Первый вопрос при создании нового узла сети будет - в какую группу узлов сети его добавить?
Начнем с того как могут использоваться группы?
- Управление правами доступа - основная функция групп, тесно связанно с группами пользователей. Доступ к узлу сети можно настроить только через группы узлов сети.
- Логическая группировка узлов сети для быстрого доступа к данным для пользователя, администратора zabbix или работы других программ (Grafana).
- Сортировка информации, отфильтрованной по местоположениям, организациям, типам устройств и т. д. В релизах выше 5.0 рекомендую использовать теги на уровне узлов сети. Но могут быть ситуации когда сортировка нужна именно с использованием групп узлов сети. Тогда лучше придерживаться однозначного трактования фильтра. Пример: "Серверы/Windows" и "Серверы/Linux" - если узел сети окажется в двух эти группах, это будет ошибкой, так как на сервере не может работать сразу две ОС. Пример: "Город/Владимир" и "Город/Муром" - если узел сети окажется в двух эти группах, это будет ошибкой, так как сервере не может находиться в двух городах одновременно.
Вернемся к управлению правами доступа с помощью групп узлов сети. Если у Вас нет плана организации доступа к Zabbix в компании то рекомендую создать одну группу узлов сети и одну группу пользователей которая будет давать доступ на чтение на все узлы сети. И добавлять всех новых пользователей в одну единственную группу пользователей. Это поможет не столкнуться с проблемой при настройке эскалаций (отправки сообщений в почту или телеграмм) когда сообщения не отправляются по причине отсутствия у учетной записи пользователя минимальных прав на узел сети.
Создать и дать (придумать) имя группе узлов сети: "root", "все", "Hosts".
Создать и дать (придумать) имя группе пользователей: "root", "все", "Hosts".
В релизах Zabbix младше 7.0 нужно ставить галочку на против «Включая подгруппы» что бы настроить доступ и для вложенных групп.
Теперь вы можете использовать вложенные группы фильтрации, если они начинаются с Hosts не задумываясь о правах доступа к узлу сети. Такая простая схема хорошо подходит если сервером Zabbix пользуется одна команда. Все пользователи видят все узлы сети. Такую группу можно добавлять к узлам сети не используя вложенные группы.
Если нужно обязательно ограничить доступ к узла сети, и нет плана по организации процесса. Можно создавать индивидуальные группу узлов сети используя вложенные группы. Пример: Hosts/имя узла сети. Такой подход даст пространство для маневра при часто изменяющейся инфраструктуре. Пользователи которым можно работать по схеме "Все пользователи видят все узлы сети" остаются в группе пользователей "Hosts". Для пользователя которому нужно ограничить доступ к узлам сети, создается его собственная группа пользователей и в нее по имени узла сети добавляются индивидуальные группы узлов сети.
Нужно сказать, что можно использовать группы узлов сети как угодно, для небольшой инсталляции нет необходимости уделять большое внимание этому вопросу. Но для крупных компаний с большим количеством узлов сети и отделов поддержки, беспорядок в группах узлов сети может делать работу в Zabbix неудобной.
