Ne tako davno, na stranicama časopisa, pogledali smo sistem daljinski upravljač konfiguraciju UNIX mašina Cfengine, koji uvelike pojednostavljuje život administratora sistema automatizacijom koraka za konfigurisanje mnogih mrežnih čvorova. Ali, bez obzira na to koliko je Cfengine zgodan, ima mnogo nedostataka koje sistem koji se zove Puppet nema.

Zamislite sebe u ulozi sistem administratora, odgovornog za održavanje funkcionalnosti stotina mašina koje rade pod operativnim sistemima tipa UNIX. Svaki od njih zahtijeva konfiguraciju, periodično ažuriranje i praćenje, a pretpostavlja se da mnogi od njih obavljaju slične funkcije.

Dvije trećine su radne stanice, još nekoliko rutera, ostalo nekoliko web servera i skladištenja podataka. Pitanje: kako upravljati svim ovim poslom? Najjednostavniji odgovor je jednostavno se povezati sa svakim od njih pomoću SSH-a i napraviti potrebne promjene. Međutim, ova metoda ima dva problema. Prvo, veoma je radno intenzivan. Drugo, administrator će stalno morati da izvodi mnoge monotone radnje (na primer, da biste ažurirali OpenOffice.org na svim radnim stanicama, moraćete da izvršite iste komande nekoliko desetina puta). Možete pokušati izbjeći ovaj problem tako što ćete napisati nekoliko skripti koje će se same povezati na svaku mašinu i izvršiti unaprijed napisane komande. Ali i ovdje vas čekaju problemi.

Skripte će se stalno morati modificirati kako bi se prilagodile svakom zadatku; Skripte će morati da uzmu u obzir razlike u operativnim sistemima i verzijama i moraće da budu otklonjene dugo vremena pre nego što se primene na pokrenute mašine. Općenito, ne comme il faut. Tačan odgovor je korištenje tzv. daljinskog upravljanja konfiguracijom, čiji su najpoznatiji predstavnici otvoreni sistemi Cfengine i lutka. Takvi sistemi preuzimaju svu odgovornost za dovođenje konfiguracije mašine pravi tip, zahtijevajući od administratora samo da opiše konačno stanje sistema na posebnom jeziku (na primjer, opis koji paketi treba instalirati u OS, koje linije treba dodati u konfiguracijske datoteke, koje naredbe treba izvršiti itd. ). Nakon toga, svi čvorovi će sami dobiti informacije o potrebnom stanju od servera i automatski konfigurisati sistem. Zahvaljujući ovom mehanizmu, nove mašine se mogu u potpunosti konfigurisati bez ljudske intervencije, a postojeće se mogu rekonfigurisati dodavanjem samo nekoliko redova u opis stanja.

Lutka?

Cfengine sistemu smo već posvetili cijeli članak, tako da ćemo se danas fokusirati na Puppet sistem, koji se može nazvati njegovim ideološkim nasljednikom. Puppet je razvio Luke Kanies, koji se umorio od Cfengineovih ograničenja i odlučio je napraviti bolju verziju od nule. Ako ste već koristili Cfenfine, vjerojatno ćete pronaći Puppet praktičniji i moćniji sistem. Državni jezik lutke je višeg nivoa i fleksibilniji, tako da administratori ne moraju brinuti o stvarima poput pisanja zasebnih pravila za svaki tip OS-a ili detaljan opis izvođenje trivijalnih radnji. Puppet omogućava svom gospodaru da se fokusira na ono što želi da radi, umjesto na to kako to učiniti (na primjer, da biste instalirali određeni paket na bilo koji od podržanih OS-a, samo trebate napisati bukvalno nekoliko redova koji govore "Instaliraj ovaj program " umjesto opisa naredbi neophodnih za njegovu instalaciju). Puppet je napisan jednostavnim Ruby jezikom, što ga čini lakim za prilagođavanje određenom zadatku i proširenje njegove funkcionalnosti (omogućen je fleksibilan sistem dodataka).

Dodatno, za razliku od Cfengine razvojnog modela, koji se u suštini vrti oko jedne osobe, Puppet ima veliku zajednicu entuzijasta koji poboljšavaju kod, dijele primjere konfiguracije i pišu dokumentaciju.

Sve u svemu, čini se da je Puppet moderniji i dobro osmišljen sistem dobar dizajn. Kao i Cfengine, podržava skoro sve moderne operativne sisteme slične UNIX-u (uključujući MacOS X), a takođe može da radi u Cygwin okruženju na vrhu Windows-a. Njegova lista zavisnosti uključuje samo Ruby interpreter i Factor alat, tako da ne bi trebalo biti problema sa instalacijom (da budemo pošteni, Cfengine-ova lista zavisnosti je još kraća).

Instalacija

Kao i Cfengne, Puppet je klijent-server sistem koji se sastoji od kontrolnog servera i slave čvorova. Server pohranjuje opis konačnih stanja čvorova (koji se u terminima lutke naziva manifest) i čeka da se povežu. Svakih pola sata (podrazumevano) klijent se povezuje sa serverom, dobija od njega opis konačnog stanja, upoređuje ga sa trenutnim i, ako se ono i/ili opisano stanje promenilo, rekonfiguriše sistem i onda ide na spavanje. Komunikacija se odvija preko šifrovanog kanala, tako da su napadi zasnovani na zamjeni opisa stanja isključeni (ali ako napadač preuzme server, tada će svi čvorovi biti pod njegovom kontrolom).

Puppet je uključen u repozitorije svih popularnih distribucija, tako da njegova instalacija ne bi trebala biti teška. Na primjer, na Debian/Ubuntu klijent Puppet se može instalirati ovako:

$ sudo apt-get install puppet

A server je ovakav:

$ sudo apt-get install puppet puppetmaster

Datoteke konfiguracije klijenta i servera pohranjene su u direktoriju /etc/puppet. Najvažniji od njih je datoteka /etc/puppet/manifests/site.pp, koja sadrži manifest.

Pohranjuje opis stanja i treba da postoji samo na serveru. Radi lakšeg otklanjanja grešaka, dodajmo jednostavnu konfiguraciju:

class passwd(
fajl("/etc/passwd":
vlasnik => root,
grupa => root,
mod => 644,
}
}
zadani čvor (
uključi passwd
}

Ovi redovi opisuju stanje u kojem vlasnik /etc/passwd fajla mora biti root i njegove dozvole su postavljene na 644. Pobliže ćemo pogledati format datoteke manifesta u sljedećem odjeljku. Drugi najvažniji fajl je /etc/puppet/puppet.conf. On postavlja konfiguraciju servera i klijenata, tako da mora biti prisutan na svim mašinama organizovanim u Puppet mreži. U Ubuntu-u ova datoteka sadrži minimalno potrebne i u većini slučajeva dovoljne postavke. U nastavku su dati sa komentarima:

# vi /etc/puppet/puppet.conf
# Standardne putanje direktorija
logdir=/var/log/puppet
vardir=/var/lib/puppet
ssldir=/var/lib/puppet/ssl
rundir=/var/run/puppet
# Faktorska lokacija alata,
# koristi se za dobijanje informacija o OS-u
factpath=$vardir/lib/facter
# Sinhronizirajte dodatke
# (instalirani dodaci na serveru - kopiraju se na klijente)
pluginsync=true
# Katalog sa šablonima (o njima pročitajte u nastavku)
templatedir=$confdir/templates
# Sinhronizacija sa etckeeperom
# (ko zna, shvatiće, drugima ne treba)
prerun_command=/etc/puppet/etckeeper-commitpre
postrun_command=/etc/puppet/etckeeper-commitpost

Konfiguracijski fajl može uključivati veliki broj razne opcije, informacije o kojima se mogu dobiti generiranjem zadane konfiguracije:

$ sudo puppetmasterd -genconfig > /etc/puppet/
puppetd.conf.default

Zadana konfiguracija klijenta se generira pomoću druge naredbe:

$ sudo puppet -genconfig > /etc/puppet/puppetd.conf.default

Za konfiguraciju se koriste datoteke Fileserver.conf i auth.conf server datoteka(pročitajte o tome u odjeljku “File Server”) i autentifikaciju. Još nema smisla dirati ih. Kada je konfiguracija završena, Puppet server se mora ponovo pokrenuti:

$ sudo /etc/init.d/puppetmaster restart

Nakon toga će biti spreman da prihvati zahtjeve kupaca. Međutim, bez potpisanog certifikata, nijedan klijent neće moći primiti manifest od servera i konfigurirati stroj.

Stoga moramo pokrenuti klijente Puppet u test modu kako bi mogli predati svoje certifikate serveru na potpisivanje (usput, to se može učiniti na svim mašinama istovremeno pomoću alata shmux):

$ sudo puppetd -server puppet-server.com -verbose -test

Vraćamo se na server i dobijamo listu certifikata spremnih za potpisivanje:

$ sudo puppetca --list

Odaberite host sa liste i potpišite njegov certifikat:

$ sudo puppetca --sign nomad.grinder.com

Ili potpisujemo sve odjednom:

$ sudo puppetca --sign --sve

Sada možete pokrenuti klijente u borbenom modu. Ali prvo morate unijeti ime servera Puppet u konfiguracijski fajl (po defaultu njegovo ime je samo lutka):

$sudo su
# echo "" >> /etc/puppet/puppet.conf
# echo "server=puppet-server.com" >> /etc/puppet/puppet.conf
# izlaz

Pokretanje klijenata:

$ sudo /etc/init.d/puppet start

Jezik opisa stanja

Kao što je gore spomenuto, Puppet koristi svoj jezik za opisivanje konačnog stanja operativni sistem, uz pomoć kojeg administrator sistema ukazuje u koji oblik komponente OS-a treba dovesti da bi on postigao željeno stanje. Ovo je prilično složen jezik, koji je ipak mnogo jednostavniji od bilo kojeg programskog jezika. Ako ste barem površno upoznati sa skriptnim jezikom bash, lako ćete razumjeti jezik lutke. Ključni element jezika su resursi koji se koriste za opisivanje oblika u koji treba konvertovati jednu od komponenti OS-a. Na primjer, sljedeći jednostavan resurs opisuje željeno stanje datoteke /etc/passwd:

# vi /etc/puppet/manifests/site.pp
fajl("/etc/passwd":
vlasnik => "root"
}

Ovdje je datoteka tip resursa. Ukupno ih ima nekoliko desetina, u rasponu od resursa koji upravljaju datotekama, kao u ovom primjeru, do paketa i usluga. Red /etc/passwd je ime resursa.

U slučaju tipa datoteke, ime je isto kao i putanja do datoteke, ali u nekim drugim tipovima ime može biti proizvoljno. Vlasnik linije => "root" opisuje postavljanje atributa vlasnika na root, odnosno kaže da je vlasnik specificirani fajl mora postojati administrator.

Svaka vrsta resursa ima svoj skup atributa dostupnih za modifikaciju, plus postoje posebni meta atributi koji se mogu koristiti u bilo kojem resursu. Jedan od važnih kvaliteta resursa je sposobnost povezivanja sa njima. Ovo se može koristiti za formiranje lanaca zavisnosti. Sljedeći unos kreira /etc/group resurs, koji ovisi o /etc/passwd resursu (zavisnosti su specificirane pomoću meta atributa require):

# vi /etc/puppet/manifests/site.pp
fajl("/etc/group":
zahtijeva => Fajl["/etc/passwd"],
vlasnik => "root",
}

To znači da se /etc/group resurs može konfigurirati (dovesti u opisani oblik) samo kada je konfiguriran /etc/passwd resurs. Resursi se mogu grupirati u kolekcije resursa koje se nazivaju klase. Ovo je neophodno kako bi se resursi slični po značenju i vrsti obavljenog zadatka spojili u jedan apstraktni resurs. Na primjer, radi praktičnosti, mogli bismo kombinirati instalaciju i pokretanje nginx web servera u jedan apstraktni izvor istog imena:

# vi /etc/puppet/manifests/site.pp
klasa nginx(
paket("nginx":
osigurati => instaliran
}
service("nginx":
osigurati => trčanje,
zahtijeva => Paket["nginx"],
}
}

Ovdje se tip resursa paketa koristi za instaliranje nginx paketa na sistem, a usluga se koristi za pokretanje servisa istog imena. Sa zahtjevom prisiljavamo sistem da pokrene uslugu samo ako je paket uspješno instaliran. Pogodnost časova je što se mogu uključiti iu zavisnosti od:

# vi /etc/puppet/manifests/site.pp
service("squid":
osigurati => trčanje,
zahtijeva => Class["nginx"],
}

Kao iu pravim OOP jezicima, klase mogu naslijediti jedna od druge i nadjačati atribute:

# vi /etc/puppet/manifests/site.pp
class passwd(
fajl("/etc/passwd":
vlasnik => "root",
grupa => "korijen",
}
}
klasa passwd-bsd nasljeđuje passwd (
Fajl["/etc/passwd"] (grupa => "točak")
}

Ovdje passwd-bsd klasa nasljeđuje od passwd kako bi nadjačala atribut grupe resursa /etc/passwd (na BSD sistemima /etc/passwd pripada grupi kotača, tako da smo kreirali posebnu klasu za takve sisteme). Kasnije ćemo pogledati ispravniji i očigledniji način odabira alternativnih vrijednosti atributa koristeći uvjete.

Varijable su jedna od bitnih komponenti svakog programskog jezika, a ima ih i Puppet. Varijable počinju sa znakom $ i mogu sadržavati bilo koji broj, niz ili boolean vrijednost(tačno, netačno):

$want_apache = istina
$apache_version = "2.2.14"

Jedna od najmoćnijih karakteristika Puppet-a vezanih za varijable je njegova integracija sa alatom za informacije o faktorima. Ovaj uslužni program vraća sve informacije specifične za stroj u obliku parova ključ/vrijednost, koji se pretvaraju u varijable istog imena u Puppet-u. Zajedno sa uslovnim uputstvima u jeziku lutke, mogu se koristiti za izmenu atributa resursa u zavisnosti od svojstava mašine.

Na primjer, klasa passwd koja je gore opisana može se lako prepisati kako bi automatski izabrala atribut ovisno o tipu OS-a (bez potrebe da sama klasa):

# vi /etc/puppet/manifests/site.pp
fajl("/etc/passwd":
vlasnik => "root",
grupa => $kernel ? (
Linux => "root",
FreeBSD => "točak",
},
}

Ovisno o tome na kojem će OS-u ovaj fragment manifesta biti analiziran, vrijednost atributa grupe će biti korijen ili kotač. Osim uslovni operator, jezik Puppet također podržava operator odabira slučaja, koji se može koristiti za kreiranje određenog resursa ovisno o vrijednosti varijable:

# vi /etc/puppet/manifests/site.pp
case $operativni sistem (
redhat: (service("httpd": osigurati => pokrenut))
debian: (service("apache": osigurava => radi))
default: ( usluga ( "apache2": osigurati =>
trčanje))
}

Ovaj kod definira razne opcije resurs tipa servisa u zavisnosti od operativnog sistema (nazivi servisa u različitim distribucijama Linuxa mogu se razlikovati, tako da se za svaku od njih mora posebno navesti koji servis Puppet treba da pokrene).

Zadana opcija se koristi ako vrijednost varijable ne odgovara nijednoj od prethodnih opcija. Pored prethodno razmatranih tipova resursa datoteka, paketa i usluga, Puppet podržava veliki broj drugih tipova resursa, uključujući i one koje su kreirali programeri treće strane. Njihov detaljan opis, uključujući primjere, podržane atribute i karakteristike, možete pronaći u službenoj dokumentaciji - http://docs.puppetlabs.com/references/stable/type.html. Ispod je lista i kratak opis najčešće korišćeni su:

Popularne vrste resursa za lutke

• cron - upravljajte cron poslovima
• exec - pokrenite skripte i komande
• fajl - upravljanje fajlovima
• filebucket - backup datoteke
• grupa - upravljanje grupom
• host - upravlja unosima u /etc/hosts datoteci
• interfejs - konfiguracija mrežnih interfejsa
• mount - montiranje sistema datoteka
• obavijesti - pošalji poruku u datoteku dnevnika Puppet
• paket - upravljanje paketima
• usluga - upravljanje uslugama
• sshkey - upravljanje SSH ključevima
• uredno - brisanje datoteka u zavisnosti od uslova
• upravljanje korisnikom
• zone - Solaris zonsko upravljanje

Drugi najvažniji element jezika lutke nakon resursa su čvorovi. Uz njihovu pomoć administrator može opisati na koje mašine treba primijeniti određene resurse i klase. Drugim riječima, to je način da se specificira individualna konfiguracija za svaku od mašina koje sudjeluju u Puppet mreži. Najjednostavniji primjer čvora dat je na početku članka u odjeljku "Instalacija":

# vi /etc/puppet/manifests/site.pp
zadani čvor (
uključi passwd
}

Ovo je definicija zadanog čvora, koji uključuje passwd resurs/klasu. Podrazumevano ime znači "svi ostali čvorovi", tako da će passwd resurs/klasa definirana negdje gore biti konfigurisana na svakom od njih. Ovdje se koristi ključna riječ radi praktičnosti, sve klase i resursi se mogu opisati direktno u opisu čvora, ali to se ne preporučuje. Osim zadanog, u nazivu čvora možete odrediti mrežni naziv stroja (tada će svi resursi opisani u čvoru biti konfigurirani samo na ovom stroju), ili proizvoljno ime (tada ovaj čvor može naslijediti drugi čvor) . Da bismo razumjeli kako sve ovo funkcionira zajedno s klasama i resursima, pogledajmo primjer gotovog manifesta lutke koji se koristi za konfiguriranje dvije mrežne mašine (web server i NTP server):

# vi /etc/puppet/manifests/site.pp
# Instaliranje i pokretanje SSH servera
klasa sshd (
paket ( openssh-server: osigurati => instaliran)
usluga (sshd:
name => $operatingsystem ? (
fedora => "sshd",
debian => "ssh",
default => "sshd",
},
omogući => tačno,
osigurati => trčanje,
}
}
# Instalirajte i pokrenite Apache
klasa httpd(
paket ( httpd: osigurati => instaliran)
usluga (httpd:
omogući => tačno,
osigurati => trčanje,
}
}
# Instaliranje i pokretanje NTP servera
klasa ntpd(
paket (ntp-server: osigurati => instaliran)
usluga (
ntp-server:
omogući => tačno,
osigurati => trčanje,
}
}
# Osnovni čvor, koji se koristi samo kao roditelj svih ostalih
baza čvora (
uključiti sshd
}
# Čvor na kojem će se web server nalaziti
čvor web.server.com nasljeđuje bazu (
uključuje httpd
}
# Čvor NTP servera
čvor ntp.server.com nasljeđuje bazu (
uključiti ntpd
}

Ova naizgled jednostavna konfiguracija čini dosta: instalira i pokreće Apache na mašini na web.server.com i NTP server instalira i radi na mašini. ntp.server.com. Dodatno, obje mašine instaliraju SSH server. Ova konfiguracija vjerovatno neće odgovarati čak ni jednom administratoru; moraće biti ozbiljno poboljšan kako bi se naučio kako pravilno konfigurirati servere, primati svježe konfiguracije i druge datoteke sa glavnog Puppet servera.

Međutim, to jasno pokazuje moć lutke. Koristeći jednostavnu konfiguraciju, natjerali smo mašine da same instaliraju i pokreću potreban softver i održavaju ga u ispravnom stanju (ako se server sruši, sam Puppet će se rekonfigurirati da dovede sisteme u potrebno stanje).

File server

Mnogi zadaci udaljene administracije ne mogu se riješiti bez kopiranja na mašine dodatni fajlovi. To mogu biti unaprijed pripremljene konfiguracije, web stranice za Apache, paketi koji nisu u službenom spremištu i još mnogo toga. Da bi se olakšao proces prijenosa ovih datoteka na udaljene hostove, Puppet uključuje server datoteka.

Postavke servera datoteka pohranjene su u datoteci /etc/puppet/fileserver.conf. Da biste prisilili Puppet da klijentima služi sadržaj određenog direktorija, morate u njega staviti nekoliko redaka:

# vi /etc/puppet/fileserver.conf
put = /var/puppet/files
dozvoli *.server.com

Ove dvije linije označavaju da bi direktorij /var/puppet/files trebao biti dostupan svim hostovima u domeni server.com. Osim toga, možemo specificirati puno ime domene dozvoljenog stroja ili njegovu IP adresu, a također i odsjeći neželjene koristeći deny direktivu. Bilo koja datoteka u tom direktoriju se tada može premjestiti na klijenta koristeći resurs datoteke. na primjer:

# vi /etc/puppet/manifests/site.pp
file("/etc/httpd/conf/httpd.conf":
izvor => "puppet://httpd/httpd.conf",
mod => 644,
}

Datoteka httpd.conf, koja se nalazi na serveru u direktoriju /var/puppet/files/httpd, biće kopirana na ciljnu mašinu duž putanje navedenog u imenu resursa.

Zaključci

U ovom članku pokrili smo vrlo mali dio Puppet-ovih mogućnosti. U stvari jeste složen sistem, koji se može u potpunosti opisati samo na stranicama knjige. U isto vrijeme, Puppet je vrlo lako konfigurirati i održavati, pogotovo jer možete pronaći mnogo primjera njegove konfiguracije na Internetu.

Info

• Puppet koristi HTTP protokol, tako da se može pokrenuti pod web serverom radi poboljšanja performansi.
• Puppet se može koristiti za automatsko konfiguriranje i održavanje jedne lokalne mašine.
• Kombinacijom Puppet-a, mrežne instalacije OS-a (pxe-install) i instalacijskih slika za samogradnju, možete kreirati potpuno samokonfigurirajuću mrežu strojeva koja se može implementirati samo jednom naredbom.
• Mnoge velike kompanije koriste Puppet u svom radu, kao što su Google, Fedora Project, Stanford University, Red Hat, Siemens IT Solution i SugarCRM.

Linkovi

• http://docs.puppetlabs.com - Dokumentacija za lutke
• http://docs.puppetlabs.com/guides/language_tutorial.html - Puni opis Jezik lutaka
• http://docs.puppetlabs.com/references/stable/type.html - Vrste resursa

Kada je broj servera kojima upravljate manji od deset, rijetko ko razmišlja o njihovom centraliziranom upravljanju, to možda neće biti potrebno. Kada postoje desetine servera, centralizovano upravljanje softverom i konfiguracijom je izuzetno korisno. Kada postoje stotine i hiljade servera, to je od vitalnog značaja. Postoji mnogo ovakvih programa, na primjer: Chef, CFEngine, Puppet... Upravo o ovom posljednjem će biti riječi u ovom postu.

Lutka se zasluženo smatra jednom od najbolja rješenja tako. Koriste ga kompanije kao što su Google, Citrix i Red Hat. Ovo je klijent-server aplikacija napisana u programskom jeziku Ruby, koja se distribuira u dvije verzije:

• Puppet Open Source - potpuno besplatna verzija
• Puppet Enterprise - besplatno za do 10 servera, tada su potrebne licence

Razmotrimo instalaciju Puppet Open Source servera i agenta, koji su uključeni u pakete najsavremenijih distribucija. Zatim ćemo govoriti o Ubuntu 12.04 Precise Pangolin.

Zadnji kraj Puppet-a se zove puppetmaster, počnimo instalaciju odatle:

A sada klijent:

U datoteci konfiguracije klijenta /etc/puppet/puppet.conf morate razgovarati o serveru dodavanjem sljedećeg odjeljka:

Server=puppet.local report=true pluginsync=false

U početnoj fazi, bolje je isključiti pluginsync.

Pokrenimo klijenta lutke tako da kreira zahtjev za certifikat:

Na serveru morate provjeriti da li je zahtjev za certifikatom primljen i, ako jeste, izdati certifikat:

Ponovite prethodni korak na klijentu:

Odlično, sve radi. Pređimo na kreiranje prvog manifesta. Manifesti, ili konfiguracije, opisani su posebnim deklarativnim jezikom. Odmah ćemo se naviknuti na dobre stvari, koristiti modularnu strukturu i časove. Na primjer, napišimo modul koji će održavati datoteku ažurnom /etc/hosts na svim našim serverima.

Provjerimo gdje lutka traži module:

Kreirajte direktorije za svoj modul

Prvi manifest, poznat i kao datoteka glavnog modula, treba pozvati init.pp

Hostovi klase ( # puppet.local host ( "puppet.local": osigura => "prisutno", target => "/etc/hosts", ip => "192.168.0.1", host_aliases => "puppet", ) # linux.local host ("linux.local": osigurati => "prisutan", target => "/etc/hosts", ip => "192.168.0.2", host_aliases => "linux", ) )

Po defaultu, lutka traži datoteku /etc/puppet/manifests/site.pp da učitate konfiguraciju, dovedite je u sljedeći oblik:

Zadani čvor (uključujući hostove)

Provjeravamo manifest na serveru:

Na klijentu:

Nakon što smo sigurni da sve radi, dozvoljavamo servisu da počne /etc/default/puppet promjena:

# Pokrenuti lutku pri pokretanju? START=da

Pokretanje usluge

Puppet će ispitivati ​​server puppetmaster svakih 30 minuta za promjene konfiguracije i, ako je potrebno, prilagoditi sistem u skladu s tim.

Prije nekog vremena, lista servera u mojim oznakama premašila je 200. Kako se broj servera povećava, postavljanje bilo koje nove konfiguracije ili instaliranje novih paketa gubi ogromnu količinu vremena. Zato sam odlučio da koristim lutku.
Lutka(engleski puppet) je multi-platformska klijent-server aplikacija koja vam omogućava da centralno upravljate konfiguracijom operativnih sistema i programa instaliranih na nekoliko računara. Puppet je napisan u programskom jeziku Ruby.

Kažu i da je puppet sistem za daljinsko upravljanje konfiguracijom, čiji su najpoznatiji predstavnici otvoreni sistemi Cfengine i Puppet.

Nakon što sam pročitao recenzije, odlučio sam koristiti lutku.

Instalacija i konfiguracija lutkarskog servera:
Instaliranje lutkarskog servera:
Instalirajte puppet-server na OpenSuSE 11.4:

patent zatvarač u lutkar-serveru

Promijenimo ime servera u marionetski:
/etc/HOSTNAME:

DNS zapis se mora riješiti na 127.0.0.2
mačka /etc/hosts:

127.0.0.2 puppet.site lutka

Dajmo korisniku prava lutka:

Pokrenimo uslugu Puppet Master:

rcpuppetmasterd start

Dodajmo pokretanje lutkarskog demona startupu:

chkconfig -a puppetmasterd

Postavljanje lutkarskog servera:
Hajde da definišemo direktorijum u kome će se čuvati fajlovi koje će server lutke preneti na klijentske mašine u manifestima tipa datoteke.

vim /etc/puppet/fileserver

putanja /etc/puppet/files
dozvoliti *

mkdir /etc/puppet/files

chown -R puppet:puppet /etc/puppet/files

Napravit ćemo datoteku bilo kojeg sadržaja za implementaciju i testiranje na klijentima

dodirnite /etc/puppet/files/puppettesting

Ponovo pokrenimo marionetski server:

rcpuppetmasterd restart

Lutka koristi svoj jezik za opisivanje konačnog stanja operativnog sistema, uz pomoć kojeg administrator sistema ukazuje u koji oblik komponente OS-a treba dovesti da bi on postigao željeno stanje. Stanje može značiti prisustvo određene datoteke, mape, pokrenutih usluga, instaliranih paketa, ažuriranja i još mnogo toga. Sve postavke stanja su opisane u datotekama ili manifestima, koji se nalaze u direktoriju: /etc/puppet/manifests. Ove datoteke imaju imena poput *.pp.

Kreirajmo najjednostavnije manifest:
/etc/puppet/manifests/1.file.pp:

file("/tmp/puppettetesting":
izvor => "puppet:///files/puppettesting",
}

Da biste koristili ovaj manifest:
puppet apply 1.file.pp

Instalacija i konfiguracija klijenta lutke:

patent zatvarač u lutki

Damo korisniku prava lutke:

chown -R puppet.puppet /var/lib/puppet/

Da bi uspostavio vezu sa serverom lutke, marionetski klijent šalje zahtev za potvrdu sertifikata nakon što je ovaj zahtev potvrđen na serveru, lutkarski klijent će početi da koristi manifeste koji su mu namenjeni. Poslat ćemo zahtjev za potvrdu certifikata:

Na serveru možemo vidjeti koji su zahtjevi za potvrdu na čekanju:

"puppet-client.localdomain" (B5:12 :69 :63 :DE:19 :E9:75 :32 :2B:AA:74 :06:F6:8E:8A)

Potvrđujemo:

puppetca --znak "puppet-client.localdomain"

Vrijeme je da pogledamo najjednostavnije primjere kreiranja manifesta:
kreirajte datoteku /etc/puppet/manifests/site.pp:

zadani čvor (
file("/tmp/puppettetesting":
izvor => "puppet:///files/puppettesting",
}
usluga("ntp":
osigurati => trčanje,
omogući => tačno ,
}
paket("htop":
osigurati => instaliran,
}
}

default - primjenjuje se na sve klijente
datoteka - ovaj odjeljak kaže da kreirate ili prepišete /tmp/puppettetesting datoteku koja se nalazi na serveru u direktoriju /etc/puppet/files
usluga: provjerite da li je servis pokrenut, ako ne radi, onda ga pokrenite, a također ga dodajte u pokretanje
paket: provjerite da li je htop paket instaliran na klijentu i ako nije, instalirajte ga.

Da provjerite, pokrenite na klijentu:

Kao što vidite, na klijentu je ntp dodan u startup, pokrenut je ntp demon, instaliran je htop paket, a datoteka puppettetesting je kopirana u /tmp/ direktorij

info: Katalog za keširanje za puppet-client.localdomain
info: Primjena verzije konfiguracije "1370163660"
obavijest: / Stage[ main] // Node[ default] / Service[ ntp] / osigurati: osigurati da je promijenjeno "zaustavljeno" u "pokrenuto"
obavijest: / Stage[ main] // Čvor[ default] / Package[ htop ] / osigurati: kreirano
obavijest: / Stage[ main] // Node[ default] / File[ / tmp/ puppettesting] / osigurati: definiran sadržaj kao "(md5)f2171ac69ba86781bea2b7c95d1c8e67"
napomena: Završen katalog za 3,95 sekundi

U sljedećem članku ću opisati složenije primjere kreiranja manifesta i web sučelja lutkarske ploče.

Popularne vrste resursa za lutke
cron- upravljanje cron poslovima
exec- pokretanje skripti i komandi
fajl- upravljanje fajlovima
filebucket- sigurnosna kopija datoteke
grupa- upravljanje grupom
domaćin- upravljanje unosima u /etc/hosts fajlu
interfejs- konfiguracija mrežnih interfejsa
mount- montiranje sistema datoteka
obavijestiti- slanje poruke u datoteku dnevnika Puppet
paket- upravljanje paketima
usluga- upravljanje uslugama
sshkey- SSH upravljanje ključevima
uredno- brisanje fajlova u zavisnosti od uslova
korisnik- upravljanje korisnicima
zone- Upravljanje zonom Solaris

Malo o tome kako Puppet funkcionira

Lutkarska apstrakcija je otprilike ovako ( razbijanje obrazaca - zaboravite sve što ste znali o terminima programiranja!).

• Čvor je skup konfiguracija za određeni ciljni sistem. U stvari, ovo je poseban slučaj klase.
• Klasa je skup deklarativne logike koja je uključena u konfiguraciju čvora ili druge klase. Klasa nema ni instance ni metode, ali ima parametre i varijable definirane unutar logike. U stvari, to je prije procedura koja može naslijediti drugu proceduru jednostavnim dodavanjem koda i ne tako banalnim opsegom varijabli.
• Tip- ali ovo više liči na klasičnu klasu - pretpostavlja instance s imenom i definitivno specificiranim parametrima, ali ništa više. Specifična implementacija tipa može biti napisana kao skripta Puppet preko define , koja kreira instance drugih tipova, ili kao Ruby ekstenzija sa velikom maštom.
• Resurs- ovo su zapravo imenovane instance tipova. Svako ime resursa je jedinstveno unutar određenog tipa unutar konfiguracije čvora (direktorija).
• Varijable- pa, ukratko, to su konstante... Prije Puppet 4 stvari su bile još gore s njihovim opsegom. Sada je to adekvatno: za upotrebu izvan lokacije definicije, mora biti specificiran potpuno kvalificirani identifikator, osim u slučaju nasljeđivanja klase.

Na ideološki ispravan način, infrastruktura lutke sastoji se od agenta – privilegovanog servisa na ciljnom sistemu – i servera koji distribuira vrijedne instrukcije u obliku deklarativnih direktorija resursa na zahtjev agenata. Sigurnost je implementirana na nivou infrastrukture privatnog javnog ključa (X.509). Jednostavno rečeno, isti mehanizmi kao u HTTPS-u, ali sa vlastitim CA i obaveznom verifikacijom certifikata klijenta.

U pojednostavljenom obliku, postupak postavljanja izgleda otprilike ovako:

1. Obrada putem TLS-a i X.509 (uspostavljanje veze, ažuriranje CRL-a, provjera ograničenja certifikata, itd.)
2. Agent prima generatore činjenica sa servera sa keširanjem i svim ostalim stvarima (tačnije, sve se povlači iz lib/ foldera u modulima). Nije teško dodati vlastitu Ruby skriptu za prikupljanje informacija od interesa.
3. Agent prikuplja činjenice o ciljnom sistemu i šalje ih serveru. Sve činjenice se mogu lako pregledati ručno putem poziva na lutke. Ove činjenice su dostupne kao globalne varijable.
4. Server sastavlja katalog resursa i šalje ga agentu. Ispod toga leži čitav sloj različitih koncepata.
5. Agent povlači sve što je potrebno sa servera i dovodi sistem u specificiranu formu. Agent sam ne zna šta da radi sa resursima, on se oslanja na implementaciju provajdera (semantički prevod će biti „implementar“, a ne dobavljač) određenih vrsta resursa, dok su neki provajderi uključeni u pakete ostali su izvučeni iz modula.

• Modul- kolekcija deklarativnih skripti Puppet, Ruby ekstenzija za Puppet, datoteka, predložaka datoteka, Hiera podataka i još mnogo toga. Ispravniji izraz bi bio "paket".
• Životna sredina- skup skripti, modula i Hiera podataka. Kako je infrastruktura postala složenija, neizbježno je postalo neophodno podijeliti konfiguraciju dalje od standardne podjele po čvorovima. U osnovi, ovo je potrebno za pilot inovacije i banalnu kontrolu pristupa (kada svi administratori nemaju pristup svim čvorovima IT infrastrukture).
• Hiera- hijerarhijska baza podataka. Ova formulacija može biti vrlo zastrašujuća. To je vjerovatno razlog zašto je promijenjen u dokumentaciji kasnijih verzija. Zapravo, ovo je izuzetno jednostavan i zgodan mehanizam za izvlačenje konfiguracije iz YAML ili JSON datoteka. Hijerarhija je mogućnost specificiranja redoslijeda čitanja više konfiguracijskih datoteka – tj. hijerarhiju/prioritet ovih datoteka.
  • Pored izvlačenja podataka o pozivima funkcija, Puppet povlači zadane parametre klase, što je glavni vrhunac.
  • Naravno, Hiera podržava interpolaciju činjenica, pa čak i pozivanje posebnih funkcija.
  • U Puppet 4.3 ponovo smo implementirali istu funkcionalnost kako bismo podržali ne samo globalnu bazu podataka, već i lokalnu za okruženje i modul, iako je autor već pronašao nekoliko problema u njihovoj implementaciji (PUP-5983, PUP-5952 i PUP -5899), koje je Puppet Labs odmah popravio.
  • Podržano je nekoliko strategija za izdvajanje vrijednosti iz svih datoteka u hijerarhiji:
    • first - vraća se prva vrijednost pronađena po prioritetu
    • jedinstveno - prikuplja sve vrijednosti u jednodimenzionalni niz i uklanja duplikate
    • hash - kombinuje sve pronađene YAML Hash. Duplikati ključeva se biraju po prioritetu.
    • deep je u suštini rekurzivna verzija heša
  • Ljepota je u tome što se strategija uzorkovanja može postaviti bilo pozivanjem funkcije lookup(), jer iu bilo kojoj hijerarhijskoj datoteci preko posebnog ključa lookup_options, koji se aktivno koristi u modulu cfnetwork.
• PuppetDB- u suštini sloj poslovne logike oko relacione baze podataka (PostgreSQL), koji vam omogućava da sačuvate izveštaje o činjenicama i izvršenim implementacijama i izvezete resurse za naknadni uvoz u direktorijume na drugim čvorovima ili odabir putem posebnih funkcija. Tu je i web interfejs u obliku Puppet Dashboard.
• X.509 PKI- već spomenuta infrastruktura certifikata, koja je izuzetno pogodna za korištenje za druge servise bez potrebe upravljanja posebnom infrastrukturom.
• MCollective- izgleda korisna stvar za pokretanje zadataka na farmi servera zasnovano na događajima, ali autor ima određeno nepovjerenje u sigurnost određenog rješenja.
• Puppet Forge- otvorena platforma za objavljivanje i preuzimanje modula.
• neke druge karakteristike u obliku kontrola eksternih uređaja kao što je Cisco oprema i implementacija na goli metal, ali to je druga priča

Napomene o sigurnosti i pristupačnosti

Dostupnost Puppet Servera određuje mogućnost upravljanja cjelokupnom infrastrukturom. Ima smisla hostirati Puppet Server na virtuelnoj mašini u pouzdanijem i brzo oporavljivom oblaku treće strane od sopstvene sposobnosti. Ili biste trebali instalirati nekoliko servera.

U svakom slučaju, ne biste trebali instalirati druge servise na sistem na kojem će biti postavljen Puppet Server sa zvonima i zviždaljkama. Virtuelizacija i kontejnerizacija vam mogu pomoći.

Multi-master (nekoliko zasebnih servera za lutke)

• IN u ovom slučaju samo jedan server djeluje kao CA (Certificate Authority) - njegova nedostupnost znači da je nemoguće dodati nove čvorove.
  • Puppet vam omogućava da koristite X.509 infrastrukturu treće strane ako ona nije zadovoljavajuća.
• Cijela konfiguracija (okruženje) mora biti pohranjena u sistemu za kontrolu verzija i raspoređena na svaki server istovremeno.
• Jedina zajednička stvar je PostgreSQL baza podataka, čija je organizacija visoke dostupnosti izvan okvira ovog članka.
• Modul cfpuppetserver podržava i primarne (sa CA) i sekundarne serverske instalacije.

Što se značajno promijenilo od starijih verzija

• Svi servisi su premješteni na JVM, JRuby i Jetty. Uprkos očiglednim prednostima integracije, postoje i nedostaci u smislu potrošnje memorije.
• Lambda funkcije su dodane za obradu kolekcija - sada nema potrebe rezati štake u Ruby-u ili pervertirati putem create_resources()
• Pojavio se alat za obradu EPP šablona - u suštini isti ERB, ali sa Puppet DSL umesto Ruby,
• Zadana struktura direktorija konfiguracijskih datoteka se značajno promijenila
• Dodata podrška za dobavljače podataka za okruženja i module (hakovi više nisu potrebni).
• Umanjivanje uloge globalne Hiere. Nova i srodna komanda je traženje lutke.

Instalacija

Tri glavne komponente servera su sam Puppet Server, PuppetDB i PostgreSQL. Svi oni mogu biti zbijeni u jedan čvor ili podijeljeni u dva ili tri sistema. Puppet Server i Puppet DB mogu se pokrenuti više puta, ali PostgeSQL je jedna tačka kvara. Postoje različiti pristupi PostgeSQL replikaciji i grupisanju u klastere. Pogodan pristup u slučaju glavnog i sekundarnog servera bi bio Master + Read-Only Slave, koji je podržan u samom PuppetDB-u kao glavni čvor baze podataka samo za čitanje, ali automatizuje takve. za podešavanje je potrebno vrijeme i stoga još nije dostupno uključeno u modul cfpuppetserver.

Sama konfiguracija se jednostavno može pohraniti barem na sistem datoteka zajedno sa Puppet Serverom, ali to je kao pisanje skripti na proizvodnom web serveru. Najprikladnije rješenje je git spremište. Uslužni program r10k može povući sve grane spremišta i postaviti ih na Puppet Server kao odvojena okruženja. r10k je prilično loš u povlačenju zavisnosti, tako da se bibliotekar-luppet koristi na vrhu. Vrijedi odmah napomenuti da je glavno kanonsko okruženje lutaka "proizvodnja". Stoga bi konfiguracijsko spremište trebalo koristiti granu koja se zove "proizvodnja" umjesto "master".

Sistemski zahtjevi

Konfiguracija u Gitu

1. Kloniranje spremišta: git clone https://github.com/codingfuture/puppet-exampleenv my-puppet-conf && cd my-puppet-conf
2. Postavili smo opće postavke za administratorski pristup koristeći savjete u komentarima:
   • $EDITOR data/common.yaml
3. Kreirajmo konfiguraciju čvora:
   • $MY_DOMAIN - root naziv domene(npr. example.org)
   • $HOST_NAME - ime hosta klijenta bez domene
   • mkdir podaci/$MY_DOMAIN
   • cp data/example.com/puppet.yaml data/$(MY_DOMAIN)/puppet.yaml
   • $EDITOR nano -w data/$(MY_DOMAIN)/puppet.yaml - postavljanje čvora sa Puppet serverom prema prijedlozima u komentarima
   • cp data/example.com/host.yaml data/$(MY_DOMAIN)/$(HOST_NAME).yaml
   • $EDITOR nano -w data/$(MY_DOMAIN)/$(HOST_NAME).yaml - postavljanje proizvoljnog čvora na osnovu prijedloga u komentarima
4. Prebacujemo na naš vlastiti Git server ili ga činimo dostupnim lokalno na čvoru s Puppet Serverom putem rsync ili scp-a. Lokalno spremište je zgodno kao međukorak dok se Git server ne postavi iz samog Puppet-a. U određenom smislu, ovo podsjeća na sastavljanje kompajlera u nekoliko faza.

Instalacija od nule na čistom sistemu

Na ciljnom sistemu:

1. Preuzmite instalacijsku skriptu: wget https://raw.githubusercontent.com/codingfuture/puppet-cfpuppetserver/master/setup_puppetserver.sh
2. Gledamo kroz skriptu i mrštimo se: manje setup_puppetserver.sh
3. Pokrenite: bash setup_puppetserver.sh marioneta.$(MY_DOMAIN) .
   • Primjer sa udaljenim spremištem: bash setup_puppetserver.sh ssh:// [email protected]/puppet-conf
   • Primjer sa lokalnim: bash setup_puppetserver.sh file:///root/puppetconf/
4. Vidimo kako se sistem nadima i ne instalira sve vrlo brzo.
5. Ako je spremište udaljeno:
   • Kreirajte SSH ključ za root: ssh-keygen -t rsa -b 2048
   • Registriramo javni ključ /root/.ssh/id_rsa.pub na udaljenom Git serveru...
   • ... i postavite Git zakačicu tamo pozivajući sljedeću naredbu: /usr/bin/ssh -T deploypuppet@puppet.$(MY_DOMAIN) ./puppetdeploy.sh
6. Počinjemo sa implementacijom konfiguracije ručno: /etc/puppetlabs/deploy.sh
7. Hajde da probamo kako to radi na samom serveru: /opt/puppetlabs/bin/puppet agent --test
8. Provjerite postavke mreže, mrežnog filtera i SSH pristupa

Dodavanje upravljanih čvorova

1. Potpuno kvalificirano ime Puppet servera mora biti dostupno preko DNS-a na upravljanom hostu ili tvrdo kodirano u /etc/hosts.
   • Primjer: echo "128.1.1.1 puppet.example.com" >> /etc/hosts
2. Na čvoru sa serverom Puppet, pokrenite sljedeću skriptu /root/genclientinit.sh $(HOST_NAME).$(MY_DOMAIN) .
3. Kopirajte cijeli rezultat i zalijepite ga u komandnu liniju na ciljnom sistemu.
4. Čekamo kraj izvršenja i pokrećemo /opt/puppetlabs/bin/puppet agent --test. Prilikom prvog pokretanja, generirat će se zahtjev za potpisivanje certifikata.
5. Idemo do čvora Puppet Server da potpišemo certifikat.
   • lutkarska lista certifikata - provjeravamo potpis certifikata za dodatnu paranoju.
   • marionetski certifikat $(HOST_NAME).$(MY_DOMAIN) - zapravo, potpisujemo certifikat.
6. Vraćamo se na upravljani čvor i ponovo pokrećemo: /opt/puppetlabs/bin/puppet agent --test`. Ovo će prisiliti da započne postupak raspoređivanja.
7. Čekamo da se implementacija završi preko Puppet Agenta.
8. To je to, imate spremnu minimalnu infrastrukturu za lutke!

Primjer izlaza iz /root/genclientinit.sh

bash</etc/cflocation fi if test ! -z ""; zatim echo -n >/etc/cflocationpool fi ako test ! -z "\$http_proxy"; zatim izvoz http_proxy izvoz https_proxy="\$http_proxy" izvoz HTTP_PROXY="\$http_proxy" izvoz HTTPS_PROXY="\$http_proxy" fi echo host.example.com > /etc/ime hosta ime hosta host.example.com ako ! koji lsb-release | read; zatim apt-get install lsb-release fi codename=\$(lsb_release -cs) if test -z "\$codename"; zatim echo "Neuspjelo otkrivanje ispravnog kodnog imena" izlaz 1 fi wget https://apt.puppetlabs.com/puppetlabs-release-pc1-\$(codename).deb dpkg -i puppetlabs-release-pc1-\$(codename) .deb mkdir -p /etc/puppetlabs/puppet cat > /etc/puppetlabs/puppet/puppet.conf<lutka cert znak host.example.com" echo "Koristite CTRL+C da zaustavite ciklus, ako ne uspije iz različitih razloga" spavanje 5 urađeno EOT

Opis modula

Kompletna lista Bash parametara početne instalacione skripte