DevOps 系列工具之 Puppet 安裝與基礎配置

時間 2021-01-22

標籤 node vim 緩存服務器運維 tcp ide 工具優化加密欄目 Unix 简体版

原文原文鏈接

Puppet 簡介：

Puppet是基於Ruby語言（早期的版本，4及以後的Server端採用Clojure語言）開發的、能夠管理Unix（包括OS X）、Linux和Microsoft Windows平臺的配置管理工具。同時面向研發及運維人員，是實現 DevOps 的重要工具之一。node

應用場景：

統一配置管理軟件
統一配置系統優化參數
按期檢測服務是否運行
根據機器硬件環境自動爲相應主機上的軟件配置合理的屬性vim

Puppet的操做模型：

部署層

Puppet 一般運行在C/S模式下，服務器端稱爲 Puppet master，客戶端稱爲 Agent，客戶端主機稱爲 Node。Agent 經過標準的 SSL 加密認證的方式與 Master 創建鏈接，獲取本機須要的配置信息。
在 Agent 未取得配置信息、或者已經達到配置狀態時，Puppet 不會對系統進行改動，它只有在被要求的時候才修改系統，這是 Puppet 的一個關鍵特徵，稱爲冪等性（Idempotency），這個修改過程稱爲一次配置運行（Configuration run）。
Agent 一般以守護進程的方式運行，默認每30分鐘與 Master 進行一次交互，以確認配置項是否發生了變化，這個時間間隔能夠根據本身的需求靈活調整。也能夠以 cron 的方式運行或者手工觸發 Agent。緩存

配置語言與資源抽象層

大多數腳本語言（如 Shell Perl）是命令式或者過程式的，即「如何」達到想要的狀態，而 Puppet 語言是描述式的，只須要描述最終狀態是什麼，不用關心是如何達到。例如安裝 vim 軟件包，手工安裝時須要如下步驟：
1.鏈接到須要安裝軟件包的主機
2.檢查 vim 是否安裝
3.沒有安裝，須要根據主機的操做系統選擇合適的命令安裝，如 CentOS 使用 yum 命令，Ubuntu 使用 apt-get 命令
4.安裝結束根據返回的結果確認是否安裝成功。服務器

使用 Puppet 安裝vim，只須要定義一個資源，而且定義資源要達到的狀態便可
  package { ‘vim’:
    ensure => present,
  }

事物層

事物層是 Puppet 的工做引擎，一個 Puppet 事物包含配置一臺 Agent 主機的完整過程，包括以下步驟：運維

解析並編譯配置
將編譯的後的配置發送到 Agent 上
在 Agent 上應用編譯後的配置
將運行結果上報給 Master

工做流程

Agent 訪問 Master 創建訪問信任關係，包括 Master 對 Agent 證書受權簽名，並容許 Agent 訪問 Master 資源
創建信任關係後，Master 調用 Agent 的 Facter，探測出 Agent 主機的一些機器變量，如操做系統、主機名、IP地址、CPU等信息。Agent 將這些信息經過 SSL 加密傳輸到 Master，Master 以變量的形式獲取這些信息並使用
1. Master 接收到 Agent 的請求，將它們發送到本機的 manifests 或 ENC（外部節點分類器），而後進行配置信息查詢
根據 Agent 的 HOSTNAME 匹配到相應的Node，進行語法檢查並生成相應的 Catalog
Agent 接收到 Catalog 後，在本機應用，並根據 Catalog 中的信息判斷是否有 File 文件要從 Master 端獲取，有則向 Master Fileserver 發起請求獲取文件
將執行後的結果以報告的形式上報 Master
整個事務完成
安裝前須要考慮的地方：

版本選擇：Puppet 最好的版本一般是最新的發佈版
運行模式：服務器端-客戶端模式和獨立運行模式
DNS：Agent 每次鏈接 Master 時，都會使用域名
防火牆：Puppet master 監聽在 8140 端口，若是開啓了防火牆必須放行 8140 端口，Iptables 配置以下：
iptables -A INPUT -p tcp -m state --state NEW --dport 8140 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s 172.16.0.0/16 --sport 8140 -j ACCEPT
NTP 時鐘同步
Puppetmaster：不能運行在Windows主機上
混合版本部署：服務端的版本必須比客戶端高，4.x及以上不支持3.x及如下
硬件要求：2～4核CPU，4GB以上內存，大約可管理1000個節點tcp

安裝(來源於官網)

Yum-based systems
To enable the Puppet 5 Platform repository:
1 Choose the package based on your operating system and version.
The packages are located in the puppet5 directory of the yum.puppet.com repository and named using the following convention: <PLATFORM_NAME>-release-<OS ABBREVIATION>-<OS VERSION>.noarch.rpm For instance, the package for Puppet 5 Platform on Red Hat Enterprise Linux 7 (RHEL 7) is puppet5-release-el-7.noarch.rpm.
2 Use the rpm tool as root with the upgrade (-U) flag, and optionally the verbose (-v), and hash (-h) flags:ide

Enterprise Linux 7
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-7.noarch.rpm

Enterprise Linux 6
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-6.noarch.rpm

Enterprise Linux 5
wget https://yum.puppet.com/puppet5/puppet5-release-el-5.noarch.rpm
sudo rpm -Uvh puppet5-release-el-5.noarch.rpm

Note: For recent versions of Puppet, we no longer ship Puppet master components for RHEL 5. However, we continue to ship new versions of the puppet-agent package for RHEL 5 agents.工具

Fedora 26
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-fedora-26.noarch.rpm
Fedora 25
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-fedora-25.noarch.rpm

SuSE Enterprise Linux 12
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-sles-12.noarch.rpm
SuSE Enterprise Linux 11
sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-sles-11.noarch.rpm

Apt-based systems
To enable the Puppet 5 Platform repository:
1 Choose the package based on your operating system and version. The packages are located in the apt.puppet.com repository and named using the convention <PLATFORM_VERSION>-release-<VERSION CODE NAME>.debFor instance, the release package for Puppet Platform on Debian 7 「Wheezy」 is puppet5-release-wheezy.deb. For Ubuntu releases, the code name is the adjective, not the animal.
2 Download the release package and install it as root using the dpkg tool and the install flag (-i):wget https://apt.puppetlabs.com/puppet5-release-wheezy.deb
3 sudo dpkg -i puppet5-release-wheezy.deb
4 Run apt-get update after installing the release package to update the apt package lists.優化

Ubuntu 16.04 Xenial Xerus
wget https://apt.puppetlabs.com/puppet5-release-xenial.deb
sudo dpkg -i puppet5-release-xenial.deb
sudo apt update

Ubuntu 14.04 Trusty Tahr
wget https://apt.puppetlabs.com/puppet5-release-trusty.deb
sudo dpkg -i puppet5-release-trusty.deb
sudo apt-get update

Debian 9 Stretch
wget https://apt.puppetlabs.com/puppet5-release-stretch.deb
sudo dpkg -i puppet5-release-stretch.deb
sudo apt-get update

Debian 8 Jessie
wget https://apt.puppetlabs.com/puppet5-release-jessie.deb
sudo dpkg -i puppet5-release-jessie.deb
sudo apt-get update

Debian 7 Wheezy
wget https://apt.puppetlabs.com/puppet5-release-wheezy.deb
sudo dpkg -i puppet5-release-wheezy.deb
sudo apt-get update

[root@master1 yum.repos.d]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core) 
[root@master1 yum.repos.d]# sudo rpm -Uvh https://yum.puppet.com/puppet5/puppet5-release-el-7.noarch.rpm
[root@master1 yum.repos.d]# yum list |grep puppet
puppet5-release.noarch                      5.0.0-1.el7                installed
bolt.x86_64                                 0.17.2-1.el7               puppet5  
pdk.x86_64                                  1.4.1.1-1.el7              puppet5  
puppet-agent.x86_64                         5.4.0-1.el7                puppet5  
puppet-client-tools.x86_64                  1.2.2-1.el7                puppet5  
puppet-release.noarch                       1.0.0-1.el7                puppet5  
puppetdb.noarch                             5.2.0-1.el7                puppet5  
puppetdb-termini.noarch                     5.2.0-1.el7                puppet5  
puppetserver.noarch                         5.2.0-1.el7                puppet5  
razor-server.noarch                         1.7.1-1.el7                puppet5

安裝Puppet Master

[root@master1 yum.repos.d]# sudo yum install -y puppetserver
[root@master1 puppetlabs]# pwd
/opt/puppetlabs
[root@master1 puppetlabs]# bin/puppet --version
5.4.0
[root@master1 puppetlabs]# server/bin/puppetserver --version
puppetserver version: 5.2.0

yum 安裝 Master 時，也會安裝 Agent 包,4.x及以上的安裝路徑爲 /opt/puppetlabs/ 目錄，配置文件路徑爲 /etc/puppetlabs/ 目錄加密

安裝 Puppet Agent

[root@master1 yum.repos.d]# sudo yum install -y puppet-agent

修改配置文件

Puppet5.x 的配置文件路徑爲 /etc/puppetlabs/puppet/ 目錄下
puppet.conf 配置文件簡介：
[main] 用於 Puppet 全局配置
[master] 用於 Puppet 的 Master 配置
[agent] 用於 Puppet 的 Agent 配置

[main]
server = master1.tongwen.life #指定 Puppet 服務端地址
autoflush = false #是否實時刷新日誌到磁盤
logdir = /var/log/puppet #日誌目錄
rundir = /var/run/puppet #進程pid文件存放目錄

[master]
reportdir = /var/lib/puppet/reports #報告存放目錄
autosign = true #自動受權簽名配置文件
autosign = /etc/puppet/autosign.conf
bindaddress = 0.0.0.0 #puppetserver 服務監聽地址
masterport = 8140 #puppetserver 服務監聽端口
evaltrace = true #定義爲true，能夠看到執行的過程與變化

[agent]
certname = www1.tongwen.life #客戶端的主機名
daemonize = true #是否後臺運行，true表示是
allow_duplicate_certs = true #是否容許證書自動覆蓋，默認不容許，有效期5年
report = true #是否上傳客戶端對資源的執行結果
reports = store, http #上傳的方式
report_server = master1.tongwen.life #store 上傳地址
report_port = 8140
reporturl = http://localhost:3000/reports/upload
runinterval = 20m #客戶端執行間隔，默認30m
splay = true #是否在執行時間上加一個隨機時間，0到最大隨機時間之間的整數
splaylimit = 10m #隨機時間的最大長度
configtimeout = 2m #客戶端獲取配置超時時間
color = ansi #日誌記錄是否加顏色
ignorecache = true #是否忽略本地緩存

啓動服務

若是 Master 主機的內存配置小於2GB，須要修改Java初始內存

vi /etc/sysconfig/puppetserver
JAVA_ARGS="-Xms2g -Xmx2g
systemctl start puppetserver #啓動server端
systemctl start puppet #啓動agent

籤批證書

[root@master1 puppetlabs]# puppet cert list
"node1.tongwen.life" (SHA256) E9:62:D5:7A:AD:1F:1D:DD:8F:0F:36:16:50:0C:

[root@master1 puppetlabs]# puppet cert sign node1.tongwen.life
Signing Certificate Request for:
"node1.tongwen.life" (SHA256)  E9:62:D5:7A:AD:1F:1D:DD:8F:0F:36:16:50:0C:11:D6:02:39:7B:CB:8C:87:C9:25:E0:F7:A2:D7:D9:55:3B:37
Notice: Signed certificate request for node1.tongwen.life
Notice: Removing file Puppet::SSL::CertificateRequest node1.tongwen.life at '/etc/puppetlabs/puppet/ssl/ca/requests/node1.tongwen.life.pem'
[root@master1 puppetlabs]# puppet cert sign --all  #籤批全部

在agent上執行 puppet agent --test 驗證證書的認證結果，若是有報錯，請檢查時間是否同步。

[root@master1 puppetlabs]# ntpdate cn.ntp.org.cn

建立配置項

[root@master1 manifests]# pwd
/etc/puppetlabs/code/environments/production/manifests
vi site.pp
node 'node1.tongwen.life' {
    package { 'vim':
     ensure => present,
  }
}