cfpuppetserver osztály

• deployuser = "deploypuppet" – felhasználónév a konfigurációs frissítések automatikus telepítéséhez
• deployuser_auth_keys = undef - a $deployuser kulcsainak listája
• repo_url = undef - tárhely URI (például: ssh://user@host/repo vagy file:///some/path)
• puppetserver = true – telepíteni kell-e a Puppet Server összetevőt erre a csomópontra
• puppetdb = true – telepíteni kell-e a PuppetDB összetevőt erre a csomópontra
• puppetdb_port = 8081 – a PuppetDB portja
• setup_postgresql = true – telepíteni kell-e a PostgreSQL összetevőt erre a csomópontra (csak ha a PuppetDB telepítés engedélyezve van)
• service_face = "bármilyen" - a cfnetwork::iface erőforrás neve a bejövő kapcsolatok fogadására
• puppetserver_mem = automatikus – RAM a Puppet szerverhez megabájtban (legalább 192 MB)
• puppetdb_mem = automatikus – RAM a PuppetDB-hez megabájtban (legalább 192 MB)
• postgresql_mem = automatikus – RAM a PostgreSQL-hez megabájtban (legalább 128 MB)

osztály cfpuppetserver::puppetdb

• postgresql_host = "localhost" - adatbázis címe
• postgresql_listen = $postgresql_host - az érték közvetlenül a listen_addresses PostgreSQL direktívához kerül
• postgresql_port = 5432 - adatbázis-port
• postgresql_user = "puppetdb" - PuppetDB felhasználó az adatbázisban
• postgresql_pass = "puppetdb" - a PuppetDB felhasználó jelszava az adatbázisban
• postgresql_ssl = false - kapcsolattitkosítás engedélyezése Puppet PKI tanúsítványok alapján

osztály cfpuppetserver::puppetserver

• autosign = false – NEM KELL használni harci környezetben, kivéve talán a DMZ-ben. Kizárólag tesztautomatizáláshoz létezik.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - az alapértelmezett Hiera konfigurációs fájl elérési útja a Puppet canons szerint (az első komponens a modul neve, a többi a modulban lévő fájlok/mappa alatti elérési út)

Segíthetsz és utalhatsz át pénzt az oldal fejlesztésére

A nagyszámú Unix rendszer kezelése nem nevezhető kényelmesnek. Egy paraméter megváltoztatásához az adminisztrátornak fel kell vennie a kapcsolatot minden géppel, a szkriptek csak részben tudnak segíteni, és nem minden helyzetben.

Fel kell ismerni, hogy a Windows hálózati rendszergazdái még mindig előnyösebb helyzetben vannak. Elég megváltoztatni a csoportházirend beállításait, és egy idő után a hálózat összes számítógépe, beleértve a nemrégiben telepített operációs rendszert is, „megtanulja” az újítást, természetesen, ha az őket érinti. Visszatekintve a Unix fejlesztés hosszú időszakára, észre fogod venni, hogy soha semmi ilyesmi nem fogott meg. Vannak olyan megoldások, mint a kickstart, amelyek segítenek a kezdeti telepítésben operációs rendszer, de a további finomítás jelentős erőfeszítést igényel. Az olyan kereskedelmi megoldások, mint a BladeLogic és az OpsWare, csak részben oldják meg a beállítások automatizálásának problémáját, fő előnyük a rendelkezésre állás GUI, és csak nagy szervezetektől vásárolhatók meg. Természetesen vannak ingyenes megoldásokat kínáló projektek, de fennállásuk során soha nem tudtak nagy közösséget létrehozni. Például a Cfengine nem túl népszerű a rendszergazdák körében, bár a Linuxon kívül *BSD, Windows és Mac OS X alatt is használható. Ennek oka lehet a konfigurációk létrehozásának viszonylagos bonyolultsága. A feladatok leírásánál figyelembe kell venni az egyes rendszerek sajátosságait, és a parancsok végrehajtása során kézzel kell vezérelni a műveletek sorrendjét. Vagyis az adminisztrátornak emlékeznie kell arra, hogy egyes rendszerek esetében az adduser-t kell írnia másoknak, a useradd-t, figyelembe kell venni a fájlok helyét a különböző rendszereken stb. Ez nagyságrenddel megnehezíti a parancsok írását, nagyon nehéz menet közben elkészíteni a megfelelő konfigurációt, és szinte lehetetlen egy idő után elolvasni a létrehozott konfigurációkat. A GPL licenc ellenére a Cfengine valójában egy egyszemélyes projekt, aki minden változást irányít, és nem nagyon érdekli a nyitott társadalom építése. Ebből kifolyólag a cfengine képességei eléggé kielégítőek a fejlesztő számára, de a többi rendszergazdának inkább plusz fejfájást jelent. A cfengine fejlesztésére különféle kiegészítőket készítettek külső fejlesztők, amelyek gyakran csak rontottak a helyzeten. A cfengine számos ilyen moduljának szerzője, Luke Kanies végül úgy döntött, hogy kifejleszt egy hasonló eszközt, de a cfengine számos hiányossága nélkül.

A báb jellemzői

A Puppet a cfengine-hez hasonlóan egy kliens-szerver rendszer, amely deklaratív, azaz kötelező nyelvet használ a feladatok és a megvalósításukhoz szükséges könyvtárak leírására. Az ügyfelek rendszeres időközönként (alapértelmezés szerint 30 perc) csatlakoznak a központi szerverhez, és megkapják a legújabb konfigurációt. Ha a kapott beállítások nem egyeznek a rendszer állapotával, akkor azok végrehajtásra kerülnek, és szükség esetén jelentést küldenek a szervernek az elvégzett műveletekről. A szerver elmentheti az üzeneteket a rendszernaplóba vagy egy fájlba, létrehozhat egy RRD-gráfot, és elküldheti őket egy megadott e-mailre. A további Tranzakciós és Erőforrás-absztrakciós rétegek maximális kompatibilitást biztosítanak a meglévő beállításokkal és alkalmazásokkal, lehetővé téve, hogy a rendszerobjektumokra összpontosítson anélkül, hogy aggódnia kellene a részletes parancsok és fájlformátumok megvalósításában és leírásában mutatkozó különbségek miatt. Az adminisztrátor csak az objektumtípussal dolgozik, a többiről a Puppet gondoskodik. Így a csomagtípus 17 csomagrendszert tud, a szükséges automatikusan felismerésre kerül a disztribúció vagy a rendszer verziószámára vonatkozó információk alapján, bár szükség esetén a csomagkezelő kényszeríthető.

Ellentétben a szkriptekkel, amelyek gyakran nem használhatók más rendszereken, a külső rendszergazdák által írt Puppet konfigurációk többnyire probléma nélkül működnek bármely más hálózaton. In Puppet CookBook [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] már három tucat készrecept létezik. A Puppet jelenleg hivatalosan a következő operációs rendszereket és szolgáltatásokat támogatja: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo és MySQL, LDAP.

Bábnyelv

A továbblépéshez először meg kell értened a nyelv alapvető elemeit és képességeit. A nyelv az egyik erősségeit Báb. Segítségével leírják az adminisztrátor által kezelni kívánt erőforrásokat és műveleteket. A legtöbb hasonló megoldástól eltérően a Puppet lehetővé teszi a nyelv számára, hogy leegyszerűsítse a hozzáférést az összes hasonló erőforráshoz bármely rendszeren heterogén környezetben. Az erőforrás leírása általában egy névből, típusból és attribútumokból áll. Például mutassunk az /etc/passwd fájlra, és állítsuk be az attribútumait:

file("/etc/passwd":

tulajdonos => root,

csoport => gyökér,

Most a kliensek, miután csatlakoztak a szerverhez, átmásolják az /etc/passwd fájlt, és telepítik a megadott attribútumokat. Egy szabályban több erőforrást is megadhat, pontosvesszővel elválasztva őket. Mi a teendő, ha a szerveren használt konfigurációs fájl eltér a klienstől, vagy egyáltalán nincs használatban? Például ez a helyzet akkor állhat elő, ha VPN beállítások kapcsolatokat. Ebben az esetben a fájl a forrás direktíva használatával mutatható. Itt szokás szerint két lehetőség van egy másik fájl elérési útjának megadására; két URI protokoll is támogatott: a fájl és a báb. Az első esetben egy külső hivatkozásra mutató hivatkozás NFS szerver, a második lehetőségnél egy NFS-szerű szolgáltatás indul a Puppet szerveren, amely erőforrásokat exportál. Az utóbbi esetben az alapértelmezett elérési út a báb gyökérkönyvtárához - /etc/puppet - relatív. Vagyis a puppet://server.domain.com/config/sshd_config hivatkozás az /etc/puppet/config/sshd_config fájlnak felel meg. Ezt a könyvtárat felülírhatja a filebucket direktívával, bár helyesebb az /etc/puppet/fileserver.conf fájl azonos nevű szakaszát használni. Ebben az esetben csak bizonyos címekről korlátozhatja a szolgáltatáshoz való hozzáférést. Például írjuk le a konfigurációs részt.

elérési út /var/puppet/config

*.domain.com engedélyezése

192.168.0.*

megenged 192.168.1.0/24

deny *.wireless.domain.com

Ezután az erőforrás leírásakor térjünk rá erre a szakaszra.

source => "puppet://server.domain.com/config/sshd_config"

A kettőspont előtt az erőforrás neve. A legegyszerűbb esetekben egyszerűen megadhat egy álnevet vagy változókat névként. Az alias beállítása az alias direktívával történik. a fájl teljes elérési útja. Bonyolultabb konfigurációkban

file("/etc/passwd":

alias => passwd

Egy másik lehetőség az álnév létrehozására akkor jó, ha különböző operációs rendszerekkel kell foglalkoznia. Például hozzunk létre egy erőforrást, amely leírja az sshd_config fájlt:

fájl (sshdconfig:

név => $operációs rendszer ? (

solaris => "/usr/local/etc/ssh/sshd_config",

alapértelmezett => "/etc/ssh/sshd_config"

Ebben a példában választás előtt állunk. A Solaris fájlt külön kell megadni, az összes többi esetében az /etc/ssh/sshd_config fájl kerül kiválasztásra. Most ez az erőforrás sshdconfig néven érhető el, az operációs rendszertől függően a kívánt elérési út kerül kiválasztásra. Például jelezzük, hogy ha az sshd démon fut és fogad új fájl, újra kell indítania a szolgáltatást.

biztosítsd => igaz,

feliratkozás => Fájl

A változókat gyakran használjuk a felhasználói adatokkal való munka során. Például leírjuk a felhasználói kezdőkönyvtárak helyét:

$homeroot = "/home"

Mostantól egy adott felhasználó fájljai a következő néven érhetők el

$(homeroot)/$név

A $name paraméter a felhasználói fiók nevével lesz kitöltve. Egyes esetekben célszerű alapértelmezett értéket megadni bizonyos típusokhoz. Például az exec típusnál gyakran jelzik azokat a könyvtárakat, amelyekben a végrehajtható fájlt keresni kell:

Exec (útvonal => "/usr/bin:/bin:/usr/sbin:/sbin")

Ha több beágyazott fájlra és könyvtárra kell mutatnia, használhatja a recurse paramétert.

file("/etc/apache2/conf.d":

forrás => "puppet:// puppet://server.domain.com/config/apache/conf.d",

recurse => "igaz"

Több erőforrás kombinálható osztályokká vagy definíciókká. Az osztályok egy rendszer vagy szolgáltatás teljes leírása, és külön használatosak.

"/etc/passwd": tulajdonos => root, group => root, mode => 644;

"/etc/shadow": tulajdonos => root, group => root, mode => 440

Az objektum-orientált nyelvekhez hasonlóan az osztályok felülbírálhatók. Például a FreeBSD-n ezen fájlok csoporttulajdonosa a wheel. Ezért, hogy ne írjuk át teljesen az erőforrást, hozzunk létre egy új freebsd osztályt, amely örökli a linux osztályt:

osztály freebsd örökli a linuxot (

Fájl[“/etc/passwd”] ( csoport => kerék );

Fájl[“/etc/shadow”] ( csoport => kerék )

A kényelem kedvéért minden osztály elhelyezhető egy külön fájlban, amely az include direktívával kapcsolható össze. A definíciók több paramétert is használhatnak argumentumként, de nem támogatják az öröklődést, és akkor használatosak, ha újrafelhasználható objektumokat kell leírni. Például határozzuk meg a felhasználók kezdőkönyvtárát és az új fiók létrehozásához szükséges parancsokat.

definiálja a user_homedir ($csoport, $teljesnév, $csoportok) (

user("$name":

biztosítsa => jelen,

megjegyzés => "$teljes név",

gid => "$csoport",

csoportok => $ingroups,

tagság => minimum,

shell => "/bin/bash",

home => "/home/$name",

igény => Group[$group],

exec("$name homedir":

parancs => “/bin/cp -R /etc/skel /home/$name; /bin/chown -R $név:$csoport /home/$név",

létrehoz => "/home/$name",

igényel => User[$name],

Most újat kell létrehozni fiókot csak lépjen kapcsolatba a user_homedirrel.

user_homedir("szergej":

csoport => "szergej",

teljes név => „Sergej Jaremchuk”,

ingroups => ["media", "admin]

Külön leírások vannak az öröklődést támogató csomópontokról, például az osztályokról. Amikor egy kliens csatlakozik a Puppet szerverhez, a rendszer megkeresi a megfelelő csomóponti részt, és csak erre a számítógépre vonatkozó beállításokat adja meg. Az összes többi rendszer leírásához használhatja az alapértelmezett csomópontot. Minden típus leírása megtalálható a „Típushivatkozás” dokumentumban, amelyet minden esetben el kell olvasni, legalább a Puppet nyelv összes képességének megértéséhez. Különféle típusok lehetővé teszi meghatározott parancsok végrehajtását, beleértve bizonyos feltételek teljesülését (például konfigurációs fájl módosítása), cron-nal, felhasználói hitelesítő adatokkal és csoportokkal, számítógépekkel, erőforrások csatlakoztatásával, szolgáltatások indításával és leállításával, csomagok telepítésével, frissítésével és eltávolításával, munkavégzéssel val vel SSH kulcsok, Solaris zónák és így tovább. Ilyen egyszerű az apt segítségével a disztribúciókban lévő csomagok listáját 2 és 4 óra között naponta frissíteni.

menetrend (napi:

időszak => naponta,

tartomány =>

exec("/usr/bin/apt-get update":

menetrend => naponta

Az adott időszakra vonatkozó frissítést minden rendszer csak egyszer hajtja végre, ezután a feladat befejezettnek minősül, és törlődik az ügyfélszámítógépről. A Puppet nyelv más ismert struktúrákat is támogat: feltételeket, függvényeket, tömböket, megjegyzéseket és hasonlókat.

A Puppet telepítése

A Puppethez Ruby (>= 1.8.1) szükséges OpenSSL támogatással és XMLRPC könyvtárakkal, valamint a Faster könyvtár [ http://reductivelabs.com/projects/facter]. A teszttelepítéshez használt Ubuntu 7.04 adattár már tartalmazta a puppy csomagot.

$ sudo apt-cache kereső báb

báb – központosított konfigurációkezelés hálózatokhoz

puppetmaster - központosított konfigurációkezelés vezérlő démon

A telepítés során az összes szükséges függőségi csomag telepítésre kerül: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get install puppet puppetmaster

A Ruby könyvtárak elérhetőségét a paranccsal ellenőrizheti.

$ ruby ​​​​-ropenssl -e "puts:yep"

~$ ruby-rxmlrpc/client -e "puts:yep"

Ha nem érkezik hiba, akkor már mindent tartalmaz, amire szüksége van. A rendszer kívánt konfigurációját leíró fájlokat a Puppet terminológiában manifeszteknek nevezzük. Indításkor a démon megpróbálja beolvasni az /etc/puppet/manifests/site.pp fájlt; ha hiányzik, figyelmeztető üzenetet jelenít meg. Teszteléskor megmondhatja a démonnak, hogy offline módban működjön, ebben az esetben a jegyzék nem szükséges

$ sudo /usr/bin/puppetmasterd --nonodes

Ha szükséges, más fájlokat is csatlakoztathat a site.pp-hez, például osztályleírásokkal. Próbaüzemhez megadhatja a legegyszerűbb utasításokat ebbe a fájlba.

file("/etc/sudoers":

tulajdonos => root,

csoport => gyökér,

A szerver és az ügyfelek összes konfigurációs fájlja az /etc/puppet könyvtárban található. A fileserver.conf fájl, amelyről fentebb beszéltünk, nem kötelező, és csak akkor használható, ha a Puppet fájlkiszolgálóként is működik. Ubuntun ez a fájl az /etc/puppet/files alkönyvtárat exportálja. Az ssl alkönyvtár olyan tanúsítványokat és kulcsokat tartalmaz, amelyeket a titkosításhoz használunk az ügyfelek csatlakoztatásakor. A kulcsok automatikusan jönnek létre a puppetmasterd első indításakor; manuálisan is létrehozhatja őket a paranccsal.

$ sudo /usr/bin/ puppetmasterd --mkusers.

A puppetd.conf és a puppetmasterd.conf fájlok hasonlóak. Megjelölnek néhány paramétert a démonok működéséhez a kliens rendszeren és a szerveren. Az ügyfélfájl csak a szerver paraméter jelenlétében különbözik, amely arra a számítógépre mutat, amelyen a puppetmasterd fut.

szerver = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# küldjön jelentést a szervernek

Annak elkerülése érdekében, hogy mindent kézzel gépeljen be, létrehozhat egy sablont a puppetd használatával.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Hasonlóképpen létrehozhatja a site.pp fájlt a szerveren.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Egy másik fájl, a tagmail.conf, lehetővé teszi azoknak az e-mail címeknek a megadását, amelyekre a jelentéseket küldeni kell. A legegyszerűbb esetben egy sort használhat.

minden: [e-mail védett]

A konfigurációs fájlok nem elegendőek ahhoz, hogy az ügyfél csatlakozzon a szerverhez. Ehhez a tanúsítványokat is alá kell írni. Először is, hogy tájékoztassa a szervert az új számítógépről az ügyfélrendszeren, írja be a következő parancsot:

$ sudo puppetd --server grinder.com --waitforcert 60 --teszt

info: Igazolvány kérése

figyelmeztetés: a peer-tanúsítvány nem kerül ellenőrzésre ebben az SSL-munkamenetben

megjegyzés: Nem kapott igazolást

Ha egy másik sort ad vissza, ellenőrizze a szerver működését.

$ ps aux | grep báb

báb 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 ruby/usr/sbin/puppetmasterd

A tűzfalnak engedélyeznie kell a kapcsolatokat a 8140-es porton.

A szerveren megkapjuk az aláírandó tanúsítványok listáját.

$ sudo puppetca --list

nomad.grinder.com

És aláírjuk az ügyféltanúsítványt.

$ sudo puppetca –sign nomad.grinder.com

Mostantól a kliens szabadon csatlakozhat a szerverhez és fogadhatja a beállításokat.

Sajnos a cikkben egyszerűen nem lehet bemutatni a Puppet összes képességét. De amint láthatja, ez egy funkcionális és rugalmas eszköz, amely lehetővé teszi a legtöbb rendszer egyidejű adminisztrációjával kapcsolatos problémák megoldását. Ha a munkája több rendszer beállítását igényli. És ami a legfontosabb, a projektnek sikerült egy kicsi, de folyamatosan növekvő közösséget összegyűjtenie. Ezért reménykedjünk abban, hogy egy jó ötlet nem hal el vagy félremegy.

Báb egy többplatformos struktúra, amely lehetővé teszi rendszergazdák Gyakori feladatok végrehajtása kóddal. A kód segítségével különféle feladatokat hajthat végre az új programok telepítésétől a fájlengedélyek ellenőrzéséig vagy a felhasználói fiókok frissítéséig. Báb nemcsak a rendszer kezdeti telepítése során, hanem a rendszer teljes életciklusa során is kiváló. A legtöbb esetben báb kliens/szerver konfigurációban használatos.

Ez a rész a telepítést és a konfigurációt mutatja be Báb kliens/szerver konfigurációban. Ez az egyszerű példa bemutatja a telepítést Apache segítségével Báb.

Telepítés

A telepítéshez Bábírja be a terminálba:

Sudo apt-get install puppetmaster

Az ügyfélgép(ek)en írja be:

Sudo apt-get install puppet

Beállítások

A báb beállítása előtt érdemes lehet hozzáadni egy bejegyzést DNS CNAME Mert puppet.example.com, Ahol example.com- ez a te domained. Alapértelmezett ügyfelek Báb ellenőrizze a DNS-t a puppet.example.com címen a puppet szerver neveként ( Bábjátékos). A DNS használatával kapcsolatos további részletekért lásd: Domain Name Service.

Ha nem kívánja használni a DNS-t, akkor a kiszolgálón és a kliensen lévő /etc/hosts fájlhoz is hozzáadhat bejegyzéseket. Például az /etc/hosts fájlban Báb szerver hozzáadása:

127.0.0.1 localhost.localdomain localhost puppet 192.168.1.17 meercat02.example.com meercat02

Mindegyiken Báb A kliensben adjon hozzá egy bejegyzést a szerverhez:

192.168.1.16 meercat.example.com meercat puppet

Cserélje ki az IP-címeket és domain nevek a példától kezdve az aktuális címeiig és a szerver és az ügyfelek neveiig.

Most állítsunk be néhány forrást ehhez apache2. Hozzon létre egy fájlt /etc/puppet/manifests/site.pp a következőket tartalmazza:

Package ( "apache2": biztosítsa => telepítve) szolgáltatás ( "apache2": biztosítsa => true, enable => true, request => Package["apache2"] )

"meercat02.example.com" csomópont (beleértve az apache2-t is)

Cserélje ki meercat02.example.com jelenlegi nevedre Bábügyfél.

Az utolsó lépés ennek az egyszerűnek Báb a szervernek újra kell indítania a szolgáltatást:

Sudo /etc/init.d/puppetmaster újraindítás

Mostantól Báb minden be van állítva a szerveren, és itt az ideje a kliens konfigurálásának.

Először is konfiguráljuk a szolgáltatást Bábügynök indítani. Szerkessze az /etc/default/puppet fájlt, lecserélve az értéket RAJT tovább Igen:

Sudo /etc/init.d/puppet start

Térjünk vissza Báb szerver aláírja az ügyféltanúsítványt a következő paranccsal:

Sudo puppetca --sign meercat02.example.com

Jelölje be /var/log/syslog az esetleges konfigurációs hibákért. Ha minden jól ment, a csomag apache2és a függőségei telepítésre kerülnek Bábügyfél.

Ez a példa nagyon egyszerű, és nem mutat be sok funkciót és előnyt. Báb. Mert további információ néz

Szergej Jaremcsuk

UNIX rendszerek központi konfigurálása Puppet segítségével

A nagyszámú UNIX rendszer kezelése nem nevezhető kényelmesnek. Egy paraméter megváltoztatásához az adminisztrátornak fel kell vennie a kapcsolatot minden géppel, a szkriptek csak részben tudnak segíteni, és nem minden helyzetben.

Fel kell ismerni, hogy a Windows hálózati rendszergazdái még mindig előnyösebb helyzetben vannak. Elég megváltoztatni a csoportházirend beállításait, és egy idő után a hálózat összes számítógépe, beleértve a nemrég telepített operációs rendszerrel rendelkezőket is, „megtanulja” az újítást, persze ha az őket érinti. Ha visszatekintünk a UNIX fejlesztés hosszú időszakára, láthatjuk, hogy soha semmi ilyesmi nem fogott meg. Vannak olyan megoldások, mint a kickstart, amelyek segítenek az operációs rendszer kezdeti telepítésében, de a további fejlesztés jelentős erőfeszítést igényel. A kereskedelmi megoldások, mint például a BladeLogic és az OpsWare, csak részben oldják meg a beállítások automatizálásának problémáját, fő előnyük a grafikus felület jelenléte, amelyek megvásárlását csak a nagy szervezetek engedhetik meg maguknak. Vannak persze ingyenes megoldásokat kínáló projektek, de fennállásuk során nem tudtak nagy közösséget létrehozni. Például a Cfengine nem túl népszerű a rendszergazdák körében, bár a Linuxon kívül *BSD, Windows és Mac OS X alatt is használható. Ennek oka lehet a konfigurációk létrehozásának viszonylagos bonyolultsága. A feladatok leírásánál figyelembe kell venni az egyes konkrét rendszerek jellemzőit, és a parancsok végrehajtása során kézzel kell vezérelni a műveletek sorrendjét. Vagyis az adminisztrátornak emlékeznie kell arra, hogy egyes rendszerek esetében adduser-t, másoknak - useradd-t kell írnia, figyelembe kell vennie a fájlok helyét a különböző rendszereken és így tovább. Ez nagyságrenddel megnehezíti a parancsok írását, nagyon nehéz menet közben elkészíteni a megfelelő konfigurációt, és szinte lehetetlen egy idő után elolvasni a létrehozott konfigurációkat. A GPL licenc ellenére a Cfengine lényegében egy egyszemélyes projekt, aki minden változást irányít, és nem nagyon érdekli a nyitott társadalom építése. Ennek eredményeként a Cfengine képességei eléggé kielégítőek a fejlesztő számára, de a többi rendszergazdának ez inkább plusz fejfájást jelent. A Cfengine fejlesztésére különféle kiegészítőket készítettek külső fejlesztők, amelyek gyakran csak rontottak a helyzeten. A Cfengine több ilyen moduljának szerzője, Luke Kanies végül úgy döntött, hogy kifejleszt egy hasonló eszközt, de a Cfengine számos hiányossága nélkül.

A báb jellemzői

A Puppet, a Cfengine-hez hasonlóan, egy kliens-szerver rendszer, amely deklaratív nyelvet használ a feladatok leírására és a megvalósításukhoz szükséges könyvtárakat. Az ügyfelek rendszeresen (alapértelmezés szerint 30 percenként) csatlakoznak a központi szerverhez, és megkapják a legújabb konfigurációt. Ha a kapott beállítások nem egyeznek a rendszer állapotával, akkor azok végrehajtásra kerülnek, és szükség esetén jelentést küldenek a szervernek az elvégzett műveletekről. Az üzenetszerver elmentheti a rendszernaplóba vagy egy fájlba, létrehozhat egy RRD-gráfot, és elküldheti a megadott e-mail címre. A további Tranzakciós és Erőforrás absztrakciós rétegek maximális kompatibilitást biztosítanak a meglévő beállításokkal és alkalmazásokkal, lehetővé téve, hogy a rendszerobjektumokra összpontosítson anélkül, hogy aggódnia kellene a végrehajtásban és a részletes parancsok és fájlformátumok leírásában mutatkozó különbségek miatt. Az adminisztrátor csak az objektumtípussal dolgozik, a többiről a Puppet gondoskodik. Így a csomagtípus 17 csomagrendszert tud, a szükséges automatikusan felismerésre kerül a disztribúció vagy a rendszer verziójára vonatkozó információk alapján, bár szükség esetén a csomagkezelőt is be lehet állítani kényszerből.

Ellentétben a szkriptekkel, amelyek gyakran nem használhatók más rendszereken, a külső rendszergazdák által írt Puppet konfigurációk többnyire probléma nélkül működnek bármely más hálózaton. A Puppet CookBook már három tucat kész recepttel rendelkezik. A Puppet jelenleg hivatalosan a következő operációs rendszereket és szolgáltatásokat támogatja: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo és MySQL, LDAP.

Bábnyelv

A továbblépéshez először meg kell értened a nyelv alapvető elemeit és képességeit. A nyelv a Puppet egyik erőssége. Leírja azokat az erőforrásokat, amelyeket az adminisztrátor kezelni kíván, és az általuk végrehajtott műveleteket. A legtöbb hasonló megoldástól eltérően a Puppet lehetővé teszi a nyelv számára, hogy leegyszerűsítse a hozzáférést az összes hasonló erőforráshoz bármely rendszeren heterogén környezetben. Az erőforrás leírása általában egy névből, típusból és attribútumokból áll. Például mutassunk az /etc/passwd fájlra, és állítsuk be az attribútumait:

file("/etc/passwd":

Tulajdonos => gyökér,

Csoport => gyökér,

Mód => 644,

Most a szerverhez csatlakozó kliensek átmásolják az /etc/passwd fájlt, és beállítják a megadott attribútumokat. Egy szabályban több erőforrást is megadhat, pontosvesszővel elválasztva őket. De mi van akkor, ha a szerveren használt konfigurációs fájl eltér a klienstől, vagy egyáltalán nem használják? Ez a helyzet előfordulhat például VPN-kapcsolatok beállításakor. Ebben az esetben a forrás direktívával kell a fájlra mutatni. Itt két lehetőség van: szokás szerint megadhatja egy másik fájl elérési útját, és a két támogatott URI protokollt is használhatja: a fájlt és a bábot. Az első esetben egy külső NFS-kiszolgálóra mutató hivatkozást használnak, a második lehetőségnél pedig egy NFS-szerű szolgáltatás indul a Puppet szerveren, amely erőforrásokat exportál. Az utóbbi esetben az alapértelmezett elérési út a báb gyökérkönyvtárához – /etc/puppet – relatív. Vagyis a puppet://server.domain.com/config/sshd_config hivatkozás az /etc/puppet/config/sshd_config fájlnak felel meg. Ezt a könyvtárat felülírhatja a filebucket direktívával, bár helyesebb az /etc/puppet/fileserver.conf fájl azonos nevű szakaszát használni. Ebben az esetben a szolgáltatáshoz való hozzáférést csak bizonyos címekre korlátozhatja. Például írjuk le a konfigurációs részt:

Elérési út /var/puppet/config

*.domain.com engedélyezése

127.0.0.1 engedélyezése

192.168.0.* engedélyezése

192.168.1.0/24 engedélyezése

Megtagadás *.wireless.domain.com

Ezután erre a szakaszra hivatkozunk az erőforrás leírásakor:

source => "puppet://server.domain.com/config/sshd_config"

A kettőspont előtt az erőforrás neve. A legegyszerűbb esetekben egyszerűen megadhatja névként a fájl teljes elérési útját. Bonyolultabb konfigurációkban jobb álnevet vagy változókat használni. Az alias az alias direktívával van beállítva:

file("/etc/passwd":

Alias ​​=> passwd

Egy másik lehetőség az álnév létrehozására akkor jó, ha különböző operációs rendszerekkel kell foglalkoznia. Például hozzunk létre egy erőforrást, amely leírja az sshd_config fájlt:

fájl (sshdconfig:

Név => $operációs rendszer? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Alapértelmezett => "/etc/ssh/sshd_config"

Ebben a példában választás előtt állunk. A Solaris fájlt külön kell megadni, az összes többi esetében az /etc/ssh/sshd_config fájl kerül kiválasztásra. Most ez az erőforrás sshdconfig néven érhető el, az operációs rendszertől függően a kívánt elérési út kerül kiválasztásra. Például jelezzük, hogy ha az sshd démon fut, és új fájl érkezik, akkor a szolgáltatást újra kell indítani:

szolgáltatás (sshd:

Biztosítsd, hogy => igaz,

Feliratkozás => Fájl

A változókat gyakran használjuk a felhasználói adatokkal való munka során. Például leírjuk a felhasználói kezdőkönyvtárak helyét:

$homeroot = "/home"

Mostantól egy adott felhasználó fájljai a következőképpen érhetők el:

$(homeroot)/$név

A $name paraméter a felhasználói fiók nevével lesz kitöltve. Egyes esetekben célszerű alapértelmezett értéket megadni bizonyos típusokhoz. Például az exec típusnál nagyon gyakori, hogy megadják azokat a könyvtárakat, amelyekben a végrehajtható fájlt keresni kell:

Exec ( elérési út => "/usr/bin:/bin:/usr/sbin:/sbin")

Ha több beágyazott fájlra és könyvtárra kell mutatnia, használhatja a recurse paramétert:

file("/etc/apache2/conf.d":

Forrás => "puppet:// puppet://server.domain.com/config/apache/conf.d",

Recurse => "igaz"

Több erőforrás kombinálható osztályokká vagy definíciókká. Az osztályok egy rendszer vagy szolgáltatás teljes leírását jelentik, és külön használatosak:

osztályú linux (

Fájl(

"/etc/passwd": tulajdonos => root, group => root, mode => 644;

"/etc/shadow": tulajdonos => root, group => root, mode => 440

Az objektum-orientált nyelvekhez hasonlóan az osztályok felülbírálhatók. Például a FreeBSD-n ezen fájlok csoporttulajdonosa a wheel. Ezért, hogy ne írjuk át teljesen az erőforrást, hozzunk létre egy új freebsd osztályt, amely örökli a linux osztályt:

osztály freebsd örökli a linuxot (

Fájl["/etc/passwd"] ( csoport => kerék );

Fájl["/etc/shadow"] ( csoport => kerék )

A kényelem kedvéért minden osztály elhelyezhető egy külön fájlban, amelyet az include direktíva segítségével kell tartalmaznia. A definíciók több paramétert is használhatnak argumentumként, de nem támogatják az öröklődést, és akkor használatosak, ha újrafelhasználható objektumokat kell leírni. Például határozzuk meg a felhasználó kezdőkönyvtárát és az új fiók létrehozásához szükséges parancsokat:

definiálja a user_homedir ($csoport, $teljesnév, $csoportok) (

User("$name":

Biztosítsa => jelen,

Megjegyzés => "$teljes név",

Gid => "$csoport",

Csoportok => $ingroups,

Tagság => minimum,

Shell => "/bin/bash",

Home => "/home/$name",

Require => Group[$group],

Exec("$name homedir":

Parancs => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $név:$csoport /home/$név",

Létrehoz => "/home/$name",

Require => User[$name],

Új fiók létrehozásához lépjen kapcsolatba a user_homedirrel:

user_homedir("szergej":

Csoport => "szergej",

Teljes név => "Sergej Jaremchuk",

Ingroups => ["media", " admin]

Külön leírások vannak az öröklődést támogató csomópontokról, valamint az osztályokról. Amikor egy kliens csatlakozik a Puppet szerverhez, a rendszer megkeresi a megfelelő csomóponti részt, és csak erre a számítógépre vonatkozó beállításokat adja meg. Az összes többi rendszer leírásához használhatja az alapértelmezett csomópontot. Minden típus leírása megtalálható a „Típushivatkozás” dokumentumban, amelyet minden esetben el kell olvasni, legalább a Puppet nyelv összes képességének megértéséhez. A különféle típusok lehetővé teszik meghatározott parancsok végrehajtását, beleértve bizonyos feltételek teljesülését (például konfigurációs fájl módosítása), cron-nal való munkát, felhasználói hitelesítő adatokat és csoportokat, számítógépeket, erőforrások csatlakoztatását, szolgáltatások indítását és leállítását, csomagok telepítését, frissítését és eltávolítását. , SSH-kulcsokkal, Solaris-zónákkal stb. Így kényszerítheted ki az apt segítségével, hogy a disztribúciókban lévő csomagok listája naponta 2 és 4 óra között frissüljön:

menetrend (napi:

Időszak => naponta,

Tartomány =>

exec("/usr/bin/apt-get update":

Menetrend => naponta

Az adott időszakra vonatkozó frissítést minden rendszer csak egyszer hajtja végre, ezután a feladat befejezettnek minősül, és törlődik az ügyfélszámítógépről. A Puppet nyelv más ismert struktúrákat is támogat: feltételeket, függvényeket, tömböket, megjegyzéseket és hasonlókat.

A Puppet telepítése

A Puppet alkalmazáshoz Ruby (1.8.1 és újabb verzió) szükséges OpenSSL támogatással és XMLRPC könyvtárakkal, valamint a Faster könyvtárral. A teszttelepítéshez használt Ubuntu 7.04 adattár már tartalmazza a puppy csomagot:

$ sudo apt-cache kereső báb

~$ ruby-rxmlrpc/client -e "puts:yep"

Ha nem érkezik hiba, akkor már mindent tartalmaz, amire szüksége van. A rendszer kívánt konfigurációját leíró fájlokat a Puppet terminológiában manifeszteknek nevezzük. Indításkor a démon megpróbálja beolvasni az /etc/puppet/manifests/site.pp fájlt; ha hiányzik, figyelmeztető üzenetet jelenít meg. Teszteléskor megmondhatja a démonnak, hogy önálló módban működjön, amely nem igényel manifestet:

$ sudo /usr/bin/puppetmasterd --nonodes

Ha szükséges, más fájlokat is csatlakoztathat a site.pp-hez, például osztályleírásokkal. Próbaüzemhez megadhatja a legegyszerűbb utasításokat ebbe a fájlba.

osztály sudo (

Fájl("/etc/sudoers":

Tulajdonos => gyökér,

Csoport => gyökér,

Mód => 440,

csomópont alapértelmezett (

Tartalmazza a sudo-t

Minden konfigurációs fájl, a szerver és a kliens is, az /etc/puppet könyvtárban található. A fileserver.conf fájl, amelyről már beszéltünk, nem kötelező, és csak akkor használható, ha a Puppet fájlszerverként is működik. Ubuntun ez a fájl az /etc/puppet/files alkönyvtárat exportálja. Az ssl alkönyvtár olyan tanúsítványokat és kulcsokat tartalmaz, amelyeket a titkosításhoz használunk az ügyfelek csatlakoztatásakor. A kulcsok automatikusan jönnek létre a puppetmasterd első indításakor; manuálisan is létrehozhatja őket a következő paranccsal:

$ sudo /usr/bin/puppetmasterd --mkusers

A puppetd.conf és a puppetmasterd.conf fájlok hasonlóak. Megjelölnek néhány paramétert a démonok működéséhez a kliens rendszeren és a szerveren. Az ügyfélfájl csak a szerver paraméter jelenlétében tér el, amely arra a számítógépre mutat, amelyen a puppetmasterd fut:

szerver = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# küldjön jelentést a szervernek

jelentés = igaz

Annak elkerülése érdekében, hogy mindent kézzel gépeljen be, létrehozhat egy sablont a puppetd használatával:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Hasonlóképpen létrehozhatja a site.pp fájlt a szerveren:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Egy másik fájl, a tagmail.conf, lehetővé teszi azoknak az e-mail címeknek a megadását, amelyekre a jelentéseket küldeni kell. A legegyszerűbb esetben egy sort használhat:

minden: [e-mail védett]

A konfigurációs fájlok nem elegendőek ahhoz, hogy az ügyfél csatlakozzon a szerverhez. Ehhez a tanúsítványokat is alá kell írni.

Először is, hogy tájékoztassa a szervert az új számítógépről, írja be a parancsot az ügyfélrendszeren:

$ sudo puppetd --server grinder.com --waitforcert 60 –teszt

A tűzfalnak engedélyeznie kell a kapcsolatokat a 8140-es porton.

A szerveren egy listát kapunk az aláírandó tanúsítványokról:

$ sudo puppetca –list

És írja alá az ügyféltanúsítványt:

$ sudo puppetca –sign nomad.grinder.com

Mostantól a kliens szabadon csatlakozhat a szerverhez és fogadhatja a beállításokat.

Sajnos a cikkben lehetetlen bemutatni a Puppet összes képességét. De amint láthatja, ez egy funkcionális és rugalmas eszköz, amely lehetővé teszi a legtöbb rendszer egyidejű adminisztrációjával kapcsolatos problémák megoldását. És ami a legfontosabb, a projektnek sikerült egy kicsi, de folyamatosan növekvő közösséget összegyűjtenie. Ezért reménykedjünk abban, hogy egy jó ötlet nem hal el vagy félremegy.

Sok szerencsét!

1. BladeLogic projekt weboldala – http://www.bladelogic.com.
2. Az OpsWare projekt webhelye: http://www.opsware.com.
3. A Cfengine projekt honlapja: http://www.cfengine.org.
4. A Puppet projekt weboldala: http://reductivelabs.com/projects/puppet.
5. Puppet CookBook – http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Gyorsabb könyvtár –