puppet安装和部署
1 puppet是什么
puppet是一种基于ruby语言开发的Lnux、Unix、windows平台的集中配置管理系统。它使用自有的puppet描述语言,可管理配置文件file、用户user、cron任务、软件包、系统服务等系统实体。
把这些系统实体称之为资源,puppet设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。
依赖于C/S(客户端/服务器)的部署架构。它需要在puppet服务器上安装puppet-server软件包(以下简称master),在需要管理的目标主机上安装puppet客户端软件(以下简称agent)。
当agent连接上master后,定义在master端的配置文件会被编译,然后在agent上运行。每个agent默认30分钟会连接一次master,确认配置信息的更新情况。但是这种方式在很多场景下不是很符合系统管理员的要求,所以很多系统管理员也会将agent通过crontab(任务计划)来管理,这样会更加灵活一些。
2 puppet优点
的语法允许你创建一个单独的脚本,用来在你所有的目标主机上建立一个用户。所有的目标主机会依次使用适合本地系统的语法来解释和执行这个模块。如果这个配置是在Red Hat服务器上执行的话,建立用户使用useradd命令,如果这个配置是在FreddBSD服务器上执行的话,则使用adduser命令。
另外一个卓越的地方就是它的灵活性。源于开源软件的天性,你可以自由地获得puppet的源代码。如果你遇到问题并且有能力处理的话,你可以修改或加强puppet的代码使其适用于你的环境,然后解决这个问题。
也是易于扩展的。定制软件包的支持功能和特殊的系统环境配置能够快速简单地添加至puppet的安装程序中。
3 安装准备工作
本次实验OS为centos 6,服务端为:192.168.180.97,客户端为192.168.180.98
3.1主机时间同步
为了减少在实验过程中不必要的麻烦,我们需要对所有主机(包括服务器和客户端)进行时间同步。即服务器与客户端的时间相差不能超过秒级。
使用以下命令进行时间同步,如下:
ntpdate192.168.186.1 #或者用chron* yuminstallchron* #修改服务器为192.168.186.1,allow所有:0.0.0.0/0 vim/etc/chron* /etc/init.d/chron*start chkconfigchron*on
3.2修改主机名和Hosts
因为安装 puppet 时会把主机名写入证书,同时客户端和服务端之间通信需要这个证书。如果主机没有设置主机名,则需要修改服务器与客户端的主机名。
修改主机名。如下:
vim/etc/sysconfig/network hostnamep-server\p-client vim/etc/hosts 192.168.180.97p-server 192.168.180.98p-client reboot
3.3关闭iptables和selinux
我们现在所有的实验都是在关闭iptables和selinux下进行的。
/etc/init.d/iptablesstop chkconfigiptablesoff sed-i's/SELINUX=enforcing/SELINUX=disabled/'/etc/selinux/config setenforce0
4 环境准备
的安装可以分为源码安装和RPM安装,但是无论哪一种安装方法,我们都需要在安装之前对其进行几点需要说明。
4.1 puppet安装说明
由于puppet是采用语言开发,所以无论是源码还是RPM方式安装puppet,我们都必须要先安装ruby语言环境
从2.7版本以后,就需要hiera的支持。所以也必须安装hiera。
在前面章节中,我们说明了puppet是一个配置管理系统,而管理的资源,都是系统的实体。但是这些实体,是如何来的呢?这就需要我们安装另外一个资源收集软件―facter。
facter主要用来收集主机的一些信息,比如:cpu、主机IP等。facter把这些收集的信息发送给puppet服务器端,服务器端就可以根据不同的条件来对不同的节点机器生成不同的puppet配置文件。
4.2安装ruby
的安装比较简单,我们在此使用是yum进行安装。如下:
yum-yinstallrubyruby-rdoc #我们可以查看ruby的帮助信息,如下: ruby-h
4.3安装facter(server&client都装)
我们可以从puppet官网下载,如下:
http://downloads.puppetlabs.com/facter/
注意:facter也可以通过yum进行安装,在此我们使用的是源码安装。
下载facter 2.4.6(3.x的版本应该是其他软件了没法用),如下:
wgethttp://downloads.puppetlabs.com/facter/facter-2.4.6.tar.gz tar-zxvffacter-2.4.6.tar.gz rubyinstall.rb或者./install.rb #facter安装完毕后,我们来查看下facter的使用帮助。如下: facter-h
4.4安装hiera
hiera主要用于控制一些agent经常变化的数值,在puppet2.7以后的版本必须要安装。如果不安装的话,我们在安装puppet时,系统会提示如下错误:
Could not load hiera; cannot install
但是在安装hiera之前,我们必须安装额外的yum源,否则系统会提示找不到该软件包。
该yum源,我们可以puppet官网查看到。如下:
https://docs.puppetlabs.com/guides/puppetlabs_package_repositories.html#for-red-hat-enterprise-linux-and-derivatives
按照puppet官网的方法进行安装。如下:
rpm-ivhhttp://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm #yum源配置完毕后,我们现在来安装hiera yum-yinstallhiera
以上安装完毕后,我们就可以正式安装puppet。
5 源码安装puppet
服务端与客户端的源码安装使用的是同一个软件包,安装步骤一样,只是在配置文件方面有细微的差别。
在下载puppet源码之前,我们还要在master端和agent端创建puppet运行时使用的用户puppet。
创建puppet用户,如下:
useradd-M-s/sbin/nologinpuppet
注意:puppet服务端是以puppet用户运行的,而puppet客户端是root用户运行。
这样做的目的是:master在服务端以普通用户运行安全性比较高,而agent在客户端以root用户运行,是因为master在创建用户、修改系统文件等资源时,需要具有最高权限。
5.1 puppet源码安装(server&client都装)
的源码包,我们可以从puppet官网下载。目前puppet最新版为3.8.7(4.x版本太新,虽然说性能提升3-4被,但网上截止发帖日都没有太多参考教程暂不研究),如下:
http://downloads.puppetlabs.com/puppet/
下载puppet软件包。如下:
wgethttp://downloads.puppetlabs.com/puppet/puppet-3.8.7.tar.gz tar-zxvfpuppet-3.8.7.tar.gz rubyinstall.rb或者./install.rb
查看puppet的安装位置:/etc/puppet/
5.2 server端配置
安装完毕后,我们来配置下server端:
cpext/redhat/puppet.conf/etc/puppet/ vim/etc/puppet/puppet.conf server=p-server certname=p-server pluginsync=false
其中:
p-server表示puppet服务器的主机名。
pluginsync = false表示关闭模块中的插件功能
配置文件修改完毕后,我们现在来配置server端的启动脚本,如下:
cpext/redhat/server.init/etc/init.d/puppetmaster chmodu+x/etc/init.d/puppetmaster #注意:master端启动,我们也可以通过puppetmaster命令来启动。 puppetmaster netstat-tunlp|grep"8140" tcp000.0.0.0:81400.0.0.0:*LISTEN26486/ruby #把puppetmaster加入到开机启动项。 chkconfig--addpuppetmaster chkconfigpuppetmasteron
5.3 agent端配置
agent端的配置,如下:。
cpext/redhat/puppet.conf/etc/puppet/ cat/etc/puppet/puppet.conf server=p-server pluginsync=false
其中:
端启动,我们可以通过puppet agent命令来启动。如下:
puppetagent psaux|greppuppet root238540.01.516222061932?Ss11:490:06/usr/bin/ruby/usr/bin/puppetagent
通过上图,我们也可以看出agent端运行时使用的用户为root,而不是puppet用户。
注意:agent端我们使用puppet agent命令来进行各种管理,包括证书的申请、资源的同步,我们都是通过这个命令进行的。
可以以两种方式运行:第一种方式是命令接参数连接server,第二种是以守护进程的形式在系统后台运行,默认每30分钟连接一次server,但是这样并不灵活。我们一般是使用第一种方式,并配合crontab使用。
6 puppet证书授权
我们知道puppet为了安全,采用ssl隧道通信,因此需要申请证书来验证。
6.1server端证书初始化
当server端第一次启动的时候,可以查看/var/log/message日志文件中,有类似如下的信息:
tail-f/var/log/messages Jun1111:15:25jijilu-testpuppet-master[26440]:Signedcertificaterequestforca Jun1111:15:25jijilu-testpuppet-master[26440]:jijilu-testhasawaitingcertificaterequest Jun1111:15:25jijilu-testpuppet-master[26440]:Signedcertificaterequestforjijilu-test Jun1111:15:25jijilu-testpuppet-master[26440]:RemovingfilePuppet::SSL::CertificateRequestjijilu-testat'/var/lib/puppet/ssl/ca/requests/jijilu-test.pem' Jun1111:15:25jijilu-testpuppet-master[26440]:RemovingfilePuppet::SSL::CertificateRequestjijilu-testat'/var/lib/puppet/ssl/certificate_requests/jijilu-test.pem' Jun1111:15:26jijilu-testpuppet-master[26486]:Reopeninglogfiles Jun1111:15:26jijilu-testpuppet-master[26486]:StartingPuppetmasterversion3.8.1 Jun1111:49:17jijilu-testpuppet-master[26486]:430-test01hasawaitingcertificaterequest
从日志中我们可以看出第一次启动server端时,puppet服务会在本地创建认证中心,给自己授权证书和key,这个我们可以在/var/lib/puppet/ssl看到那些证书和key。如下:
ll/var/lib/puppet/ssl drwxr-xr-x5puppetpuppet4096Jun1111:15ca drwxr-xr-x2puppetpuppet4096Jun1111:15certificate_requests drwxr-xr-x2puppetpuppet4096Jun1111:15certs -rw-r--r--1puppetpuppet958Jun1111:15crl.pem drwxr-x---2puppetpuppet4096Jun1111:05private drwxr-x---2puppetpuppet4096Jun1111:06private_keys drwxr-xr-x2puppetpuppet4096Jun1111:06public_keys
这个目录和/etc/puppet/puppet.conf文件中配置的ssldir路径有关系。
我们也可以查看master端给自己授权的证书文件,如下:
ll/var/lib/puppet/ssl/ca/signed -rw-r--r--1puppetpuppet1944Jun1111:15p-server.pem
6.2 agent端申请证书
端在第一次连接master端时,会向server端申请证书。如果server端没有授予agent端证书,那么agent端和server端之间的连接是不会建立成功的。
此时agent端会持续等待server端授权证书,并会每隔2分钟去检查server端是否签发证书。
我们现在使用puppet agent --server p-server连接master端,如下:
puppetagent--serverp-server
6.3server端授权证书
端申请证书完毕后,需要我们切换到server端,使用puppet cert命令来对agent端授权证书。
有关puppet cert的使用,我们可以查看pupper cert的帮助信息。如下:
puppercert
现在我们可以查看master端有哪些主机在申请证书,如下:
puppet cert list
现在我们来给agent端授权证书,使用如下命令:
puppet cert sign p-client
注意:
如果实际生产环境客户端数量比较多的话,我们可以一次性授权所有证书。如下:
puppetcertsign--all
在master端查看所有已经通过认证的agent端,如下:
puppetcert-all
# 现在我们再来看看master端给agent端授权的证书文件,如下:
ll /var/lib/puppet/ssl/ca/signed
-rw-r--r-- 1 puppet puppet 1939 Jun 11 11:55 p-client.pem
-rw-r--r-- 1 puppet puppet 1944 Jun 11 11:15 p-server.pem
通过上图,我们可以看出server端授权客户端c.ilanni.com的证书文件是p-client.pem。
6.4查看agent端证书
在server端授权完毕后,我们现在切换到agent端查看授权的证书文件,如下:
ll /var/lib/puppet/ssl/certs
-rw-r--r--. 1 puppet puppet 1939 Jun 11 11:57 p-client.pem
-rw-r--r--. 1 puppet puppet 1944 Jun 11 11:49 ca.pem
通过上图,我们可以看出agent端的证书文件p-client.pem与server端的证书文件是一样的。
6.5 puppet证书问题
在实际的生产环境中,可能会出现已经通过server端认证的agent端主机名被修改或者其他一些误操作,从而导致agent端无法与server端进行正常通信。
当遇到这种情况时,我们一般的处理方法是先删除server端和agent端的相关的认证文件,然后在agent端重新申请证书。
具体操作如下:
端,删除/var/lib/puppet/ssl目录,如下:
rm-fr/var/lib/puppet/ssl
server端,删除/var/lib/puppet/ssl/ca/signed目录下的证书文件,如下:
rm-fr/var/lib/puppet/ssl/ca/signed/c.ilanni.com.pem
以上操作完毕后,agent端再次申请证书即可。
7 puppet资源
环境搭建完毕后,我们现在开始来介绍puppet资源相关的内容。
7.1 puppet的资源类型及帮助
的资源,我们是可以通过相关命令查看puppet支持的资源类型。
通过前面的章节,我们知道puppet是支持子命令进行查询的。如下:
puppethelpca
查看puppet支持的资源类型。如下:
puppetdescribe--list
也可以通过puppet resource --type命令查询,如下:
puppet resource --type
通过上图,我们可以看到puppet支持用户user、文件file、crontab等大部分的资源。
如果想查看user的资源,我们还是继续使用puppet describe user命令进行查看。如下:
puppetdescribeuser
如果我们想查看user在puppet站点site.pp文件中的具体使用方法,可以通过如下命令进行查看:
puppetresourceuser
通过上图,我们可以看到puppet已经给出了user使用的例子,我们只需要按照这个例子进行操作即可。
如果puppet describe帮助中没有该资源在site.pp站点中的使用详情,我们可以去到puppet resource中进行查看。
这个只是以user资源为例,如果想查看host资源的帮助,我们也可以使用类似的命令,如下:
puppet resource host
如果你不想在本机进行查看,那么也可以去puppet官网进行查看,如下:
https://docs.puppetlabs.com/references/latest/type.html
7.2 puppet资源配置文件
的资源配置文件在服务端的/etc/puppet/manifests目录下,我们需要在该目录下创建一个站点文件site.pp。
我们在该文件中创建需要同步到agent端的资源,如下:
# cat/etc/puppet/manifests/site.pp
nodedefault{
file{"/tmp/test.txt":
content=>"Hello,calvin,thisispuppettest!n"}
}
以上命令表示在puppet资源配置文件冲创建一个默认节点,使用file资源,在agent端的/tmp/目录下创建test.txt,内容为:Hello,this is puppet test!n
其中的n表示换行。如果不加n的话,查看该文件内容时会显示成这样:
Hello,this is puppet test![root@430-test01 ~]#
同时site.pp文件创建完毕后,我们要先重启下server端,如下:
/etc/init.d/puppetmasterrestart
现在切换到agent端同步该资源,如下:
puppet agent --test --server p-server
通过上图,我们可以看到agent端已经把server端的资源的同步到本地。
现在我们来查看,agent端的/tmp目录下是否有test.txt这个文件。如下:
cat /tmp/test.txt
通过上图,我们可以看到agent端确实已经同步到server端的资源。/tmp目录下确实有test.txt这个文件,而且内容也确实和server端的一样。
到此有关puppet3.8搭建与配置介绍完毕。
8 使用配置示例
8.1 文件分发
描述:通过puppet服务端可以向被管理机(客户端)上推送文件,方法是使用file类型的source属性
第一步:
# vi /etc/puppet/fileserver.conf
[files]
path /opt/
allow *
# 设置文件推送到目录
设置准许连接到服务端的主机地址
第二步:vi /etc/puppet/manifests/site.pp
File
{ "/opt/rlwrap-0.30.tar.gz":
source=> "puppet://$puppetserver/files/rlwrap-0.30.tar.gz",
}
设置服务器上/opt目录下的rlwrap-0.30.tar.gz为被传送文件
#此处“$puppetserver”是Puppet Server端的名称,即hostname,在hosts文件里指定,生产环境下用内部的DNS上作解析
第三步:
在客户端执行更新命令
# puppet agent --test --server jijilu-test
Info: Caching catalog for 430-test01
Info: Applying configuration version '1434090440'
Notice: /Stage[main]/Main/File[/opt/rlwrap-0.30.tar.gz]/ensure: defined content as '{md5}03d8bd4996945ea32d3c7d5dc38c956e'
Notice: Finished catalog run in 0.44 seconds
查看/opt目录下已经同步这个文件:
# ll /opt/
total 184
drwxr-xr-x. 2 root root 4096 Jun 22 2012 rh
-rw-r--r--. 1 root root 184037 Jun 12 15:41 rlwrap-0.30.tar.gz
8.2 修改文件属性
描述:把/tmp/test.txt文件的权限改为puppet用户,并设置权限为666。
第一步:编辑服务端的site.pp
vi /etc/puppet/manifests/site.pp
file
{ "/tmp//tmp/test.txt ": owner => "puppet",0);">group => "puppet",mode => 666,0);">}
第二步:在客户端执行命令
Info: Applying configuration version '1434095252'
Notice: /Stage[main]/Main/File[/tmp/test.txt]/owner: owner changed 'root' to 'puppet'
Notice: /Stage[main]/Main/File[/tmp/test.txt]/group: group changed 'root' to 'puppet'
Notice: /Stage[main]/Main/File[/tmp/test.txt]/mode: mode changed '0644' to '0666'
Notice: Finished catalog run in 0.03 seconds
8.3 执行SHELL命令或shell脚本
描述:通过puppet分发执行shell脚本,在客户端的opt目录下新建一目录shelldir。
exec { "exec-mkdir": cwd => "/opt",
command => "sh /opt/lgh.sh",0);">user => "root",
path => "/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin",0);">第二步:在客户端编辑上一步command路径中指定的shell脚本,例如
vi /opt/lgh.sh
#!/bin/bash
mkdir /opt/shelldir
第三步:在客户端执行命令
Info: Caching catalog for 430-test01
Info: Applying configuration version '1434095394'
Notice: /Stage[main]/Main/Exec[exec-mkdir]/returns: executed successfully
Notice: Finished catalog run in 0.21 seconds
在/opt目录下查看shelldir目录有没有建立。
8.4 cron计划任务
描述:接上面的shell程序实例,在17:30执行/opt/lgh.sh。
cron { "cron-shell":
command => "sh /opt/lgh.sh",0);">minute => "30",0);">hour => "17"
# puppet agent --test --server jijilu-test
Info: Applying configuration version '1434095710'
Notice: /Stage[main]/Main/Cron[cron-shell]/ensure: created
Notice: Finished catalog run in 0.12 seconds
然后在客户端使用
# crontab -l查看效果
# crontab -l
# HEADER: This file was autogenerated at Fri Jun 12 15:55:11 +0800 2015 by puppet.
# HEADER: While it can still be managed manually,it is definitely not recommended.
# HEADER: Note particularly that the comments starting with 'Puppet Name' should
# HEADER: not be deleted,as doing so could cause duplicate cron jobs.
* * * * * /usr/sbin/ntpdate 10.10.1.230 >/dev/null 2>&1
# Puppet Name: cron-shell
30 17 * * * sh /opt/lgh.sh
8.5 服务检查及状态修改
描述:可以通过puppet对一些服务进行检查。puppet是通过service命令操作的。所以,只能针对在/etc/init.d/目录下的服务
实例:把客户端的防火墙起来
service
{ iptables:
ensure => "running",0);">Info: Applying configuration version '1434095840'
Notice: /Stage[main]/Main/Service[iptables]/ensure: ensure changed 'stopped' to 'running'
Info: /Stage[main]/Main/Service[iptables]: Unscheduling refresh on Service[iptables]
Notice: Finished catalog run in 0.20 seconds
# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination