cfpuppetserver klase

• deployuser = "deploypuppet" — lietotājvārds, lai automātiski izvietotu konfigurācijas atjauninājumus
• deployuser_auth_keys = undef — $deployuser atslēgu saraksts
• repo_url = undef — repozitorija URI (piemērs: ssh:// [aizsargāts ar e-pastu]/repo vai fails:///some/path)
• puppetserver = true — vai šajā mezglā instalēt Puppet Server komponentu
• puppetdb = true — vai šajā mezglā instalēt PuppetDB komponentu
• puppetdb_port = 8081 — PuppetDB ports
• setup_postgresql = true — vai šajā mezglā instalēt PostgreSQL komponentu (tikai tad, ja ir iespējota PuppetDB instalēšana)
• service_face = "jebkurš" — cfnetwork::iface resursa nosaukums ienākošo savienojumu pieņemšanai
• puppetserver_mem = automātiski — RAM leļļu serverim megabaitos (vismaz 192 MB)
• puppetdb_mem = auto - RAM PuppetDB megabaitos (vismaz 192 MB)
• postgresql_mem = automātiski — PostgreSQL operatīvā atmiņa megabaitos (vismaz 128 MB)

klases cfpuppetserver::puppetdb

• postgresql_host = "localhost" — datu bāzes adrese
• postgresql_listen = $postgresql_host — vērtība nonāk tieši klausīšanās_addresses PostgreSQL direktīvā
• postgresql_port = 5432 — datu bāzes ports
• postgresql_user = "puppetdb" — PuppetDB lietotājs datu bāzē
• postgresql_pass = "puppetdb" - PuppetDB lietotāja parole datu bāzē
• postgresql_ssl = false — iespējot savienojuma šifrēšanu, pamatojoties uz Puppet PKI sertifikātiem

klases cfpuppetserver::puppetserver

• autosign = false — NEDRĪKST izmantot ražošanas vidē, izņemot DMZ. Pastāv tikai testēšanas automatizācijai.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - ceļš uz noklusējuma Hiera konfigurācijas failu saskaņā ar Puppet canons (pirmais komponents ir moduļa nosaukums, pārējais ir ceļš zem failiem/mapes modulī)

Jūs varat palīdzēt un pārskaitīt dažus līdzekļus vietnes attīstībai

Pārvaldīt lielu skaitu Unix sistēmu nav ērti. Lai mainītu vienu parametru, administratoram ir jāpiekļūst katrai mašīnai, skripti var palīdzēt tikai daļēji, un ne visās situācijās.

Jāatzīst, ka Windows tīkla administratori joprojām atrodas labākā situācijā. Pietiek nomainīt grupas politikas iestatījumus un pēc kāda laika visi tīklā esošie datori, arī tie, kuros ir nesen instalēta operētājsistēma, “uzzinās” par jauninājumu, ja tie, protams, uz tiem attiecas. Atskatoties uz Unix ilgo vēsturi, nekas tāds nekad nav izdevies. Ir tādi risinājumi kā kickstart, kas palīdz sākotnējā instalācijā. operētājsistēma, taču turpmāka precizēšana prasīs ievērojamas pūles. Komerciālie risinājumi, piemēram, BladeLogic un OpsWare, tikai daļēji atrisina iestatījumu automatizācijas problēmu, to galvenā priekšrocība ir klātbūtne. GUI, un tikai lielas organizācijas var atļauties tos iegādāties. Protams, ir projekti, kas piedāvā bezmaksas risinājumus, taču visu pastāvēšanas laiku tie nav spējuši izveidot lielu kopienu. Piemēram, Cfengine nav īpaši populārs administratoru vidū, lai gan to var izmantot *BSD, Windows un Mac OS X bez Linux. Varbūt tas ir saistīts ar relatīvo sarežģītību konfigurāciju veidošanā. Aprakstot uzdevumus, ir jāņem vērā katras konkrētās sistēmas iezīmes un manuāli jākontrolē darbību secība, izpildot komandas. Tas nozīmē, ka administratoram ir jāatceras, ka dažām sistēmām jāraksta adduser citām useradd, jāņem vērā failu atrašanās vieta dažādās sistēmās utt. Tas par lielumu sarežģī komandu rakstīšanas procesu, ir ļoti grūti izveidot pareizo konfigurāciju, atrodoties ceļā, un pēc kāda laika ir gandrīz neiespējami nolasīt izveidotās konfigurācijas. Neskatoties uz GPL licenci, Cfengine patiesībā ir viena cilvēka projekts, kas kontrolē visas izmaiņas un nav īpaši ieinteresēts atvērtas sabiedrības veidošanā. Rezultātā cfengine iespējas ir diezgan apmierinošas izstrādātājam, un citiem administratoriem tas vairāk sagādā papildu galvassāpes. Lai uzlabotu cfengine, trešo pušu izstrādātāji radīja dažādus papildinājumus, kas bieži vien tikai pasliktināja situāciju. Vairāku šādu cfengine moduļu autors Lūks Kanijs galu galā nolēma izstrādāt līdzīgu rīku, taču tam nebija daudz cfengine trūkumu.

Leļļu funkcijas

Puppet, tāpat kā cfengine, ir klienta-servera sistēma, kas izmanto deklaratīvu, tas ir, obligātu valodu, lai aprakstītu uzdevumus un bibliotēkas to ieviešanai. Klienti periodiski (pēc noklusējuma 30 minūtes) izveido savienojumu ar centrālo serveri un saņem jaunāko konfigurāciju. Ja saņemtie iestatījumi neatbilst sistēmas stāvoklim, tie tiks izpildīti, nepieciešamības gadījumā serverim tiek nosūtīta atskaite par veiktajām darbībām. Ziņojumu serveris var saglabāt syslog vai failā, izveidot RRD grafiku, nosūtīt to uz norādīto e-pastu. Papildu abstrakcijas slāņi Transaction un Resource nodrošina maksimālu savietojamību ar esošajiem iestatījumiem un lietojumprogrammām, ļaujot koncentrēties uz sistēmas objektiem, neuztraucoties par atšķirībām ieviešanā un detalizēto komandu un failu formātu aprakstos. Administrators darbojas tikai ar objekta tipu, par pārējo rūpējas Lelle. Tā kā pakotņu tips zina apmēram 17 pakotņu sistēmas, nepieciešamā tiks automātiski atpazīta, pamatojoties uz informāciju par izplatīšanas komplekta vai sistēmas versiju, lai gan nepieciešamības gadījumā pakotņu pārvaldnieku var piespiest.

Atšķirībā no skriptiem, kurus bieži nevar izmantot citās sistēmās, trešo pušu administratoru rakstītās leļļu konfigurācijas lielākoties nevainojami darbosies jebkurā citā tīklā. Leļļu pavārgrāmatā[ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] ir jau trīs desmiti gatavu recepšu. Puppet pašlaik oficiāli atbalsta šādas operētājsistēmas un pakalpojumus: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo un MySQL, LDAP.

Leļļu valoda

Lai iet tālāk, vispirms ir jāsaprot valodas pamatelementi un iezīmes. Valoda ir viena no stiprās puses Lelle. Ar tās palīdzību tiek aprakstīti resursi, kurus administrators plāno pārvaldīt, un darbības. Atšķirībā no vairuma līdzīgu risinājumu, programmā Puppet valoda ļauj viegli piekļūt visiem līdzīgiem resursiem jebkurā sistēmā neviendabīgā vidē. Resursa apraksts parasti sastāv no nosaukuma, veida un atribūtiem. Piemēram, norādiet uz /etc/passwd failu un iestatiet tā atribūtus:

fails ("/etc/passwd":

īpašnieks => sakne,

grupa => sakne,

Tagad klienti, kas savienojas ar serveri, kopēs /etc/passwd failu un iestatīs norādītos atribūtus. Vienā noteikumā varat definēt vairākus resursus vienlaikus, atdalot tos ar semikolu. Bet ko darīt, ja serverī izmantotais konfigurācijas fails atšķiras no klienta failiem vai netiek izmantots vispār? Piemēram, šī situācija var rasties, iestatot VPN savienojumus. Šajā gadījumā varat norādīt uz failu ar avota direktīvu. Šeit ir divas iespējas, kā parasti, lai norādītu ceļu uz citu failu, tiek atbalstīti arī divi protokola URI: fails un marionete. Pirmajā gadījumā tiek izmantota saite uz ārēju NFS serveri, otrajā gadījumā uz Puppet servera tiek palaists NFS līdzīgs pakalpojums, kas eksportē resursus. Pēdējā gadījumā ceļš pēc noklusējuma ir saistīts ar leļļu saknes direktoriju - /etc/puppet. Tas nozīmē, ka saite puppet://server.domain.com/config/sshd_config atbilst failam /etc/puppet/config/sshd_config. Šo direktoriju var ignorēt, izmantojot direktīvu filebucket, lai gan pareizāk ir izmantot tāda paša nosaukuma sadaļu /etc/puppet/fileserver.conf failā. Šajā gadījumā jūs varat ierobežot piekļuvi pakalpojumam tikai no noteiktām adresēm. Piemēram, aprakstīsim konfigurācijas sadaļu.

ceļš /var/puppet/config

atļaut *.domain.com

atļaut 192.168.0.*

atļaut 192.168.1.0/24

noliegt *.wireless.domain.com

Un tad mēs atsaucamies uz šo sadaļu, aprakstot resursu.

avots => "puppet://server.domain.com/config/sshd_config"

Pirms kola ir resursa nosaukums. Vienkāršākajos gadījumos nosaukumu var vienkārši norādīt, labāk izmantot aizstājvārdu vai mainīgos. Pseidonīms tiek iestatīts, izmantojot aizstājvārdu direktīvu. pilns ceļš uz failu. Sarežģītākās konfigurācijās

fails ("/etc/passwd":

alias => passwd

Vēl viena aizstājvārda izveides iespēja ir piemērota, ja jums ir jārisina dažādas operētājsistēmas. Piemēram, izveidosim resursu, kas apraksta failu sshd_config:

fails (sshdconfig:

nosaukums => $operētājsistēma? (

solaris => "/usr/local/etc/ssh/sshd_config",

noklusējuma => "/etc/ssh/sshd_config"

Šajā piemērā mēs esam izvēles priekšā. Solaris fails ir norādīts atsevišķi, visiem pārējiem tiks atlasīts fails /etc/ssh/sshd_config. Tagad šim resursam var piekļūt kā sshdconfig, atkarībā no operētājsistēmas tiks izvēlēts vēlamais ceļš. Piemēram, mēs norādām, ka, ja darbojas sshd dēmons un tiek saņemts jauns fails, pakalpojums ir jārestartē.

nodrošināt => taisnība,

abonēt => Fails

Strādājot ar lietotāja datiem, bieži tiek izmantoti mainīgie. Piemēram, mēs aprakstām lietotāja mājas direktoriju atrašanās vietu:

$homeroot = "/home"

Tagad lietotāja specifiskiem failiem var piekļūt kā

$(homeroot)/$name

Parametrs $name tiks aizstāts ar lietotāja konta nosaukumu. Dažos gadījumos ir ērti definēt kāda veida noklusējuma vērtību. Piemēram, exec tipam bieži tiek norādīti direktoriji, kuros jāmeklē izpildāmais fails:

Exec (ceļš => "/usr/bin:/bin:/usr/sbin:/sbin")

Ja jums jānorāda uz vairākiem ligzdotiem failiem un direktorijiem, varat izmantot atkārtošanas parametru.

fails ("/etc/apache2/conf.d":

avots => "puppet://puppet://server.domain.com/config/apache/conf.d",

atkārtojums => "patiess"

Vairākus resursus var grupēt klasēs vai definīcijās. Klases ir pilnīgs sistēmas vai pakalpojuma apraksts un tiek izmantotas atsevišķi.

"/etc/passwd": īpašnieks => sakne, grupa => sakne, režīms => 644;

"/etc/shadow": īpašnieks => sakne, grupa => sakne, režīms => 440

Tāpat kā objektorientētās valodās, klases var definēt no jauna. Piemēram, FreeBSD grupa, kurai pieder šie faili, ir ritenis. Tāpēc, lai resurss netiktu pilnībā pārrakstīts, izveidosim jaunu freebsd klasi, kas pārmantos linux klasi:

klase freebsd manto Linux (

Fails["/etc/passwd"] ( grupa => ritenis );

Fails["/etc/shadow"] ( grupa => ritenis )

Ērtības labad visas klases var ievietot atsevišķā failā, kuru var savienot ar iekļaut direktīvu. Definīcijas var izmantot vairākus parametrus kā argumentus, taču tās neatbalsta pārmantošanu un tiek izmantotas, ja nepieciešams aprakstīt atkārtoti lietojamus objektus. Piemēram, definēsim lietotāja mājas direktoriju un komandas, kas nepieciešamas, lai izveidotu jaunu kontu.

definēt user_homedir ($group, $fullname, $ingroups) (

lietotājs("$nosaukums":

nodrošināt => klāt,

komentārs => "$fullname",

gid => "$grupa",

grupas => $grupas,

dalība => minimums,

apvalks => "/bin/bash",

mājas => "/mājas/$nosaukums",

prasīt => grupa[$grupa],

exec("$name homedir":

komanda => "/bin/cp -R /etc/skel /home/$nosaukums; /bin/chown -R $nosaukums:$grupa /mājas/$nosaukums",

rada => "/home/$name",

prasīt => Lietotājs[$vārds],

Tagad, lai izveidotu jaunu konts vienkārši skatiet user_homedir.

user_homedir("sergej":

grupa => "Sergejs",

pilns vārds => "Sergejs Jaremčuks",

ingroups => ["media", "admin]

Atsevišķi ir apraksti mezgliem (mezgliem), kas atbalsta mantošanu, piemēram, klases. Kad klients izveido savienojumu ar Puppet serveri, tas meklēs atbilstošo mezgla sadaļu un atgriezīs iestatījumus, kas ir raksturīgi tikai šim datoram. Varat izmantot mezgla noklusējumu, lai aprakstītu visas pārējās sistēmas. Visu veidu apraksts ir dots dokumentā “Tipa atsauce”, kuru vajadzētu izlasīt jebkurā gadījumā, vismaz, lai saprastu visas Leļļu valodas iespējas. Dažādi veidiļauj izpildīt noteiktas komandas, tostarp, ja ir izpildīti noteikti nosacījumi (piemēram, mainīt konfigurācijas failu), strādāt ar cron, lietotāja akreditācijas datiem un grupām, datoriem, montēt resursus, sākt un apturēt pakalpojumus, instalēt, atjaunināt un noņemt pakotnes, strādāt ar SSH atslēgas, Solaris zonas un tā tālāk. Tas ir tik vienkārši, ka izplatījumos esošo pakotņu sarakstu, izmantojot apt, var atjaunināt katru dienu no pulksten 2 līdz 4.

grafiks (katru dienu:

periods => katru dienu,

diapazons =>

exec ("/usr/bin/apt-get update":

grafiks => katru dienu

Atjaunināšanu par šo periodu katra sistēma veiks tikai vienu reizi, pēc tam uzdevums tiek uzskatīts par pabeigtu un tiks dzēsts no klienta datora. Leļļu valoda atbalsta citas pazīstamas struktūras: nosacījumus, funkcijas, masīvus, komentārus un tamlīdzīgus.

Leļļu uzstādīšana

Puppet nepieciešama Ruby (>= 1.8.1) ar OpenSSL atbalstu un XMLRPC bibliotēkām, kā arī Faster bibliotēka [ http://reductivelabs.com/projects/facter]. Ubuntu 7.04 repozitorijā, kas tika izmantota testa instalācijā, jau ir iekļauta kucēna pakotne.

$ sudo apt-cache meklēšanas lelle

marionete - centralizēta konfigurācijas pārvaldība tīkliem

puppetmaster - centralizēts konfigurācijas pārvaldības kontroles dēmons

Instalēšana instalēs visas nepieciešamās pakotņu atkarības: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get instalēt puppet puppetmaster

Ruby bibliotēku pieejamību var pārbaudīt ar komandu.

$ rubīns -ropenssl -e "puts:yep"

~$ rubīns -rxmlrpc/client -e "puts:yep"

Ja kļūdas netiek saņemtas, tad viss nepieciešamais jau ir iekļauts. Failus, kas apraksta vēlamo sistēmu konfigurāciju Puppet terminoloģijā, sauc par manifestiem (manifestiem). Palaižot, dēmons mēģina nolasīt /etc/puppet/manifests/site.pp failu, ja tā trūkst, tas izdod brīdinājuma ziņojumu. Pārbaudot, varat likt dēmonam strādāt bezsaistes režīmā, kurā manifests nav nepieciešams

$ sudo /usr/bin/puppetmasterd --nonodes

Ja nepieciešams, vietnē site.pp var iekļaut citus failus, piemēram, ar klašu aprakstiem. Lai veiktu testa darbību, šim failam varat pievienot vienkāršāko instrukciju.

fails ("/etc/sudoers":

īpašnieks => sakne,

grupa => sakne,

Visi servera un klientu konfigurācijas faili atrodas mapē /etc/puppet. Fails fileserver.conf, par kuru mēs runājām iepriekš, nav obligāts un tiek izmantots tikai tad, ja Puppet darbosies arī kā failu serveris. Uz Ubuntu šis fails eksportē apakšdirektoriju /etc/puppet/files. SSL apakšdirektorijā ir sertifikāti un atslēgas, kas tiks izmantotas klientu savienojumu šifrēšanai. Atslēgas tiek ģenerētas automātiski, kad pirmo reizi palaižat puppetmasterd, jūs varat tos izveidot manuāli, izmantojot komandu.

$ sudo /usr/bin/puppetmasterd --mkusers.

Faili puppetd.conf un puppetmasterd.conf ir līdzīgi. Tie norāda dažus dēmonu parametrus klienta sistēmā un serverī. Klienta fails atšķiras tikai ar servera parametra klātbūtni, kas norāda uz datoru, kurā darbojas puppetmasterd.

serveris=grinder.com

logdir = /var/log/puppet

vardir=/var/lib/puppet

rundir = /var/run

# nosūtīt ziņojumu serverim

Tā vietā, lai visu rakstītu ar roku, varat izveidot veidni, izmantojot pašu funkciju puppetd.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Tāpat serverī varat izveidot vietni.pp.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Cits fails tagmail.conf ļauj norādīt e-pasta adreses, uz kurām tiks nosūtīti pārskati. Vienkāršākajā gadījumā var izmantot vienu līniju.

visi: [aizsargāts ar e-pastu]

Ar konfigurācijas failiem nepietiek, lai klients varētu izveidot savienojumu ar serveri. Lai to izdarītu, jums joprojām ir jāparaksta sertifikāti. Pirmkārt, lai serveris uzzinātu par jauno datoru klienta sistēmā, ievadiet komandu:

$ sudo puppetd --serveris grinder.com --waitforcert 60 --test

info: Pieprasīt sertifikātu

brīdinājums: vienādranga sertifikāts netiks pārbaudīts šajā SSL sesijā

paziņojums: nesaņēmu sertifikātu

Ja tiek atgriezta cita virkne, serveris ir jāpārbauda.

$ ps aux | grep marionete

marionete 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 ruby ​​​​/usr/sbin/puppetmasterd

Ugunsmūrim ir jāatļauj savienojumi 8140. portā.

Serverī tiek parādīts saraksts ar sertifikātiem, kas jāparaksta.

$ sudo puppetca --list

nomad.grinder.com

Un mēs parakstām klienta sertifikātu.

$ sudo puppetca --sign nomad.grinder.com

Tagad klients var brīvi izveidot savienojumu ar serveri un saņemt iestatījumus.

Diemžēl raksta ietvaros vienkārši nav iespējams parādīt visas Leļļu iespējas. Bet, kā redzat, šis ir funkcionāls un elastīgs rīks, kas ļauj atrisināt lielāko daļu uzdevumu, vienlaikus administrējot lielu skaitu sistēmu. Ja jums ir jāizveido vairākas sistēmas atbilstoši jūsu darba veidam. Un pats galvenais, projektam izdevās pulcēt nelielu, bet pastāvīgi augošu kopienu. Tāpēc cerēsim, ka labai idejai netiks ļauts nomirt vai aiziet uz sāniem.

Lelle ir starpplatformu struktūra, kas ļauj sistēmas administratori veikt parastos uzdevumus, izmantojot kodu. Kods ļauj veikt dažādus uzdevumus, sākot no jaunu programmu instalēšanas līdz failu atļauju pārbaudei vai lietotāju kontu atjaunināšanai. Lelle teicami ne tikai sistēmas sākotnējās uzstādīšanas laikā, bet visā sistēmas dzīves ciklā. Vairumā gadījumu marionete izmanto klienta/servera konfigurācijā.

Šajā sadaļā ir parādīta instalēšana un konfigurācija Lelle klienta/servera konfigurācijā. Šis vienkāršais piemērs parāda, kā instalēt Apache izmantojot Lelle.

Uzstādīšana

Uzstādīšanai Lelle ierakstiet terminālī:

sudo apt-get install puppetmaster

Klienta mašīnā (vai iekārtās) ievadiet:

sudo apt-get install marionet

Iestatījums

Pirms marionetes iestatīšanas, iespējams, vēlēsities pievienot ierakstu DNS CNAME Priekš marionete.example.com, Kur example.com ir jūsu domēns. Noklusējuma klienti Lelle pārbaudiet DNS vietnei puppet.example.com kā leļļu servera nosaukumu ( Leļļu meistars). Papildinformāciju par DNS izmantošanu skatiet sadaļā Domēna vārdu pakalpojums.

Ja neplānojat izmantot DNS, varat pievienot ierakstus failam /etc/hosts serverī un klientā. Piemēram, failā /etc/hosts Lelle servera pievienošana:

127.0.0.1 localhost.localdomain localhost marionet 192.168.1.17 meercat02.example.com meercat02

Uz katra Lelle klientam pievienojiet ierakstu serverim:

192.168.1.16 meercat.example.com meercat marionet

Mainiet IP adreses un domēna vārdi no piemēra līdz jūsu faktiskajām adresēm un servera un klientu nosaukumiem.

Tagad iestatīsim dažus resursus apache2. Izveidojiet failu /etc/puppet/manifests/site.pp, kurā ir:

Package ( "apache2": nodrošināt => instalēts) pakalpojums ( "apache2": nodrošināt => true, enable => true, prasīt => pakotne["apache2"])

Mezgls "meercat02.example.com" (ietver apache2)

Aizvietot meercat02.example.com uz savu pašreizējo vārdu Lelle klients.

Pēdējais solis šim vienkāršajam Lelle serverim ir jārestartē pakalpojums:

sudo /etc/init.d/puppetmaster restart

Tagad tālāk Lelle serveris ir iestatīts, un ir pienācis laiks iestatīt klientu.

Vispirms iestatīsim pakalpojumu Lelle aģents palaist. Rediģējiet /etc/default/puppet un mainiet vērtību SĀKT ieslēgts Jā:

sudo /etc/init.d/puppet start

Atpakaļ uz Lelle serveri, lai parakstītu klienta sertifikātu, izmantojot komandu:

Sudo puppetca — parakstīt meercat02.example.com

Pārbaudiet /var/log/syslog par jebkādām konfigurācijas kļūdām. Ja viss noritēja labi, paka apache2 un tā atkarības tiks instalētas Lelle klients.

Šis piemērs ir ļoti vienkāršs un nerāda daudzas funkcijas un priekšrocības. Lelle. Priekš Papildus informācija skat

Sergejs Jaremčuks

Centralizēta UNIX sistēmu konfigurācija ar Puppet

Pārvaldīt lielu skaitu UNIX sistēmu nav ērti. Lai mainītu vienu parametru, administratoram ir jāpiekļūst katrai mašīnai, skripti var palīdzēt tikai daļēji, un ne visās situācijās.

Jāatzīst, ka Windows tīkla administratori galu galā atrodas labākā situācijā. Pietiek nomainīt grupas politikas iestatījumus, un pēc kāda laika visi tīklā esošie datori, arī tie, kuriem ir nesen instalēta operētājsistēma, “uzzinās” par jauninājumu, ja tie, protams, uz tiem attiecas. Atskatoties uz UNIX ilgo vēsturi, nekas tāds nekad nav izdevies. Ir tādi risinājumi kā kickstart, kas palīdz sākotnējā operētājsistēmas instalācijā, taču turpmāka precizēšana prasīs ievērojamas pūles. Komerciālie risinājumi, piemēram, BladeLogic un OpsWare, tikai daļēji atrisina iestatījumu automatizācijas problēmu, to galvenā priekšrocība ir grafiskā interfeisa klātbūtne, un tikai lielas organizācijas var atļauties tos iegādāties. Protams, ir projekti, kas piedāvā bezmaksas risinājumus, taču visu pastāvēšanas laiku tie nav spējuši izveidot lielu kopienu. Piemēram, Cfengine nav īpaši populārs administratoru vidū, lai gan, papildus Linux, to var izmantot *BSD, Windows un Mac OS X. Iespējams, tas ir saistīts ar relatīvo sarežģītību konfigurāciju veidošanā. Aprakstot uzdevumus, jāņem vērā katras konkrētās sistēmas īpatnības un manuāli jākontrolē darbību secība, izpildot komandas. Tas ir, administratoram jāatceras, ka dažām sistēmām jāraksta adduser citām - useradd, jāņem vērā failu atrašanās vieta dažādās sistēmās utt. Tas par lielumu sarežģī komandu rakstīšanas procesu, ir ļoti grūti izveidot pareizo konfigurāciju, atrodoties ceļā, un pēc kāda laika ir gandrīz neiespējami nolasīt izveidotās konfigurācijas. Neskatoties uz GPL licenci, Cfengine patiesībā ir viena cilvēka projekts, kurš kontrolē visas izmaiņas un nav īpaši ieinteresēts atvērtas sabiedrības veidošanā. Rezultātā Cfengine iespējas pilnībā apmierina izstrādātāju, un citiem administratoriem tas vairāk sagādā papildu galvassāpes. Lai uzlabotu Cfengine, trešo pušu izstrādātāji radīja dažādus papildinājumus, kas bieži vien tikai pasliktināja situāciju. Vairāku šādu Cfengine moduļu autors Lūks Kanijs beidzot nolēma izstrādāt līdzīgu rīku, taču tam nebija daudz Cfengine trūkumu.

Leļļu funkcijas

Puppet, tāpat kā Cfengine, ir klienta-servera sistēma, kas izmanto deklaratīvu, t.i., obligātu valodu, lai aprakstītu uzdevumus un bibliotēkas, lai tos īstenotu. Klienti periodiski (pēc noklusējuma ik pēc 30 minūtēm) izveido savienojumu ar centrālo serveri un saņem jaunāko konfigurāciju. Ja saņemtie iestatījumi neatbilst sistēmas stāvoklim, tie tiks izpildīti, nepieciešamības gadījumā serverim tiek nosūtīta atskaite par veiktajām darbībām. Ziņojumu serveris var saglabāt syslog vai failā, izveidot RRD grafiku, nosūtīt to uz norādīto e-pastu. Papildu abstrakcijas slāņi Transaction un Resource nodrošina maksimālu savietojamību ar esošajiem iestatījumiem un lietojumprogrammām, ļaujot koncentrēties uz sistēmas objektiem, neuztraucoties par atšķirībām ieviešanā un detalizēto komandu un failu formātu aprakstos. Administrators darbojas tikai ar objekta tipu, par pārējo rūpējas Lelle. Tātad pakotņu tips zina apmēram 17 pakotņu sistēmas, nepieciešamā tiks automātiski atpazīta, pamatojoties uz informāciju par izplatīšanas komplekta vai sistēmas versiju, lai gan nepieciešamības gadījumā pakotņu pārvaldnieku var piespiest.

Atšķirībā no skriptiem, kurus bieži nevar izmantot citās sistēmās, trešo pušu administratoru rakstītās leļļu konfigurācijas lielākoties bez problēmām darbosies jebkurā citā tīklā. Leļļu pavārgrāmatā jau ir trīs desmiti gatavu recepšu. Puppet pašlaik oficiāli atbalsta šādas operētājsistēmas un pakalpojumus: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo un MySQL, LDAP.

Leļļu valoda

Lai iet tālāk, vispirms ir jāsaprot valodas pamatelementi un iezīmes. Valoda ir viena no Lelles stiprajām pusēm. Tajā ir aprakstīti resursi, kurus administrators plāno pārvaldīt, un darbības, kas jāveic. Atšķirībā no vairuma līdzīgu risinājumu, programmā Puppet valoda ļauj viegli piekļūt visiem līdzīgiem resursiem jebkurā sistēmā neviendabīgā vidē. Resursa apraksts parasti sastāv no nosaukuma, veida un atribūtiem. Piemēram, norādiet uz /etc/passwd failu un iestatiet tā atribūtus:

fails ("/etc/passwd":

Īpašnieks => sakne,

grupa => sakne,

režīms => 644,

Klienti, kas izveido savienojumu ar serveri, tagad kopēs /etc/passwd failu un iestatīs norādītos atribūtus. Vienā noteikumā varat definēt vairākus resursus vienlaikus, atdalot tos ar semikolu. Bet ko darīt, ja serverī izmantotais konfigurācijas fails atšķiras no klienta failiem vai netiek izmantots vispār? Piemēram, šī situācija var rasties, iestatot VPN savienojumus. Šādā gadījumā jānorāda uz failu ar avota direktīvu. Šeit ir divas iespējas, jūs, kā parasti, varat norādīt ceļu uz citu failu, kā arī izmantot divus atbalstītos URI protokolus: failu un marioneti. Pirmajā gadījumā tiek izmantota saite uz ārēju NFS serveri, otrajā gadījumā uz Puppet servera tiek palaists NFS līdzīgs pakalpojums, kas eksportē resursus. Pēdējā gadījumā noklusējuma ceļš ir saistīts ar leļļu saknes direktoriju - /etc/puppet. Tas nozīmē, ka saite puppet://server.domain.com/config/sshd_config atbilst failam /etc/puppet/config/sshd_config. Šo direktoriju var ignorēt ar direktīvu filebucket, lai gan pareizāk ir izmantot tāda paša nosaukuma sadaļu /etc/puppet/fileserver.conf failā. Šajā gadījumā jūs varat ierobežot piekļuvi pakalpojumam tikai noteiktām adresēm. Piemēram, aprakstīsim konfigurācijas sadaļu:

Ceļš /var/puppet/config

Atļaut *.domain.com

Atļaut 127.0.0.1

Atļaut 192.168.0.*

Atļaut 192.168.1.0/24

Aizliegt *.wireless.domain.com

Un tad mēs atsaucamies uz šo sadaļu, aprakstot resursu:

avots => "puppet://server.domain.com/config/sshd_config"

Pirms kola ir resursa nosaukums. Vienkāršākajos gadījumos kā nosaukumu varat vienkārši norādīt pilnu ceļu uz failu. Sarežģītākās konfigurācijās labāk izmantot aizstājvārdu vai mainīgos. Pseidonīms tiek iestatīts, izmantojot aizstājvārda direktīvu:

fails ("/etc/passwd":

Alias ​​=> passwd

Vēl viena aizstājvārda izveides iespēja darbojas labi, ja jums ir jārisina dažādas operētājsistēmas. Piemēram, izveidosim resursu, kas apraksta failu sshd_config:

fails (sshdconfig:

Vārds => $operētājsistēma? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Noklusējums => "/etc/ssh/sshd_config"

Šajā piemērā mēs esam izvēles priekšā. Solaris fails ir norādīts atsevišķi, visiem pārējiem tiks atlasīts fails /etc/ssh/sshd_config. Tagad šim resursam var piekļūt kā sshdconfig, atkarībā no operētājsistēmas tiks izvēlēts vēlamais ceļš. Piemēram, mēs norādām, ka, ja darbojas sshd dēmons un tiek saņemts jauns fails, pakalpojums ir jārestartē:

pakalpojums (sshd:

nodrošināt => taisnība,

Abonēt => Fails

Strādājot ar lietotāja datiem, bieži tiek izmantoti mainīgie. Piemēram, mēs aprakstām lietotāja mājas direktoriju atrašanās vietu:

$homeroot = "/home"

Tagad lietotāja specifiskiem failiem var piekļūt kā:

$(homeroot)/$name

Parametrs $name tiks aizstāts ar lietotāja konta nosaukumu. Dažos gadījumos ir ērti definēt kāda veida noklusējuma vērtību. Piemēram, ļoti bieži exec tips norāda direktorijus, kuros tam jāmeklē izpildāmais fails:

Exec (ceļš => "/usr/bin:/bin:/usr/sbin:/sbin")

Ja jums jānorāda uz vairākiem ligzdotiem failiem un direktorijiem, varat izmantot atkārtošanas parametru:

fails ("/etc/apache2/conf.d":

Avots => "puppet://puppet://server.domain.com/config/apache/conf.d",

Atkārtot => "patiess"

Vairākus resursus var apvienot klasēs vai definīcijās. Klases ir pilnīgs sistēmas vai pakalpojuma apraksts un tiek izmantotas atsevišķi:

klases linux (

Fails(

"/etc/passwd": īpašnieks => sakne, grupa => sakne, režīms => 644;

"/etc/shadow": īpašnieks => sakne, grupa => sakne, režīms => 440

Tāpat kā objektorientētās valodās, klases var definēt no jauna. Piemēram, FreeBSD grupa, kurai pieder šie faili, ir ritenis. Tāpēc, lai resurss netiktu pilnībā pārrakstīts, izveidosim jaunu freebsd klasi, kas pārmantos linux klasi:

klase freebsd manto Linux (

Fails["/etc/passwd"] ( grupa => ritenis );

Fails["/etc/shadow"] ( grupa => ritenis )

Ērtības labad visas klases var ievietot atsevišķā failā, kas jāiekļauj iekļautajā direktīvā. Definīcijas var izmantot vairākus parametrus kā argumentus, taču tās neatbalsta pārmantošanu un tiek izmantotas, ja vēlaties aprakstīt atkārtoti lietojamus objektus. Piemēram, definēsim lietotāja mājas direktoriju un komandas, kas nepieciešamas, lai izveidotu jaunu kontu:

definēt user_homedir ($group, $fullname, $ingroups) (

lietotājs("$nosaukums":

nodrošināt => klāt,

Komentārs => "$fullname",

gid => "$grupa",

Grupas => $ingroups,

Dalība => minimums,

Shell => "/bin/bash",

Sākums => "/mājas/$nosaukums",

Prasība => Grupa[$grupa],

Exec("$name homedir":

Komanda => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $nosaukums:$grupa /home/$nosaukums",

Izveido => "/home/$name",

Pieprasīt => Lietotājs[$vārds],

Tagad, lai izveidotu jaunu kontu, vienkārši skatiet user_homedir:

user_homedir("sergej":

Grupa => "Sergej",

Pilns vārds => "Sergejs Jaremčuks",

Ingroups => ["media", "admin]

Atsevišķi ir apraksti mezgliem (mezgliem), kas atbalsta pārmantošanu, piemēram, klases. Kad klients izveido savienojumu ar Puppet serveri, tas meklēs atbilstošo mezgla sadaļu un atgriezīs iestatījumus, kas ir raksturīgi tikai šai iekārtai. Varat izmantot mezgla noklusējumu, lai aprakstītu visas pārējās sistēmas. Visu veidu apraksts ir sniegts Type Reference dokumentā, kuru vajadzētu izlasīt jebkurā gadījumā, vismaz lai saprastu visas Leļļu valodas iezīmes. Dažādi veidi ļauj izpildīt noteiktas komandas, tostarp, ja ir izpildīti noteikti nosacījumi (piemēram, mainīt konfigurācijas failu), strādāt ar cron, lietotāja akreditācijas datiem un grupām, datoriem, mount resursus, sākt un apturēt pakalpojumus, instalēt, atjaunināt un noņemt pakotnes, strādāt ar SSH atslēgām, Solaris zonām utt. Tādā veidā jūs varat viegli atjaunināt pakotņu sarakstu izplatījumos, izmantojot apt, lai tas tiktu atjaunināts katru dienu no pulksten 2 līdz 4:

grafiks (katru dienu:

Periods => katru dienu,

diapazons =>

exec ("/usr/bin/apt-get update":

Grafiks => katru dienu

Atjaunināšanu par šo periodu katra sistēma veiks tikai vienu reizi, pēc tam uzdevums tiek uzskatīts par pabeigtu un tiks dzēsts no klienta datora. Leļļu valoda atbalsta citas pazīstamas struktūras: nosacījumus, funkcijas, masīvus, komentārus un tamlīdzīgus.

Leļļu uzstādīšana

Puppet nepieciešama Ruby (versija 1.8.1 un jaunāka) ar OpenSSL atbalstu un XMLRPC bibliotēkām, kā arī Faster bibliotēka. Ubuntu 7.04 repozitorijā, kas tika izmantota testa instalācijā, jau ir iekļauta kucēna pakotne:

$ sudo apt-cache meklēšanas lelle

~$ rubīns -rxmlrpc/client -e "puts:yep"

Ja kļūdas netiek saņemtas, tad viss nepieciešamais jau ir iekļauts. Failus, kas apraksta vēlamo sistēmu konfigurāciju, Puppet terminoloģijā sauc par manifestiem. Palaižot, dēmons mēģina nolasīt /etc/puppet/manifests/site.pp failu, ja tā trūkst, tas izdod brīdinājuma ziņojumu. Pārbaudot, varat likt dēmonam darboties bezsaistes režīmā, kam nav nepieciešams manifests:

$ sudo /usr/bin/puppetmasterd --nonodes

Ja nepieciešams, vietnē site.pp var iekļaut citus failus, piemēram, ar klašu aprakstiem. Lai veiktu testa darbību, šim failam varat pievienot vienkāršāko instrukciju.

klases sudo (

Fails ("/etc/sudoers":

Īpašnieks => sakne,

grupa => sakne,

režīms => 440,

node default (

Iekļauts sudo

Visi konfigurācijas faili, gan servera, gan klienta, atrodas mapē /etc/puppet. Fails fileserver.conf, par kuru mēs jau runājām, nav obligāts un tiek izmantots tikai tad, ja Puppet darbosies arī kā failu serveris. Uz Ubuntu šis fails eksportē apakšdirektoriju /etc/puppet/files. SSL apakšdirektorijā ir sertifikāti un atslēgas, kas tiks izmantotas klientu savienojumu šifrēšanai. Atslēgas tiek ģenerētas automātiski, kad pirmo reizi palaižat puppetmasterd, tās var izveidot manuāli, izmantojot komandu:

$ sudo /usr/bin/puppetmasterd --mkusers

Faili puppetd.conf un puppetmasterd.conf ir līdzīgi. Tie norāda dažus parametrus dēmonu darbībai klienta sistēmā un serverī. Klienta fails atšķiras tikai ar servera parametra klātbūtni, kas norāda uz datoru, kurā darbojas puppetmasterd:

serveris=grinder.com

logdir = /var/log/puppet

vardir=/var/lib/puppet

rundir = /var/run

# nosūtīt ziņojumu serverim

report=true

Tā vietā, lai visu rakstītu ar roku, varat izveidot veidni, izmantojot pašu funkciju puppetd:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Līdzīgi varat izveidot vietni site.pp serverī:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Cits fails tagmail.conf ļauj norādīt e-pasta adreses, uz kurām tiks nosūtīti pārskati. Vienkāršākajā gadījumā var izmantot vienu rindu:

visi: [aizsargāts ar e-pastu]

Ar konfigurācijas failiem nepietiek, lai klients varētu izveidot savienojumu ar serveri. Lai to izdarītu, jums joprojām ir jāparaksta sertifikāti.

Pirmkārt, lai serveris uzzinātu par jauno datoru, klienta sistēmā ievadiet komandu:

$ sudo puppetd --serveris grinder.com --waitforcert 60 --test

Ugunsmūrim ir jāatļauj savienojumi 8140. portā.

Serverī tiek parādīts saraksts ar sertifikātiem, kas jāparaksta:

$ sudo puppetca --list

Un parakstiet klienta sertifikātu:

$ sudo puppetca --sign nomad.grinder.com

Tagad klients var brīvi izveidot savienojumu ar serveri un saņemt iestatījumus.

Diemžēl visas Lelles iespējas nav iespējams parādīt raksta robežās. Bet, kā redzat, šis ir funkcionāls un elastīgs rīks, kas ļauj atrisināt lielāko daļu uzdevumu, vienlaikus administrējot lielu skaitu sistēmu. Un pats galvenais, projektam izdevās pulcēt nelielu, bet pastāvīgi augošu kopienu. Tāpēc cerēsim, ka labai idejai netiks ļauts nomirt vai aiziet uz sāniem.

Veiksmi!

1. BladeLogic projekta vietne ir http://www.bladelogic.com.
2. OpsWare projekta vietne ir http://www.opsware.com.
3. Cfengine projekta vietne ir http://www.cfengine.org.
4. Leļļu projekta vietne ir http://reductivelabs.com/projects/puppet.
5. Leļļu pavārgrāmata — http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Ātrāka bibliotēka —