1 概述

  • 在中央服务器上安装puppet-server服务器(puppet master),在需要被管理的目标服务器上安装puppet客服端软件(puppet client)。

  • 服务器端保存着所有对客户端服务器的配置代码,在puppet里面叫做manifest。客户端通过ssl连接到服务端,下载manifest文件之后,进行编译,根据manifest对服务器进行配置,例如软件包管理、用户管理和文件管理等。

  • 工作流程:客户端puppetd调用facter,探测出主机的一些变量,例如主机名,内存大小,ip地址等。puppetd将这些信息通过ssl连接发送到服务器端。(2)服务器端的puppetdmaster检测客户端的主机名,然后到manifest找到对应的node配置,并对该部分内容解析。若无语法错误,则将解析的结果生成一个中间的“伪代码”,然后把伪代码发给客户端。(3)客户端接收到“伪代码”,并且执行,客户端把执行结果发送给服务端。(4)服务器端把客户端执行结果写入日志。


2 配置规划

要求客户端机器的配置类似

master:rango.fugue.sysu    192.168.56.1

client 1:vm1.sysu                    192.168.56.101

client 2:vm2.sysu                    192.168.56.102

client 3:vm3.sysu                    192.168.56.103

client 4:vm4.sysu                    192.168.56.104

ps:Puppet要求所有机器有完整的域名(FQDN)、时钟保持同步。


3 软件安装

master和clients安装ruby、facter、puppet。所有机器均加入epel-release源。

master:yum install puppet-server openssl*

client:yum install puppet openssl*

防火墙开启8140端口:-A INPUT -m state --state NEW -m tcp -p tcp --dport 8140 -j ACCEPT

重新启动puppetmaster :service puppetmaster restart


4 认证

4.1 客户端执行以下命令来请求服务器签名证书:puppetd--test --server rango.fugue.sysu


4.2 服务器端执行以下命令来查看是否有客户端的证书请求,并对所有证书请求签名

puppetca --list 或者puppet cert list

puppetca -s -a  或者puppet cert sign --all

ps:证书相关文件在/var/lib/puppet/ssl

重新认证:

先到服务器端清除指定客户机的证书:puppetca-c c1.localdomain
然后再到服务器端吊销证书:puppetca -r c1.localdomain
然后在客户机上:mv /var/lib/puppet /tmp
接着在客户机上请求证书签名:puppetd --test --server puppet
然后在服务器上对客户机的证书做签名:puppetca -s -a


5 配置

通过修改/etc/puppet/*下的配置文件来配置Puppet:


5.1 服务器端

auth.conf 认证的配置文件

fileserver.conf puppet文件服务器配置文件

manifests puppet主文件所在目录,该目录下存放的模块对应的文件资源,可能是要发送给slave的配置文件等

manifests/site.pp   puppet主文件(入口文件)

puppet.conf    puppet主配置文件


5.2 客户端

配置/etc/puppet/puppet.conf的[agent]字段

[agent]

server = rango

runinterval = 3600

listen = true

每隔3600s,即一个小时监听服务器。

重启puppet:/etc/init.d/puppet restart

开机自启:chkconfig puppet on

调试:puppetagent --server=rango --no-daemonize --verbose,观察agent是如何和master建立连接的。


6 SVN的安装

安装svn主要是为了进行监控脚本的版本控制。用户编写manifests程序,提交到svn(svndb),服务器端的puppetmaster从svn读取配置脚本。Puppet能够持续化的与被控制机进行交互,从而实现配置文件的及时检测更新。结合SVN版本控制系统,puppet可在更新之前将当前正在运行的环境以版本的方式保存到SVN版本控制系统中,方便以后通过puppet更新出错或者需要回滚到之前的某一个环境时快速恢复。


7 总结

本文旨在搭建一个阳春版本的Puppet自动化配置管理平台,重点在于客户端和服务器的认证,只有通过基于ssl的认证,才能够在两者间进行必要的通信。后续文章将会介绍Puppet结合版本管理工具SVN实现版本的集中化备份和恢复。

                                                                                                                      ——RangoChen