puppet简介
puppet是一种基于ruby语言开发的Lnux、Unix、windows平台的集中配置管理系统。它使用自有的puppet描述语言,可管理配置文件file、用户user、cron任务、软件包、系统服务等系统实体。
puppet依赖于C/S(客户端/服务器)的部署架构。它需要在puppet服务器上安装puppet-server软件包(以下简称master),在需要管理的目标主机上安装puppet客户端软件(以下简称client)。
为了保证安全,master和client之间是基于SSL和证书的,只有经过master证书认证的client才可以与master通信。
puppet工作原理
- 1、客户端puppet调用fast探测出主机的一些变量,如主机名、内存大小、IP地址等。Puppet把这些信息使用SSL连接发送给服务器端;
- 2、服务器端的puppetmaster通过fast工具分析检测客户端的主机名,然后找到项目的主配置文件manifest里面对应的node配置,并对该部分内容进行解析,fast发送过来的信息可以作为变量处理,node牵扯到的代码才被解析,没牵扯到的不解析,解析分为语法检查,如果语法没错,继续解析,解析结果生成一个结果‘伪代码’,然后把‘伪代码’发给客户端;
- 3、客户端收到‘伪代码’并且执行,客户端把执行结果发给服务器;
- 4、服务器端把客户端的执行结果写入日志。
实验:
使用四台服务器模拟搭建Puppet环境,具体拓扑图如下:
1.安装NTP Server
由于Puppet需要使用SSL证书,依赖时间同步,所有需要搭建NTP服务器。
(1)关闭所有服务器的防火墙和安全性策略
systemctl stop firewalld.service
systemctl disable firewalld.service
setenforce 0(2)yum安装NTP并修改配置文件
yum install ntp -y #安装ntp
vi /etc/ntp.conf
#24行添加两行记录
server 127.127.26.0
fudge 127.127.26.0 stratum 8(3)启动ntp服务
service ntpd start #启动ntp服务
chkconfig ntpd on(4)查看同步状态`
ntpstat #查看同步状态
2.安装Puppet Master
(1)规划主机名
vi /etc/hostname
master.test.cn #修改相应的主机名
vi /etc/hosts #添加
192.168.26.131 master.test.cn
192.168.26.132 client1.test.cn
192.168.26.133 client2.test.cn然后重启,将安全性策略再关一下
setenforce 0(2)搭建NTP客户端服务
yum install ntp -y
service ntpd start #启动ntp服务
ntpdate 192.168.26.130 (NTPserver地址)
(3)安装puppet控制端
yum install -y epel-replease #安装epel源
yum install -y puppet-server #yum安装puppet服务端(4)启动Puppet主程序
systemctl enable puppetmaster.service
systemctl start puppetmaster.service3.安装Puppet client(client1 client2配置一样)
(1)规划主机名
vi /etc/hostname
client1.test.cn #修改相应的主机名
vi /etc/hosts #添加
192.168.26.131 master.test.cn
192.168.26.132 client1.test.cn
192.168.26.133 client2.test.cn然后重启,将安全性策略再关一下
setenforce 0(2)搭建NTP客户端服务
yum install ntp -y
service ntpd start #启动ntp服务
ntpdate 192.168.26.130 (NTPserver地址)(3)安装puppet控制端
yum install -y epel-replease #安装epel源
yum install -y puppet #yum安装puppet控制端(4)编辑puppet配置文件
vi /etc/puppet/puppet.conf
[main]
server = master.test.cn
......
(5)client端申请证书
puppet agent --server=master.test.cn --no-daemonize --verbose #两个client端执行命令一样 执行完会有如下提示:
Info: Creating a new SSL key for client2.test.cn
Info: Caching certificate for ca
Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
Info: Creating a new SSL certificate request for client2.test.cn
Info: Certificate Request fingerprint (SHA256): 9E:E6:4D:3F:5B:03:D2:72:08:FF:0B:E7:92:48:45:FA:B7:2C:89:B5:12:CB:EC:8F:2E:50:B4:02:5F:4C:DF:17
Info: Caching certificate for ca等待一会儿按ctrl+c组合键结束
4.回到Puppet Master端查看申请信息
(1)查看申请证书的客户端
puppet cert list
(2)将未申请的客户端进行授权
puppet cert sign --all
(3)通过目录查看已经申请注册的客户端
ll /var/lib/puppet/ssl/ca/signed/ 
5.批量修改客户端ssh端口
master端配置:
(1)创建ssh模块,模块下面有3个文件:manifests、templates和files
mkdir -p /etc/puppet/modules/ssh/{manifests,templates,files} #模块信息
mkdir /etc/puppet/manifests/nodes #节点信息
mkdir /etc/puppet/modules/ssh/files/ssh #模块的文件发布目录
chown -R puppet /etc/puppet/modules/ #修改权限(2)创建模块配置文件install.pp
vi /etc/puppet/modules/ssh/manifests/install.pp #新建文件(首先确定客户端安装ssh服务)
class ssh::install{
package{"openssh":
ensure => present,
}
}
(3)创建模块配置文件config.pp
vi /etc/puppet/modules/ssh/manifests/config.pp #新建模块配置文件,配置需要同步的文件
class ssh::config{
file {"/etc/ssh/sshd_config": #配置客户端需要同步的文件
ensure => present, #确定客户端中此文件存在
owner => "root", #文件所属用户
group => "root", #文件所属组
mode => "0600", #文件属性
source => "puppet://$puppetserver/modules/ssh/ssh/sshd_config", #从服务端同步文件
require => Class["ssh::install"], #调用install.pp确定ssh已安装
notify => Class["ssh::service"], #如果config.pp发生变化,则通知service.pp
}
}
(4)创建模块配置文件service.pp
vi /etc/puppet/modules/ssh/manifests/service.pp #新建server模块文件
class ssh::service {
service {"sshd":
ensure=>running, #确定ssh已运行
hasstatus=>true, #puppet服务支持status命令
hasrestart=>true, #puppet服务支持restart命令
enable=>true, #服务器是否开机启动
require=>Class["ssh::config"] #确认config.pp调用
}
}
(5)创建模块主配置文件init.pp
vi /etc/puppet/modules/ssh/manifests/init.pp #新建模块主配置文件
class ssh{
include ssh::install,ssh::config,ssh::service #将以上配置文件加载进去
}
此时/etc/puppet/modules/ssh/manifests目录下有四个文件:
(6)建立服务端ssh统一维护文件
将服务端ssh配置文件sshd_config复制到模块默认路径
cp /etc/ssh/sshd_config /etc/puppet/modules/ssh/files/ssh/
chown -R puppet /etc/puppet/modules/ssh/files/ssh/sshd_config #修改权限(7)创建测试节点配置文件,并将ssh加载进去
vi /etc/puppet/manifests/nodes/ssh.pp
node ‘client1.test.cn‘ {
include ssh
}
node ‘client2.test.cn‘ {
include ssh
}(8)将测试节点载入puppet,创建站点文件site.pp
vi /etc/puppet/manifests/site.pp //将测试节点载入puppet//
import "nodes/ssh.pp"(9)修改服务端维护的sshd_cofig配置文件
vi /etc/puppet/modules/ssh/files/ssh/sshd_config #修改19行
Port 9922(10)重新启动puppet
systemctl restart puppetmaster下面就是介绍客户端怎么获取到服务器端的资源的方式:
(1)一般在小规模自动化集群中,客户端主动拉取
puppet agent -t 
在客户端查看/etc/ssh/sshd_config的内容
查看服务器ssh服务是否重启,端口是否生效
(2)当大规模部署时,采用服务器推送
client端(192.168.26.133)为例:
1)修改配置文件
vi /etc/puppet/puppet.conf #最后一行添加监听8139端口
listen = truevi /etc/puppet/auth.conf #最后一行添加允许任何服务器推送
allow *2)启动puppet客户端
systemctl start puppetagent在客户端查看/etc/ssh/sshd_config的端口内容
查看服务器ssh服务是否重启,端口是否生效
master端:
3)修改服务端维护的sshd_cofig配置文件
vi /etc/puppet/modules/ssh/files/ssh/sshd_config #修改19行
Port 88224)开始往客户端推送
puppet kick client2.test.cn 
在客户端查看/etc/ssh/sshd_config的内容
在客户端查看ssh服务是否重启,端口是否生效
原文地址:http://blog.51cto.com/11134648/2161486