请选择 进入手机版 | 继续访问电脑版

[LINUX] Puppet利用 方法总结

[复制链接]
查看57 | 回复6 | 2021-9-5 00:47:19 | 显示全部楼层 |阅读模式
1. 概述
puppet是一个开源的软件自动 化设置 和部署工具,它使用 简单且功能强盛 ,正得到了越来越多地关注,现在 很多大型IT公司均在使用 puppet对集群中的软件举行 管理和部署,如google使用 puppet管理超过6000台地mac桌面电脑(2007年龄 据)。
本文紧张 先容 puppet安装方法,计划 架构及使用 方法。
2. 计划 架构
puppet是基于c/s架构的。服务器端保存着全部 对客户端服务器的设置 代码,在puppet内里 叫做manifest. 客户端下载manifest之后,可以根据manifest对服务器举行 设置 ,比方 软件包管理,用户管理和文件管理等等。
Puppet利用
方法总结


如上图所示,puppet的工作流程如下:(1)客户端puppetd调用facter,facter探测出主机的一些变量,比方 主机名,内存大小,ip地址等。pupppetd 把这些信息通过ssl毗连 发送到服务器端; (2)服务器端的puppetmaster 检测客户端的主机名,然后找到manifest内里 临 应的node设置 , 并对该部分内容举行 分析 ,facter送过来的信息可以作为变量处理,node扳连 到的代码才分析 ,其他没扳连 的代码不分析 。分析 分为几个阶段,语法检查,假如 语法错误就报错。假如 语法没错,就继续分析 ,分析 的结果 天生 一个中央 的“伪代码”,然后把伪代码发给客户端;(3)客户端吸收 到“伪代码”,并且实行 ,客户端把实行 结果 发送给服务器;(4)服务器端把客户端的实行 结果 写入日志 。

puppet工作过程中有两点值得注意 ,第一,为了保证安全,client和master之间是基于ssl和证书的,只有经master证书认证的client可以与master通讯 ;第二,puppet会让体系 保持在你所渴望 的某种状态并不停 维持下去,如检测某个文件并保证其不停 存在,保证ssh服务始终开启,假如 文件被删除了或者ssh服务被关闭了,puppet下次实行 时(默认30分钟),会重新创建该文件或者启动ssh服务。

3.  软件安装

不保举 使用 apt-get下令 举行 安装,由于 该下令 下载的puppet存在bug。可直接从源代码举行 安装,必要 安装的软件有ruby,facter和puppet。

3.1   安装步骤

编辑/etc/host以修改主机名,由于 puppet是基于证书的,证书中包含主机名;

在master和slave上依次安装ruby、facter和puppet,安装facter和puppet时,要使用 ruby install.rb。

3.2    安装后的目次 布局

(1)    安装目次

安装目次 默认存为/etc/puppet,该目次 下的manifests存放manifest文件。

其他可实行 文件在/user/sbin下,紧张 有:

puppet: 用于实行 用户所写独立的mainfests文件,如:

puppet -l /tmp/manifest.log manifest.pp

puppetd: 运行在被管理主机上的客户端程序,如:

puppet –server servername –waitforcert 60

puppetmasterd:运行在管理机上的服务器程序,如:

puppetmasterd –debug

puppetca puppet认证程序,紧张 用于对slave的证书举行 认证,如:

查看需认证的slave:puppetca –list

对这些slave举行 认证:puppetca -s –a

puppetrun 用于毗连 客户端,逼迫 运行本地设置 文件,如:

puppetrun -p 10 –host host1 –host host2 -t remotefile -t webserver

(2)    设置 文件

puppet.conf

Puppet的主设置 文件,假如 是root用户,设置 文件为/etc/puppet/puppet.conf,平常 用户,设置 文件为:~user/.puppet/puppet.conf

详细 设置 参数,参见:

http://docs.puppetlabs.com/references/stable/configuration.html#configuration-files

fileserver.conf

puppet文件服务器的设置 文件。用path设置 文件路径,allow/deny设置 访问权限,详细 参见:http://docs.puppetlabs.com/guides/file_serving.html

3.3   验证安装是否成功

选定一个slave与master举行 验证,假设slave的host为slave00,master的host为masterhost,在slave00上输入:

puppetd –test –server servername

然后在masterhost上查对待 认证的slave:

puppetca –list

假如 没标题 的话,此时可以看到slave00,对该slave的证书举行 署名 :

puppetca -s -a

如许 slave00通过了证书验证,可以与master举行 进一步交互了。

在masterhost的/etc/puppet/manifests目次 下编写site.pp文件,内容如下:

复制代码代码如下:
node default {
file {
“/tmp/test”:
content=>”hello\n”,
mode => 0644;
}
}

同时在slave00上输入:puppetd –test –server servername, 查看slave00的/tmp文件夹,天生 了一个新文件test,内里 的内容是hello,该文件的权限是-rw-r—r—。如许 ,便证明 puppet安装成功,假如 出现错误,查看第六节。

4.  设置 脚本编写

本节先容 puppet的设置 脚本编写方法,紧张 是指puppet的manifest编写方法。puppet把必要 管理的内容抽象成为资源,每种资源有不同的属性,因此puppet语言就是形貌 这些资源的属性以及资源之间关系的语言。

为了便于管理,puppet将资源模块化,即每个功能模块的manifest单独放在一个目次 下。每个模块包含一个紧张 的manifest文件(init.pp,它是模块的入口,雷同 于C语言中的main函数),内里 包含多少 个class对该模块的资源举行 封装,常见的资源有file,package,service等,每种资源由本身 的属性,如file有属性name,owner,mode等。

本节紧张 先容 puppet中manifest的编写方法,将依次先容 资源属性,资源,节点管理,函数和模块的编写方法。

4.1   资源属性

资源属性有两种,一种是资源专属属性,另一种是资源共同属性,对于资源专属属性,将在下一节先容 ;而资源共同属性是全部 资源共有的属性,紧张 有:

before

用于控制不同对象(资源)的实行 次序 关系,表示某个对象(资源)在另一个对象之后发生(require与之相反,它表示之前发生)。如:


复制代码代码如下:
file { “/var/nagios/configuration”:
source => “…”,
recurse => true,
before => Exec["nagios-rebuid"]
}
exec { “nagios-rebuild”:
command => “/usr/bin/make”,
cwd => “/var/nagios/configuration”
}


这段代码保证用make编译之前,全部 代码都是最新的。也可以before多个资源,如:

before => [ File["/usr/local"], File["/usr/local/scripts"] ]

subscribe

检测某个资源,当它发生变化时,该资源会重新加载,如:

复制代码代码如下:
class nagios {
file { “/etc/nagios/nagios.conf”:
source => “puppet://server/module/nagios.conf”,
alias => nagconf # just to make things easier for me
}
service { nagios:
ensure => running,
subscribe => File[nagconf]
}
}

当检测到文件nagconf被修改时,服务nagios会相应的更新。必要 注意 的是,现在 支持subscribe的资源只有exec,service和mount。

更多资料,参见:http://docs.puppetlabs.com/references/latest/metaparameter.html

4.2   资源

常用的资源紧张 有以下几个:

file:文件管理

package:软件包管理

service:体系 服务管理

cron:设置 定期任务

exec:运行shell下令

(1)    file资源

更详细 资料,可参见:http://puppet.wikidot.com/file

(2)    package资源

更详细 资料,可参见:http://puppet.wikidot.com/package

(3)    service资源

更详细 资料,可参见:http://puppet.wikidot.com/srv

(4)    exec资源

更详细 资料,可参见:http://puppet.wikidot.com/exec

(5)    cron资源

更详细 资料,可参见:http://puppet.wikidot.com/cron

4.3   节点管理

puppet怎样 区分不同的客户端,并且给不同的服务端分配manifest呢?puppet使用 node资源做这件事变 ,node 后面跟客户端的主机名,比方 :

node ‘ slave00 ‘ {
include ssh
}
node ‘ slave11 ‘ {
$networktype=”tele”
$nagioscheckport=”80,22,3306″
include apache, mysql, php
}
资源node中可使用 变量,也可直接通过include把其他manifest包含进来。

更详细 资料,可参见:http://docs.puppetlabs.com/references/latest/type.html

4.4   类和函数

类可以把多个干系 的资源定义在一起,构成 一个类。类可以继承,详细 参见:http://docs.puppetlabs.com/guides/language_guide.html#resource-collections

函数(在puppet中称为“defination”)可以把多个资源包装成一个资源,或者把一个资源包装成一个模子 ,便于使用 。比方 ,在debian内里 管理一个apache假造 机非常简单,把一个假造 主机的设置 文件放到/etc/sites-available/内里 ,然后做一个符号链接到/etc/sites-enabled目次 。 你可以为你每个假造 主机复制同样的设置 代码,但是假如 你使用 下面的代码就会更好和更简单:

define virtual_host($docroot, $ip, $order = 500, $ensure = “enabled”) {
$file = “/etc/sites-available/$name.conf”
# The template fills in the docroot, ip, and name.
file { $file:
content => template(“virtual_host.erb”),
notify  => Service[apache]
}
file { “/etc/sites-enabled/$order-$name.conf”:
ensure => $ensure ? {
enabled  => $file,
disabled => absent
}
}
}
然后,你就可以使用 这个定义来管理一个apache假造 主机,如下面代码所示:

virtual_host { “reductivelabs.com”:

order   => 100,

ip      => “192.168.0.100″,

docroot => “/var/www/reductivelabs.com/htdocs”

}

4.5   模块

一个模块就是一个/etc/puppet/modules目次 下面的一个目次 和它的子目次 ,在puppet的主文件site.pp内里 用import modulename可以插入模块。新版本的puppet可以自动 插入/etc/puppet/modules目次 下的模块。引入模块,可以布局 化代码,便于分享和管理。比方 关于apache的全部 设置 都写到apache模块下面。一个模块目次 下面通常包括三个目次 :files,manifests,templates。manifests 内里 必须要包括一个init.pp的文件,这是该模块的初始(入口)文件,导入一个模块的时间 ,会从init.pp开始实行 。可以把全部 的代码都写到init.pp内里 ,也可以分成多个pp文件,init 再去包含其他文件。files目次 是该模块的文件发布目次 ,puppet提供一个文件分发机制,雷同 rsync的模块。templates 目次 包含erb模子 文件,这个和file资源的template属性有关。

puppet安装好以后,modules目次 是没有的,本身 建立一个就行,然后在内里 可以新增长 你的模块。

5.  编程实例

5.1    Hello World

本节先容 了一个非常简单的编程实例:一个slave从master中获取其manifest,该maniftest要求slave依次做以下工作:安装gcc,创建文件夹/home/dxc/test,下载文件hello.c程序,编译hello.c。

(1)    代码布局 构造

Master上代码的目次 布局 如下:

|– auth.conf

|– fileserver.conf   #puppet文件服务器设置 文件

|– manifests   #puppet主文件地点 目次

|   |– modules.pp        #puppet各个模块汇总

|   |– nodes         #各个slave要处理的模块

|   |   `– execHello.pp      #hello模块对应由那些slave处理

|   `– site.pp                  #puppet主文件(入口文件)

|– modules     #puppet的各个模块地点 文件

|   `– hello   #hello模块

|       |– files    #该模块对应的文件资源,大概 是要发送给slave的设置 文件等

|       |   `– hello.c

|       `– manifests   #模块的manifest文件

|           `– init.pp                  #模块入口文件

`– ssl       #puppet的证书文件目次

(2)    程序实行 流程

代码调用次序 是:

Slave发起毗连 哀求 à site.pp à nodes àmodules à init.pp

起首 ,slave向发起master毗连 哀求 ,举行 证书验证;

接着,证书验证通过后,master会直接找到入口文件manifests目次 下的site.pp文件,该文件大概 包含一些全局变量,参数缺省值(当各个模块没有设置这些参数时,它们的缺省值)以及别的 pp文件的调用(在该例子中,会调用modules.pp和nodes下的各个pp文件);

然后,master通过nodes下的各个pp文件定位到该slave要实行 的模块(init.pp是各个模块的入口),汇总这些模块代码返回给slave;

末了 ,slave根据master发过来的manifest,设置 信息。

(3)    代码表明

直接在此处下载代码

5.2   一个更复杂的实例

本节先容 了一个更为复杂的某个公司正在使用 实例,puppet代码布局与上一个实例划一 ,只不过该实例涉及到更多模块,更复杂的依靠 管理。代码详细 内容本节就不表明 了,详细 参见代码

6.  大概 碰到 的标题

Q: puppet的证书机制

A: puppet证书标题 是初学者最容易 碰到 的标题 ,这里讲一下怎么处理。puppet服务器端在安装或者初次 启动的时间 ,会自动 生产一个根证书和服务器证书,证书和主机名干系 ,因此假如 证书天生 后友改了主机名,那就会出标题 。 puppet客户端在初次 启动的时间 ,也会自动 天生 证书;但是这个证书必要 得到puppet服务器端的署名 才行,因此;puppet客户端第一次毗连 服务器的时间 ,会发送一个证书哀求 ;服务器端必要 对这个证书举行 署名 。puppet客户端在下次毗连 服务器的时间 就会下载署名 好的证书。

Q:Ubuntu下面的证书出错,怎么办理 ?

A:本方法是提供给初学者的测试环境,天生 环境不建议这么做。起首 在puppetmaster(服务器端)删除/var/lib/puppet/ssl目次 ;然后启动puppetmasterd;然后在客户端也删除/var/lib/puppet/ssl目次 。把puppetmaster机器的主机名和对应的ip地址写入客户端机器的/etc/hosts。

然后实行 :puppetd –test –server server.example.com. 把server.example.com替

换成你本身 的服务器主机名。 实行 这个下令 ,会有提示信息,不用分析 。

然后登录到puppetmaster服务器机器,实行 puppetca –list 下令 ,看看是否有客户端的证书哀求 ;假如 没有,请检查前面的步骤是实行 准确 ,以及网络毗连 是否正常。 假如 puppetca –list 能看到哀求 ,那么实行 puppetca -s -a 下令 ;对全部 的证书哀求 署名 。末了 回到puppet客户端机器,实行

puppetd –test –server server.example.com.

就能建立毗连 了,假如 你的site.pp写好了.就可以测试puppet了。

补充:假如 客户端和服务器端的时间不划一 也会导致证书认证失败,因此出现证书标题 的时间 必要 检查两台机器的时间是否划一 ,假如 不划一 用date下令 或者ntpdate下令 让两台机器的时间划一 。

Q:出现错误[Puppet Users] err: Could not retrieve catalog; skipping run

A:大概 是由于安装了两个版本的ruby或者facter的缘故原由 ,办理 方案见:

https://projects.puppetlabs.com/issues/5279

7.  总结

随着服务器集群规模越来越大,自动 化设置 和部署这些服务器可以或许 使管理变得非常容易 并大大减小管理部署成本,因而得到IT公司的高度器重 。

本文档先容 了puppet,一种新型的软件自动 化设置 和部署工具。本文紧张 内容涉及puppet的架构,安装和使用 方法,并给出了两个使用 实例。

在大规模的天生 环境中,假如 只有一台puppetmaster会忙不过来的,由于 puppet是用ruby写的,ruby是分析 型语言,每个客户端来访问,都要分析 一次,当客户端多了就忙不过来,以是 必要 扩展成一个服务器组。puppetmaster可以看作一个web服务器,现实 上也是由ruby提供的web服务器模块来做的。因此可以使用 web代理软件来共同 puppetmaster做集群设置,详细 参见:http://puppet.wikidot.com/puppetnginx

8.  参考资料

puppet官方网站:http://www.puppetlabs.com/

puppet中文wiki:http://puppet.chinaec2.com/

puppet中文博客:http://www.comeonsa.com

9.  代码下载

(1)5.1节实例代码下载

(2)5.2节实例代码下载

原创文章,转载请注明:转载自董的博客


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

avatar 非究思身 | 2021-9-18 12:46:10 | 显示全部楼层
无图无真相!
回复

使用道具 举报

avatar 弄乐诟 | 2021-9-28 02:31:09 | 显示全部楼层
最近回了很多帖子,都没人理我!
回复

使用道具 举报

avatar 大黄瓜xxxl | 2021-9-29 00:38:39 | 显示全部楼层
看帖回帖一条路!
回复

使用道具 举报

avatar 没想爱上你堑 | 2021-10-3 10:13:02 | 显示全部楼层
帖子很有深度!
回复

使用道具 举报

avatar 123457333 | 2021-10-15 01:01:01 | 显示全部楼层
admin楼主给脑残下了定义!
回复

使用道具 举报

avatar 123457150 | 前天 14:59 | 显示全部楼层
看帖不回帖的人就是耍流氓,我回复了!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则