Puppet 簡介:
Puppet是基于Ruby語言(早期的版本,4及之后的Server端采用Clojure語言)開發的、可以管理Unix(包括OS X)、Linux和Microsoft Windows平臺的配置管理工具。同時面向研發及運維人員,是實現 DevOps 的重要工具之一。
應用場景:
統一配置管理軟件
統一配置系統優化參數
定期檢測服務是否運行
根據機器硬件環境自動為相應主機上的軟件配置合理的屬性
Puppet的操作模型:
部署層
Puppet 通常運行在C/S模式下,服務器端稱為 Puppet master,客戶端稱為 Agent,客戶端主機稱為 Node。Agent 通過標準的 SSL 加密認證的方式與 Master 建立連接,獲取本機需要的配置信息。
在 Agent 未取得配置信息、或者已經達到配置狀態時,Puppet 不會對系統進行改動,它只有在被要求的時候才修改系統,這是 Puppet 的一個關鍵特征,稱為冪等性(Idempotency),這個修改過程稱為一次配置運行(Configuration run)。
Agent 通常以守護進程的方式運行,默認每30分鐘與 Master 進行一次交互,以確認配置項是否發生了變化,這個時間間隔可以根據自己的需求靈活調整。也可以以 cron 的方式運行或者手工觸發 Agent。
配置語言與資源抽象層
大多數腳本語言(如 Shell Perl)是命令式或者過程式的,即“如何”達到想要的狀態,而 Puppet 語言是描述式的,只需要描述最終狀態是什么,不用關心是如何達到。例如安裝 vim 軟件包,手工安裝時需要以下步驟:
1.連接到需要安裝軟件包的主機
2.檢查 vim 是否安裝
3.沒有安裝,需要根據主機的操作系統選擇合適的命令安裝,如 CentOS 使用 yum 命令,Ubuntu 使用 apt-get 命令
4.安裝結束根據返回的結果確認是否安裝成功。
使用 Puppet 安裝vim,只需要定義一個資源,并且定義資源要達到的狀態即可
package { ‘vim’:
ensure => present,
}
事物層
事物層是 Puppet 的工作引擎,一個 Puppet 事物包含配置一臺 Agent 主機的完整過程,包括如下步驟:
1. 解析并編譯配置
2. 將編譯的后的配置發送到 Agent 上
3. 在 Agent 上應用編譯后的配置
4. 將運行結果上報給 Master
工作流程
- Agent 訪問 Master 建立訪問信任關系,包括 Master 對 Agent 證書授權簽名,并允許 Agent 訪問 Master 資源
- 建立信任關系后,Master 調用 Agent 的 Facter,探測出 Agent 主機的一些機器變量,如操作系統、主機名、IP地址、CPU等信息。Agent 將這些信息通過 SSL 加密傳輸到 Master,Master 以變量的形式獲取這些信息并使用
- Master 接收到 Agent 的請求,將它們發送到本機的 manifests 或 ENC(外部節點分類器),然后進行配置信息查詢
- 根據 Agent 的 HOSTNAME 匹配到相應的Node,進行語法檢查并生成相應的 Catalog
- Agent 接收到 Catalog 后,在本機應用,并根據 Catalog 中的信息判斷是否有 File 文件要從 Master 端獲取,有則向 Master Fileserver 發起請求獲取文件
- 將執行后的結果以報告的形式上報 Master
- 整個事務完成
安裝前需要考慮的地方:
版本選擇:Puppet 最好的版本通常是最新的發布版
運行模式:服務器端-客戶端模式和獨立運行模式
DNS:Agent 每次連接 Master 時,都會使用域名
防火墻 :Puppet master 監聽在 8140 端口,如果開啟了防火墻必須放行 8140 端口,Iptables 配置如下:
iptables -A INPUT -p tcp -m state --state NEW --dport 8140 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s 172.16.0.0/16 --sport 8140 -j ACCEPT
NTP 時鐘同步
Puppetmaster:不能運行在Windows主機上
混合版本部署:服務端的版本必須比客戶端高,4.x及以上不支持3.x及以下
硬件要求:2~4核CPU,4GB以上內存,大約可管理1000個節點
安裝(來源于官網)
Yum-based systems
To enable the Puppet 5 Platform repository:
1 Choose the package based on your operating system and version.
The packages are located in the puppet5 directory of the yum.puppet.com repository and named using the following convention: <PLATFORM_NAME>-release-<OS ABBREVIATION>-<OS VERSION>.noarch.rpm For instance, the package for Puppet 5 Platform on Red Hat Enterprise Linux 7 (RHEL 7) is puppet5-release-el-7.noarch.rpm.
2 Use the rpm tool as root with the upgrade (-U) flag, and optionally the verbose (-v), and hash (-h) flags:
Enterprise Linux 7
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-7.noarch.rpm
Enterprise Linux 6
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-6.noarch.rpm
Enterprise Linux 5
wget https://yum.puppet.com/puppet5/puppet5-release-el-5.noarch.rpm
sudo rpm -Uvh puppet5-release-el-5.noarch.rpm
Note: For recent versions of Puppet, we no longer ship Puppet master components for RHEL 5. However, we continue to ship new versions of the puppet-agent package for RHEL 5 agents.
Fedora 26
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-fedora-26.noarch.rpm
Fedora 25
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-fedora-25.noarch.rpm
SuSE Enterprise Linux 12
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-sles-12.noarch.rpm
SuSE Enterprise Linux 11
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-sles-11.noarch.rpm
Apt-based systems
To enable the Puppet 5 Platform repository:
1 Choose the package based on your operating system and version. The packages are located in the apt.puppet.com repository and named using the convention <PLATFORM_VERSION>-release-<VERSION CODE NAME>.debFor instance, the release package for Puppet Platform on Debian 7 “Wheezy” is puppet5-release-wheezy.deb. For Ubuntu releases, the code name is the adjective, not the animal.
2 Download the release package and install it as root using the dpkg tool and the install flag (-i):wget https://apt.puppetlabs.com/puppet5-release-wheezy.deb
3 sudo dpkg -i puppet5-release-wheezy.deb
4 Run apt-get update after installing the release package to update the apt package lists.
Ubuntu 16.04 Xenial Xerus
wget https://apt.puppetlabs.com/puppet5-release-xenial.deb
sudo dpkg -i puppet5-release-xenial.deb
sudo apt update
Ubuntu 14.04 Trusty Tahr
wget https://apt.puppetlabs.com/puppet5-release-trusty.deb
sudo dpkg -i puppet5-release-trusty.deb
sudo apt-get update
Debian 9 Stretch
wget https://apt.puppetlabs.com/puppet5-release-stretch.deb
sudo dpkg -i puppet5-release-stretch.deb
sudo apt-get update
Debian 8 Jessie
wget https://apt.puppetlabs.com/puppet5-release-jessie.deb
sudo dpkg -i puppet5-release-jessie.deb
sudo apt-get update
Debian 7 Wheezy
wget https://apt.puppetlabs.com/puppet5-release-wheezy.deb
sudo dpkg -i puppet5-release-wheezy.deb
sudo apt-get update
[root@master1 yum.repos.d]# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
[root@master1 yum.repos.d]# sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-7.noarch.rpm
[root@master1 yum.repos.d]# yum list |grep puppet
puppet5-release.noarch 5.0.0-1.el7 installed
bolt.x86_64 0.17.2-1.el7 puppet5
pdk.x86_64 1.4.1.1-1.el7 puppet5
puppet-agent.x86_64 5.4.0-1.el7 puppet5
puppet-client-tools.x86_64 1.2.2-1.el7 puppet5
puppet-release.noarch 1.0.0-1.el7 puppet5
puppetdb.noarch 5.2.0-1.el7 puppet5
puppetdb-termini.noarch 5.2.0-1.el7 puppet5
puppetserver.noarch 5.2.0-1.el7 puppet5
razor-server.noarch 1.7.1-1.el7 puppet5
安裝Puppet Master
[root@master1 yum.repos.d]# sudo yum install -y puppetserver
[root@master1 puppetlabs]# pwd
/opt/puppetlabs
[root@master1 puppetlabs]# bin/puppet --version
5.4.0
[root@master1 puppetlabs]# server/bin/puppetserver --version
puppetserver version: 5.2.0
yum 安裝 Master 時,也會安裝 Agent 包,4.x及以上的安裝路徑為 /opt/puppetlabs/ 目錄,配置文件路徑為 /etc/puppetlabs/ 目錄
安裝 Puppet Agent
[root@master1 yum.repos.d]# sudo yum install -y puppet-agent
修改配置文件
Puppet5.x 的配置文件路徑為 /etc/puppetlabs/puppet/ 目錄下
puppet.conf 配置文件簡介:
[main] 用于 Puppet 全局配置
[master] 用于 Puppet 的 Master 配置
[agent] 用于 Puppet 的 Agent 配置
[main]
server = master1.tongwen.life #指定 Puppet 服務端地址
autoflush = false #是否實時刷新日志到磁盤
logdir = /var/log/puppet #日志目錄
rundir = /var/run/puppet #進程pid文件存放目錄
[master]
reportdir = /var/lib/puppet/reports #報告存放目錄
autosign = true #自動授權簽名配置文件
autosign = /etc/puppet/autosign.conf
bindaddress = 0.0.0.0 #puppetserver 服務監聽地址
masterport = 8140 #puppetserver 服務監聽端口
evaltrace = true #定義為true,可以看到執行的過程與變化
[agent]
certname = www1.tongwen.life #客戶端的主機名
daemonize = true #是否后臺運行,true表示是
allow_duplicate_certs = true #是否允許證書自動覆蓋,默認不允許,有效期5年
report = true #是否上傳客戶端對資源的執行結果
reports = store, http #上傳的方式
report_server = master1.tongwen.life #store 上傳地址
report_port = 8140
reporturl = http://localhost:3000/reports/upload
runinterval = 20m #客戶端執行間隔,默認30m
splay = true #是否在執行時間上加一個隨機時間,0到最大隨機時間之間的整數
splaylimit = 10m #隨機時間的最大長度
configtimeout = 2m #客戶端獲取配置超時時間
color = ansi #日志記錄是否加顏色
ignorecache = true #是否忽略本地緩存
啟動服務
如果 Master 主機的內存配置小于2GB,需要修改Java初始內存
vi /etc/sysconfig/puppetserver
JAVA_ARGS="-Xms2g -Xmx2g
systemctl start puppetserver #啟動server端
systemctl start puppet #啟動agent
簽批證書
[root@master1 puppetlabs]# puppet cert list
"node1.tongwen.life" (SHA256) E9:62:D5:7A:AD:1F:1D:DD:8F:0F:36:16:50:0C:
[root@master1 puppetlabs]# puppet cert sign node1.tongwen.life
Signing Certificate Request for:
"node1.tongwen.life" (SHA256) E9:62:D5:7A:AD:1F:1D:DD:8F:0F:36:16:50:0C:11:D6:02:39:7B:CB:8C:87:C9:25:E0:F7:A2:D7:D9:55:3B:37
Notice: Signed certificate request for node1.tongwen.life
Notice: Removing file Puppet::SSL::CertificateRequest node1.tongwen.life at '/etc/puppetlabs/puppet/ssl/ca/requests/node1.tongwen.life.pem'
[root@master1 puppetlabs]# puppet cert sign --all #簽批所有
在agent上執行 puppet agent --test 驗證證書的認證結果,如果有報錯,請檢查時間是否同步。
[root@master1 puppetlabs]# ntpdate cn.ntp.org.cn
創建配置項
[root@master1 manifests]# pwd
/etc/puppetlabs/code/environments/production/manifests
vi site.pp
node 'node1.tongwen.life' {
package { 'vim':
ensure => present,
}
}
