Anleitung: NGINX-Nutzungsberichte konfigurieren

NGINX Plus R31 führt eine einfachere und effizientere Möglichkeit ein, die Nutzung von NGINX Plus zu melden. Durch die native Integration der Nutzungsberichterstattung wird kein separater NGINX-Agent mehr benötigt. Dadurch erfolgt der Berichtsprozess für Kunden im Flex Consumption Program (FCP) von F5 sowie für Nicht-FCP-Kunden mit einem befristeten Abonnement nahtlos und problemlos. Mit dieser direkt in NGINX Plus integrierten Funktionalität können Instanzen erforderliche Nutzungsinformationen regelmäßig an den NGINX Instance Manager übermitteln, ohne dass die Leistung beeinträchtigt wird. Diese Funktion ist für virtuelle Maschinen und NGINX Ingress Controller verfügbar, dieser Blog konzentriert sich jedoch auf NGINX Plus-Instanzen – eine Anleitung zum Melden des NGINX Ingress Controllers an den NGINX Instance Manager finden Sie hier .

Durch die Vereinfachung der Einrichtung, das Anbieten von Anpassungsoptionen und die Bereitstellung von Fallback-Methoden möchten wir die erforderliche Nutzungsberichterstattung zu einem effizienten und anpassbaren Prozess machen, mit dem Kunden die Einhaltung von FCP implementieren und aufrechterhalten können. Für Kunden, die R31 noch nicht verwenden oder kein Upgrade planen, stehen alternative Methoden zum Aktivieren der Nutzungsberichterstattung zur Verfügung, entweder durch die Installation des NGINX-Agenten oder durch die Konfiguration von HTTP-Integritätsprüfungen.

Notiz: Um die NGINX Plus-Nutzung zu melden, müssen Sie NGINX Instance Manager auf einem dedizierten Host installieren. Weitere Informationen zu den verschiedenen Installationsmethoden finden Sie in der Installationsanleitung .

Sie können zwischen drei Möglichkeiten wählen, um NGINX Plus-Instanzen an F5 zu melden.

• NGINX Plus R31-Benutzer – Konfigurieren der nativen NGINX-Nutzungsberichterstattung
• R31- oder vor R31-Benutzer – Installieren des NGINX-Agenten
• Benutzer vor R31 – Konfigurieren der HTTP-Integritätsprüfung für NGINX Plus

Lassen Sie uns sie einzeln untersuchen:

Konfigurieren Sie die native NGINX-Nutzungsberichterstattung

Nach der Installation stellt NGINX Plus über den Standard-DNS-Eintrag „nginx-mgmt.local“ eine automatisierte Verbindung zum NGINX Instance Manager her. Standardmäßig kommuniziert NGINX Plus alle 30 Minuten mit dem Instance Manager und sendet die Nutzungsinformationen. Wenn Sie den DNS-Eintrag des Instance Managers ändern oder das Standardverbindungsintervall Ihren Anforderungen entsprechend anpassen müssen, fügen Sie Ihrer NGINX-Konfiguration den Block mgmt{} hinzu. Darüber hinaus verfügt es über andere Standardanweisungen, wie z. B. die UUID-Datei, mTLS, DNS-Resolver, Nutzungsintervall und Usage_Report-Endpunkt. Eine vollständige Liste der anpassbaren Anweisungen finden Sie in der umfassenden mgmtmodule -Dokumentation. Mit dem ngx_mgmt_module können Sie die Anweisungen einfach anpassen, was für mehr Flexibilität und Komfort sorgt.

In den folgenden Abschnitten wird erläutert, wie Sie diese Funktion für Ihre Umgebung konfigurieren.

NGINX Plus konfigurieren

1. Es wird empfohlen, mTLS zu verwenden, um die Sicherheit Ihres Systems zu erhöhen. Sie können dies erreichen, indem Sie ein Zertifikat, einen Schlüssel und ein CA-Schlüsselzertifikat sowohl für die NGINX Plus-Instanz als auch für den NGINX Instance Manager generieren. Weitere Informationen zum Generieren von Schlüsseln erhalten Sie hier .
2. Geben Sie den Pfad zum Client-Zertifikat und zur privaten Schlüsseldatei im Verwaltungsblock der Konfigurationsdatei nginx.conf an.

   		
      mgmt {
             ssl_protocols TLSv1.2 TLSv1.3;
             ssl_ciphers DEFAULT;
             ssl_certificate          /home/ubuntu/agent.crt;
             ssl_certificate_key      /home/ubuntu/agent.key
          }
   

3. Für einen sicheren und zuverlässigen Authentifizierungsprozess geben Sie den Pfad zur CA-Kette an, um die Echtheit der Zertifikate zu überprüfen.

   
      mgmt {
             ssl_trusted_certificate  /home/ubuntu/ca.pem;
             ssl_verify               on;
             ssl_verify_depth         2;
          }
   

4. Geben Sie für benutzerdefinierte DNS-Resolver die Resolveradresse im mgmt{}-Block mit der Resolver-Direktive an.

   
      mgmt {
             resolver 3.X.X.X;
          }
   

5. Um einen benutzerdefinierten FQDN für NGINX Instance Manager zu konfigurieren, geben Sie den FQDN in der Direktive „usage_report“ an. Fügen Sie dann Ihrem lokalen DNS einen A-Eintrag hinzu, der den Hostnamen mit der IP-Adresse des NGINX Instance Managers verknüpft.

   
      mgmt {
             resolver 3.X.X.X;
             usage_report endpoint=nms.local interval=15m;
          }
   

Beispielkonfiguration für NGINX Plus:

  mgmt {
         usage_report endpoint=nms.local interval=30m;
         resolver 3.X.X.X;
         ssl_protocols TLSv1.2 TLSv1.3;
         ssl_ciphers DEFAULT;
         ssl_certificate          /home/ubuntu/agent.crt;
         ssl_certificate_key      /home/ubuntu/agent.key;

         ssl_trusted_certificate  /home/ubuntu/ca.pem;
         ssl_verify               on;
         ssl_verify_depth         2;
     }

Speichern Sie die NGINX-Konfiguration und laden Sie NGINX Plus neu.

sudo nginx -s neu laden

NGINX Instance Manager konfigurieren

Fügen Sie das SSL-Zertifikat in /etc/nginx/conf.d/nms-HTTP.conf innerhalb des Serverblocks hinzu. Klicken Sie hier, um zu erfahren, wie Sie ein SSL-Zertifikat im NGINX Management Suite-Server konfigurieren.

server {
    listen 443 ssl http2;
    root /var/www/nms;
    server_name _;
    ssl_protocols       TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_certificate         /etc/nms/certs/server.crt;
    ssl_certificate_key     /etc/nms/certs/server.key;
    ssl_client_certificate  /etc/nms/certs/ca.pem;
    ssl_verify_client on;
 }

Um die NGINX Plus-Nutzung anzuzeigen, melden Sie sich in Ihrem Browser bei der NGINX Management Suite an und navigieren Sie zum Modul NGINX Instance Manager. Wählen Sie dann die Registerkarte NGINX Plus unten links auf der Seite aus.

Sehen Sie sich dieses Video-Tutorial mit Schritt-für-Schritt-Anleitungen an:

Fehlerprotokollmeldungen

Hier ist eine Liste von Fehlermeldungen zur Fehlerbehebung in der NGINX Plus-Instanz, wenn Sie im NGINX Instance Manager keine Nutzungsdaten sehen können: Hier einige Beispiele für Fehlermeldungen:

• Fehler des dynamischen Resolvers: DNS-Resolver kann nicht aufgelöst werden.

  2024/04/02 04:02:10 [error] 574079#574079: recv() failed (111: Connection refused) while resolving, resolver: 3.17.128.165:53
  2024/04/02 04:02:35 [warn] 574079#574079: usage report: nginx-mgmt.locals could not be resolved (110: Operation timed out)
  

• System-Resolver-Fehler: Der Hostname des NGINX Instance Managers konnte nicht aufgelöst werden.

  2024/04/02 13:20:44 [info] 103888#0: usage report: host not found in resolver "nginx-mgmt.local"
  

• SSL-Verbindungsfehler: SSL-Zertifikat kann nicht überprüft werden oder ist abgelaufen.

  2024/04/02 13:13:50 [warn] 103877#0: usage report: peer SSL connection failed
  

• Fehler bei der Peer-Kommunikation: Der NGINX-Instanzmanager kann nicht erreicht werden.

  2024/04/02 13:15:25 [warn] 103877#0: usage report: peer connection failed (-1: Unknown error)
  2024/04/02 13:23:32 [warn] 103877#0: usage report: failed (server returned: 404 Not Found)
  2024/04/02 19:53:45 [warn] 4648#4648: usage report: connection timed out
  

NGINX-Agent installieren

Wenn Sie noch nicht auf R31 umgestiegen sind oder dies nicht in Kürze beabsichtigen, können Sie Ihre NGINX Plus-Instanzen trotzdem dem NGINX Instance Manager melden. Sie können dies erreichen, indem Sie den NGINX-Agenten in Ihrer Umgebung installieren. Sobald die Installation abgeschlossen ist, können Sie eine Verbindung mit dem Instance Manager herstellen und mit der Übertragung der Nutzungsdaten beginnen. Befolgen Sie zum Installieren des NGINX-Agenten die Anweisungen unter diesem Link .

Um die NGINX Plus-Nutzung anzuzeigen, melden Sie sich in Ihrem Browser bei der NGINX Management Suite an und navigieren Sie zum Modul NGINX Instance Manager. Wählen Sie dann die Registerkarte NGINX Plus unten links auf der Seite aus.

Sehen Sie sich dieses Video-Tutorial mit Schritt-für-Schritt-Anleitungen an:

HTTP-Integritätsprüfung für NGINX Plus konfigurieren

Wenn Sie nicht vorhaben, den NGINX-Agenten zu installieren oder auf R31 zu aktualisieren, können Sie Ihre NGINX Plus-Instanzen trotzdem melden. Dies kann durch die Konfiguration einer HTTP-Integritätsprüfung über die NGINX-Konfigurationsdatei erreicht werden. Um diese Option nutzen zu können, müssen Sie die NGINX Plus-Konfigurationsdatei jedoch manuell aktualisieren. Diese Methode kann zeitaufwändig und umständlich sein, insbesondere wenn Ihre Umgebung mehrere Instanzen umfasst. Daher ist es ratsam, diese Faktoren zu berücksichtigen, bevor Sie sich für diese Option entscheiden.

NGINX Plus konfigurieren

1. Öffnen Sie die NGINX Plus-Konfiguration und fügen Sie den Code in den http {}-Block ein:

   
      keyval_zone zone=uuid:32K state=/var/lib/nginx/state/instance_uuid.json;
      keyval 1 $nginx_uuid zone=uuid;
      upstream receiver {
       zone receiver 64k;
   
       # REQUIRED: Update NMS_FQDN with NGINX Management Suite IP Address or hostname.
       # If configuring with hostname, please ensure to uncomment the resolver
       # directive below and define a DNS server that can resolve the hostname.
       server NMS_FQDN:443;
   
       # OPTIONAL: Update DNS_UP with DNS server IP address that can resolve
       # the hostname defined above.
       #resolver DNS_IP;
      }  
   
   map CERT $repo_crt {
       # OPTIONAL: Location of client certificate
         default /home/ubuntu/agent.crt;
      }  
   
   map KEY $repo_key {
       # OPTIONAL: Location of client certificate private key
         default /home/ubuntu/agent.key; 
      }
   
   
    server {
       location @ngx_usage_https {
           # OPTIONAL: Configure scheme (http|https) here
           proxy_pass https://receiver;
   
           # REQUIRED: If using NGINX APP PROTECT (NAP) on this instance, set nap=active on the following line:
   proxy_set_header Nginx-Usage "Version=$nginx_version;Hostname=$hostname;uuid=$nginx_uuid;nap=active";	 
   
           health_check uri=/api/nginx-usage interval=1800s;       # DO NOT MODIFY
           proxy_ssl_certificate     $repo_crt;                    # DO NOT MODIFY
           proxy_ssl_certificate_key $repo_key;                    # DO NOT MODIFY
       }
   
       location @self {
           health_check uri=/_uuid interval=1d;
           proxy_pass http://self;
       }
   
       location = /_uuid {
           if ($nginx_uuid !~ .) {
               set $nginx_uuid $request_id;
           }
           return 204;
       }
   
       listen unix:/tmp/ngx_usage.sock;
     }
   
    upstream self {
       zone self 64k;
       server unix:/tmp/ngx_usage.sock;
    }
   

2. Aktualisieren Sie den NMS-FQDN mit Ihrem Instance Manager-Hostnamen oder Ihrer IP-Adresse. Wenn Sie privates DNS verwenden, heben Sie die Kommentierung auf und aktualisieren Sie Ihre DNS-IP-Adresse.
3. Um die Sicherheit des HTTP-Verkehrs zum NGINX Instance Manager zu gewährleisten, müssen die Speicherorte des SSL-Zertifikats und -Schlüssels in den Map-CERT- und Map-KEY-Blöcken angegeben werden.

Speichern Sie die Änderungen und laden Sie NGINX neu.

sudo nginx -s neu laden

Um die NGINX Plus-Nutzung anzuzeigen, melden Sie sich in Ihrem Browser bei der NGINX Management Suite an und navigieren Sie zum Modul NGINX Instance Manager. Wählen Sie dann unten links auf der Seite die Registerkarte NGINX Plus aus.

Sehen Sie sich dieses Video-Tutorial mit Schritt-für-Schritt-Anleitungen an:

Abschluss

Wir möchten Sie dort abholen, wo Sie stehen, und Ihnen dabei helfen, die Nutzungsberichterstattung mühelos zu optimieren und zu automatisieren. Aus diesem Grund bieten wir mehrere Optionen für flexible Berichterstattung. Das kürzlich veröffentlichte NGINX Plus R31-Update macht es noch einfacher und effizienter, monatliche Nutzungsdaten zu NGINX Plus-Instanzen zu melden – ohne die Leistung zu beeinträchtigen und gleichzeitig die Einhaltung der Anforderungen von F5 sicherzustellen.