Zabbix Server と Zabbix Proxy 間の通信を暗号化する
前回の記事 で、Zabbix Proxy を構築しました。
初期状態では Zabbix Server と Zabbix Proxy の通信が平文となっているため、通信暗号化の設定を行います。
共有鍵方式と証明書方式がありますが、今回は共有鍵方式 (PSK : Pre-Shared Key) を使用します。
構成
Zabbix Server
- CentOS 7.3 (1611)
- Zabbix Server 3.2.6
- 親サーバ
Zabbix Proxy
- CentOS 7.3 (1611)
- Zabbix Proxy 3.2.6
- NAT 内に設置済みのプロキシサーバ
1. 共有鍵の作成
Zabbix Proxy サーバにログインし、鍵を作成します。64 の部分は鍵の長さで、任意の値を指定できます。
$ sudo openssl rand -hex 64 > /etc/zabbix/zabbix_proxy.psk
今回は Zabbix Proxy と同じ場所にファイルを出力しました。
後ほど使用するため、鍵ファイルの中身を控えておきます。
$ sudo cat /etc/zabbix/zabbix_proxy.psk
11fb16b711ca9e90b25840……
2. Zabbix Proxy 側の設定
zabbix_proxy.conf ファイルを開き、以下の内容を追記します。
TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=<任意のユーザ名>
TLSPSKFile=<上記で作成したファイルのパス>
今回の場合は下記のようになります。
TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=zabbix
TLSPSKFile=/etc/zabbix/zabbix_proxy.psk
設定を反映させるため、サービスを再起動します。
$ sudo systemctl restart zabbix-proxy
3. Zabbix Server 側の設定
Zabbix Server にログインし、管理→プロキシ→登録済みのプロキシを開きます。
以下の内容を設定し、更新 をクリックします。
プロキシからの接続: PSK
PSKアイデンティティ: <TLSPSKIdentity に設定したユーザ名>
PSK: <作成したPSKファイルの文字列>
4. 動作確認
プロキシ一覧を確認し、暗号化欄が PSK となっていること、最新データ受信時刻 が増え続けていないことを確認します。
念のため、Zabbix Proxy の /var/log/zabbix/zabbix_proxy.log を参照し、エラーが出力されていないことを確認します。