自动化运维之centos 7上安装puppet,附工作原理图

环境说明:

192.168.154.137 master.localdomain #Puppet Server

192.168.154.138 agent1.localdomain #Puppet Agent

这里的机器名称不要有下划线等特殊符合,否则后面会报“the scheme puppet does not accept registry part”这样的错误信息。

centos的官方软件库里面不包含puppet包,但是在epel项目里面有包含puppet包。epel 是一个对rhel软件仓库的扩展,把一些有用的,但是rhel库没包含的软件收集在一起做成的一个软件仓库。

$ yum install epel-release
1. 安装Puppet Server
$ hostnamectl set-hostname master.localdomain         #设置机器名称
$ systemctl reboot                                    #重启

$ cat /etc/hosts
192.168.154.137 master.localdomain
192.168.154.138 agent1.localdomain

$ yum install puppet-server                            #安装Puppet Server

# firewall-cmd --permanent --add-port=8140/tcp6        #修改防火墙,增加8140端口
2. 安装Puppet Agent
$ hostnamectl set-hostname agent1.localdomain         #设置机器名称
$ systemctl reboot                                    #重启

$ cat /etc/hosts
192.168.154.137 master.localdomain

$ yum install puppet                                 #安装Puppet Agent
3. 测试Puppet

创建测试文件site.pp(Server端):

$ cat /etc/puppet/manifests/site.pp
node default {
    file { "/tmp/helloworld.txt" :
        content => "Hello World!",
    }
}

启动server,以no-daemonize方式,这样可以在控制台看到操作信息(Server端):

$ puppet master --no-daemonize --debug
... ...
Notice: Starting Puppet master version 3.6.2

启动成功,会看到这样的信息

编辑客户端puppet.conf,增加server配置项(Agent端):

$ cat /etc/puppet/puppet.conf
[agent]
    ... ...
    server = master.localdomain

启动agent(Agent端,以root用户):

$ puppet agent --test
Info: Creating a new SSL key for agent1.localdomain
Info: Caching certificate for ca
Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
Info: Creating a new SSL certificate request for agent1.localdomain
Info: Certificate Request fingerprint (SHA256): 1D:08:61:3B:1F:43:8C:B5:81:83:0F:FF:CC:4A:4F:8E:BA:B4:5F:7C:94:77:15:72:A2:0C:C0:44:D9:1D:16:9E
Info: Caching certificate for ca
Exiting; no certificate found and waitforcert is disabled

启动后,agent向server申请证书,因为证书还没有被server审核,所以目前通信是不成功的。

回到server,通过puppet cert查询证书:

$ puppet cert list --all
  "agent1.localdomain" (SHA256) 1D:08:61:3B:1F:43:8C:B5:81:83:0F:FF:CC:4A:4F:8E:BA:B4
+ "master.localdomain" (SHA256) 47:A1:12:28:22:05:75:A5:E5:92:2B:F6:53:05:A8:D6:1F:9B

证书列表中有cs_agnet1的申请,目前是未审核状态(最前面没有+)。审核证书:

$ puppet cert sign agent1.localdomain

$ puppet cert list --all
+ "agent1.localdomain" (SHA256) 39:7F:59:A8:3C:B8:EF:B9:E2:AD:1D:5C:D7:66:B6:02:CF:70
+ "master.localdomain" (SHA256) 47:A1:12:28:22:05:75:A5:E5:92:2B:F6:53:05:A8:D6:1F:9B:

再次启动agent:

# puppet agent --test
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for agent1.localdomain
Info: Applying configuration version ‘1479087051‘
Notice: /Stage[main]/Main/Node[default]/File[/tmp/helloworld.txt]/ensure: defined content as ‘{md5}ed076287532e86365e841e92bfc50d8c‘
Notice: Finished catalog run in 0.02 seconds

这时候,查看/tmp/helloworld.txt,该文件就自动同步了。

在证书申请过程中,如果有问题,可以删除证书重新申请,一般都能解决问题。

Agent:
$ rm -rf /var/lib/puppet

删除缓存文件

Server:
$ puppet cert clean agent1.localdomain
Q1. 服务端找不到证书?

在测试时,先启动Server,再通过Agent测试,回到Server通过puppet cert list --all怎么都找不到证书。

后来发现问题原因是这样的:在Server端,puppet.conf使用的是默认配置:

[main]
    # Where SSL certificates are kept.
    ssldir = $vardir/ssl

然后用admin帐号(不是root,另外创建的帐号)启动Server:

[[email protected] ~]$ sudo puppet master --no-daemonize --debug

这时候,Agent传过来的证书申请实际上都存放在/home/admin/.puppet/ssl/目录下。然后,我再开了另外一个SSH Client,用的是不同的root帐号,结果就是怎么也找不到证书了。所以,在配置Server端时,ssldir最好这样配置:

ssldir = /var/lib/puppet/ssl
Q2. 自动审核证书?

创建autosign.conf文件:

$ cat /etc/puppet/autosign.conf
*.localdomain

修改Server配置:

$ cat /etc/puppet/puppet.conf
[master]
    autosign = /etc/puppet/autosign.conf

删除Server和Agent的过期证书:

Server:
$ puppet cert clean --all

Agent:
$ rm -rf /var/lib/puppet

OK,这样就可以了。

Q3. 一个简单的site.pp例子
$ cat /etc/puppet/manifests/site.pp
node default {
  file { ‘/tmp/hello.txt‘:
    content => ‘Hello World!‘,
  }
  user { ‘admin‘:
    ensure           => ‘present‘,
    comment          => ‘admin‘,
    gid              => ‘1000‘,
    groups           => [‘wheel‘, ‘admin‘],
    home             => ‘/home/admin‘,
    password         => ‘$6$o.PFkMC14Xd2gOTk$atsNGzVmLFtQlvVr9imERjmw9n8vNr0quliqW6EdcZR6zyXFGfUv3EIbc9UZd3kJDIuxuMfyonVdm0OT5SJHM.‘,
    password_max_age => ‘99999‘,
    password_min_age => ‘0‘,
    shell            => ‘/bin/bash‘,
    uid              => ‘1000‘,
  }
  package { ‘epel-release‘:
    ensure           => ‘installed‘,
  }
  package { ‘tcping‘:
    ensure           => ‘installed‘,
  }
  package { ‘tree‘:
    ensure           => ‘installed‘,
  }
  package { ‘net-tools‘:
    ensure           => ‘installed‘,
  }
  service { ‘firewalld.service‘:
    ensure           => ‘stopped‘,
    enable           => ‘false‘,
  }
  exec { "selinux":
    command => "setenforce 0",
    path   => "/usr/bin:/usr/sbin:/bin:/sbin",
    unless => "getenforce |grep -i Permissive",
  }
}

原文地址:http://blog.51cto.com/13687553/2155071

时间: 2024-11-13 04:50:47

自动化运维之centos 7上安装puppet,附工作原理图的相关文章

自动化运维工具ansible源码安装方法

1.首先查看python版本 [[email protected] ~]# python -V Python 2.6.6 注意安装ansible的时候,必须python的版本为2.6以上. 2.安装ansible 2.1 安装pycrypto模块 https://pypi.python.org/packages/source/p/pycrypto/pycrypto-2.6.1.tar.gz # tar xvzf pycrypto-2.6.1.tar.gz # cd pycrypto-2.6.1

自动化运维之Ansible安装与模块应用

自动化运维之Ansible Ansible概述 由于互联网快速展导致产品更新换代速度逐渐加快,运维人员每天都要进行大量维护操作,人就按照传统方式进行维护会使工作效率低下,只是,部署自动化运维就尽可能安全,高校的完成工作 一般会把自动化运维工具划分为两类 (一)需要使用代理工具的,也就是基于专用的Agent程序完成管理功能,如:Puppet.Func.Zabbix等(二)不需要配置代理工具,可以直接基于SSH服务来管理完成,如:Ansible,Fabric等 下面介绍几款空能和类似的自动化运维工具

简单聊一聊Ansible自动化运维

一.Ansible概述 Ansible是今年来越来越火的一款开源运维自动化工具,通过Ansible可以实现运维自动化,提高运维工程师的工作效率,减少人为失误.Ansible通过本身集成的非常丰富的模块可以实现各种管理任务,其自带模块超过上千个.更为重要的是,它操作非常简单,即使小白也可以轻松上手,但它提供的功能又非常丰富,在运维领域,几乎可以做任何事. 1.Ansible特点 Ansible自2012年发布以来,很快在全球流行,其特点如下: Ansible基于Python开发,运维工程师对其二次

自动化运维工具之saltstack

今天试着在centos7上安装了saltstack自动化运维工具,以下是安装步骤: 首先,我们安装bash-completion包,它可以补全centos7的命令. yum install -y bash-completion 关于服务的启动问题: 首先,设置服务开机自动启动: systemctl enable salt-master 查看是否设置好开机启动: systemctl is-enabled salt-master 启动服务: systemctl restart salt-master

Puppet Saltstatck Ansible 自动化运维工具对比

最近尝试安装了一下salt statck就对自动化工具感兴趣了点所以找了一些资料入门下面总结一下希望和看到这篇文章一起探索自动化运维的世界.                              --- 小 Q ------------------------------------------------------------------------------------------------------ 自动化运维就是为减少重复又枯燥的工作而建立起来的流程更能减少失误及时报警并恢复

自动化运维工具ansible详解

 ll  本文导航    · ansible的基础介绍   · ansible的安装与配置   · ansible的简单应用   · YAML介绍及语法   · ansible-playbooks(剧本)  ll  要求  掌握ansible基本应用与playbooks. 1.ansible介绍 ansible是一款基于python开发的自动化运维工具,它结合了puppet.cfengine.func.chef.fabric等工具的优点,实现了批量系统配置.批量部署应用程序及批量部署命令   a

Ansible自动化运维工具-上

[Ansible特点] 1)Ansible与saltstack均是基于Python语言开发的 2)安装使用简单,基于不同插件和模块实现各种软件,平台,版本的管理以及支持虚拟容器多层级的部署 3)不需要安装客户端,ansible基于SSH远程管理,不需要为配置工作添加额外的支持: PS:很多认为Ansible工具执行效率慢,其原因是SSH服务慢,我们可以选择优化SSH连接速度以及Ansible加速模块 [Ansible自动化管理工具特点] #轻量级,更新时,需要在操作机上进行一次更新即可 #采用S

自动化运维工具Ansible实战(一)安装部署

1,基本介绍 ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet.cfengine.chef.func.fabric)的优点,实现了批量系统配置.批量程序部署.批量运行命令等功能. ansible是基于模块工作的,本身没有批量部署的能力.真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架.主要包括: (1).连接插件connection plugins:负责和被监控端实现通信: (2).host inventory:指定操作

自动化运维之 Ansible——安装配置

Ansible相对于其他自动化运维工具(saltstack.puppet)的优势: Ansible是一款轻量级框架,基于各个模块实现各种功能,模块可根据需要自行开发 agentless 无需安装agent,可根据具体情况建立一台操作机 支持playbook剧本 python语言开发,做运维的都比较容易接受的语言 其他等等,一百度一大堆,自行百度吧~ 环境说明: 系统环境centos6.8 操作机 192.168.1.121 客户机 192.168.1.122 基本安装 安装gcc,用于编译pyt