cfpuppetserver сыныбы

• deployuser = "deploypuppet" - конфигурация жаңартуларын автоматты түрде орналастыруға арналған пайдаланушы аты
• deployuser_auth_keys = undef - $deployuser үшін кілттер тізімі
• repo_url = undef - URI репозиторийі (мысалы: ssh://user@host/repo немесе file:///some/path)
• puppetserver = true - осы түйінге қуыршақ сервері компонентін орнату керек пе
• puppetdb = true - осы түйінге PuppetDB компонентін орнату керек пе
• puppetdb_port = 8081 - PuppetDB порты
• setup_postgresql = true - PostgreSQL компонентін осы түйінге орнату керек пе (тек PuppetDB орнату қосулы болса)
• service_face = "кез келген" - кіріс қосылымдарды қабылдауға арналған cfnetwork::iface ресурсының атауы
• puppetserver_mem = auto - Қуыршақ серверіне арналған жедел жады мегабайтпен (кемінде 192 МБ)
• puppetdb_mem = auto - мегабайттағы PuppetDB үшін жедел жад (кемінде 192 МБ)
• postgresql_mem = auto - PostgreSQL үшін жедел жады мегабайтпен (кемінде 128 МБ)

cfpuppetserver::puppetdb класы

• postgresql_host = "localhost" - дерекқор мекенжайы
• postgresql_listen = $postgresql_host - мән тікелей listen_addresses PostgreSQL директивасына өтеді
• postgresql_port = 5432 - дерекқор порты
• postgresql_user = "puppetdb" - дерекқордағы PuppetDB пайдаланушысы
• postgresql_pass = "puppetdb" - дерекқордағы PuppetDB пайдаланушысының құпия сөзі
• postgresql_ssl = false - Қуыршақ PKI сертификаттарына негізделген қосылым шифрлауын қосыңыз

класс cfpuppetserver::puppetserver

• autosign = false - DMZ-ден басқа, ұрыс жағдайында ПАЙДАЛАНБАУ КЕРЕК. Тек сынақты автоматтандыру үшін бар.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - Қуыршақ канондарына сәйкес әдепкі Hiera конфигурация файлына жол (бірінші компонент модульдің аты, қалғаны модульдегі файлдар/қалта астындағы жол)

Сіз сайтты дамытуға көмектесіп, біраз қаражат аудара аласыз

Unix жүйелерінің көп санын басқаруды ыңғайлы деп атауға болмайды. Бір параметрді өзгерту үшін әкімші әрбір құрылғымен байланысуы керек; сценарийлер барлық жағдайларда емес, ішінара ғана көмектесе алады.

Windows желілік әкімшілері әлі де тиімдірек жағдайда екенін мойындау керек. Топтық саясат параметрлерін өзгерту жеткілікті және біраз уақыттан кейін желідегі барлық компьютерлер, соның ішінде жақында орнатылған операциялық жүйесі бар компьютерлер, әрине, егер оларға қатысты болса, инновация туралы «үйренеді». Unix дамуының ұзақ кезеңіне көз жүгіртсеңіз, мұндай ештеңе ешқашан қолға алынбағанын байқайсыз. Бастапқы орнатуға көмектесетін kickstart сияқты шешімдер бар операциялық жүйе, бірақ одан әрі нақтылау айтарлықтай күш-жігерді қажет етеді. BladeLogic және OpsWare сияқты коммерциялық шешімдер параметрлерді автоматтандыру мәселесін тек ішінара шешеді; олардың басты артықшылығы - қолжетімділік. GUI, және оларды тек ірі ұйымдардан сатып алуға болады. Әрине, тегін шешімдерді ұсынатын жобалар бар, бірақ олар өмір бойы үлкен қауымдастық құра алмады. Мысалы, Cfengine әкімшілер арасында онша танымал емес, дегенмен Linux-тен басқа, оны *BSD, Windows және Mac OS X жүйелерінде қолдануға болады. Бұл конфигурацияларды жасаудың салыстырмалы күрделілігіне байланысты болуы мүмкін. Тапсырмаларды сипаттау кезінде әрбір нақты жүйенің ерекшеліктерін ескеру керек және командаларды орындау кезінде әрекеттер тізбегін қолмен басқару керек. Яғни, әкімші кейбір жүйелер үшін басқалары үшін adduser, useradd жазу, әртүрлі жүйелердегі файлдардың орналасуын ескеру және т.б. Бұл пәрмендердің жазылу процесін магнитудасы бойынша қиындатады, дұрыс конфигурацияны жылдам жасау өте қиын, ал жасалған конфигурацияларды біраз уақыттан кейін оқу мүмкін емес. GPL лицензиясына қарамастан, Cfengine - бұл барлық өзгерістерді бақылайтын және ашық қоғам құруға аса қызығушылық танытпайтын бір адамдық жоба. Нәтижесінде cfengine мүмкіндіктері әзірлеуші ​​үшін өте қанағаттанарлық, бірақ басқа әкімшілер үшін бұл қосымша бас ауруы. Cfengine-ді жақсарту үшін үшінші тарап әзірлеушілері әртүрлі қондырмаларды жасады, бұл көбінесе жағдайды нашарлатты. Cfengine-ге арналған бірнеше осындай модульдердің авторы Люк Канис ақырында ұқсас құралды әзірлеуге шешім қабылдады, бірақ cfengine-дің көптеген кемшіліктері жоқ.

Қуыршақ ерекшеліктері

Қуыршақ, cfengine сияқты, декларативті, яғни тапсырмаларды және оларды орындау үшін кітапханаларды сипаттау үшін міндетті тілді қолданатын клиент-сервер жүйесі. Клиенттер мезгіл-мезгіл (әдепкі бойынша 30 минут) орталық серверге қосылып, соңғы конфигурацияны алады. Алынған баптаулар жүйе күйіне сәйкес келмесе, олар орындалады, қажет болған жағдайда серверге орындалған операциялар туралы есеп жіберіледі. Сервер хабарламаларды жүйе журналына немесе файлға сақтай алады, RRD графигін жасай алады және оларды көрсетілген электрондық поштаға жібере алады. Қосымша транзакциялық және ресурстарды абстракциялау деңгейлері бар параметрлермен және қолданбалармен максималды үйлесімділікті қамтамасыз етеді, бұл егжей-тегжейлі пәрмендер мен файл пішімдерін орындау мен сипаттаудағы айырмашылықтар туралы алаңдамай жүйе нысандарына назар аударуға мүмкіндік береді. Әкімші тек нысан түрімен жұмыс істейді, қалғанын қуыршақ шешеді. Осылайша, пакеттер түрі шамамен 17 пакеттік жүйені біледі; қажет болған жағдайда тарату немесе жүйе нұсқасы туралы ақпарат негізінде автоматты түрде танылады, бірақ қажет болған жағдайда пакет менеджерін мәжбүрлеуге болады.

Басқа жүйелерде жиі пайдалану мүмкін емес сценарийлерден айырмашылығы, үшінші тарап әкімшілері жазған қуыршақ конфигурациялары, көп жағдайда, кез келген басқа желіде ақаусыз жұмыс істейді. Қуыршақ аспаздық кітабында [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] қазірдің өзінде үш ондаған дайын рецепттер бар. Қуыршақ қазіргі уақытта келесі операциялық жүйелер мен қызметтерді ресми түрде қолдайды: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo және MySQL, LDAP.

Қуыршақ тілі

Алға жылжу үшін алдымен тілдің негізгі элементтері мен мүмкіндіктерін түсіну керек. Тіл – соның бірі күшті жақтарыҚуыршақ. Оның көмегімен әкімші басқаруды жоспарлайтын ресурстар мен әрекеттер сипатталады. Көптеген ұқсас шешімдерден айырмашылығы, қуыршақ тілге гетерогенді ортадағы кез келген жүйедегі барлық ұқсас ресурстарға қол жеткізуді жеңілдетуге мүмкіндік береді. Ресурс сипаттамасы әдетте атаудан, түрден және атрибуттардан тұрады. Мысалы, /etc/passwd файлын көрсетіп, оның атрибуттарын орнатайық:

файл("/etc/passwd":

иесі => түбір,

топ => түбір,

Енді клиенттер серверге қосылғаннан кейін /etc/passwd файлын көшіріп, көрсетілген атрибуттарды орнатады. Бірнеше ресурстарды нүктелі үтір арқылы бөліп, бір ережеде анықтауға болады. Серверде қолданылатын конфигурация файлы клиенттікінен өзгеше болса немесе мүлде пайдаланылмаса не істеу керек? Мысалы, бұл жағдай VPN қосылымдарын орнату кезінде туындауы мүмкін. Бұл жағдайда файлды бастапқы директиваны пайдалану арқылы көрсетуге болады. Мұнда әдеттегідей басқа файлға жолды көрсетудің екі нұсқасы бар; екі URI протоколына да қолдау көрсетіледі: файл және қуыршақ. Бірінші жағдайда сыртқы NFS серверіне сілтеме пайдаланылады, екінші нұсқада ресурстарды экспорттайтын Қуыршақ серверінде NFS тәрізді қызмет іске қосылады. Соңғы жағдайда әдепкі жол қуыршақ түбірлік каталогына қатысты - /etc/puppet. Яғни, puppet://server.domain.com/config/sshd_config сілтемесі /etc/puppet/config/sshd_config файлына сәйкес болады. Бұл каталогты filebucket директивасы арқылы қайта анықтауға болады, дегенмен /etc/puppet/fileserver.conf файлында бір аттас бөлімді пайдалану дұрысырақ. Бұл жағдайда сіз белгілі бір мекенжайлардан ғана қызметке кіруді шектей аласыз. Мысалы, конфигурация бөлімін сипаттайық.

жол /var/puppet/config

*.domain.com рұқсат етіңіз

рұқсат 192.168.0.*

192.168.1.0/24 рұқсат етіңіз

*.wireless.domain.com

Содан кейін ресурсты сипаттау кезінде осы бөлімге жүгінеміз.

көзі => "puppet://server.domain.com/config/sshd_config"

Қос нүктенің алдында - ресурс атауы. Ең қарапайым жағдайларда лақап атты немесе айнымалыларды атау ретінде көрсетуге болады. Бүркеншік ат директивасының көмегімен орнатылады. файлға толық жол. Неғұрлым күрделі конфигурацияларда

файл("/etc/passwd":

бүркеншік ат => passwd

Бүркеншік ат жасаудың тағы бір нұсқасы әртүрлі операциялық жүйелермен жұмыс істеу керек болғанда жақсы. Мысалы, sshd_config файлын сипаттайтын ресурс жасайық:

файл(sshdconfig:

аты => $ операциялық жүйе ? (

solaris => "/usr/local/etc/ssh/sshd_config",

әдепкі => "/etc/ssh/sshd_config"

Бұл мысалда біз таңдау алдында тұрмыз. Solaris файлы бөлек көрсетілген, қалғандары үшін /etc/ssh/sshd_config файлы таңдалады. Енді бұл ресурсқа sshdconfig ретінде кіруге болады, операциялық жүйеге байланысты қажетті жол таңдалады. Мысалы, егер sshd демоны жұмыс істеп тұрса және жаңа файл алынса, қызметті қайта іске қосу керек екенін көрсетеміз.

қамтамасыз ету => шын,

жазылу => Файл

Айнымалылар пайдаланушы деректерімен жұмыс істегенде жиі пайдаланылады. Мысалы, біз пайдаланушының үй каталогтарының орнын сипаттаймыз:

$homeroot = "/үй"

Енді белгілі бір пайдаланушының файлдарына қол жеткізуге болады

$(homeroot)/$name

$name параметрі пайдаланушы тіркелгі атымен толтырылады. Кейбір жағдайларда кейбір түр үшін әдепкі мәнді анықтау ыңғайлы. Мысалы, exec түрі үшін олар жиі орындалатын файлды іздеу керек каталогтарды көрсетеді:

Exec (жол => "/usr/bin:/bin:/usr/sbin:/sbin")

Бірнеше кірістірілген файлдар мен каталогтарды көрсету қажет болса, recurse параметрін пайдалануға болады.

file("/etc/apache2/conf.d":

көзі => “қуыршақ:// қуыршақ://server.domain.com/config/apache/conf.d”,

қайталау => «шын»

Бірнеше ресурстарды сыныптарға немесе анықтамаларға біріктіруге болады. Сыныптар жүйенің немесе қызметтің толық сипаттамасы болып табылады және бөлек пайдаланылады.

"/etc/passwd": иесі => түбір, топ => түбір, режим => 644;

"/etc/shadow": иесі => түбір, топ => түбір, режим => 440

Объектіге-бағытталған тілдердегідей, сыныптарды қайта анықтауға болады. Мысалы, FreeBSD-де бұл файлдардың топ иесі дөңгелек болып табылады. Сондықтан ресурсты толығымен қайта жазбау үшін Linux класын иеленетін жаңа freebsd сыныбын жасайық:

freebsd класы linux мұрагері (

Файл[“/etc/passwd”] (топ => дөңгелек );

Файл[“/etc/shadow”] (топ => дөңгелек )

Ыңғайлы болу үшін барлық сыныптарды қосу директивасы арқылы қосуға болатын бөлек файлға орналастыруға болады. Анықтамалар аргументтер ретінде бірнеше параметрді қабылдай алады, бірақ мұраға қолдау көрсетпейді және қайта пайдалануға болатын нысандарды сипаттау қажет болғанда пайдаланылады. Мысалы, пайдаланушылардың үй каталогын және жаңа тіркелгі жасау үшін қажетті пәрмендерді анықтайық.

user_homedir анықтаңыз ($топ, $толық аты, $ingroups) (

user("$name":

қамтамасыз ету => бар,

түсініктеме => "$толық аты",

gid => "$топ",

топтар => $топтар,

мүшелік => ең аз,

shell => "/bin/bash",

үй => "/home/$name",

талап => Group[$group],

exec («$name homedir»:

пәрмен => “/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$топ /үй/$атауы,

жасайды => "/home/$name",

=> User[$name] талап етеді,

Енді жаңасын жасау есептік жазбажай ғана user_homedir хабарласыңыз.

user_homedir("sergej":

group => "sergej",

толық аты-жөні => «Сергей Жаремчук»,

ішкі топтар => ["медиа", "әкімші]

Сыныптар сияқты мұраны қолдайтын түйіндердің жеке сипаттамалары бар. Клиент Қуыршақ серверіне қосылғанда, сәйкес түйін бөлімі ізделеді және тек осы компьютерге тән параметрлер беріледі. Барлық басқа жүйелерді сипаттау үшін әдепкі түйінді пайдалануға болады. Барлық түрлердің сипаттамасы «Түр туралы анықтама» құжатында берілген, оны кез келген жағдайда, кем дегенде, қуыршақ тілінің барлық мүмкіндіктерін түсіну үшін оқу керек. Әртүрлі түрлерікөрсетілген пәрмендерді орындауға мүмкіндік береді, соның ішінде белгілі бір шарттар орындалғанда (мысалы, конфигурация файлын өзгерту), cron, пайдаланушы тіркелгі деректерімен және топтарымен, компьютерлермен жұмыс істеу, монтаждау ресурстары, қызметтерді іске қосу және тоқтату, пакеттерді орнату, жаңарту және жою, жұмыс бірге SSH кілттері, Solaris аймақтары және т.б. Күн сайын 2 және 4 сағат арасында жаңартылатын apt көмегімен дистрибутивтердегі бумалар тізімін мәжбүрлеу оңай.

кесте (күнделікті:

кезең => күнделікті,

диапазон =>

exec("/usr/bin/apt-get update":

кесте => күнделікті

Осы кезеңдегі жаңартуды әрбір жүйе тек бір рет орындайды, содан кейін тапсырма орындалды деп есептеледі және клиенттік компьютерден жойылады. Қуыршақ тілі басқа таныс құрылымдарды қолдайды: шарттар, функциялар, массивтер, түсініктемелер және т.б.

Қуыршақты орнату

Қуыршаққа OpenSSL қолдауы бар Ruby (>= 1.8.1) және XMLRPC кітапханалары, сонымен қатар Faster кітапханасы қажет [ http://reductivelabs.com/projects/facter]. Сынақ орнату үшін пайдаланылған Ubuntu 7.04 репозиторийінде күшік пакеті бар.

$ sudo apt-cache іздеу қуыршақ

қуыршақ — желілер үшін орталықтандырылған конфигурацияны басқару

puppetmaster - конфигурацияны басқарудың орталықтандырылған демоны

Орнату кезінде барлық қажетті тәуелділік бумалары орнатылады: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get орнату қуыршақ қуыршақ шебері

Сіз Ruby кітапханаларының қолжетімділігін пәрмен арқылы тексере аласыз.

$ ruby ​​-ropenssl -e "қойды: иә"

~$ ruby ​​-rxmlrpc/client -e "puts:yep"

Ешқандай қателер алынбаса, сізге қажет нәрсенің бәрі қазірдің өзінде қамтылған. Жүйелердің қажетті конфигурациясын сипаттайтын файлдар қуыршақ терминологиясында манифесттер деп аталады. Іске қосылған кезде демон /etc/puppet/manifests/site.pp файлын оқуға тырысады, егер ол жоқ болса, ол ескерту хабарын көрсетеді. Тестілеу кезінде сіз демонға офлайн режимде жұмыс істеуді айта аласыз, бұл жағдайда манифест қажет емес.

$ sudo /usr/bin/puppetmasterd --nonodes

Қажет болса, басқа файлдарды site.pp файлына қосуға болады, мысалы, сынып сипаттамаларымен. Сынақ іске қосу үшін осы файлға ең қарапайым нұсқауларды енгізуге болады.

файл("/etc/sudoers":

иесі => түбір,

топ => түбір,

Серверге де, клиенттерге де арналған барлық конфигурация файлдары /etc/puppet ішінде орналасқан. Жоғарыда біз айтқан fileserver.conf файлы міндетті емес және Қуыршақ файл сервері ретінде де жұмыс істейтін болса ғана пайдаланылады. Ubuntu жүйесінде бұл файл /etc/puppet/files ішкі каталогын экспорттайды. ssl ішкі каталогында клиенттерді қосу кезінде шифрлау үшін пайдаланылатын сертификаттар мен кілттер бар. Пернелер puppetmasterd бірінші рет іске қосылғанда автоматты түрде жасалады; оларды пәрмен арқылы қолмен жасауға болады.

$ sudo /usr/bin/ puppetmasterd --mkusers.

puppetd.conf және puppetmasterd.conf файлдары ұқсас. Олар клиенттік жүйе мен сервердегі демондардың жұмыс істеуінің кейбір параметрлерін көрсетеді. Клиенттік файл тек puppetmasterd жұмыс істеп тұрған компьютерді көрсететін сервер параметрінің болуымен ғана ерекшеленеді.

сервер = grinder.com

logdir = /var/log/қуыршақ

vardir = /var/lib/қуыршақ

rundir = /var/run

# серверге есеп жіберу

Барлығын қолмен термеу үшін, puppetd көмегімен үлгі жасауға болады.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Сол сияқты серверде site.pp жасай аласыз.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Басқа файл, tagmail.conf, есептер жіберілетін электрондық пошта мекенжайларын көрсетуге мүмкіндік береді. Ең қарапайым жағдайда сіз бір жолды пайдалана аласыз.

барлық: [электрондық пошта қорғалған]

Конфигурация файлдары клиенттің серверге қосылуы үшін жеткіліксіз. Ол үшін сертификаттарға да қол қою қажет. Алдымен серверге клиенттік жүйедегі жаңа компьютер туралы хабарлау үшін пәрменді енгізіңіз:

$ sudo puppetd --server grinder.com --waitforcert 60 --test

ақпарат: сертификатты сұрау

ескерту: осы SSL сеансында серіктес сертификаты тексерілмейді

ескерту: сертификат алған жоқ

Егер басқа жол қайтарылса, сервер жұмысын тексеру керек.

$ps aux | grep қуыршақ

қуыршақ 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 ruby ​​/usr/sbin/puppetmasterd

Брандмауэр 8140 портындағы қосылымдарға рұқсат беруі керек.

Серверде қол қою қажет сертификаттар тізімін аламыз.

$ sudo puppetca - тізім

nomad.grinder.com

Біз клиент сертификатына қол қоямыз.

$ sudo puppetca – nomad.grinder.com белгісі

Енді клиент серверге еркін қосылып, параметрлерді қабылдай алады.

Өкінішке орай, мақалада Puppet-тің барлық мүмкіндіктерін көрсету мүмкін емес. Бірақ көріп отырғаныңыздай, бұл көптеген жүйелерді бір уақытта басқару мәселелерінің көпшілігін шешуге мүмкіндік беретін функционалды және икемді құрал. Егер сіздің жұмысыңыз бірнеше жүйені орнатуды талап етсе. Ең бастысы, жоба шағын, бірақ үнемі өсіп келе жатқан қауымдастықты жинай алды. Сондықтан жақсы ойдың өліп кетуіне, шетке кетуіне жол берілмесе екен деп тілейік.

Қуыршақмүмкіндік беретін кросс-платформалық құрылым болып табылады жүйелік әкімшілерКодты пайдаланып жалпы тапсырмаларды орындаңыз. Код жаңа бағдарламаларды орнатудан бастап файл рұқсаттарын тексеруге немесе пайдаланушы тіркелгілерін жаңартуға дейін әртүрлі тапсырмаларды орындауға мүмкіндік береді. Қуыршақжүйені бастапқы орнату кезінде ғана емес, жүйенің бүкіл өмірлік циклі бойынан жоғары. Көп жағдайда қуыршақклиент/сервер конфигурациясында қолданылады.

Бұл бөлім орнату мен конфигурацияны көрсетеді Қуыршақклиент/сервер конфигурациясында. Бұл қарапайым мысал орнату жолын көрсетеді Апачиқолдану Қуыршақ.

Орнату

Орнату үшін Қуыршақтерминалға енгізіңіз:

Sudo apt-get орнату қуыршақ шебері

Клиенттік машиналарда мынаны енгізіңіз:

Sudo apt-get орнату қуыршақ

Параметрлер

Қуыршақты орнатпас бұрын жазба қосқыңыз келуі мүмкін DNS CNAMEҮшін puppet.example.com, Қайда example.com- бұл сіздің доменіңіз. Әдепкі клиенттер Қуыршақ puppet.example.com үшін DNS-ті қуыршақ сервер атауы ретінде тексеріңіз ( Қуыршақ шебері). DNS пайдалану туралы қосымша мәліметтерді Домендік атаулар қызметі бөлімінен қараңыз.

DNS пайдалануды қаламасаңыз, сервер мен клиенттегі /etc/hosts файлына жазбаларды қосуға болады. Мысалы, /etc/hosts файлында Қуыршақсервер қосу:

127.0.0.1 localhost.localdomain localhost қуыршақ 192.168.1.17 meercat02.example.com meercat02

Әр күні ҚуыршақКлиентте сервер үшін жазба қосыңыз:

192.168.1.16 meercat.example.com meercat қуыршақ

IP мекенжайларын ауыстырыңыз және домендік атаулармысалдан сервер мен клиенттердің ағымдағы мекенжайлары мен атауларына дейін.

Енді кейбір ресурстарды реттейік apache2. Файл жасау /etc/puppet/manifests/site.ppмыналарды қамтиды:

Пакет ( "apache2": қамтамасыз ету => орнатылған) қызметі ( "apache2": қамтамасыз ету => ақиқат, қосу => шын, талап => Пакет["apache2"] )

"meercat02.example.com" түйіні (apache2 кіреді)

Ауыстыру meercat02.example.comқазіргі атыңызға Қуыршақклиент.

Бұл қарапайым үшін соңғы қадам Қуыршақсервер қызметті қайта іске қосуы керек:

Sudo /etc/init.d/puppetmaster қайта іске қосылады

Енді Қуыршақбарлығы серверде конфигурацияланған және клиентті конфигурациялау уақыты келді.

Алдымен қызметті конфигурациялайық Қуыршақіске қосу үшін агент. Мәнді ауыстыра отырып, /etc/default/puppet өңдеңіз БАСТАУқосулы иә:

Sudo /etc/init.d/puppet бастау

Қайта оралайық Қуыршақкелесі пәрменді пайдаланып клиент сертификатына қол қою үшін сервер:

Sudo puppetca - meercat02.example.com белгісі

Тексеру /var/log/syslogкез келген конфигурация қателері үшін. Егер бәрі жақсы болса, пакет apache2және оның тәуелділіктері орнатылады Қуыршақклиент.

Бұл мысал өте қарапайым және көптеген мүмкіндіктер мен артықшылықтарды көрсетпейді. Қуыршақ. Үшін Қосымша Ақпаратқара

Сергей Яремчук

Puppet көмегімен UNIX жүйелерінің орталықтандырылған конфигурациясы

UNIX жүйелерінің көп санын басқаруды ыңғайлы деп атауға болмайды. Бір параметрді өзгерту үшін әкімші әрбір құрылғымен байланысуы керек; сценарийлер барлық жағдайларда емес, ішінара ғана көмектесе алады.

Windows желілік әкімшілері әлі де тиімдірек жағдайда екенін мойындау керек. Топтық саясат параметрлерін өзгерту жеткілікті, және біраз уақыттан кейін желідегі барлық компьютерлер, оның ішінде жақында орнатылған операциялық жүйесі бар компьютерлер, әрине, егер оларға қатысты болса, инновация туралы «үйренеді». UNIX дамуының ұзақ кезеңіне көз жүгіртсек, мұндай ешнәрсе бұрын-соңды болмағанын көруге болады. Операциялық жүйені бастапқы орнатуға көмектесетін kickstart сияқты шешімдер бар, бірақ одан әрі дамыту үшін айтарлықтай күш қажет. BladeLogic және OpsWare сияқты коммерциялық шешімдер параметрлерді автоматтандыру мәселесін тек ішінара шешеді; олардың басты артықшылығы графикалық интерфейстің болуы болып табылады және оларды тек ірі ұйымдар сатып ала алады. Әрине, тегін шешімдерді ұсынатын жобалар бар, бірақ олар бар болған кезде үлкен қауымдастық құра алмады. Мысалы, Cfengine әкімшілер арасында өте танымал емес, дегенмен Linux-тан басқа, оны *BSD, Windows және Mac OS X жүйелерінде қолдануға болады. Бұл конфигурацияларды жасаудың салыстырмалы күрделілігіне байланысты болуы мүмкін. Тапсырмаларды сипаттау кезінде әрбір нақты жүйенің сипаттамаларын ескеру және командаларды орындау кезінде әрекеттер тізбегін қолмен басқару қажет. Яғни, әкімші есте сақтауы керек, кейбір жүйелер үшін adduser жазу керек, басқалары үшін - useradd, әртүрлі жүйелердегі файлдардың орналасуын ескеру және т.б. Бұл пәрмендердің жазылу процесін магнитудасы бойынша қиындатады, дұрыс конфигурацияны жылдам жасау өте қиын, ал жасалған конфигурацияларды біраз уақыттан кейін оқу мүмкін емес. GPL лицензиясына қарамастан, Cfengine - бұл барлық өзгерістерді бақылайтын және ашық қоғам құруға аса қызығушылық танытпайтын бір адамдық жоба. Нәтижесінде Cfengine мүмкіндіктері әзірлеуші ​​үшін өте қанағаттанарлық, бірақ басқа әкімшілер үшін бұл қосымша бас ауруы. Cfengine-ді жақсарту үшін үшінші тарап әзірлеушілері әртүрлі қондырмаларды жасады, бұл көбінесе жағдайды нашарлатты. Cfengine-ге арналған бірнеше осындай модульдердің авторы Люк Канис, сайып келгенде, ұқсас құралды әзірлеуге шешім қабылдады, бірақ Cfengine-дің көптеген кемшіліктері жоқ.

Қуыршақ ерекшеліктері

Қуыршақ, Cfengine сияқты, тапсырмаларды және оларды жүзеге асыру үшін кітапханаларды сипаттау үшін декларативті тілді пайдаланатын клиент-сервер жүйесі. Клиенттер мезгіл-мезгіл (әдепкі бойынша 30 минут сайын) орталық серверге қосылып, соңғы конфигурацияны алады. Алынған баптаулар жүйе күйіне сәйкес келмесе, олар орындалады, қажет болған жағдайда серверге орындалған операциялар туралы есеп жіберіледі. Хабарлама сервері оны жүйе журналына немесе файлға сақтай алады, RRD графигін жасап, көрсетілген электрондық поштаға жібере алады. Қосымша транзакциялық және ресурстарды абстракциялау деңгейлері бар параметрлермен және қолданбалармен максималды үйлесімділікті қамтамасыз етеді, бұл егжей-тегжейлі пәрмендер мен файл пішімдерін орындаудағы және сипаттаудағы айырмашылықтар туралы алаңдамай жүйе нысандарына назар аударуға мүмкіндік береді. Әкімші тек нысан түрімен жұмыс істейді, қалғанын қуыршақ шешеді. Осылайша, пакеттер түрі шамамен 17 пакеттік жүйені біледі; қажет болған жағдайда тарату немесе жүйе нұсқасы туралы ақпарат негізінде автоматты түрде танылады, бірақ қажет болған жағдайда пакет менеджерін мәжбүрлеп орнатуға болады.

Басқа жүйелерде жиі пайдалану мүмкін емес сценарийлерден айырмашылығы, үшінші тарап әкімшілері жазған қуыршақ конфигурациялары басқа желіде еш қиындықсыз жұмыс істейді. Қуыршақ аспаздық кітабында қазірдің өзінде үш ондаған дайын рецепттер бар. Қуыршақ қазіргі уақытта келесі операциялық жүйелер мен қызметтерді ресми түрде қолдайды: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo және MySQL, LDAP.

Қуыршақ тілі

Алға жылжу үшін алдымен тілдің негізгі элементтері мен мүмкіндіктерін түсіну керек. Тіл - Қуыршақтың күшті жақтарының бірі. Ол әкімші басқаруды жоспарлайтын ресурстарды және олар жасайтын әрекеттерді сипаттайды. Көптеген ұқсас шешімдерден айырмашылығы, қуыршақ тілге гетерогенді ортадағы кез келген жүйедегі барлық ұқсас ресурстарға қол жеткізуді жеңілдетуге мүмкіндік береді. Ресурс сипаттамасы әдетте атаудан, түрден және атрибуттардан тұрады. Мысалы, /etc/passwd файлын көрсетіп, оның атрибуттарын орнатайық:

файл("/etc/passwd":

Иесі => түбір,

Топ => түбір,

Режим => 644,

Енді серверге қосылатын клиенттер /etc/passwd файлын көшіріп, көрсетілген атрибуттарды орнатады. Бірнеше ресурстарды нүктелі үтір арқылы бөліп, бір ережеде анықтауға болады. Бірақ серверде пайдаланылатын конфигурация файлы клиенттік файлдардан өзгеше болса немесе мүлде пайдаланылмаса ше? Мысалы, бұл жағдай VPN қосылымдарын орнату кезінде туындауы мүмкін. Бұл жағдайда бастапқы директиваны пайдаланып файлды көрсету керек. Мұнда екі опция бар; сіз әдеттегідей басқа файлға жолды көрсете аласыз, сонымен қатар екі қолдау көрсетілетін URI протоколдарын пайдалана аласыз: файл және қуыршақ. Бірінші жағдайда сыртқы NFS серверіне сілтеме пайдаланылады, екінші нұсқада ресурстарды экспорттайтын Қуыршақ серверінде NFS тәрізді қызмет іске қосылады. Соңғы жағдайда әдепкі жол қуыршақ түбірлік каталогына қатысты – /etc/puppet. Яғни, puppet://server.domain.com/config/sshd_config сілтемесі /etc/puppet/config/sshd_config файлына сәйкес болады. Бұл каталогты filebucket директивасы арқылы қайта анықтауға болады, дегенмен /etc/puppet/fileserver.conf файлында бір аттас бөлімді пайдалану дұрысырақ. Бұл жағдайда қызметке қол жеткізуді тек белгілі бір мекенжайларға шектеуге болады. Мысалы, конфигурация бөлімін сипаттайық:

Жол /var/puppet/config

*.domain.com сайтына рұқсат беріңіз

127.0.0.1 рұқсат ету

192.168.0.* рұқсат ету

192.168.1.0/24 рұқсат ету

*.wireless.domain.com

Содан кейін ресурсты сипаттау кезінде осы бөлімге жүгінеміз:

көзі => "puppet://server.domain.com/config/sshd_config"

Қос нүктенің алдында - ресурс атауы. Ең қарапайым жағдайларда файлдың толық жолын атау ретінде көрсетуге болады. Неғұрлым күрделі конфигурацияларда бүркеншік атты немесе айнымалы мәндерді қолданған дұрыс. Бүркеншік ат директива арқылы орнатылады:

файл("/etc/passwd":

Бүркеншік ат => passwd

Бүркеншік ат жасаудың тағы бір нұсқасы әртүрлі операциялық жүйелермен жұмыс істеу керек болғанда жақсы. Мысалы, sshd_config файлын сипаттайтын ресурс жасайық:

файл(sshdconfig:

Атауы => $operatingsystem? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Әдепкі => "/etc/ssh/sshd_config"

Бұл мысалда біз таңдау алдында тұрмыз. Solaris файлы бөлек көрсетілген, қалғандары үшін /etc/ssh/sshd_config файлы таңдалады. Енді бұл ресурсқа sshdconfig ретінде кіруге болады, операциялық жүйеге байланысты қажетті жол таңдалады. Мысалы, егер sshd демоны жұмыс істеп тұрса және жаңа файл алынса, қызметті қайта іске қосу керек екенін көрсетеміз:

қызмет (sshd:

=> шындығына көз жеткізіңіз,

Жазылу => Файл

Айнымалылар пайдаланушы деректерімен жұмыс істегенде жиі пайдаланылады. Мысалы, біз пайдаланушының үй каталогтарының орнын сипаттаймыз:

$homeroot = "/үй"

Енді белгілі бір пайдаланушының файлдарына келесідей қол жеткізуге болады:

$(homeroot)/$name

$name параметрі пайдаланушы тіркелгі атымен толтырылады. Кейбір жағдайларда кейбір түр үшін әдепкі мәнді анықтау ыңғайлы. Мысалы, exec түрі үшін орындалатын файлды іздеу керек каталогтарды көрсету жиі кездеседі:

Exec (жол => "/usr/bin:/bin:/usr/sbin:/sbin")

Бірнеше кірістірілген файлдар мен каталогтарды көрсету қажет болса, recurse параметрін пайдалануға болады:

file("/etc/apache2/conf.d":

Source => "қуыршақ:// puppet://server.domain.com/config/apache/conf.d",

Рекурсия => «шын»

Бірнеше ресурстарды сыныптарға немесе анықтамаларға біріктіруге болады. Сыныптар жүйенің немесе қызметтің толық сипаттамасы болып табылады және олар бөлек пайдаланылады:

Linux класы (

Файл (

"/etc/passwd": иесі => түбір, топ => түбір, режим => 644;

"/etc/shadow": иесі => түбір, топ => түбір, режим => 440

Объектіге-бағытталған тілдердегідей, сыныптарды қайта анықтауға болады. Мысалы, FreeBSD-де бұл файлдардың топ иесі дөңгелек болып табылады. Сондықтан ресурсты толығымен қайта жазбау үшін Linux класын иеленетін жаңа freebsd сыныбын жасайық:

freebsd класы linux мұрагері (

Файл["/etc/passwd"] (топ => дөңгелек );

Файл["/etc/shadow"] (топ => дөңгелек )

Ыңғайлы болу үшін барлық сыныптарды қосу директивасы арқылы қосу керек жеке файлға орналастыруға болады. Анықтамалар аргументтер ретінде бірнеше параметрді қабылдай алады, бірақ мұраға қолдау көрсетпейді және қайта пайдалануға болатын нысандарды сипаттау қажет болғанда пайдаланылады. Мысалы, пайдаланушының үй каталогын және жаңа тіркелгі жасау үшін қажетті пәрмендерді анықтайық:

user_homedir анықтаңыз ($топ, $толық аты, $ingroups) (

Пайдаланушы («$name»:

=> бар екеніне көз жеткізіңіз,

Түсініктеме => "$толық аты",

Gid => "$топ",

Топтар => $inggroups,

Мүшелік => минимум,

Shell => "/bin/bash",

Үй => "/home/$name",

=> Group[$group] талап етеді,

Exec («$name homedir»:

Пәрмен => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$group /home/$name",

=> "/home/$name", жасайды

=> User[$name] талап етеді,

Енді жаңа тіркелгі жасау үшін user_homedir-ге хабарласыңыз:

user_homedir("sergej":

Топ => "sergej",

Толық аты-жөні => «Сергей Яремчук»,

Ішкі топтар => ["медиа", "әкімші]

Тұқым қуалауды қолдайтын түйіндердің, сондай-ақ сыныптардың жеке сипаттамалары бар. Клиент Қуыршақ серверіне қосылғанда, сәйкес түйін бөлімі ізделеді және тек осы компьютерге тән параметрлер беріледі. Барлық басқа жүйелерді сипаттау үшін әдепкі түйінді пайдалануға болады. Барлық түрлердің сипаттамасы «Түр туралы анықтама» құжатында берілген, оны кез келген жағдайда, кем дегенде, қуыршақ тілінің барлық мүмкіндіктерін түсіну үшін оқу керек. Түрлі түрлер көрсетілген пәрмендерді орындауға мүмкіндік береді, соның ішінде белгілі бір шарттар орындалғанда (мысалы, конфигурация файлын өзгерту), cron, пайдаланушының тіркелгі деректерімен және топтарымен, компьютерлермен жұмыс істеу, ресурстарды орнату, қызметтерді іске қосу және тоқтату, пакеттерді орнату, жаңарту және жою. , SSH кілттерімен, Solaris аймақтарымен жұмыс істеу және т.б. Осылайша, күнделікті 2 және 4 сағат арасында жаңартылатын apt көмегімен дистрибутивтердегі пакеттер тізімін оңай мәжбүрлей аласыз:

кесте (күнделікті:

Мерзімі => күнделікті,

Ауқым =>

exec("/usr/bin/apt-get update":

Кесте => күн сайын

Осы кезеңдегі жаңартуды әрбір жүйе тек бір рет орындайды, содан кейін тапсырма орындалды деп есептеледі және клиенттік компьютерден жойылады. Қуыршақ тілі басқа таныс құрылымдарды қолдайды: шарттар, функциялар, массивтер, түсініктемелер және т.б.

Қуыршақты орнату

Қуыршаққа OpenSSL қолдауы бар Ruby (1.8.1 және одан жоғары нұсқасы) және XMLRPC кітапханалары, сондай-ақ Faster кітапханасы қажет. Сынақ орнату үшін пайдаланылған Ubuntu 7.04 репозиторийінде күшік пакеті бар:

$ sudo apt-cache іздеу қуыршақ

~$ ruby ​​-rxmlrpc/client -e "puts:yep"

Ешқандай қателер алынбаса, сізге қажет нәрсенің бәрі қазірдің өзінде қамтылған. Жүйелердің қажетті конфигурациясын сипаттайтын файлдар қуыршақ терминологиясында манифесттер деп аталады. Іске қосылған кезде демон /etc/puppet/manifests/site.pp файлын оқуға тырысады, егер ол жоқ болса, ол ескерту хабарын көрсетеді. Тестілеу кезінде сіз демонға манифестті қажет етпейтін дербес режимде жұмыс істеуін айта аласыз:

$ sudo /usr/bin/puppetmasterd --nonodes

Қажет болса, басқа файлдарды site.pp файлына қосуға болады, мысалы, сынып сипаттамаларымен. Сынақ іске қосу үшін осы файлға ең қарапайым нұсқауларды енгізуге болады.

sudo класы (

Файл("/etc/sudoers":

Иесі => түбір,

Топ => түбір,

Режим => 440,

түйін әдепкі (

sudo қосыңыз

Барлық конфигурация файлдары, сервер де, клиент те /etc/puppet ішінде орналасқан. Біз бұрын айтқан fileserver.conf файлы міндетті емес және Қуыршақ файл сервері ретінде де жұмыс істейтін болса ғана пайдаланылады. Ubuntu жүйесінде бұл файл /etc/puppet/files ішкі каталогын экспорттайды. ssl ішкі каталогында клиенттерді қосу кезінде шифрлау үшін пайдаланылатын сертификаттар мен кілттер бар. Кілттер puppetmasterd бірінші рет іске қосылғанда автоматты түрде жасалады; оларды пәрмен арқылы қолмен жасауға болады:

$ sudo /usr/bin/puppetmasterd --mkusers

puppetd.conf және puppetmasterd.conf файлдары ұқсас. Олар клиенттік жүйе мен сервердегі демондардың жұмыс істеуінің кейбір параметрлерін көрсетеді. Клиенттік файл тек puppetmasterd жұмыс істеп тұрған компьютерді көрсететін сервер параметрінің болуымен ғана ерекшеленеді:

сервер = grinder.com

logdir = /var/log/қуыршақ

vardir = /var/lib/қуыршақ

rundir = /var/run

# серверге есеп жіберу

есеп = шын

Барлығын қолмен термеу үшін puppetd көмегімен үлгі жасауға болады:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Сол сияқты серверде site.pp жасай аласыз:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Басқа файл, tagmail.conf, есептер жіберілетін электрондық пошта мекенжайларын көрсетуге мүмкіндік береді. Ең қарапайым жағдайда сіз бір жолды пайдалана аласыз:

барлық: [электрондық пошта қорғалған]

Конфигурация файлдары клиенттің серверге қосылуы үшін жеткіліксіз. Ол үшін сертификаттарға да қол қою қажет.

Алдымен серверге жаңа компьютер туралы хабарлау үшін клиенттік жүйеге пәрменді енгізіңіз:

$ sudo puppetd --server grinder.com --waitforcert 60 –test

Брандмауэр 8140 портындағы қосылымдарға рұқсат беруі керек.

Серверде қол қою қажет сертификаттар тізімін аламыз:

$ sudo puppetca – тізім

Және клиент сертификатына қол қойыңыз:

$ sudo puppetca – nomad.grinder.com белгісі

Енді клиент серверге еркін қосылып, параметрлерді қабылдай алады.

Өкінішке орай, мақала аясында Қуыршақтың барлық мүмкіндіктерін көрсету мүмкін емес. Бірақ, көріп отырғаныңыздай, бұл көптеген жүйелерді бір уақытта басқару мәселелерінің көпшілігін шешуге мүмкіндік беретін функционалды және икемді құрал. Ең бастысы, жоба шағын, бірақ үнемі өсіп келе жатқан қауымдастықты жинай алды. Сондықтан жақсы ойдың өліп кетуіне, шетке кетуіне жол берілмесе екен деп тілейік.

Іске сәт!

1. BladeLogic жобасының веб-сайты – http://www.bladelogic.com.
2. OpsWare жобасының веб-сайты http://www.opsware.com болып табылады.
3. Cfengine жобасының веб-сайты http://www.cfengine.org болып табылады.
4. Қуыршақ жобасының веб-сайты http://reductivelabs.com/projects/puppet болып табылады.
5. Қуыршақ аспаздық кітабы - http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Жылдам кітапхана –