cfpuppetserver klase

• deployuser = "deploypuppet" — lietotājvārds konfigurācijas atjauninājumu automātiskai izvietošanai
• deployuser_auth_keys = undef — $deployuser atslēgu saraksts
• repo_url = undef — repozitorija URI (piemērs: ssh://user@host/repo vai file:///some/path)
• puppetserver = true — vai šajā mezglā instalēt Puppet Server komponentu
• puppetdb = true — vai šajā mezglā instalēt PuppetDB komponentu
• puppetdb_port = 8081 — PuppetDB ports
• setup_postgresql = true — vai šajā mezglā instalēt PostgreSQL komponentu (tikai tad, ja ir iespējota PuppetDB instalēšana)
• service_face = "jebkurš" — cfnetwork::iface resursa nosaukums ienākošo savienojumu pieņemšanai
• puppetserver_mem = automātiski — RAM leļļu serverim megabaitos (vismaz 192 MB)
• puppetdb_mem = auto - RAM PuppetDB megabaitos (vismaz 192 MB)
• postgresql_mem = automātiski — PostgreSQL operatīvā atmiņa megabaitos (vismaz 128 MB)

klases cfpuppetserver::puppetdb

• postgresql_host = "localhost" — datu bāzes adrese
• postgresql_listen = $postgresql_host — vērtība nonāk tieši klausīšanās_addresses PostgreSQL direktīvā
• postgresql_port = 5432 — datu bāzes ports
• postgresql_user = "puppetdb" — PuppetDB lietotājs datu bāzē
• postgresql_pass = "puppetdb" - PuppetDB lietotāja parole datu bāzē
• postgresql_ssl = false — iespējot savienojuma šifrēšanu, pamatojoties uz Puppet PKI sertifikātiem

klases cfpuppetserver::puppetserver

• autosign = false - NEDRĪKST izmantot kaujas vidē, izņemot varbūt DMZ. Pastāv tikai testēšanas automatizācijai.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - ceļš uz noklusējuma Hiera konfigurācijas failu saskaņā ar Puppet canons (pirmais komponents ir moduļa nosaukums, pārējais ir ceļš zem failiem/mapes modulī)

Jūs varat palīdzēt un pārskaitīt dažus līdzekļus vietnes attīstībai

Liela skaita Unix sistēmu pārvaldību nevar saukt par ērtu. Lai mainītu vienu parametru, administratoram ir jāsazinās ar katru mašīnu; skripti var palīdzēt tikai daļēji, un ne visās situācijās.

Jāatzīst, ka Windows tīkla administratori joprojām ir izdevīgākā stāvoklī. Pietiek nomainīt grupas politikas iestatījumus un pēc kāda laika visi tīklā esošie datori, arī tie ar nesen instalētu operētājsistēmu, “uzzinās” par jauninājumu, ja tas, protams, uz tiem attiecas. Atskatoties uz ilgo Unix izstrādes periodu, jūs ievērosiet, ka nekas tāds nekad nav izdevies. Ir tādi risinājumi kā kickstart, kas palīdz sākotnējā instalācijā operētājsistēma, taču turpmāka pilnveidošana prasīs ievērojamas pūles. Komerciālie risinājumi, piemēram, BladeLogic un OpsWare, tikai daļēji atrisina iestatījumu automatizācijas problēmu; to galvenā priekšrocība ir pieejamība GUI, un tos var iegādāties tikai no lielām organizācijām. Protams, ir projekti, kas piedāvā bezmaksas risinājumus, taču visā to pastāvēšanas laikā tie nekad nav spējuši izveidot lielu kopienu. Piemēram, Cfengine nav īpaši populārs administratoru vidū, lai gan papildus Linux to var izmantot *BSD, Windows un Mac OS X. Tas var būt saistīts ar relatīvo konfigurāciju izveides sarežģītību. Aprakstot uzdevumus, jāņem vērā katras konkrētās sistēmas īpatnības un manuāli jākontrolē darbību secība, izpildot komandas. Tas ir, administratoram ir jāatceras, ka dažām sistēmām ir jāraksta adduser citām, useradd, jāņem vērā failu atrašanās vieta dažādās sistēmās utt. Tas par lielumu sarežģī komandu rakstīšanas procesu, ir ļoti grūti izveidot pareizo konfigurāciju lidojuma laikā, un izveidotās konfigurācijas pēc kāda laika ir gandrīz neiespējami nolasīt. Neskatoties uz GPL licenci, Cfengine patiesībā ir viena cilvēka projekts, kurš kontrolē visas izmaiņas un nav īpaši ieinteresēts atvērtas sabiedrības veidošanā. Rezultātā cfengine iespējas izstrādātāju ir diezgan apmierinošas, bet citiem administratoriem tās drīzāk sagādā papildu galvassāpes. Lai uzlabotu cfengine, trešo pušu izstrādātāji radīja dažādus papildinājumus, kas bieži vien situāciju tikai pasliktināja. Vairāku šādu cfengine moduļu autors Lūks Kanijs galu galā nolēma izstrādāt līdzīgu rīku, taču bez daudziem cfengine trūkumiem.

Leļļu funkcijas

Puppet, tāpat kā cfengine, ir klienta-servera sistēma, kas izmanto deklaratīvu, tas ir, obligātu valodu, lai aprakstītu uzdevumus un bibliotēkas to ieviešanai. Klienti periodiski (pēc noklusējuma 30 minūtes) izveido savienojumu ar centrālo serveri un saņem jaunāko konfigurāciju. Ja saņemtie iestatījumi neatbilst sistēmas stāvoklim, tie tiks izpildīti, un nepieciešamības gadījumā serverim tiks nosūtīta atskaite par veiktajām darbībām. Serveris var saglabāt ziņojumus syslog vai failā, izveidot RRD grafiku un nosūtīt tos uz noteiktu e-pastu. Papildu transakciju un resursu abstrakcijas slāņi nodrošina maksimālu savietojamību ar esošajiem iestatījumiem un lietojumprogrammām, ļaujot koncentrēties uz sistēmas objektiem, neuztraucoties par atšķirībām detalizētu komandu un failu formātu ieviešanā un aprakstā. Administrators darbojas tikai ar objekta tipu, par pārējo rūpējas Lelle. Tādējādi pakotņu tips zina apmēram 17 pakotņu sistēmas, vajadzīgā tiks automātiski atpazīta, pamatojoties uz informāciju par distribūcijas vai sistēmas versiju, lai gan, ja nepieciešams, pakotņu pārvaldnieku var piespiest.

Atšķirībā no skriptiem, kurus bieži vien nav iespējams izmantot citās sistēmās, trešo pušu administratoru rakstītās leļļu konfigurācijas lielākoties darbosies bez problēmām jebkurā citā tīklā. Leļļu pavārgrāmatā [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] ir jau trīs desmiti gatavu recepšu. Puppet pašlaik oficiāli atbalsta šādas operētājsistēmas un pakalpojumus: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo un MySQL, LDAP.

Leļļu valoda

Lai virzītos uz priekšu, vispirms ir jāsaprot valodas pamatelementi un iespējas. Valoda ir viena no stiprās puses Lelle. Ar tās palīdzību tiek aprakstīti resursi, kurus administrators plāno pārvaldīt, un darbības. Atšķirībā no vairuma līdzīgu risinājumu, Puppet ļauj valodai vienkāršot piekļuvi visiem līdzīgiem resursiem jebkurā sistēmā neviendabīgā vidē. Resursa apraksts parasti sastāv no nosaukuma, veida un atribūtiem. Piemēram, norādīsim uz /etc/passwd failu un iestatīsim tā atribūtus:

fails ("/etc/passwd":

īpašnieks => sakne,

grupa => sakne,

Tagad klienti, izveidojuši savienojumu ar serveri, kopēs /etc/passwd failu un instalēs norādītos atribūtus. Vienā noteikumā varat definēt vairākus resursus, atdalot tos, izmantojot semikolu. Ko darīt, ja serverī izmantotais konfigurācijas fails atšķiras no klienta vai netiek izmantots vispār? Piemēram, šī situācija var rasties, iestatot VPN savienojumus. Šajā gadījumā failu var norādīt, izmantojot avota direktīvu. Šeit, kā parasti, ir divas iespējas, lai norādītu ceļu uz citu failu; tiek atbalstīti arī divi URI protokoli: fails un marionete. Pirmajā gadījumā tiek izmantota saite uz ārēju NFS serveri, otrajā variantā uz Puppet servera tiek palaists NFS līdzīgs pakalpojums, kas eksportē resursus. Pēdējā gadījumā noklusējuma ceļš ir saistīts ar leļļu saknes direktoriju - /etc/puppet. Tas nozīmē, ka saite puppet://server.domain.com/config/sshd_config atbildīs failam /etc/puppet/config/sshd_config. Šo direktoriju var ignorēt, izmantojot direktīvu filebucket, lai gan pareizāk ir izmantot tāda paša nosaukuma sadaļu /etc/puppet/fileserver.conf failā. Šajā gadījumā jūs varat ierobežot piekļuvi pakalpojumam tikai no noteiktām adresēm. Piemēram, aprakstīsim konfigurācijas sadaļu.

ceļš /var/puppet/config

atļaut *.domain.com

atļaut 192.168.0.*

atļaut 192.168.1.0/24

noliegt *.wireless.domain.com

Un tad mēs pievēršamies šai sadaļai, aprakstot resursu.

avots => "puppet://server.domain.com/config/sshd_config"

Pirms kola ir resursa nosaukums. Vienkāršākajos gadījumos kā nosaukumu varat vienkārši norādīt aizstājvārdu vai mainīgos. Pseidonīms tiek iestatīts, izmantojot aizstājvārdu direktīvu. pilns ceļš uz failu. Sarežģītākās konfigurācijās

fails ("/etc/passwd":

alias => passwd

Vēl viena aizstājvārda izveides iespēja ir piemērota, ja jums ir jārisina dažādas operētājsistēmas. Piemēram, izveidosim resursu, kas apraksta failu sshd_config:

fails (sshdconfig:

nosaukums => $operētājsistēma? (

solaris => "/usr/local/etc/ssh/sshd_config",

noklusējuma => "/etc/ssh/sshd_config"

Šajā piemērā mēs esam izvēles priekšā. Solaris fails ir norādīts atsevišķi, visiem pārējiem tiks atlasīts fails /etc/ssh/sshd_config. Tagad šim resursam var piekļūt kā sshdconfig, atkarībā no operētājsistēmas tiks atlasīts vēlamais ceļš. Piemēram, mēs norādām, ka, ja darbojas sshd dēmons un tiek saņemts jauns fails, pakalpojums ir jārestartē.

nodrošināt => taisnība,

abonēt => Fails

Strādājot ar lietotāja datiem, bieži tiek izmantoti mainīgie. Piemēram, mēs aprakstām lietotāju mājas direktoriju atrašanās vietu:

$homeroot = "/home"

Tagad konkrēta lietotāja failiem var piekļūt kā

$(homeroot)/$name

Parametrs $name tiks aizpildīts ar lietotāja konta nosaukumu. Dažos gadījumos ir ērti definēt kāda veida noklusējuma vērtību. Piemēram, exec tipam tie bieži norāda direktorijus, kuros jāmeklē izpildāmais fails:

Exec (ceļš => "/usr/bin:/bin:/usr/sbin:/sbin")

Ja jānorāda uz vairākiem ligzdotiem failiem un direktorijiem, varat izmantot atkārtošanas parametru.

fails ("/etc/apache2/conf.d":

avots => “puppet:// puppet://server.domain.com/config/apache/conf.d”,

atkārtojums => "patiess"

Vairākus resursus var apvienot klasēs vai definīcijās. Klases ir pilnīgs sistēmas vai pakalpojuma apraksts un tiek izmantotas atsevišķi.

"/etc/passwd": īpašnieks => sakne, grupa => sakne, režīms => 644;

"/etc/shadow": īpašnieks => sakne, grupa => sakne, režīms => 440

Tāpat kā objektorientētās valodās, klases var ignorēt. Piemēram, FreeBSD šo failu grupas īpašnieks ir ritenis. Tāpēc, lai resurss netiktu pilnībā pārrakstīts, izveidosim jaunu freebsd klasi, kas pārmantos linux klasi:

klase freebsd manto Linux (

Fails[“/etc/passwd”] ( grupa => ritenis );

Fails[“/etc/shadow”] (grupa => ritenis)

Ērtības labad visas klases var ievietot atsevišķā failā, kuru var savienot, izmantojot direktīvu iekļaut. Definīcijas var izmantot vairākus parametrus kā argumentus, taču tās neatbalsta pārmantošanu un tiek izmantotas, ja nepieciešams aprakstīt atkārtoti lietojamus objektus. Piemēram, definēsim lietotāju mājas direktoriju un komandas, kas nepieciešamas, lai izveidotu jaunu kontu.

definēt user_homedir ($group, $fullname, $ingroups) (

lietotājs("$nosaukums":

nodrošināt => klāt,

komentārs => "$fullname",

gid => "$grupa",

grupas => $grupas,

dalība => minimums,

apvalks => "/bin/bash",

mājas => "/mājas/$nosaukums",

prasīt => grupa[$grupa],

exec("$name homedir":

komanda => “/bin/cp -R /etc/skel /home/$nosaukums; /bin/chown -R $nosaukums:$grupa /mājas/$nosaukums",

rada => "/home/$name",

prasīt => Lietotājs[$vārds],

Tagad, lai izveidotu jaunu konts vienkārši sazinieties ar user_homedir.

user_homedir("sergej":

grupa => "Sergejs",

pilns vārds => "Sergejs Jaremčuks",

ingroups => ["media", "admin]

Ir atsevišķi apraksti mezgliem, kas atbalsta mantošanu, piemēram, klases. Kad klients izveido savienojumu ar Puppet serveri, tiks meklēta atbilstošā mezgla sadaļa un tiks nodrošināti tikai šim datoram raksturīgi iestatījumi. Lai aprakstītu visas pārējās sistēmas, varat izmantot node default. Visu veidu apraksts ir dots dokumentā “Tipa atsauce”, kas jebkurā gadījumā ir jāizlasa, lai vismaz izprastu visas Leļļu valodas iespējas. Dažādi veidiļauj izpildīt noteiktas komandas, tostarp, ja ir izpildīti noteikti nosacījumi (piemēram, mainīt konfigurācijas failu), strādāt ar cron, lietotāja akreditācijas datiem un grupām, datoriem, montāžas resursiem, pakalpojumu palaišanu un apturēšanu, pakotņu instalēšanu, atjaunināšanu un noņemšanu, darbu ar SSH atslēgas, Solaris zonas un tā tālāk. Tas ir, cik vienkārši ir piespiest pakotņu sarakstu izplatījumos, izmantojot apt, atjaunināt katru dienu no 2 līdz 4 stundām.

grafiks (katru dienu:

periods => katru dienu,

diapazons =>

exec ("/usr/bin/apt-get update":

grafiks => katru dienu

Atjaunināšanu par šo periodu katra sistēma veiks tikai vienu reizi, pēc tam uzdevums tiek uzskatīts par pabeigtu un tiks dzēsts no klienta datora. Leļļu valoda atbalsta citas pazīstamas struktūras: nosacījumus, funkcijas, masīvus, komentārus un tamlīdzīgus.

Leļļu instalēšana

Puppet nepieciešama Ruby (>= 1.8.1) ar OpenSSL atbalstu un XMLRPC bibliotēkām, kā arī Faster bibliotēka [ http://reductivelabs.com/projects/facter]. Ubuntu 7.04 repozitorijā, kas tika izmantota testa instalēšanai, jau bija kucēna pakotne.

$ sudo apt-cache meklēšanas lelle

marionete — centralizēta tīklu konfigurācijas pārvaldība

puppetmaster - centralizēts konfigurācijas pārvaldības kontroles dēmons

Instalēšanas laikā tiks instalētas visas nepieciešamās atkarības pakotnes: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get instalēt puppet puppetmaster

Ruby bibliotēku pieejamību var pārbaudīt ar komandu.

$ rubīns -ropenssl -e "puts:yep"

~$ rubīns -rxmlrpc/client -e "puts:yep"

Ja kļūdas netiek saņemtas, tad viss nepieciešamais jau ir iekļauts. Failus, kas apraksta vēlamo sistēmu konfigurāciju, Puppet terminoloģijā sauc par manifestiem. Palaižot, dēmons mēģina nolasīt failu /etc/puppet/manifests/site.pp; ja tā trūkst, tiek parādīts brīdinājuma ziņojums. Pārbaudot, varat likt dēmonam darboties bezsaistes režīmā, un tādā gadījumā manifests nav nepieciešams

$ sudo /usr/bin/puppetmasterd --nonodes

Ja nepieciešams, vietnei site.pp varat pievienot citus failus, piemēram, ar klašu aprakstiem. Lai veiktu testa darbību, šajā failā varat ievadīt vienkāršākos norādījumus.

fails ("/etc/sudoers":

īpašnieks => sakne,

grupa => sakne,

Visi servera un klientu konfigurācijas faili atrodas mapē /etc/puppet. Fails fileserver.conf, par kuru mēs runājām iepriekš, nav obligāts un tiek izmantots tikai tad, ja Puppet darbosies arī kā failu serveris. Uz Ubuntu šis fails eksportē apakšdirektoriju /etc/puppet/files. SSL apakšdirektorijā ir sertifikāti un atslēgas, kas tiks izmantotas šifrēšanai, savienojot klientus. Taustiņi tiek izveidoti automātiski, pirmo reizi palaižot puppetmasterd; varat tos izveidot manuāli, izmantojot komandu.

$ sudo /usr/bin/ puppetmasterd --mkusers.

Faili puppetd.conf un puppetmasterd.conf ir līdzīgi. Tie norāda dažus parametrus dēmonu darbībai klienta sistēmā un serverī. Klienta fails atšķiras tikai ar servera parametra klātbūtni, kas norāda uz datoru, kurā darbojas puppetmasterd.

serveris = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# nosūtīt ziņojumu serverim

Lai nerakstītu visu manuāli, varat izveidot veidni, izmantojot pašu puppetd.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Tāpat serverī varat izveidot vietni.pp.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Cits fails tagmail.conf ļauj norādīt e-pasta adreses, uz kurām tiks nosūtīti pārskati. Vienkāršākajā gadījumā varat izmantot vienu līniju.

visi: [aizsargāts ar e-pastu]

Ar konfigurācijas failiem nepietiek, lai klients izveidotu savienojumu ar serveri. Lai to izdarītu, jums arī jāparaksta sertifikāti. Pirmkārt, lai ļautu serverim uzzināt par jauno datoru klienta sistēmā, ievadiet komandu:

$ sudo puppetd --serveris grinder.com --waitforcert 60 --test

info: Sertifikāta pieprasīšana

brīdinājums: vienādranga sertifikāts netiks pārbaudīts šajā SSL sesijā

paziņojums: nesaņēmu sertifikātu

Ja tiek atgriezta cita rinda, jums jāpārbauda servera darbība.

$ ps aux | grep marionete

marionete 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 ruby ​​​​/usr/sbin/puppetmasterd

Ugunsmūrim ir jāatļauj savienojumi 8140. portā.

Serverī mēs saņemam sarakstu ar sertifikātiem, kas jāparaksta.

$ sudo puppetca --list

nomad.grinder.com

Un mēs parakstām klienta sertifikātu.

$ sudo puppetca — zīme nomad.grinder.com

Tagad klients var brīvi izveidot savienojumu ar serveri un saņemt iestatījumus.

Diemžēl rakstā vienkārši nav iespējams parādīt visas Puppet iespējas. Bet, kā redzat, šis ir funkcionāls un elastīgs rīks, kas ļauj atrisināt lielāko daļu problēmu, kas saistītas ar daudzu sistēmu vienlaicīgu administrēšanu. Ja jūsu darba jomā ir jāiestata vairākas sistēmas. Un pats galvenais, projektam izdevās pulcēt nelielu, bet pastāvīgi augošu kopienu. Tāpēc cerēsim, ka labai idejai neļaus nomirt vai aiziet malā.

Lelle ir starpplatformu struktūra, kas ļauj sistēmas administratori Veiciet parastos uzdevumus, izmantojot kodu. Kods ļauj veikt dažādus uzdevumus, sākot no jaunu programmu instalēšanas līdz failu atļauju pārbaudei vai lietotāju kontu atjaunināšanai. Lelle pārāks ne tikai sistēmas sākotnējās uzstādīšanas laikā, bet visā sistēmas dzīves ciklā. Vairumā gadījumu marionete izmanto klienta/servera konfigurācijā.

Šajā sadaļā ir parādīta instalēšana un konfigurēšana Lelle klienta/servera konfigurācijā. Šis vienkāršais piemērs parāda, kā instalēt Apache izmantojot Lelle.

Uzstādīšana

Uzstādīšanai Lelle ievadiet terminālī:

Sudo apt-get install puppetmaster

Klienta iekārtā(-ēs) ievadiet:

Sudo apt-get install marionet

Iestatījumi

Pirms marionetes iestatīšanas, iespējams, vēlēsities pievienot ierakstu DNS CNAME Priekš marionete.example.com, Kur example.com- tas ir jūsu domēns. Noklusējuma klienti Lelle pārbaudiet DNS vietnei puppet.example.com kā leļļu servera nosaukumu ( Leļļu meistars). Papildinformāciju par DNS izmantošanu skatiet sadaļā Domain Name Service.

Ja neplānojat izmantot DNS, varat pievienot ierakstus failam /etc/hosts serverī un klientā. Piemēram, failā /etc/hosts Lelle servera pievienošana:

127.0.0.1 localhost.localdomain localhost marionet 192.168.1.17 meercat02.example.com meercat02

Uz katru Lelle Klientā pievienojiet ierakstu serverim:

192.168.1.16 meercat.example.com meercat marionet

Aizstāt IP adreses un domēna vārdi no piemēra līdz jūsu pašreizējām adresēm un servera un klientu nosaukumiem.

Tagad iestatīsim dažus resursus apache2. Izveidojiet failu /etc/puppet/manifests/site.pp kas satur sekojošo:

Package ( "apache2": nodrošināt => instalēts) pakalpojums ( "apache2": nodrošināt => true, enable => true, prasīt => pakotne["apache2"])

Mezgls "meercat02.example.com" (ietver apache2)

Aizvietot meercat02.example.com uz savu pašreizējo vārdu Lelle klients.

Pēdējais solis šim vienkāršajam Lelle serverim ir jārestartē pakalpojums:

Sudo /etc/init.d/puppetmaster restart

Tagad tālāk Lelle viss ir konfigurēts serverī, un ir pienācis laiks konfigurēt klientu.

Vispirms konfigurēsim pakalpojumu Lelle aģents palaišanai. Rediģējiet /etc/default/puppet, aizstājot vērtību SĀKT ieslēgts Jā:

Sudo /etc/init.d/puppet start

Atgriezīsimies pie Lelle serveri, lai parakstītu klienta sertifikātu, izmantojot komandu:

Sudo puppetca — parakstīt meercat02.example.com

Pārbaudiet /var/log/syslog par jebkādām konfigurācijas kļūdām. Ja viss noritēja labi, paka apache2 un tā atkarības tiks instalētas Lelle klients.

Šis piemērs ir ļoti vienkāršs, un tajā nav parādītas daudzas funkcijas un priekšrocības. Lelle. Priekš Papildus informācija Skaties

Sergejs Jaremčuks

Centralizēta UNIX sistēmu konfigurēšana, izmantojot Puppet

Liela skaita UNIX sistēmu pārvaldību nevar saukt par ērtu. Lai mainītu vienu parametru, administratoram ir jāsazinās ar katru mašīnu; skripti var palīdzēt tikai daļēji, un ne visās situācijās.

Jāatzīst, ka Windows tīkla administratori joprojām ir izdevīgākā stāvoklī. Pietiek nomainīt grupas politikas iestatījumus, un pēc kāda laika visi tīklā esošie datori, arī tie, kuriem ir nesen instalēta operētājsistēma, “uzzinās” par jauninājumu, ja tas, protams, attiecas uz viņiem. Atskatoties uz ilgu UNIX izstrādes periodu, jūs varat redzēt, ka nekas tāds nekad nav izdevies. Ir tādi risinājumi kā kickstart, kas palīdz sākotnējā operētājsistēmas instalācijā, taču turpmākā attīstība prasīs ievērojamas pūles. Komerciālie risinājumi, piemēram, BladeLogic un OpsWare, tikai daļēji atrisina iestatījumu automatizācijas problēmu; to galvenā priekšrocība ir grafiskā interfeisa klātbūtne, un tos var atļauties iegādāties tikai lielas organizācijas. Protams, ir projekti, kas piedāvā bezmaksas risinājumus, taču visā to pastāvēšanas laikā tie nav spējuši izveidot lielu kopienu. Piemēram, Cfengine nav īpaši populārs administratoru vidū, lai gan, papildus Linux, to var izmantot *BSD, Windows un Mac OS X. Tas var būt saistīts ar relatīvo konfigurāciju izveides sarežģītību. Aprakstot uzdevumus, ir jāņem vērā katras konkrētās sistēmas īpašības un manuāli jākontrolē darbību secība, izpildot komandas. Tas ir, administratoram jāatceras, ka dažām sistēmām ir jāraksta adduser, citām - useradd, jāņem vērā failu atrašanās vieta dažādās sistēmās utt. Tas par lielumu sarežģī komandu rakstīšanas procesu, ir ļoti grūti izveidot pareizo konfigurāciju lidojuma laikā, un izveidotās konfigurācijas pēc kāda laika ir gandrīz neiespējami nolasīt. Neskatoties uz GPL licenci, Cfengine būtībā ir viena cilvēka projekts, kas kontrolē visas izmaiņas un nav īpaši ieinteresēts veidot atvērtu sabiedrību. Rezultātā Cfengine iespējas izstrādātāju ir diezgan apmierinošas, bet citiem administratoriem tās drīzāk sagādā papildu galvassāpes. Lai uzlabotu Cfengine, trešo pušu izstrādātāji radīja dažādus papildinājumus, kas bieži vien situāciju tikai pasliktināja. Vairāku šādu Cfengine moduļu autors Lūks Kanijs galu galā nolēma izstrādāt līdzīgu rīku, taču bez daudziem Cfengine trūkumiem.

Leļļu funkcijas

Puppet, tāpat kā Cfengine, ir klienta-servera sistēma, kas izmanto deklaratīvu valodu, lai aprakstītu uzdevumus un bibliotēkas to ieviešanai. Klienti periodiski (pēc noklusējuma ik pēc 30 minūtēm) izveido savienojumu ar centrālo serveri un saņem jaunāko konfigurāciju. Ja saņemtie iestatījumi neatbilst sistēmas stāvoklim, tie tiks izpildīti, un nepieciešamības gadījumā serverim tiks nosūtīta atskaite par veiktajām darbībām. Ziņojumu serveris var to saglabāt syslog vai failā, izveidot RRD grafiku un nosūtīt to uz norādīto e-pastu. Papildu transakciju un resursu abstrakcijas slāņi nodrošina maksimālu savietojamību ar esošajiem iestatījumiem un lietojumprogrammām, ļaujot koncentrēties uz sistēmas objektiem, neuztraucoties par atšķirībām ieviešanā un detalizēto komandu un failu formātu aprakstos. Administrators darbojas tikai ar objekta tipu, par pārējo rūpējas Lelle. Tādējādi pakotņu tips zina apmēram 17 pakotņu sistēmas, nepieciešamā tiks automātiski atpazīta, pamatojoties uz informāciju par distribūcijas vai sistēmas versiju, lai gan, ja nepieciešams, pakotņu pārvaldnieku var iestatīt piespiedu kārtā.

Atšķirībā no skriptiem, kurus bieži nav iespējams izmantot citās sistēmās, trešo pušu administratoru rakstītās leļļu konfigurācijas lielākoties darbosies bez problēmām jebkurā citā tīklā. Leļļu pavārgrāmatā jau ir trīs desmiti gatavu recepšu. Puppet pašlaik oficiāli atbalsta šādas operētājsistēmas un pakalpojumus: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo un MySQL, LDAP.

Leļļu valoda

Lai virzītos uz priekšu, vispirms ir jāsaprot valodas pamatelementi un iespējas. Valoda ir viena no Lelles stiprajām pusēm. Tajā ir aprakstīti resursi, kurus administrators plāno pārvaldīt, un veiktās darbības. Atšķirībā no vairuma līdzīgu risinājumu, Puppet ļauj valodai vienkāršot piekļuvi visiem līdzīgiem resursiem jebkurā sistēmā neviendabīgā vidē. Resursa apraksts parasti sastāv no nosaukuma, veida un atribūtiem. Piemēram, norādīsim uz /etc/passwd failu un iestatīsim tā atribūtus:

fails ("/etc/passwd":

Īpašnieks => sakne,

Grupa => sakne,

režīms => 644,

Tagad klienti, kas savienojas ar serveri, kopēs /etc/passwd failu un iestatīs norādītos atribūtus. Vienā noteikumā varat definēt vairākus resursus, atdalot tos, izmantojot semikolu. Bet ko darīt, ja serverī izmantotais konfigurācijas fails atšķiras no klienta failiem vai netiek izmantots vispār? Piemēram, šī situācija var rasties, iestatot VPN savienojumus. Šajā gadījumā jums jānorāda uz failu, izmantojot avota direktīvu. Šeit ir divas iespējas; jūs, kā parasti, varat norādīt ceļu uz citu failu, kā arī izmantojot divus atbalstītos URI protokolus: failu un marioneti. Pirmajā gadījumā tiek izmantota saite uz ārēju NFS serveri, otrajā variantā Puppet serverī tiek palaists NFS līdzīgs pakalpojums, kas eksportē resursus. Pēdējā gadījumā noklusējuma ceļš ir saistīts ar leļļu saknes direktoriju – /etc/puppet. Tas nozīmē, ka saite puppet://server.domain.com/config/sshd_config atbildīs failam /etc/puppet/config/sshd_config. Šo direktoriju var ignorēt, izmantojot direktīvu filebucket, lai gan pareizāk ir izmantot tāda paša nosaukuma sadaļu /etc/puppet/fileserver.conf failā. Šajā gadījumā jūs varat ierobežot piekļuvi pakalpojumam tikai noteiktām adresēm. Piemēram, aprakstīsim konfigurācijas sadaļu:

Ceļš /var/puppet/config

Atļaut *.domain.com

Atļaut 127.0.0.1

Atļaut 192.168.0.*

Atļaut 192.168.1.0/24

Aizliegt *.wireless.domain.com

Un tad mēs atsaucamies uz šo sadaļu, aprakstot resursu:

avots => "puppet://server.domain.com/config/sshd_config"

Pirms kola ir resursa nosaukums. Vienkāršākajos gadījumos kā nosaukumu varat vienkārši norādīt pilnu ceļu uz failu. Sarežģītākās konfigurācijās labāk izmantot aizstājvārdu vai mainīgos. Pseidonīms tiek iestatīts, izmantojot aizstājvārda direktīvu:

fails ("/etc/passwd":

Alias ​​=> passwd

Vēl viena aizstājvārda izveides iespēja ir piemērota, ja jums ir jārisina dažādas operētājsistēmas. Piemēram, izveidosim resursu, kas apraksta failu sshd_config:

fails (sshdconfig:

Vārds => $operētājsistēma? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Noklusējums => "/etc/ssh/sshd_config"

Šajā piemērā mēs esam izvēles priekšā. Solaris fails ir norādīts atsevišķi, visiem pārējiem tiks atlasīts fails /etc/ssh/sshd_config. Tagad šim resursam var piekļūt kā sshdconfig, atkarībā no operētājsistēmas tiks atlasīts vēlamais ceļš. Piemēram, mēs norādām, ka, ja darbojas sshd dēmons un tiek saņemts jauns fails, pakalpojums ir jārestartē:

pakalpojums (sshd:

Pārliecinieties, ka => taisnība,

Abonēt => Fails

Strādājot ar lietotāja datiem, bieži tiek izmantoti mainīgie. Piemēram, mēs aprakstām lietotāju mājas direktoriju atrašanās vietu:

$homeroot = "/home"

Tagad konkrēta lietotāja failiem var piekļūt kā:

$(homeroot)/$name

Parametrs $name tiks aizpildīts ar lietotāja konta nosaukumu. Dažos gadījumos ir ērti definēt kāda veida noklusējuma vērtību. Piemēram, exec tipam ļoti bieži tiek norādīti direktoriji, kuros jāmeklē izpildāmais fails:

Exec ( ceļš => "/usr/bin:/bin:/usr/sbin:/sbin")

Ja jānorāda uz vairākiem ligzdotiem failiem un direktorijiem, varat izmantot atkārtošanas parametru:

fails ("/etc/apache2/conf.d":

Avots => "puppet:// puppet://server.domain.com/config/apache/conf.d",

Atkārtot => "patiess"

Vairākus resursus var apvienot klasēs vai definīcijās. Klases ir pilnīgs sistēmas vai pakalpojuma apraksts un tiek izmantotas atsevišķi:

klases Linux (

Fails (

"/etc/passwd": īpašnieks => sakne, grupa => sakne, režīms => 644;

"/etc/shadow": īpašnieks => sakne, grupa => sakne, režīms => 440

Tāpat kā objektorientētās valodās, klases var ignorēt. Piemēram, FreeBSD šo failu grupas īpašnieks ir ritenis. Tāpēc, lai resurss netiktu pilnībā pārrakstīts, izveidosim jaunu freebsd klasi, kas pārmantos linux klasi:

klase freebsd manto Linux (

Fails["/etc/passwd"] ( grupa => ritenis );

Fails["/etc/shadow"] ( grupa => ritenis )

Ērtības labad visas klases var ievietot atsevišķā failā, kas jāiekļauj, izmantojot direktīvu iekļaut. Definīcijas var izmantot vairākus parametrus kā argumentus, taču tās neatbalsta pārmantošanu un tiek izmantotas, ja nepieciešams aprakstīt atkārtoti lietojamus objektus. Piemēram, definēsim lietotāja mājas direktoriju un komandas, kas nepieciešamas, lai izveidotu jaunu kontu:

definēt user_homedir ($group, $fullname, $ingroups) (

Lietotājs("$name":

Pārliecinieties => klāt,

Komentārs => "$fullname",

Gid => "$ grupa",

Grupas => $ingroups,

Dalība => minimums,

Shell => "/bin/bash",

Sākums => "/mājas/$nosaukums",

Prasība => Grupa[$grupa],

Exec("$name homedir":

Komanda => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $nosaukums:$grupa /home/$nosaukums",

Izveido => "/home/$name",

Prasīt => Lietotājs[$vārds],

Tagad, lai izveidotu jaunu kontu, vienkārši sazinieties ar user_homedir:

user_homedir("sergej":

Grupa => "Sergej",

Pilns vārds => "Sergejs Jaremčuks",

Ingroups => ["media", "admin]

Ir atsevišķi mezglu apraksti, kas atbalsta mantošanu, kā arī klases. Kad klients izveido savienojumu ar Puppet serveri, tiks meklēta atbilstošā mezgla sadaļa un tiks nodrošināti tikai šim datoram raksturīgi iestatījumi. Lai aprakstītu visas pārējās sistēmas, varat izmantot node default. Visu veidu apraksts ir dots dokumentā “Tipa atsauce”, kas jebkurā gadījumā ir jāizlasa, lai vismaz izprastu visas Leļļu valodas iespējas. Dažādi veidi ļauj izpildīt noteiktas komandas, tostarp, ja ir izpildīti noteikti nosacījumi (piemēram, mainīt konfigurācijas failu), strādāt ar cron, lietotāja akreditācijas datiem un grupām, datoriem, montāžas resursiem, pakalpojumu palaišanu un apturēšanu, pakotņu instalēšanu, atjaunināšanu un noņemšanu. , strādājot ar SSH taustiņiem, Solaris zonām un tā tālāk. Tādā veidā jūs varat viegli piespiest pakešu sarakstu izplatījumos, izmantojot apt, atjaunināt katru dienu no 2 līdz 4 stundām:

grafiks (katru dienu:

Periods => katru dienu,

Diapazons =>

exec ("/usr/bin/apt-get update":

Grafiks => katru dienu

Atjaunināšanu par šo periodu katra sistēma veiks tikai vienu reizi, pēc tam uzdevums tiek uzskatīts par pabeigtu un tiks dzēsts no klienta datora. Leļļu valoda atbalsta citas pazīstamas struktūras: nosacījumus, funkcijas, masīvus, komentārus un tamlīdzīgus.

Leļļu instalēšana

Puppet nepieciešama Ruby (versija 1.8.1 un jaunāka) ar OpenSSL atbalstu un XMLRPC bibliotēkām, kā arī Faster bibliotēka. Ubuntu 7.04 repozitorijā, kas tika izmantota testa instalēšanai, jau ir iekļauta kucēna pakotne:

$ sudo apt-cache meklēšanas lelle

~$ rubīns -rxmlrpc/client -e "puts:yep"

Ja kļūdas netiek saņemtas, tad viss nepieciešamais jau ir iekļauts. Failus, kas apraksta vēlamo sistēmu konfigurāciju, Puppet terminoloģijā sauc par manifestiem. Palaižot, dēmons mēģina nolasīt failu /etc/puppet/manifests/site.pp; ja tā trūkst, tiek parādīts brīdinājuma ziņojums. Pārbaudot, varat likt dēmonam darboties savrupajā režīmā, kam nav nepieciešams manifests:

$ sudo /usr/bin/puppetmasterd --nonodes

Ja nepieciešams, vietnei site.pp var pievienot citus failus, piemēram, ar klašu aprakstiem. Lai veiktu testa darbību, šajā failā varat ievadīt vienkāršākos norādījumus.

klases sudo (

Fails ("/etc/sudoers":

Īpašnieks => sakne,

Grupa => sakne,

režīms => 440,

node default (

Iekļauts sudo

Visi konfigurācijas faili, gan servera, gan klienta, atrodas mapē /etc/puppet. Fails fileserver.conf, par kuru mēs jau runājām, nav obligāts un tiek izmantots tikai tad, ja Puppet darbosies arī kā failu serveris. Uz Ubuntu šis fails eksportē apakšdirektoriju /etc/puppet/files. SSL apakšdirektorijā ir sertifikāti un atslēgas, kas tiks izmantotas šifrēšanai, savienojot klientus. Taustiņi tiek izveidoti automātiski, pirmo reizi palaižot puppetmasterd; varat tos izveidot manuāli, izmantojot komandu:

$ sudo /usr/bin/puppetmasterd --mkusers

Faili puppetd.conf un puppetmasterd.conf ir līdzīgi. Tie norāda dažus parametrus dēmonu darbībai klienta sistēmā un serverī. Klienta fails atšķiras tikai ar servera parametra klātbūtni, kas norāda uz datoru, kurā darbojas puppetmasterd:

serveris = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# nosūtīt ziņojumu serverim

ziņojums = patiess

Lai nerakstītu visu manuāli, varat izveidot veidni, izmantojot pašu puppetd:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Līdzīgi varat izveidot vietni site.pp serverī:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Cits fails tagmail.conf ļauj norādīt e-pasta adreses, uz kurām tiks nosūtīti pārskati. Vienkāršākajā gadījumā varat izmantot vienu rindiņu:

visi: [aizsargāts ar e-pastu]

Ar konfigurācijas failiem nepietiek, lai klients izveidotu savienojumu ar serveri. Lai to izdarītu, jums arī jāparaksta sertifikāti.

Pirmkārt, lai ļautu serverim uzzināt par jauno datoru, klienta sistēmā ievadiet komandu:

$ sudo puppetd --serveris grinder.com --waitforcert 60 -test

Ugunsmūrim ir jāatļauj savienojumi 8140. portā.

Serverī tiek parādīts saraksts ar sertifikātiem, kas jāparaksta:

$ sudo puppetca –list

Un parakstiet klienta sertifikātu:

$ sudo puppetca — zīme nomad.grinder.com

Tagad klients var brīvi izveidot savienojumu ar serveri un saņemt iestatījumus.

Diemžēl rakstā nav iespējams parādīt visas Puppet iespējas. Bet, kā redzat, tas ir funkcionāls un elastīgs rīks, kas ļauj atrisināt lielāko daļu problēmu, kas saistītas ar liela skaita sistēmu vienlaicīgu administrēšanu. Un pats galvenais, projektam izdevās pulcēt nelielu, bet pastāvīgi augošu kopienu. Tāpēc cerēsim, ka labai idejai neļaus nomirt vai aiziet malā.

Veiksmi!

1. BladeLogic projekta vietne – http://www.bladelogic.com.
2. OpsWare projekta vietne ir http://www.opsware.com.
3. Cfengine projekta vietne ir http://www.cfengine.org.
4. Leļļu projekta vietne ir http://reductivelabs.com/projects/puppet.
5. Leļļu pavārgrāmata — http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Ātrāka bibliotēka -