puppet安装及使用.docx

puppet安装及使用.docx

《puppet安装及使用.docx》由会员分享，可在线阅读，更多相关《puppet安装及使用.docx（9页珍藏版）》请在冰豆网上搜索。

puppet安装及使用

puppet是一种Linux、Unix、windows平台的集中配置管理系统，使用自有的puppet描述语言，可管理配置文件、用户、cron任务、软件包、系统服务等。

puppet把这些系统实体称之为资源，puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。

      puppet采用C/S星状的结构，所有的客户端和一个或几个服务器交互。

每个客户端周期的（默认半个小时）向服务器发送请求，获得其最新的配置信息，保证和该配置信息同步。

每个puppet客户端每半小时（可以设置）连接一次服务器端,下载最新的配置文件,并且严格按照配置文件来配置服务器.配置完成以后,puppet客户端可以反馈给服务器端一个消息.如果出错,也会给服务器端反馈一个消息.

第二，工作原理：

      puppet既可以在单机上使用,也可以以c/s结构使用.在大规模使用puppet的情况下,通常使用c/s结构.在这种结构中puppet客户端只是指运行puppet的服务器,puppet服务器端是只运行puppetmaster的服务器.

      puppet客户端首先会连接到puppet服务器端,并且通过facter工具把客户端的基本配置信息发送给服务器端.服务器端通过分析客户端的主机名,通过node定义,找到该主机的配置代码,然后编译配置代码,把编译好的配置代码发回客户端,客户端执行代码完成配置.并且把代码执行情况反馈给puppet服务器端.

修改系统配置

      puppet通过管理资源的方式来管理系统,例如管理某个软件是否要安装,是安装最新的还是安装了就行.管理某个服务是否开启,管理某个文件的属性,内容等等.所有的资源都有对应的几个属性可以设置.通过设置属性的方式来管理资源.有一种特殊的属性可以用在所有的资源上面,这种属性叫做metaparams（元参数或者元属性）.

1）      客户端通过facter收集客户端信息并发送至服务端

2）      连接服务端并请求catalog日志

3）      请求节点（node）的信息

4）      从服务器端接收节点（node）的实例

5）      编译代码（包括语法检查等工作）

6）      查询是否有exported虚拟资源

7）      如有，则从数据库接收虚拟资源

8）      接收完整的catalog日志

9）      存储catalog日志到数据库

10）    客户端接收完整的catalog日志

      第三，案例目标：

实现文件同步并修改文件所属帐户：

测试环境：

puppetserver      :

  10.0.3.170

puppet1      :

        10.0.3.171

      第四，安装配置：

两台机器都需要安装必要软件：

yuminstallntpvixie-cronvim-enhancedtelnet

软件的下载地址：

facter:

facter是一个系统盘点工具，收集主机的一些资料，比如CPU，主机IP等，它收集到值发送给puppet服务器端,服务器端就可以根据不同的条件来对不同的节点机器生成不同的puppet配置文件，安装puppet之前必须先安装facter。

puppet:

      服务器puppetserver安装部署：

1.      准备环境

同步时间：

ntpdate  pool.ntp.org（如果时间不同步会有问题）

由于puppet是由ruby语言编写，所以要安装ruby环境及库文件

安装ruby：

yuminstallrubyruby-libsruby-rdoc（也可以yuninstallruby*）

2.      修改HOSTS

修改双方的/etc/hosts文件，添加各自的IP地址对应的主机名，生产环境做内部DNS比较好，不用修改每台服务器的hosts文件。

10.0.3.170      puppetserver

10.0.3.171      puppet1

3.      开放端口：

8140（server服务器端口），8139（client服务器端口）

/sbin/iptables-IINPUT-s*  -ptcp--dport8140-jACCEPT

/sbin/iptables-IINPUT-s*  -ptcp--dport8139-jACCEPT

或是干脆chkconfigiptablesoff半闭防火墙

4.      源码安装：

安装facter和puppet

wget 

tarzxvffacter-1.6.17.tar.gz

cdfacter-1.6.17

rubyinstall.rb

cd..

wget 

tarzxvfpuppet-2.7.10.tar.gz

cdpuppet-2.7.10

rubyinstall.rb 

cd..

5.      复制文件：

cpconf/auth.conf/etc/puppet/

cpconf/redhat/fileserver.conf/etc/puppet/

cpconf/redhat/puppet.conf/etc/puppet/

cpconf/redhat/server.init/etc/init.d/puppetmaster

chmod+x/etc/init.d/puppetmaster

chkconfig--addpuppetmaster

chkconfigpuppetmasteron

chkconfig--level35puppetmasteron

mkdir-p/etc/puppet/manifests//存放入口文件的目录

6.      生成pupput用户：

puppetmasterd--mkusers

7.      启动服务：

/etc/init.d/puppetmasterrestart

      客户端puppetclient安装部署：

1.      环境准备：

同步时间：

ntpdate  pool.ntp.org（如果时间不同步会有问题）//可以不做

安装ruby：

yuminstallrubyruby-libs ruby-rdoc

添加用户：

useraddpuppet

2.      修改HOSTS：

修改双方的/etc/hosts文件，添加各自的IP地址对应的主机名，生产环境做内部DNS比较好，不用修改每台服务器的hosts文件。

10.0.3.170      puppetserver

10.0.3.171      puppet1

3.      开放端口：

开放8140（server服务器端口），8139（client服务器端口）

/sbin/iptables-IINPUT-s*  -ptcp--dport8140-jACCEPT

/sbin/iptables-IINPUT-s*  -ptcp--dport8139-jACCEPT

或是干脆chkconfigiptablesoff半闭防火墙

4.      安装facter和puppet:

wget 

tarzxvffacter-1.6.17.tar.gz

cdfacter-1.6.17

rubyinstall.rb

wget 

tarzxvfpuppet-2.7.10.tar.gz

cdpuppet-2.7.10

rubyinstall.rb 

5.      复制文件：

cpconf/auth.conf/etc/puppet/

cpconf/namespaceauth.conf/etc/puppet/

cpconf/redhat/puppet.conf/etc/puppet/

cpconf/redhat/client.init/etc/init.d/puppet

chmod+x/etc/init.d/puppet

vi/etc/puppet/puppet.conf  

---内容如下

[agent]

Listen=true

Server=puppetserver

---

vi/etc/puppet/namespaceauth.conf

----内容如下

[fileserver]

allow*

[puppetmaster]

allow*

[puppetrunner]

allow*

[puppetbucket]

allow*

[puppetreports]

allow*

[resource]

allow*

      第三步：

连接认证：

测试解析与puppetmaster端口是否畅通

点击（此处）折叠或打开

1.[root@client1puppet-2.7.14]# telnet8140

2.

3.Trying192.168.0.12...

4.Connectedto （192.168.0.12）.

5.Escape characteris '^]'.

6.

7.[root@client1puppet-2.7.14]# puppetd --test --server

8.warning:

 peercertificatewon'tbeverifiedinthisSSLsession

9.info:

Cachingcertificateforca

10.warning:

peercertificatewon'tbeverified in this SSLsession

11.warning:

 peercertificatewon'tbeverifiedinthisSSLsession

12.info:

CreatinganewSSLcertificaterequestfor

13.info:

CertificateRequestfingerprint（md5）:

07:

C9:

D4:

43:

3C:

3E:

D6:

D1:

0A:

B1:

8B:

71:

DB:

6B:

9D:

FE

14.warning:

peercertificatewon'tbeverified in this SSLsession

15.warning:

 peercertificatewon'tbeverifiedinthisSSLsession

16.warning:

peercertificatewon'tbeverified in this SSLsession

17.Exiting; nocertificatefound and waitforcertisdisabled

#puppetd--test--server命令是指puppetd从去读取

puppet配置文件.第一次连接,双方会进行ssl证书的验证,这是一个新的客户端,在服务器端那里还没有被认证,因此需要在服务器端进行证书认证

以下这步批准证书是在服务端操作

查看当前待批准证书列表

点击（此处）折叠或打开

1.[root@puppetmaster~]# puppetca -l

2.   （07:

C9:

D4:

43:

3C:

3E:

D6:

D1:

0A:

B1:

8B:

71:

DB:

6B:

9D:

FE）

批准当前证书

点击（此处）折叠或打开

1.[root@puppetmaster~]# puppetca -s

2.notice:

 Signedcertificaterequest for 

3.notice:

 RemovingfilePuppet:

:

SSL:

:

CertificateRequestat '/var/lib/puppet/ssl/ca/requests/.pem'

查看验证签名,注意前面的+号，说明已经签名

点击（此处）折叠或打开

1.[root@puppetmaster~]# puppetca -a --list

2.+  （03:

BE:

50:

AE:

72:

1A:

39:

79:

17:

F4:

E5:

74:

FD:

CC:

BC:

8C）

3.+  （97:

34:

BF:

26:

A6:

0E:

E9:

9C:

DB:

76:

D3:

53:

D0:

56:

60:

83） （altnames:

 DNS:

puppet, DNS:

 DNS:

）

如果要批准全部证书

点击（此处）折叠或打开

1.puppetca -s -a

2.也可以在puppetmaster端的puppet.conf加入这行：

3.autosign = true

4.服务端就自动签证书

回到客户端操作，从服务端取回已批准的证书

点击（此处）折叠或打开

1.[root@client1puppet-2.7.14]# puppetd --test --server

2.warning:

 peercertificatewon'tbeverifiedinthisSSLsession

3.info:

Cachingcertificatefor

4.info:

Cachingcertificate_revocation_listforca

5.info:

Cachingcatalogfor

6.info:

Applyingconfigurationversion'1378188531

验证证书是否正确

点击（此处）折叠或打开

1.服务端:

2.[root@puppetmaster~]# md5sum/var/lib/puppet/ssl/ca/signed/.pem

3.27a295f39a6b4a6c7ceb74c9c3a5084c/var/lib/puppet/ssl/ca/signed/.pem

4.

5.客户端:

6.[root@client1puppet-2.7.14]# md5sum/etc/puppet/ssl/certs/.pem

7.27a295f39a6b4a6c7ceb74c9c3a5084c/etc/puppet/ssl/certs/.pem

8.

9.

10.出现修改主机名问题引起无法认证，需要重新申请证书，操作以下两个步骤：

11.服务端：

12.[root@puppetmaster~]# rm/var/lib/puppet/ssl/ca/signed/.pem -rf

13.

14.客户端：

15.[root@client1puppet-2.7.14]# rm/etc/puppet/ssl/certs/ -rf

      第四步：

功能测试：

[size=13.63636302947998px]通过puppet可以向被管理机上推送文件，方法是使用file类型的source属性，并修改文件为puppet用户及组：

实例：

要把server服务器上/opt目录下的文件传输至client服务器的/opt目录下，文件名不变。

第一步：

Vi/etc/puppet/fileserver.conf

[files]

path/opt/

allow10.0.3.0/24

第三步：

vi/etc/puppet/manifests/site.pp

file 

{"/opt/zhu.html":

source=>"puppet:

//puppetserver/files/zhu.html",

owner=>"puppet",

group=>"puppet",

mode=>777,

}

第四步：

在/opt/目录下创建文件

echo"thisispuppettestpage">/opt/zhu.html

第五步：

client端执行

puppetd--serverpuppetserver--test

成功！