cfpuppetserver класа

• deployuser = „deploypuppet“ - корисничко име за автоматско распоредување надградби на конфигурацијата
• deployuser_auth_keys = undef - список на клучеви за $deployuser
• repo_url = undef - URI на складиштето (пример: ssh://user@host/repo или file:///some/path)
• puppetserver = точно - дали да се инсталира компонентата Puppet Server на овој јазол
• puppetdb = точно - дали да се инсталира компонентата PuppetDB на овој јазол
• puppetdb_port = 8081 - порта за PuppetDB
• setup_postgresql = точно - дали да се инсталира компонентата PostgreSQL на овој јазол (само ако е овозможена инсталацијата на PuppetDB)
• service_face = „било кој“ - име на cfnetwork::face ресурс за прифаќање дојдовни врски
• puppetserver_mem = автоматско - RAM меморија за куклен сервер во мегабајти (минимум 192 MB)
• puppetdb_mem = автоматско - RAM меморија за PuppetDB во мегабајти (минимум 192 MB)
• postgresql_mem = автоматско - RAM меморија за PostgreSQL во мегабајти (минимум 128 MB)

класа cfpuppetserver::puppetdb

• postgresql_host = "localhost" - адреса на базата на податоци
• postgresql_listen = $postgresql_host - вредноста оди директно до listen_addresses PostgreSQL директива
• postgresql_port = 5432 - порта за база на податоци
• postgresql_user = "puppetdb" - корисник на PuppetDB во базата на податоци
• postgresql_pass = "puppetdb" - лозинка на корисникот PuppetDB во базата на податоци
• postgresql_ssl = false - овозможете шифрирање на врската врз основа на Puppet PKI сертификати

класа cfpuppetserver::puppetserver

• автознак = неточно - НЕ ТРЕБА да се користи во борбена средина, освен можеби во DMZ. Постои исклучиво за тест автоматизација.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - патека до стандардната конфигурациска датотека Hiera според куклените канони (првата компонента е името на модулот, остатокот е патеката под датотеките/папката во модулот)

Можете да помогнете и да префрлите некои средства за развој на страницата

Управувањето со голем број Unix системи не може да се нарече погодно. За да промени еден параметар, администраторот треба да контактира со секоја машина; скриптите можат само делумно да помогнат, а не во сите ситуации.

Треба да се признае дека мрежните администратори на Windows сè уште се во поповолна позиција. Доволно е да ги промените поставките за групната политика и по некое време сите компјутери на мрежата, вклучително и оние со неодамна инсталиран оперативен систем, ќе „научат“ за иновацијата, ако тоа се разбира за нив се однесува. Гледајќи наназад во текот на долгиот период на развој на Unix, ќе забележите дека вакво нешто никогаш не се фатило. Постојат решенија како kickstart кои помагаат при првичната инсталација операционен систем, но дополнителното префинетост ќе бара значителен напор. Комерцијалните решенија како BladeLogic и OpsWare само делумно го решаваат проблемот со автоматизирање на поставките; нивната главна предност е достапноста GUI, а може да се купат само од големи организации. Има, се разбира, проекти кои нудат бесплатни решенија, но во текот на нивното постоење тие никогаш не биле во можност да создадат голема заедница. На пример, Cfengine не е многу популарен меѓу администраторите, иако освен во Linux, може да се користи и во *BSD, Windows и Mac OS X. Ова може да се должи на релативната сложеност на креирањето на конфигурации. Кога опишувате задачи, треба да ги земете предвид карактеристиките на секој специфичен систем и рачно да го контролирате редоследот на дејства при извршување на командите. Односно, администраторот мора да запомни дека за некои системи треба да напишете adduser за други, useradd, да ја земете предвид локацијата на датотеките на различни системи итн. Ова го отежнува процесот на пишување наредби по ред на големина, многу е тешко да се создаде правилна конфигурација во лет и речиси е невозможно да се прочитаат креираните конфигурации по некое време. И покрај лиценцата за GPL, Cfengine е всушност проект на еден човек кој ги контролира сите промени и не е многу заинтересиран за градење отворено општество. Како резултат на тоа, можностите на cfengine се доста задоволителни за развивачот, но за другите администратори тоа е прилично дополнителна главоболка. За да се подобри cfengine, беа креирани разни додатоци од трети лица програмери, што често само ја влошуваше ситуацијата. Авторот на неколку такви модули за cfengine, Лук Каниес, на крајот одлучи да развие слична алатка, но без многу недостатоци на cfengine.

Карактеристики на кукли

Puppet, како cfengine, е систем клиент-сервер кој користи декларативен, односно задолжителен јазик за опишување задачи и библиотеки за нивна имплементација. Клиентите периодично (30 минути стандардно) се поврзуваат со централниот сервер и ја добиваат најновата конфигурација. Доколку примените поставки не се совпаѓаат со состојбата на системот, тие ќе бидат извршени, а доколку е потребно, до серверот ќе се испрати извештај за извршените операции. Серверот може да зачувува пораки во syslog или датотека, да креира RRD график и да ги испрати на одредена е-пошта. Дополнителните трансакции и слоеви за апстракција на ресурси обезбедуваат максимална компатибилност со постоечките поставки и апликации, овозможувајќи ви да се фокусирате на системските објекти без да се грижите за разликите во имплементацијата и описот на деталните команди и формати на датотеки. Администраторот работи само со типот на објект, а за останатото се грижи Puppet. Така, типот на пакети знае околу 17 системи на пакети; потребниот автоматски ќе се препознае врз основа на информации за верзијата на дистрибуцијата или системот, иако, доколку е потребно, менаџерот на пакети може да биде принуден.

За разлика од скриптите, кои често не се возможни да се користат на други системи, конфигурациите за кукли напишани од администратори од трети страни, во најголем дел, ќе работат без проблеми на која било друга мрежа. Во куклен готвач [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] веќе има триесетина готови рецепти. Puppet во моментов официјално ги поддржува следните оперативни системи и услуги: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo и MySQL, LDAP.

Куклен јазик

За да продолжите напред, прво мора да ги разберете основните елементи и способности на јазикот. Јазикот е еден од јаки страниКукла. Со негова помош се опишани ресурсите со кои администраторот планира да управува и активностите. За разлика од повеќето слични решенија, Puppet му дозволува на јазикот да го поедностави пристапот до сите слични ресурси на кој било систем во хетерогена средина. Описот на ресурсите обично се состои од име, тип и атрибути. На пример, да укажеме на датотеката /etc/passwd и да ги поставиме нејзините атрибути:

датотека ("/etc/passwd":

сопственик => корен,

група => корен,

Сега клиентите, откако ќе се поврзат со серверот, ќе ја копираат датотеката /etc/passwd и ќе ги инсталираат наведените атрибути. Можете да дефинирате повеќе ресурси во едно правило, раздвојувајќи ги со помош на точка-запирка. Што да направите ако конфигурациската датотека што се користи на серверот се разликува од клиентските или воопшто не се користи? На пример, оваа ситуација може да се појави кога Поставки за VPNврски. Во овој случај, датотеката може да се укаже на користење на изворната директива. Постојат две опции овде, како и обично, за да се одреди патеката до друга датотека; два URI протоколи се исто така поддржани: датотека и кукла. Во првиот случај, врска до надворешно NFS сервер, во втората опција, услуга слична на NFS се активира на серверот Puppet, кој извезува ресурси. Во вториот случај, стандардната патека е во однос на root директориумот на куклата - /etc/puppet. Односно, врската puppet://server.domain.com/config/sshd_config ќе одговара на датотеката /etc/puppet/config/sshd_config. Можете да го отфрлите овој директориум користејќи ја директивата за кофа за датотеки, иако е поправилно да се користи истоимениот дел во датотеката /etc/puppet/fileserver.conf. Во овој случај, можете да го ограничите пристапот до услугата само од одредени адреси. На пример, да го опишеме делот за конфигурација.

патека /var/puppet/config

дозволи *.domain.com

дозволи 192.168.0.*

дозволи 192.168.1.0/24

одбие *.wireless.domain.com

И тогаш се свртуваме кон овој дел кога го опишуваме ресурсот.

извор => "puppet://server.domain.com/config/sshd_config"

Пред дебелото црево е името на ресурсот. Во наједноставните случаи, можете едноставно да наведете алијас или променливи како име. Алијасот е поставен со помош на директивата за алијас. целосна патека до датотеката. Во посложени конфигурации

датотека ("/etc/passwd":

алијас => passwd

Друга опција за создавање алијас е добра кога треба да се справите со различни оперативни системи. На пример, ајде да создадеме ресурс што ја опишува датотеката sshd_config:

датотека (sshdconfig:

име => $оперативен систем ? (

solaris => "/usr/local/etc/ssh/sshd_config",

стандардно => "/etc/ssh/sshd_config"

Во овој пример, ние сме соочени со избор. Датотеката за Solaris е наведена посебно, за сите други ќе биде избрана датотеката /etc/ssh/sshd_config. Сега овој ресурс може да се пристапи како sshdconfig, во зависност од оперативниот систем ќе се избере саканата патека. На пример, укажуваме дека ако sshd демонот работи и прима нова датотека, треба да ја рестартирате услугата.

осигурај => точно,

претплатете се => Датотека

Променливите често се користат при работа со кориснички податоци. На пример, ја опишуваме локацијата на домашните директориуми на корисникот:

$homeroot = "/home"

Сега до датотеките на одреден корисник може да се пристапи како

$(homeroot)/$име

Параметарот $name ќе се пополни со името на сметката на корисникот. Во некои случаи, погодно е да се дефинира стандардна вредност за некој тип. На пример, за типот exec, тие често ги означуваат директориумите во кои треба да ја бара извршната датотека:

Exec (пат => "/usr/bin:/bin:/usr/sbin:/sbin")

Ако треба да укажете на неколку вгнездени датотеки и директориуми, можете да го користите параметарот за повторување.

датотека ("/etc/apache2/conf.d":

извор => „кукла: / кукла / server.domain.com/config/apache/conf.d“,

рекурс => „вистинито“

Повеќе ресурси може да се комбинираат во класи или дефиниции. Класите се целосен опис на систем или услуга и се користат одделно.

"/etc/passwd": сопственик => корен, група => корен, режим => 644;

„/etc/shadow“: сопственик => корен, група => корен, режим => 440

Како и во објектно-ориентирани јазици, класите може да се отфрлат. На пример, на FreeBSD групниот сопственик на овие датотеки е тркалото. Затоа, за да не го преработиме целосно ресурсот, ајде да создадеме нова класа freebsd, која ќе ја наследи класата на Linux:

класата freebsd го наследува Linux (

Датотека[“/etc/passwd”] ( група => тркало );

Датотека[“/etc/shadow”] (група => тркало)

За погодност, сите класи може да се сместат во посебна датотека, која може да се поврзе со помош на директивата за вклучување. Дефинициите може да земат повеќе параметри како аргументи, но не поддржуваат наследување и се користат кога треба да опишете објекти за повеќекратна употреба. На пример, да го дефинираме домашниот директориум на корисници и командите потребни за создавање нова сметка.

дефинирај user_homedir ($group, $fullname, $ingroups) (

корисник („$name“:

обезбеди => присутни,

коментар => „$fullname“,

gid => "$група",

групи => $ingroups,

членство => минимум,

школка => "/bin/bash",

дома => "/home/$name",

бара => Група[$група],

exec("$name homedir":

команда => „/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$group /home/$name",

создава => "/home/$name",

бара => Корисник[$name],

Сега да се создаде нов сметкасамо контактирајте со user_homedir.

user_homedir("сергеј":

група => "сергеј",

полно име => „Сергеј Јаремчук“,

inggroups => [„медиуми“, „администратор]

Постојат посебни описи на јазли кои поддржуваат наследување како класи. Кога клиентот ќе се поврзе со серверот Puppet, ќе се пребарува соодветниот дел на јазол и ќе се обезбедат поставки специфични само за овој компјутер. За да ги опишете сите други системи, можете да го користите стандардниот јазол. Опис на сите видови е даден во документот „Референца на типот“, кој во секој случај мора да се прочита, барем за да се разберат сите способности на куклен јазик. Различни видовиви овозможува да извршувате одредени команди, вклучително и кога се исполнети одредени услови (на пример, промена на конфигурациска датотека), работа со cron, кориснички ингеренции и групи, компјутери, монтажа ресурси, стартување и стопирање услуги, инсталирање, ажурирање и отстранување на пакети, работа со SSH клучеви, Соларис зони и така натаму. Ова е колку е лесно да се принуди списокот на пакети во дистрибуции со помош на apt да се ажурира секој ден помеѓу 2 и 4 часа.

распоред (дневно:

период => дневно,

опсег =>

exec("/usr/bin/apt-get ажурирање":

распоред => дневно

Ажурирањето за тој период секој систем ќе го изврши само еднаш, по што задачата се смета за завршена и ќе биде избришана од клиентскиот компјутер. Јазикот Puppet поддржува други познати структури: услови, функции, низи, коментари и слично.

Инсталирање кукла

Кукла бара Ruby (>= 1.8.1) со OpenSSL поддршка и XMLRPC библиотеки, како и библиотека Faster [ http://reductivelabs.com/projects/facter]. Складиштето на Ubuntu 7.04 што се користеше за тест инсталација веќе го вклучуваше пакетот за кученце.

$ sudo apt-cache кукла за пребарување

кукла — централизирано управување со конфигурации за мрежи

puppetmaster - централизиран контролен демон за управување со конфигурација

За време на инсталацијата, ќе се инсталираат сите потребни пакети за зависност: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get инсталирај куклен мајстор

Можете да ја проверите достапноста на библиотеките на Ruby со командата.

$ ruby ​​​​-ropenssl -e "става: да"

~$ ruby ​​‎-rxmlrpc/client -e „puts:yep“

Ако не се добиени грешки, тогаш сè што ви треба е веќе вклучено. Датотеките што ја опишуваат саканата конфигурација на системите се нарекуваат манифестации во куклена терминологија. Кога ќе се стартува, демонот се обидува да ја прочита датотеката /etc/puppet/manifests/site.pp; ако ја нема, прикажува предупредувачка порака. Кога тестирате, можете да му кажете на демонот да работи во офлајн режим, во тој случај манифестот не е потребен

$ sudo /usr/bin/puppetmasterd --nodes

Доколку е потребно, можете да поврзете други датотеки со site.pp, на пример со описи на класи. За тестирање, можете да ги внесете наједноставните инструкции во оваа датотека.

датотека ("/etc/sudoers":

сопственик => корен,

група => корен,

Сите конфигурациски датотеки и за серверот и за клиентите се наоѓаат во /etc/puppet. Датотеката fileserver.conf за која зборувавме погоре е опционална и се користи само ако Puppet ќе работи и како сервер за датотеки. На Ubuntu, оваа датотека го извезува поддиректориумот /etc/puppet/files. Поддиректориумот ssl содржи сертификати и клучеви кои ќе се користат за шифрирање при поврзување на клиенти. Копчињата се креираат автоматски првиот пат кога ќе го стартувате puppetmasterd; можете да ги креирате рачно со командата.

$ sudo /usr/bin/ puppetmasterd --mcusers.

Датотеките puppetd.conf и puppetmasterd.conf се слични. Тие укажуваат на некои параметри за работа на демони на клиентскиот систем и серверот. Датотеката на клиентот се разликува само во присуство на параметарот на серверот, кој укажува на компјутерот на кој работи puppetmasterd.

сервер = мелница.com

logdir = /var/log/кукла

vardir = /var/lib/кукла

rundir = /var/run

# испрати извештај до серверот

За да избегнете рачно пишување сè, можете да креирате шаблон користејќи го самиот puppetd.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Слично на тоа, можете да креирате site.pp на серверот.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Друга датотека, tagmail.conf, ви овозможува да ги одредите адресите на е-пошта на кои ќе се испраќаат извештаи. Во наједноставниот случај, можете да користите една линија.

сите: [заштитена е-пошта]

Конфигурациските датотеки не се доволни за клиентот да се поврзе со серверот. За да го направите ова, исто така треба да ги потпишете сертификатите. Прво, за да го известите серверот за новиот компјутер на клиентскиот систем, внесете ја командата:

$ sudo puppetd --server grinder.com --waitforcert 60 --test

инфо: Се бара сертификат

предупредување: сертификатот од колеги нема да биде потврден во оваа SSL сесија

известување: Не добил сертификат

Ако се врати друга линија, треба да ја проверите работата на серверот.

$ ps aux | греп кукла

кукла 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 рубин / usr/sbin/puppetmasterd

Заштитниот ѕид мора да дозволи поврзување на портата 8140.

На серверот добиваме листа на сертификати што треба да се потпишат.

$ sudo puppetca --листа

nomad.grinder.com

И го потпишуваме сертификатот на клиентот.

$ sudo puppetca – знак nomad.grinder.com

Сега клиентот може слободно да се поврзе со серверот и да прима поставки.

За жал, едноставно не е можно да се прикажат сите можности на куклата во написот. Но, како што можете да видите, ова е функционална и флексибилна алатка која ви овозможува да ги решите повеќето од проблемите со истовремена администрација на голем број системи. Ако вашата линија на работа бара од вас да поставите неколку системи. И што е најважно, проектот успеа да собере мала, но постојано растечка заедница. Затоа, да се надеваме дека добрата идеја нема да дозволи да умре или да тргне настрана.

Куклае крос-платформска структура која овозможува системски администраториИзвршете вообичаени задачи користејќи код. Кодот ви овозможува да извршувате различни задачи од инсталирање нови програми до проверка на дозволите за датотеки или ажурирање на кориснички сметки. Кукласупериорен не само при првичната инсталација на системот, туку и во текот на целиот животен циклус на системот. Во повеќето случаи кукласе користи во конфигурацијата на клиент/сервер.

Овој дел покажува инсталација и конфигурација Куклаво конфигурација на клиент/сервер. Овој едноставен пример покажува како да се инсталира Апачикористење Кукла.

Инсталација

За инсталација Куклавнесете во терминал:

Sudo apt-get install puppetmaster

На клиентската машина(и), внесете:

Sudo apt-get install кукла

Поставки

Пред да поставите кукла можеби ќе сакате да додадете запис DNS CNAMEЗа puppet.example.com, Каде пример.com- ова е вашиот домен. Стандардни клиенти Куклапроверете го DNS за puppet.example.com како име на куклен сервер ( Мајстор на кукли). Видете Услуга за име на домен за дополнителни детали за користење на DNS.

Ако немате намера да користите DNS, можете да додадете записи во датотеката /etc/hosts на серверот и клиентот. На пример, во датотеката /etc/hosts Кукладодаде сервер:

127.0.0.1 localhost.localdomain localhost puppet 192.168.1.17 meercat02.example.com meercat02

На секој КуклаВо клиентот, додадете запис за серверот:

192.168.1.16 кукла meercat.example.com

Заменете ги IP адресите и имиња на домениод примерот до вашите моментални адреси и имиња на серверот и клиентите.

Сега ајде да поставиме некои ресурси за апачи2. Направете датотека /etc/puppet/manifests/site.ppшто го содржи следново:

Пакет ( "apache2": осигурај => инсталиран ) услуга ( "apache2": осигурај => точно, овозможи => точно, бара => пакет["apache2"] )

Јазол „meercat02.example.com“ (вклучи apache2)

Заменете meercat02.example.comна вашето сегашно име Куклаклиент.

Последниот чекор за ова едноставно Кукласерверот треба да ја рестартира услугата:

Sudo /etc/init.d/puppetmaster рестарт

Од сега Кукласè е конфигурирано на серверот и време е да го конфигурирате клиентот.

Прво, ајде да ја конфигурираме услугата Куклаагент за лансирање. Уреди /etc/default/puppet, заменувајќи ја вредноста СТАРТна да:

Судо /etc/init.d/puppet start

Да се ​​вратиме на Кукласерверот за потпишување на сертификатот на клиентот користејќи ја командата:

Судо кукла -- знак meercat02.example.com

Проверете /var/log/syslogза какви било грешки во конфигурацијата. Ако сè беше добро, пакетот апачи2и неговите зависности ќе бидат инсталирани на Куклаклиент.

Овој пример е многу едноставен и не покажува многу од карактеристиките и придобивките. Кукла. За дополнителни информациипогледнете

Сергеј Јаремчук

Централизирана конфигурација на UNIX системи со помош на Puppet

Управувањето со голем број UNIX системи не може да се нарече практично. За да промени еден параметар, администраторот треба да контактира со секоја машина; скриптите можат само делумно да помогнат, а не во сите ситуации.

Треба да се признае дека мрежните администратори на Windows сè уште се во поповолна позиција. Доволно е да ги смените поставките за групната политика и по некое време сите компјутери на мрежата, вклучително и оние со неодамна инсталиран оперативен систем, ќе „научат“ за иновацијата, ако тоа се разбира за нив се однесува. Гледајќи наназад во текот на долгиот период на развој на UNIX, можете да видите дека вакво нешто никогаш не се фатило. Постојат решенија како kickstart кои помагаат при првичната инсталација на оперативниот систем, но понатамошниот развој ќе бара значителен напор. Комерцијалните решенија, како BladeLogic и OpsWare, само делумно го решаваат проблемот со автоматизирање на поставките; нивната главна предност е присуството на графички интерфејс и само големите организации можат да си дозволат да ги купат. Има, се разбира, проекти кои нудат бесплатни решенија, но во текот на нивното постоење не можеа да создадат голема заедница. На пример, Cfengine не е многу популарен меѓу администраторите, иако, покрај Linux, може да се користи и во *BSD, Windows и Mac OS X. Ова може да се должи на релативната сложеност на креирањето конфигурации. Кога се опишуваат задачите, неопходно е да се земат предвид карактеристиките на секој специфичен систем и рачно да се контролира редоследот на дејства при извршување на командите. Тоа е, администраторот мора да запомни дека за некои системи треба да напишете adduser, за други - useradd, да ја земете предвид локацијата на датотеките на различни системи итн. Ова го отежнува процесот на пишување наредби по ред на големина, многу е тешко да се создаде правилна конфигурација во лет и речиси е невозможно да се прочитаат креираните конфигурации по некое време. И покрај лиценцата за GPL, Cfengine во суштина е проект од еден човек кој ги контролира сите промени и не е многу заинтересиран за градење отворено општество. Како резултат на тоа, можностите на Cfengine се доста задоволителни за развивачот, но за другите администратори тоа е прилично дополнителна главоболка. За да се подобри Cfengine, беа креирани различни додатоци од трети лица програмери, што често само ја влошуваше ситуацијата. Авторот на неколку такви модули за Cfengine, Лук Каниес, на крајот одлучи да развие слична алатка, но без многу недостатоци на Cfengine.

Карактеристики на кукли

Puppet, како и Cfengine, е систем на клиент-сервер кој користи декларативен јазик за опишување задачи и библиотеки за нивно спроведување. Клиентите периодично (стандардно на секои 30 минути) се поврзуваат со централниот сервер и ја добиваат најновата конфигурација. Доколку примените поставки не се совпаѓаат со состојбата на системот, тие ќе бидат извршени, а доколку е потребно, до серверот ќе се испрати извештај за извршените операции. Серверот за пораки може да го зачува во syslog или датотека, да креира RRD график и да го испрати на наведената е-пошта. Дополнителните трансакции и слоеви за апстракција на ресурси обезбедуваат максимална компатибилност со постоечките поставки и апликации, овозможувајќи ви да се фокусирате на системските објекти без да се грижите за разликите во имплементацијата и описот на деталните команди и формати на датотеки. Администраторот работи само со типот на објект, а за останатото се грижи Puppet. Така, типот на пакети знае околу 17 системи на пакети; потребниот автоматски ќе се препознае врз основа на информации за верзијата на дистрибуцијата или системот, иако, доколку е потребно, менаџерот на пакети може да се постави насилно.

За разлика од скриптите, кои често е невозможно да се користат на други системи, конфигурациите за кукли напишани од администратори од трети страни главно ќе работат без проблеми на која било друга мрежа. Куклен готвач веќе има триесетина готови рецепти. Puppet во моментов официјално ги поддржува следните оперативни системи и услуги: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo и MySQL, LDAP.

Куклен јазик

За да продолжите напред, прво мора да ги разберете основните елементи и способности на јазикот. Јазикот е една од силните страни на Puppet. Ги опишува ресурсите со кои администраторот планира да управува и активностите што ги презема. За разлика од повеќето слични решенија, Puppet му дозволува на јазикот да го поедностави пристапот до сите слични ресурси на кој било систем во хетерогена средина. Описот на ресурсите обично се состои од име, тип и атрибути. На пример, да укажеме на датотеката /etc/passwd и да ги поставиме нејзините атрибути:

датотека ("/etc/passwd":

Сопственик => корен,

Група => корен,

Режим => 644,

Сега клиентите што се поврзуваат со серверот ќе ја копираат датотеката /etc/passwd и ќе ги постават наведените атрибути. Можете да дефинирате повеќе ресурси во едно правило, раздвојувајќи ги со помош на точка-запирка. Но, што ако конфигурациската датотека што се користи на серверот се разликува од клиентските или воопшто не се користи? На пример, оваа ситуација може да се појави при поставување VPN конекции. Во овој случај, треба да укажете на датотеката користејќи ја изворната директива. Овде има две опции; можете, како и обично, да ја одредите патеката до друга датотека, а исто така да ги користите двата поддржани URI протоколи: датотека и кукла. Во првиот случај, се користи врска до надворешен NFS сервер; во втората опција, услуга слична на NFS се активира на серверот Puppet, кој извезува ресурси. Во вториот случај, стандардната патека е во однос на root директориумот на куклата – /etc/puppet. Односно, врската puppet://server.domain.com/config/sshd_config ќе одговара на датотеката /etc/puppet/config/sshd_config. Можете да го отфрлите овој директориум користејќи ја директивата за кофа за датотеки, иако е поправилно да се користи истоимениот дел во датотеката /etc/puppet/fileserver.conf. Во овој случај, можете да го ограничите пристапот до услугата само на одредени адреси. На пример, да го опишеме делот за конфигурација:

Патека /var/puppet/config

Дозволи *.domain.com

Дозволи 127.0.0.1

Дозволи 192.168.0.*

Дозволи 192.168.1.0/24

Одбијте *.wireless.domain.com

И тогаш се повикуваме на овој дел кога го опишуваме ресурсот:

извор => "puppet://server.domain.com/config/sshd_config"

Пред дебелото црево е името на ресурсот. Во наједноставните случаи, можете едноставно да ја наведете целосната патека до датотеката како име. Во посложени конфигурации подобро е да се користи псевдоним или променливи. Алијасот е поставен со помош на директивата за алијас:

датотека ("/etc/passwd":

Алијас => passwd

Друга опција за создавање алијас е добра кога треба да се справите со различни оперативни системи. На пример, ајде да создадеме ресурс што ја опишува датотеката sshd_config:

датотека (sshdconfig:

Име => $оперативен систем ? (

Соларис => "/usr/local/etc/ssh/sshd_config",

Стандардно => "/etc/ssh/sshd_config"

Во овој пример, ние сме соочени со избор. Датотеката за Solaris е наведена посебно, за сите други ќе биде избрана датотеката /etc/ssh/sshd_config. Сега овој ресурс може да се пристапи како sshdconfig, во зависност од оперативниот систем ќе се избере саканата патека. На пример, укажуваме дека ако sshd демонот работи и е примена нова датотека, услугата треба да се рестартира:

услуга(sshd:

Обезбедете => точно,

Претплатете се => Датотека

Променливите често се користат при работа со кориснички податоци. На пример, ја опишуваме локацијата на домашните директориуми на корисникот:

$homeroot = "/home"

Сега до датотеките на одреден корисник може да се пристапи како:

$(homeroot)/$име

Параметарот $name ќе се пополни со името на сметката на корисникот. Во некои случаи, погодно е да се дефинира стандардна вредност за некој тип. На пример, за типот exec многу е вообичаено да се наведат директориумите во кои треба да се бара извршната датотека:

Exec ( патека => "/usr/bin:/bin:/usr/sbin:/sbin" )

Ако треба да укажете на неколку вгнездени датотеки и директориуми, можете да го користите параметарот за повторување:

датотека ("/etc/apache2/conf.d":

Извор => "puppet:// puppet://server.domain.com/config/apache/conf.d",

Повторување => „вистинито“

Повеќе ресурси може да се комбинираат во класи или дефиниции. Класите се целосен опис на систем или услуга и се користат одделно:

класа Linux (

Датотека (

"/etc/passwd": сопственик => корен, група => корен, режим => 644;

„/etc/shadow“: сопственик => корен, група => корен, режим => 440

Како и во објектно-ориентирани јазици, класите може да се отфрлат. На пример, на FreeBSD групниот сопственик на овие датотеки е тркалото. Затоа, за да не го преработиме целосно ресурсот, ајде да создадеме нова класа freebsd, која ќе ја наследи класата на Linux:

класата freebsd го наследува Linux (

Датотека["/etc/passwd"] (група => тркало);

Датотека["/etc/shadow"] (група => тркало)

За погодност, сите класи може да се стават во посебна датотека, која мора да биде вклучена со помош на директивата за вклучување. Дефинициите може да земат повеќе параметри како аргументи, но не поддржуваат наследување и се користат кога треба да опишете објекти за повеќекратна употреба. На пример, да го дефинираме домашниот директориум на корисникот и командите потребни за создавање нова сметка:

дефинирај user_homedir ($group, $fullname, $ingroups) (

Корисник ("$name":

Обезбедете => присутни,

Коментар => „$fullname“,

Gid => „$group“,

Групи => $ingroups,

Членство => минимум,

Школка => "/bin/bash",

Почетна => "/home/$name",

Бара => Група[$група],

Exec("$name homedir":

Команда => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$group /home/$name",

Создава => "/home/$name",

Бара => Корисник[$name],

Сега, за да креирате нова сметка, само контактирајте со user_homedir:

user_homedir("сергеј":

Група => "сергеј",

Целосно име => „Сергеј Јаремчук“,

Ингрупи => [„медиуми“, „админ]

Постојат посебни описи на јазли кои поддржуваат наследување, како и класи. Кога клиентот ќе се поврзе со серверот Puppet, ќе се пребарува соодветниот дел на јазол и ќе се обезбедат поставки специфични само за овој компјутер. За да ги опишете сите други системи, можете да го користите стандардниот јазол. Опис на сите видови е даден во документот „Референца на типот“, кој во секој случај мора да се прочита, барем за да се разберат сите способности на куклен јазик. Различни типови ви дозволуваат да извршувате одредени команди, вклучително и кога се исполнети одредени услови (на пример, промена на конфигурациска датотека), работа со cron, кориснички ингеренции и групи, компјутери, ресурси за монтирање, стартување и стопирање услуги, инсталирање, ажурирање и отстранување на пакети , работа со SSH клучеви, зони Solaris итн. Вака лесно можете да натерате списокот на пакети во дистрибуции со помош на apt да се ажурира секојдневно помеѓу 2 и 4 часа:

распоред (дневно:

Период => дневно,

Опсег =>

exec("/usr/bin/apt-get ажурирање":

Распоред => дневно

Ажурирањето за тој период секој систем ќе го изврши само еднаш, по што задачата се смета за завршена и ќе биде избришана од клиентскиот компјутер. Јазикот Puppet поддржува други познати структури: услови, функции, низи, коментари и слично.

Инсталирање кукла

Puppet бара Ruby (верзија 1.8.1 и погоре) со OpenSSL поддршка и XMLRPC библиотеки, како и библиотека Faster. Складиштето на Ubuntu 7.04 што се користеше за тест инсталација веќе го вклучува пакетот за кученце:

$ sudo apt-cache кукла за пребарување

~$ ruby ​​‎-rxmlrpc/client -e „puts:yep“

Ако не се добиени грешки, тогаш сè што ви треба е веќе вклучено. Датотеките што ја опишуваат саканата конфигурација на системите се нарекуваат манифестации во куклена терминологија. Кога ќе се стартува, демонот се обидува да ја прочита датотеката /etc/puppet/manifests/site.pp; ако ја нема, прикажува предупредувачка порака. Кога тестирате, можете да му кажете на демонот да работи во самостоен режим, што не бара манифест:

$ sudo /usr/bin/puppetmasterd --nodes

Доколку е потребно, можете да поврзете други датотеки со site.pp, на пример, со описи на класи. За тестирање, можете да ги внесете наједноставните инструкции во оваа датотека.

класа судо (

Датотека ("/etc/sudoers":

Сопственик => корен,

Група => корен,

Режим => 440,

стандарден јазол(

Вклучете судо

Сите конфигурациски датотеки, и серверот и клиентот, се наоѓаат во /etc/puppet. Датотеката fileserver.conf, за која веќе зборувавме, е опционална и се користи само ако Puppet ќе работи и како сервер за датотеки. На Ubuntu, оваа датотека го извезува поддиректориумот /etc/puppet/files. Поддиректориумот ssl содржи сертификати и клучеви кои ќе се користат за шифрирање при поврзување на клиенти. Копчињата се креираат автоматски првиот пат кога ќе го стартувате puppetmasterd; можете да ги креирате рачно со командата:

$ sudo /usr/bin/puppetmasterd --mcusers

Датотеките puppetd.conf и puppetmasterd.conf се слични. Тие укажуваат на некои параметри за работа на демони на клиентскиот систем и серверот. Датотеката на клиентот се разликува само во присуство на параметарот на серверот, кој укажува на компјутерот на кој работи puppetmasterd:

сервер = мелница.com

logdir = /var/log/кукла

vardir = /var/lib/кукла

rundir = /var/run

# испрати извештај до серверот

извештај = точно

За да избегнете рачно пишување сè, можете да креирате шаблон користејќи го самиот puppetd:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Слично на тоа, можете да креирате site.pp на серверот:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Друга датотека, tagmail.conf, ви овозможува да одредите адреси на е-пошта до кои ќе се испраќаат извештаи. Во наједноставниот случај, можете да користите една линија:

сите: [заштитена е-пошта]

Конфигурациските датотеки не се доволни за клиентот да се поврзе со серверот. За да го направите ова, исто така треба да ги потпишете сертификатите.

Прво, за да го известите серверот за новиот компјутер, внесете ја командата на системот на клиентот:

$ sudo puppetd --server grinder.com --waitforcert 60 –test

Заштитниот ѕид мора да дозволи поврзување на портата 8140.

На серверот добиваме список на сертификати што треба да се потпишат:

$ sudo puppetca –листа

И потпишете го сертификатот за клиентот:

$ sudo puppetca – знак nomad.grinder.com

Сега клиентот може слободно да се поврзе со серверот и да прима поставки.

За жал, невозможно е да се прикажат сите можности на куклата во статијата. Но, како што можете да видите, ова е функционална и флексибилна алатка која ви овозможува да ги решите повеќето проблеми со истовремена администрација на голем број системи. И што е најважно, проектот успеа да собере мала, но постојано растечка заедница. Затоа, да се надеваме дека добрата идеја нема да дозволи да умре или да тргне настрана.

Со среќа!

1. Веб-страница на проектот BladeLogic – http://www.bladelogic.com.
2. Веб-страницата на проектот OpsWare е http://www.opsware.com.
3. Веб-страницата на проектот Cfengine е http://www.cfengine.org.
4. Веб-страницата на проектот Puppet е http://reductivelabs.com/projects/puppet.
5. Куклен готвач - http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Побрза библиотека -