Zabbix3.0の新機能として暗号化できるようになったようです。PSK以外には証明書による暗号化が可能です。
エージェント側はCentOSです。
設定する前に
暗号化の設定をする前に、Zabbixサーバに対象ホストの監視設定を追加しておきます。同時に設定するとエラーが出てしまいました。
共有鍵の生成
今回はOpenSSLを使用します。
# openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk
Zabbixエージェントの設定変更
/etc/zabbix/zabbix_agentd.conf
TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=(一意な文字列)
TLSPSKFile=/etc/zabbix/zabbix_agentd.psk
TLSPSKIdentityは一意な文字列を指定する必要がありますが、これ自体は暗号化されないので重要な情報は含めないように注意してください。
設定したらzabbix-agentを再起動します。
Zabbixサーバの設定変更
管理画面の「設定」->「ホスト」から対象のホストを選択し、『暗号化』タブを表示します。
- [ホストへの接続]:
PSK - [ホストからの接続]:
暗号なしのチェックを外しPSKをチェックする - [PSKアイデンティティ]:
TLSPSKIdentityで設定した値 - [PSK]:
TLSPSKFileで設定した値
正常に通信できていれば[エージェントの状態]と[エージェント暗号化]が緑で表示されます。
