1.简介
puppet是一个开源的新一代的集中化配置管理工具,它由自己所声明的语言表达系统配置,通过客户端与服务器之间的连接,维护这关系库。
puppet是基于ruby语言并使用Apache洗衣授权的开源软件,它既能以客户端--服务端的方式云修行,也能独立运行。客户端默认每30分钟与服务端确认一次更新,以确保服务的一致性
puppet主要由luke kanies和他的公司puppet labs开发,于2005年正式面世。目前最新版本为3.0,最新版本的puppet不支持ruby1.8.5以下的语言
目前使用puppet的企业:oracle,google,redhat,新浪,阿里巴巴,百度,腾讯等。
2.实验环境:
puppet-server:192.168.32.200
puppet-client:192.168.32.202
在master上和agent修改hosts文件
192.168.32.200 puppet-server
192.168.32.202 puppet-client
关闭防火墙。selinux
puppet的组织结构
/etc/puppet
├── auth.conf ACL权限控制文件
├── fileserver.conf 文件服务配置文件
├── manifests 定义存储目录
├── modules 模块配置目录
└── puppet.conf puppet主配置文件
3.puppet的工作原理:
定义:使用puppet特定的语言定义基础配置信息。通常我们把这些信息写在modules中
模拟:在配置执行前检测代码,但并不执行
执行:执行步骤1定义的配置自动部署,检测并记录所发生变化的部分
报告:将期待的变化,实际发生的变化以及任何修改发送给报告系统
4.puppet的数据流:
node节点将facts和本机信息发送给master
master告诉node节点应该如何配置,将这些信息写入catalog后传送给node。
node节点在本机进行代码解析验证并执行,将结果反馈给master
master通过api将数据发送给分析工具,报告完全可以通过开发api或其他系统集成
整个数据流的走向是基于ssl安全协议的
5.Puppet的安装步骤
Puppet的安装与使用可以细分8步进?,详细步骤如下:
1) 安装Ruby、Ruby-libs和Ruby-shadow,?于进??户和组管理。
2) 安装Facter、Puppet和Puppet-server。
3) 设置主机名、域名解析或指定hosts。
4) 采?命令/etc/init.d/puppetmaster start启动server或者采?不以进程?式启动server。命令为
puppet master --no-daemonize --verbose,通过此?式可以查看到相关?志与输出。
5) 客户端配置?件指定Server端,运?puppet agent –test命令或直接运?puppet agent --test --
server server.domain.com与master交互完成签名认证。
6) 在Server上配置节点信息,告诉客户端要做什么。
7) 检查语法是否正确(通常采?puppet parser validate test.pp命令进?语法检查)。
8) 客户端再次运?配置(puppet agent --test)。
6.master端配置
修改hosts
192.168.32.200 puppet-server
192.168.32.202 puppet-client
设置ntp
ntpdate pool.ntp.org
chkconfig ntpd on
service ntpd start
1.在master安装puppet-server,puppet和facter
wget http://yum.puppetlabs.com/el/6/products/x86_64/puppetlabs-release-6-7.noarch.rpm
rpm -ivh puppetlabs-release-6-7.noarch.rpm
yum -y install puppet-server puppet
ruby最好安装1.8.7版本
facter(简称为fact),手机关注主机的信息,来帮助定制puppet配置
2.配置puppet.conf
[agent]
certname = puppet-server
3.创建site.pp文件。site.pp是puppet读取所有模块PP文件的开始,在3.0版本以前必须设置,否则服务无法启动
touch /etc/puppet/manifests/site.pp
4.启动puppetmaster服务
/etc/init.d/puppetmaster start
chkconfig puppetmaste on设置开机启动
7.设置服务端自动签发证书
在/etc/puppet下创建autosign.conf文件,不需要修改puppet.conf
puppet-client
/etc/init.d/puppetmster restart
puppet agent --no-daemonize --onetime --verbose --debug
--no-daemonize前台输出日志
puppet cert list all 查看证书。带+号是签发成功的
5.查看本地证书情况:puppetmaster第一次启动会自动生成证书自动注册自己
tree /var/lib/puppet/ssl/
/var/lib/puppet/ssl/
├── ca
│?? ├── ca_crl.pem
│?? ├── ca_crt.pem
│?? ├── ca_key.pem
│?? ├── ca_pub.pem
│?? ├── inventory.txt
│?? ├── private
│?? │?? └── ca.pass
│?? ├── requests
│?? ├── serial
│?? └── signed
│?? ├── puppet-client.pem
│?? └── puppet-server.pem
├── certificate_requests
├── certs
│?? ├── ca.pem
│?? └── puppet-server.pem
├── crl.pem
├── private
├── private_keys
│?? └── puppet-server.pem
└── public_keys
└── puppet-server.pem
6.查看监听状态,puppetmaster服务开启后,默认监听tcp8140端口
netstat -tunpl | grep 8140
8.agent端的配置
修改hosts
192.168.32.200 puppet-server
192.168.32.202 puppet-client
设置ntp
ntpdate pool.ntp.org
chkconfig ntpd on
service ntpd start
1.安装puppet和facter
yum -y install puppet facter
yum -y ruby ruby-rdoc ruby-libs
2.配置puppet.conf
vim /etc/puppet/puppet.conf
[main]
server = puppet-server
/etc/init.d/puppet start
chkconfig puppet on
3.通过调试模式启动节点,向puppetmaster端发起认证
puppet agent --test
4.服务器端确定认证
puppet cert --list --all查看认证情况
puppetca -s puppet-client注册agent
puppet cert --clean clientname 删除证书
如何生成puppet配置文件puppet.conf
puppetd --genconfig > /tmp/puppet.conf
puppetmasterd --genconfig > /tmp/puppet.conf
生成puppet配置文件site.pp的命令
puppet apply --genmainfest > /etc/puppet/mainfests/site.pp
如果不知道配置文件在那个目录下,可以使用一下命令查看
puppet agent --configprint confdir
默认在/etc/puppet
puppet配置文件参数
【main】通用配置选项
vardir=/var/lib/puppet/
confdir=/etc/puppet 配置文件目录
logdir=/var/log/puppet 日志目录
rundir=/var/run/puppet pid文件目录
ssldir=/var/lib/puppet/ssl ssl签发认证目录
manifest=/etc/puppet/mainfests/site.pp 主机文件默认读取
site.pp的目的主要是告诉puppet去哪里寻找并载入所有主机相关的配置
modulepath:/etc/puppet/modules:/usr/share/puppet/modules
authconfig=/etc/puppet/namespaceauth.conf 如果开启listen为true需要配置此文件
pluginsync=true 开启插件同步
reportdir=/var/lib/puppet/reports 报告文件生成目录,目录以主机名命令开头
reports=log,foreman:报告的方式与类型
environment=production:运行环境配置,默认为生产环境
【agent】客户端配置选项
localconfig=/var/lib/puppet/localconfig 本地缓存配置目录
runinterval=1800 客户端默认探测司机,可按需修改
listen=true 是否监听,执行puppet kick时需要配置
report=true 客户端的报告系统配置,不同于master
report-port=8140 监听端口,如果服务器有配置防火墙,需要开放此端口
server = server.doamin.com master的主机名
【master】服务端配置选项
certname = server.domain.com 也可以不定义,以主机名为准
reporturl=http://server.domain.com:3000/reports/upload 报告发送地址,可配置在dashboard或foreman配置文件中
autosign=/etc/puppet/autosign.conf 自动认证配置文件
site.pp配置文件内容
Exec {path=>"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"} 设置环境变量
$fileserver="puppet.domain.com"指定全局fileserver变量
$ntpserver="ntp.domain.com" 指定ntpserver变量
Package {provider=>"yum"} 指定远景报的安装方式为yum
import "modules.pp" 加载模块配置文件,可以不配置
import "nodes/*pp" 加载主机信息,可以使用通配符,也可以定义多组目录
import “test.dimain.com.pp” 加载测试主机
认证与安全配置文件
namespaceauth.conf用于指定允许谁访问每个名称空间
auth.conf认证配置文件是puppet中的ACL,主要应用于puppet‘s rest api。
path /path/to/resource 目录配置
[environment envlist] 环境配置
[method methodlist] 方法命令配置
[auth[enthicated] {yes|no|on|off|any}] 授权配置
allow [host|ip|*] 允许配置
deny [host|ip] 拒绝配置
客户端自动认证配置
autosign.conf 允许配置文件中的客户端自动进行签名验证,省去人工交互过程。
配置文件参考如下
允许单一客户端或者域名匹配。主机名匹配
rebuilt.example.com
*.scratch.example.com
同时puppet客户端的证书也可以采用提前在master上生成的方法,将生成的证书文件拷贝到客户端对应的目录下实现自动认证的配置
自动生成证书命令为:
puppet cert generate clien.domain.com
客户端的证书目录
/var/lib/puppet/ssl/private_keys/
/var/lib/puppet/ssl/certs/
报告系统配置
tagmail将配置的报告内容按需求发送给谁。需要使用此功能,在master端配置reports=tgmail。agent端配置为report=true,同时也可以配置smtp
由谁发送,在master端配置reportfron为smtpserver or sendmail即可。默认为本机sendmail发送
文件系统配置文件
flieserver.conf 是一项安全配置。结合puppet.confauth.conf使用,针对哪个目录,那些客户端允许访问,禁止访问。
配置方法
[files]
path /var/lib/puppet/files
allow *.example.com
deny *.evil.example.com
allow 192.168.0.0/24
puppet 自颁发认证
master端配置
vim /etc/puppet/autosign.conf
client.domain.com #客户端主机名
vim /etc/puppet/puppet.conf
[agent]
certname = client.domain.com #等号空格要有
/etc/ini.d/puppetmaster restart
查看认证
[[email protected] puppet]# puppet cert list --all
+ "server.domain.com" (SHA256) 35:00:9D:41:03:3A:FE:B7:67:6F:B0:B3:47:2D:0D:F6:26:28:D5:4E:01:EE:29:62:E6:E6:FD:8F:66:0C:D4:DB (alt names: "DNS:puppet", "DNS:puppet.domain.com", "DNS:server.domain.com")
[[email protected] puppet]# puppet cert list --all
+ "client.domain.com" (SHA256) 1C:20:AC:43:90:8F:7E:33:07:48:AE:D1:B0:56:9C:DB:23:68:D4:5A:E4:4B:6B:60:2D:A1:88:3B:52:5D:BE:79
+ "server.domain.com" (SHA256) 35:00:9D:41:03:3A:FE:B7:67:6F:B0:B3:47:2D:0D:F6:26:28:D5:4E:01:EE:29:62:E6:E6:FD:8F:66:0C:D4:DB (alt names: "DNS:puppet", "DNS:puppet.domain.com", "DNS:server.domain.com")
slave端配置
vim /etc/puppet/puppet.conf
[main]
server = server.domain.com
/etc/init.d/puppet restatr
[[email protected] puppet]# puppet agent --test 申请认证
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Loading facts
Info: Caching catalog for client.domain.com
Info: Applying configuration version ‘1423467420‘
Notice: Finished catalog run in 0.04 seconds
如果在认证中间出错的话,一定要在master端和slave端把/var/lib/puppet/ssl 删掉,然后重启服务,重新认证