в чем разница между пулл-пуш выбором? Все равно типичная инфра подразумевает собой кучу тоннелей между кусками инфры если они находятся в географически разных местах.
а если и без тонелей, то в одном случае у тебя экспортеры жопой в инет торчат, в другом сервер торчит

Тунели есть, но только порты баз данных. Для мониторинг хочу найти что-то не требующее такого подхода.

у заббикса сильно больше кусков "себя" которые надо настраивать, прометей один бинарь и файлики базы на хосте

перефразируй, в смысле порты баз данных

Я имею ввиду, что у меня не VPN, ни zero-trust VPN/proxy, а туннелирование только одного порта, например tcp/27017 в класте с базой данных. Городить такое на каждый узел требующий мониторинга я не хочу.

а ну понятно, я думал как обычно ipsec/vpn и погнали

Не, я по zero-trust угораю :)

ну в проме для экспортеров либо пушгейтвей либо за nginx закрыть и все, тоже проблемы не вижу
на 127.0.0.1 вешаешь, делаешь локейшен и готово

Что за подход с nginx? Добавить реверс-прокси, https и аунтификацию? В любом случае, для меня такие решения в моей ситуации не соответствуют kiss и Unix философиям 😁

аутентификацию незачем, за вайтлист и все

Kiss это не использовать nginx вообще)

А что человечество придумало в альтернативу?

Напиши сам)

traefik

Два основных варианта:

вариант1:
- раннер на винде
- на раннере и на управляемом хосте (хостах) powershell >= 5.0
- на раннере и на управляемом хосте (хостах) настроено WinRM, на раннере в "TrustedHost" добавить ip-адреса и(или) DNS-имена  управляемых хостов
- в Powershell-скриптах юзаешь удалённые сессии (PsSession) с кредами (-Credential)
- виндовые креды (логин, пароль, ключ и т.п.) можно, например, прописать в "Security Variable" в гитлабе и прокидывать их как параметры в Powershell-скрипт прямо из  .gitlab-ci.yml,
можно брать их из внешнего vault-хранилища, можно просто виндовыми средствами засекюрить в файлик и дёргать этот файлик
- таким макаром в винде через гитлаб-раннер можно сделать вообще практически всё, что можно сделать через пош
- сами пош-скрипты можно держать в отдельной репе, в репе с проектом или просто на раннере или ещё где

вариант2:
- раннер на линуксе (docker-executor)
- образ с ansible, в ансибл  обязательно поставить тулзы для WinRM
- пишешь ансибл-плейбуку под свою задачу, если возможно win-модулями, где нет модулей просто командами Powershell
- управляемые хосты придётся настроить (включить WinRM и прочее, там есть готовый пошскрипт для ансибла)
- виндовые креды ы данном случае уже пихаешь в сам ансибл, опять же через встоенный vault, через внешний vault, через "Security Variables" гитлаба и т.п.
- ансибл точно также крутит Powershell через WinRM, можно и через SSH, но там в винде некоторые вещи ограничены

Здравствуйте.
Кто-нибудь настраивал для Elasticsearch хранилище бекапов типа S3 в облаке Selectel?
прописываю "endpoint": "s3.selcdn.ru" и получаю connect timed out

А вы пробовали там курл запрос туда с хранилища сделать для начала

о чем говорит ошибка?

Глянуть что там резолвится

Куда коннектится