首席出品｜ "7"待已久的Proxy高可用及多因子认证详解

本文内容摘自大中华区首席培训师、架构师周松在重庆meetup上的演讲

   接下来我演示的是另外一种方式。我新建了一个用户叫Microsoft，也是用 MFA 这种方式，只不过我们用的是另外一个微软的认证器去扫描这个二维码生成的一个动态的密码，这个动态密码有效期默认是 30 秒，也就是说 30 秒之内，你把动态密码输进去，匹配到常规密码，实际上也可以正常的用微软的认证器去做这个MFA，这些都是可以的。登录的效果，我是特意做了区分，就是说两种不同的认证器生成的登录的效果我稍微做了一些区别。这个就是基于 TOTP 这种方式去做的认证，很多时候有些用户说，我要重置一下我的token，我要加强函数的算法，那你也可以去RESET， RESET 相当于把刚刚所有的配置重置了一遍，你自己按照同样的步骤再走一遍就 OK 了。

   这个做完第二关就是基于 DUO 的通用认证，这种通用验证方式其实也是要借助于 Cisco 的一个安全工具或者机制。你自己可以去注册账号，注册账号之后添加了一个application，这个 application 就是对于 Web 登录的应用，它会自动的帮你生成三个东西，一个叫 Client ID，它也是随机生成的，可以理解成它就相当于是密钥，还有一个叫 API hostname，这些都是基于这个工具或者这个平台自动生成的。为什么是这三个参数呢？因为基于 DUO这种认证， MFA 这种方式，这三者都是要用的。这三者配置完成之后，有 3 个东西， Client ID、 Client secret 、 API host name。这三个东西设置完成之后，下载一个 DUO Mobile APP，基于这个 APP 我也可以把相关的信息输入进去，也可以去自动地生成对应的code，对应的动态密码，我也可以基于你手机APP，这个 APP 可以用手机确认的方式，比如用户要登录，手机弹出一个确认框，你要允许什么用户登录，可以取消可以允许，可以手机允许，也可以用动态密码。

    那怎么来配置呢？整个配置操作实际上跟前面添加用户组是一样的，只不过这里面用 Email 这种通用验证方式，这三个参数，API hostname、 Client ID、Client secret，这是前面我们创建的时候生成的三个参数，把这三个参数 copy 进去之后，其他的操作跟前面 MFA 的配置是一样的，再创建用户组合，认证登录。我也是用动态密码的方式，只不过它是基于 Duo 这种通用验证方式生成登录的方式。

   Zabbix 7.0另一个新功能是高可用，高可用是社区和很多客户心心念念的功能，因为金融客户对于高可用有明确要求。这种客户会用非常传统的方式，比如借助一些脚本， Keepalived、Pacemaker 或者 virtual machine 这种层面的一些高可用的方式来去做切换，这些方式可以达到你的目的，但是都是借助于一些其他的手段，比如脚本和定制化的方式来实现，对于维护来说它也不够友好，而 Zabbix 原生高可用，说到底就是先创建一个 proxy 的高可用集群，它是一个proxy组，这个组里面至少有两个proxy，到底有多少个取决你自己，它没有限制。如果这个 proxy 集群已经设定好了，所有的监控主机都配了基于这个 proxy 集群来做监控，它会动态的把被监控的对象分配到这些 proxy 上，让它们分别自己各自管理，可以做到压力的分摊。

    所以Zabbix proxy 的这个功能不仅限于高可用，它同时还可以做 load balance。这些 proxy 同时在做对应的不同主机的数据采集，大家平摊。假如有台 proxy 挂了，另外几台 proxy 会去计算原来的那台 proxy 上有多少监控设备，大家把工作量分一分，它会全自动去做load balance，这是代码级实现。这也是为什么 Zabbix 7.0这个功能很受用户的欢迎，因为它不需要过多的人工去介入。但是你可能会问，其他的 proxy  如果再挂掉了怎么办？这个时候其实你也可以考虑其他的一些方式，比如说用 Docker 这种方式去快速的拉取proxy 的镜像，去新添一个 proxy 加入到你的 proxy group 里面来满足，或者说保证你的 proxy 高可用还是正常在用的，完全是可以的。这样的话你就不需要再借助于其他的一些脚本定制化的方式去实现高可用，同时因为它是基于原生机制的，它整个高可用的切换实际上是非常快的。

   下面我们来看具体的配置，首先我创建了三个proxy，分别是proxy1， proxy2， proxy3，然后它对应的 Server 都是156，也就是说这三个 proxy 构建了一个 proxy group，把它指向到同一个 Zabbix server。配置参数为什么要设定 hostname？如果你用过Zabbix 就知道 Zabbix proxy 的 hostname 跟你在前端配置 proxy 的 hostname 必须一致。接下来是agent 的配置，不管你是 passive agent 还是 active agent，实际上它的指向跟之前 Server 的高可用中 agent 的指向是一样的。对于 passive agent 来说，你要把所有的 Zabbix  proxy group 里面的任何一个 proxy 的IP用逗号方式隔开，表示无论哪个 proxy挂掉了，这里面的 IP 都有权限能够访问到你的 passive agent。

   反过来如果是 active agent ，那就不一样了， active agent 是要用分号隔开，分号表示这三个 IP 对应的proxy，它是属于一个 proxy group 的，但是你可能会问一个问题，当还要指向某一个特定的proxy，那怎么办？在逗号后再加一个你要单独指向 proxy 的地址就可以了，这就是两者之间的区别。至此agent 的配置也完成了， proxy 的配置也完成了。

   再看看前端的配置，前端配置也很简单，都是Zabbix 自身的一些配置管理。在administration，你可以创建一个 proxy group，这个名词你可以自己取好，这边有两个参数， failover 的时间，还有一个是最小的 proxy 的数量。这个 failover 的时间你可以自己设定，它有一个区间范围。最小的 proxy 的数量，正常来说你要做一个集群，至少要两个。OK， proxy group 设定好了，然后我们要创建proxy。proxy name跟 proxy 所有的后台配置文件里面 hostname 保持一致。这里面 active 还是 passive 模式都可以去做配置。这里面你可能会问一个问题，是不是一个 proxy group 里面，有三个proxy，我可以一个 proxy 用主动模式，两个 proxy 用被动模式？是可以的，因为这个跟你的高可用其实没有关系，说到底只是数据采集的问题。这些数据肯定都会采集到，只是谁来优先来发起，这个相当于去谈恋爱，谁先表白一个道理。这些操作做完了之后，你可以看到在到这一步整个 proxy 都配置完成了，就是这么简单。接下来创建主机，其他的都一样，这里面要选择主机到底是由谁来监控？你可以直接用这个 Server 来监控，也可以指定某个特定的proxy，也可以选择 proxy group。

   做完了这个操作之后，默认它会检测到我是由 proxy1 这个 proxy 来做数据采集，它会自动去分配。你可以看到 agent 主机已经创建好了之后，在 proxy group可以看到这三个 proxy ，当前 proxy group 的状态是online，然后当前 proxy 数量 3 个，最小是两个。也就是说如果三个 proxy 里面有两个挂掉，这个 proxy group 状态就是offline了，为什么呢？因为要求 proxy 的数量至少要两个。这里面你可以看到这三个 proxy 分别的状态，模式都是主动模式，都没有加密，以及版本。可以看到现在我定义的这台主机，它是基于 proxy1 来监控，它当前的NVPS，当前的监控项的数量是多少，在这个 proxy 上都有显示。我们从后端数据库来看，所有的前端配置，数据也好，包括一些性能数据实际上都是保存在后端数据库。Zabbix 每个版本的数据库的表数量和结构都在发生变化， Zabbix  7.0 由原来 6.0 的 100 多张表，增加了 200 多张表。因为随着功能的增加，很多新的功能是需要新的数据表来支撑的。这里面有几个表，一个叫 proxy group，这里面有几个 proxy group 和你的组ID。也可以去查 proxy 这张表里面当前已经创建的所有 proxy 信息，后端配置文件配置的这些信息都已经同步到数据库里面， proxy 123 对应的 ID ，它们所属的 proxy group。就是这么简单。

    至此为止Zabbix 7.0 两个最重要的新功能就讲完了，大家还是要自己下载，多多动手，实践出真知。