доверяю ему, чем yet another наколенной реализации https с авторизацией.

Но в итоге вы доверяет netdata и его http просто за nginx, что не избавляет от возможных дыр в нетдате. Но вместо того чтобы иметь 3 агента и один веб фронт у Вас 3 веб фронта и соответственно менеджмент nginx на всех 3х машинах.

И хорошо с тремя, плохо с 200 как я уже говорил.

Зоопарк проксей ради мониторинга с ограничением.
И хорошо с тремя, плохо с 200 как я уже говорил.

ну если у вас есть 200 серверов, то уже есть и некоторая система управления ими

+ не передергиваете, netdata не позволяет засекьюрить это на множестве систем. На фаерволле, например ставить nginx и нетдату некомильфо, тем более на транспарентном и видном по 3ему влану.

Поставить агента забикса или слать сислогом в грейлог как нефиг делать.
Мониторинг, который заявляет простоту установки и доступа как основную свою фичу, а потом говорит «упс, а вот безопасность мы забыли», как-то не очень.

*никс-подход: инструмент делает одну работу, и делает её хорошо. Мониторинг собирает данные, предоставляет средства для просмотра. Всё, точка, никаких «очень, не очень», дальше — веб-сервер с авторизацией.
Вы слашали о такой концепции или будете повторять своё сказанное ещё раз, хотя вам уже указали, почему так не принято делать?
Это не *никс подход, юникс подход это syslog, greylog, grafana. Или logstash, elastic, kibana. Юникс подход — одна тулза для одного.

Netdata это как раз systemctl в мониторинге, никак не подпадает под юниксовые методы. Это как в grep запихать sqlite и nginx
Ну вот зачем вы мне рассказываете сейчас, что — юникс подход, а что нет?
Юникс подход — одна тулза для одного

Ну а я что написал?
Насколько я помню, с top не все так просто. Это не средняя нагрузка на процессор, а средняя нагрузка на систему, которая учитывает в том числе и нагрузку на диск. На Хабре был перевод статьи на эту тему.

не заглядывая в статью скажу: это вы с прямым углом LA перепутали.
процентам загрузки процессора из top вполне можно верить.

Поддерживаю!!! Написал автору об ошибке. Надеемся что просто опечатался…

а как же ncdu?
отличная штука, чтоб удобно смотреть кто сожрал все место.

очень дорого, 15 серверов мониторить за 30к в месяц — это как-то
Единственный недостаток этой системы — если вы для мониторинга добавлено около 1000 серверов или более, то из-за большого количества сообщений и процедур шифрования Zabbix начинает медленно реагировать на команды, так что для очень больших компаний этот инструмент не слишком подходит


Но ведь можно развернуть несколько Zabbix-серверов и для удобства как-то поделить их между инфраструктурой (у нас несколько Zabbix-серверов и они поделены между бизнес-единицами компании)

Ещё хочу отметить проект CheckMK (есть бесплатная версия с открытым исходным кодом). С Zabbix не сравнится, конечно, но тоже достоин упоминания.

У подобного, гм, масштабирования есть один критический недостаток — рано или поздно неизбежно возникает необходимость агрегировать данные со всех серверов мониторинга. Приходится либо ставить сверху «зонтик», либо в принципе переезжать на систему мониторинга с поддержкой кластеризации/распределённых инсталляций.
Ещё я часто использую iotop, чтобы смотреть, кто больше всего пишет\читает с диска, бывает очень полезно.

htop «из коробки» не показывает CPU Wait (I\O Wait), поэтому рекомендую первым делом выключать это в настройках.

Для мониторинга Postgres я очень люблю использовать pg_activity, очень удобная утилита. Есть ещё pgCenter, тоже неплохая утилита.

статья в области бесплатных утилит выглядит будто её лет 10 назад написали, а сейчас решили опубликовать.


например, netstat deprecated, вместо него ss. iptraf тоже заброшен, есть iptraf-ng.
про ставшую стандартом de facto связку из графаны с прометеусом ничего не сказано.


насколько она актуальна в области платных не могу сказать, но эта часть явно получилась скомканной, бежать покупать (или хотя смотреть) чего-то из платного после прочтения точно не захочется.

netstat в 2020, вы серьезно?
Она deprecated леть 10 назад.

Удивляюсь, если кто-то до сих пор пишет про ifconfig, route или netstat — они давно были похоронены и не поставляются по-умолчаюнию в современных дистибутивах.
ip и ss — наше всё.

список внушительный, спасибо. было чего посмотреть.
фактически, большая часть решений — красивая (?) морда и забикс-агент под капотом.
одни 9 эвро\месяц просят, другие за 1000, а третьи вообще либо цены не говорят, либо 10к просят.
для меня лично отличился — instrumentalapp.com.
как бы не про мониторинг сервера совсем.
нашим разрабам покажу, интересная штука за вменяемые деньги, если свой лог-сервер и монитор писать лень.
пошел проверю свой заббикс :)

Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Россия
Website
vdsina.ru
Employees
11–30 employees
Registered
Representative
Mikhail