1,安装puppet注意:客户端和服务器版本尽量保持一致,如果不能一致,客户端的version也不能太旧,服务端的version不能低于client端
安装及简单配置步骤:
安装准备(server&client端适用):
首先,要更改计算机名:hostname puppet.nn.local 或者:hostname -F /etc/hostname (这个文件里写上你的计算机名,如果不存在自己创建一个)
其次,更改/etc/hosts文件,这个很重要.(最好把agent端也写进去) 确保两端能ping 通 如:
192.168.1.1 puppet.nn.local //server 端
192.168.1.2 agent.nn.local //agent端
然后,关掉 iptables 和 selinux
iptables -F (或者放开8140端口:iptables -A INPUT -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 8140 -j ACCEPT)
setenforce 0 或者修改/etc/selinux/config 里的 enforce改为disabled -----》 reboot your computer
最后,一定要保证server与client的时间一直,否则,client获取证书时会出错。适用ntp服务是最好的选择,我是将ntp的服务端安装在了puppet上(实验环境,生产环境不推荐)
最好使用各版本的包管理器来安装,下面的安装方法是使用redhat系的系统来安装
a, 先安装epel的源,下载地址:https://fedoraproject.org/wiki/EPEL/zh-cn,选择自己的版本下载。如:epel-release-7.noarch.rpm
安装: rpm -Uvh epel-release-7.noarch.rpm 然后:yum update
b,安装ruby及ruby库:
yum -y install ruby ruby-libs ruby-shadow(puppet需要)
c,安装puppet服务端:
yum -y install puppet(client端) puppet-server facter(相当于资产管理的一个东西,能自动汇报或者获取客户端信息(如,软件环境,操作系统等))
*****将puppetmaster(主程序)加入开机启动项:
RHEL7之前版本:chkconfig --level 3 5 on puppetmaster
RHEL7: systemctl enable puppetmaster.service
d,配置server端
puppet的主配置文件为:/etc/puppet/puppet.conf
添加如下内容:
[master]
certname=puppet.nn.local //服务端的名字
更改 证书保存地址,建议放在 /var/puppet/ssl (/var/puppet/ 文件夹需要手动创建,并将拥有者改为:puppet用户和组)
[main]
ssldir=/var/puppet/ssl
保存退出
创建 /etc/puppet/manifests/site.pp 文件,如果有就不用创建,如果没有请创建,这个文件关系到puppetmaster能否启动。
启动: service puppetmaster start(RHEL7: systemctl start puppetmaster.service), 第一次启动建议使用:puppet master --verbose --no-daemonize 能够看到详细的信息。
e,配置client端:
client的配置文件同样是:/etc/puppet/puppet.conf
添加如下内容:
[agent]
certname=agent.nn.local
server=puppet.nn.local
report=true
更改ssldir选项如server端一样
[main]
ssldir=/var/puppet/ssl
保存退出
启动: service puppet start 或者 systemctl start puppet.service (RHEL7)
f, 测试:
客户端:
puppet agent --server=puppet.nn.local --verbose --no-daemonize --debug (如果server端是no-daemonize模式启动的,client也要加上这个选项)
这个指令的作用是将puppet agent不用守护进程的模式启动,好处是能看到与服务器端的通信及证书签名的过程,方便debug。 默认puppet每2分钟向服务器端申请一次签名
直到获得服务器端发来的经过签名的证书才 start agent 服务。也可以通过--waitforcert=time 来设置等待时间,如果time为0 则不等待
服务端:
查看客户端的签名申请: puppet cert --list
给客户端签名:puppet cert --sign agent.nn.local
清除用户证书:puppet cert --clean agent.nn.local (client端要同时删除证书:rm -rf /var/puppet/ssl/agent.nn.local)
g,完事 ,着重提醒:你的防火墙,多数故障是由它造成的,至少我遇到的问题是这样的,如: no route to host之类的东西。
参考资料:《精通puppet》