trieda cfpuppetserver

• deployuser = "deploypuppet" - používateľské meno pre automatické nasadenie aktualizácií konfigurácie
• deployuser_auth_keys = undef - zoznam kľúčov pre $deployuser
• repo_url = undef - URI úložiska (príklad: ssh://user@host/repo alebo file:///some/path)
• puppetserver = true - či sa má na tento uzol nainštalovať komponent Puppet Server
• puppetdb = true - či sa má na tento uzol nainštalovať komponent PuppetDB
• puppetdb_port = 8081 - port pre PuppetDB
• setup_postgresql = true - či nainštalovať komponent PostgreSQL na tento uzol (iba ak je povolená inštalácia PuppetDB)
• service_face = "any" - názov zdroja cfnetwork::iface na prijímanie prichádzajúcich pripojení
• puppetserver_mem = auto - RAM pre bábkový server v megabajtoch (minimálne 192 MB)
• puppetdb_mem = auto - RAM pre PuppetDB v megabajtoch (minimálne 192 MB)
• postgresql_mem = auto - RAM pre PostgreSQL v megabajtoch (minimálne 128 MB)

trieda cfpuppetserver::puppetdb

• postgresql_host = "localhost" - adresa databázy
• postgresql_listen = $postgresql_host – hodnota ide priamo do direktívy listen_addresses PostgreSQL
• postgresql_port = 5432 - port databázy
• postgresql_user = "puppetdb" - Používateľ PuppetDB v databáze
• postgresql_pass = "puppetdb" - heslo používateľa PuppetDB v databáze
• postgresql_ssl = false - povoliť šifrovanie pripojenia na základe certifikátov Puppet PKI

trieda cfpuppetserver::puppetserver

• autosign = false - NESMIE byť použité v bojovom prostredí, snáď okrem DMZ. Existuje výlučne na automatizáciu testovania.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - cesta k predvolenému konfiguračnému súboru Hiera podľa kánonov Puppet (prvá súčasť je názov modulu, zvyšok je cesta pod súbormi/priečinkom v module)

Môžete pomôcť a previesť nejaké prostriedky na rozvoj stránky

Správa veľkého počtu unixových systémov sa nedá nazvať pohodlnou. Na zmenu jedného parametra musí administrátor kontaktovať každý stroj, skripty môžu pomôcť len čiastočne a nie vo všetkých situáciách.

Treba uznať, že správcovia siete Windows sú stále vo výhodnejšej pozícii. Stačí zmeniť nastavenia skupinovej politiky a po chvíli sa o novinke „dozvedia“ všetky počítače v sieti, vrátane tých s nedávno nainštalovaným operačným systémom, ak sa ich to samozrejme týka. Pri pohľade späť na dlhé obdobie vývoja Unixu si všimnete, že nič také sa nikdy neuchytilo. Existujú riešenia, ako je kickstart, ktoré pomáhajú s počiatočnou inštaláciou operačný systém, ale ďalšie zdokonaľovanie si bude vyžadovať značné úsilie. Komerčné riešenia ako BladeLogic a OpsWare riešia problém automatizácie nastavení len čiastočne, ich hlavnou výhodou je dostupnosť GUI a možno ich zakúpiť iba od veľkých organizácií. Projekty ponúkajúce bezplatné riešenia samozrejme existujú, no za celú dobu svojej existencie nikdy nedokázali vytvoriť veľkú komunitu. Napríklad Cfengine nie je medzi administrátormi veľmi obľúbený, hoci okrem Linuxu ho možno použiť aj v *BSD, Windows a Mac OS X. Môže to byť spôsobené relatívnou zložitosťou vytvárania konfigurácií. Pri popise úloh musíte brať do úvahy vlastnosti každého špecifického systému a manuálne riadiť postupnosť akcií pri vykonávaní príkazov. To znamená, že správca si musí pamätať, že pre niektoré systémy by ste mali napísať adduser pre iné, useradd, vziať do úvahy umiestnenie súborov na rôznych systémoch atď. To rádovo komplikuje proces zápisu príkazov, za chodu je veľmi ťažké vytvoriť správnu konfiguráciu a po chvíli je takmer nemožné vytvorené konfigurácie prečítať. Napriek GPL licencii je Cfengine vlastne projektom jedného človeka, ktorý kontroluje všetky zmeny a nemá veľký záujem o budovanie otvorenej spoločnosti. V dôsledku toho sú možnosti cfengine pre vývojára celkom uspokojivé, ale pre ostatných správcov je to skôr bolesť hlavy navyše. Na zlepšenie cfengine boli vývojármi tretích strán vytvorené rôzne doplnky, ktoré situáciu často len zhoršili. Autor niekoľkých takýchto modulov pre cfengine, Luke Kanies, sa nakoniec rozhodol vyvinúť podobný nástroj, ale bez mnohých nedostatkov cfengine.

Vlastnosti bábky

Puppet, podobne ako cfengine, je systém klient-server, ktorý používa deklaratívny, teda povinný jazyk na popis úloh a knižníc na ich implementáciu. Klienti sa pravidelne (štandardne 30 minút) pripájajú k centrálnemu serveru a dostávajú najnovšiu konfiguráciu. Ak prijaté nastavenia nezodpovedajú stavu systému, vykonajú sa av prípade potreby sa na server odošle správa o vykonaných operáciách. Server môže ukladať správy do syslogu alebo súboru, vytvárať RRD graf a posielať ich na určený e-mail. Dodatočné vrstvy transakčnej a abstrakcie zdrojov poskytujú maximálnu kompatibilitu s existujúcimi nastaveniami a aplikáciami, čo vám umožňuje sústrediť sa na systémové objekty bez obáv z rozdielov v implementácii a popise podrobných príkazov a formátov súborov. Administrátor operuje len s typom objektu, o zvyšok sa postará Puppet. Typ balíkov teda pozná asi 17 balíkových systémov, požadovaný sa automaticky rozpozná na základe informácie o verzii distribúcie alebo systému, aj keď v prípade potreby môže byť správca balíkov nútený.

Na rozdiel od skriptov, ktoré často nie je možné použiť na iných systémoch, konfigurácie bábok napísané správcami tretích strán budú z väčšej časti fungovať bez problémov v akejkoľvek inej sieti. V bábkovej kuchárke [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] už sú tri desiatky hotových receptov. Puppet v súčasnosti oficiálne podporuje nasledujúce operačné systémy a služby: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo a MySQL, LDAP.

Bábkový jazyk

Aby ste sa posunuli vpred, musíte najprv pochopiť základné prvky a možnosti jazyka. Jazyk je jedným z silné stránky Bábka. S jeho pomocou sú opísané zdroje, ktoré správca plánuje spravovať, a akcie. Na rozdiel od väčšiny podobných riešení, Puppet umožňuje jazyku zjednodušiť prístup ku všetkým podobným zdrojom na akomkoľvek systéme v heterogénnom prostredí. Popis prostriedku zvyčajne pozostáva z názvu, typu a atribútov. Ukážme napríklad na súbor /etc/passwd a nastavte jeho atribúty:

súbor("/etc/passwd":

vlastník => root,

skupina => koreň,

Teraz klienti po pripojení k serveru skopírujú súbor /etc/passwd a nainštalujú zadané atribúty. V jednom pravidle môžete definovať viacero zdrojov, pričom ich oddelíte bodkočiarkou. Čo robiť, ak sa konfiguračný súbor používaný na serveri líši od klientskeho alebo sa nepoužíva vôbec? Táto situácia môže nastať napríklad vtedy, keď Nastavenia VPN spojenia. V tomto prípade je možné na súbor poukázať pomocou zdrojovej smernice. Tu sú ako obvykle dve možnosti, ako zadať cestu k inému súboru, podporované sú aj dva protokoly URI: súbor a bábka. V prvom prípade odkaz na externý NFS server, v druhej možnosti sa na serveri Puppet spustí služba podobná NFS, ktorá exportuje zdroje. V druhom prípade je predvolená cesta relatívna ku koreňovému adresáru bábky - /etc/puppet. To znamená, že odkaz puppet://server.domain.com/config/sshd_config bude zodpovedať súboru /etc/puppet/config/sshd_config. Tento adresár môžete prepísať pomocou direktívy filebucket, aj keď správnejšie je použiť sekciu s rovnakým názvom v súbore /etc/puppet/fileserver.conf. V tomto prípade môžete obmedziť prístup k službe len z určitých adries. Napríklad popíšme konfiguračnú sekciu.

cesta /var/puppet/config

povoliť *.domena.com

povoliť 192.168.0.*

povoliť 192.168.1.0/24

zamietnuť *.wireless.domain.com

A potom sa obrátime na túto časť pri popise zdroja.

zdroj => "puppet://server.domain.com/config/sshd_config"

Pred dvojbodkou je názov zdroja. V najjednoduchších prípadoch môžete jednoducho zadať alias alebo premenné ako názov. Alias ​​sa nastavuje pomocou direktívy alias. úplná cesta k súboru. V zložitejších konfiguráciách

súbor("/etc/passwd":

alias => passwd

Ďalšia možnosť vytvorenia aliasu je dobrá, keď sa musíte vysporiadať s rôznymi operačnými systémami. Napríklad vytvorte zdroj popisujúci súbor sshd_config:

súbor (sshdconfig:

meno => $operačný systém ? (

solaris => "/usr/local/etc/ssh/sshd_config",

predvolené => "/etc/ssh/sshd_config"

V tomto príklade stojíme pred voľbou. Súbor pre Solaris je špecifikovaný samostatne, pre všetky ostatné sa vyberie súbor /etc/ssh/sshd_config. Teraz je možné k tomuto prostriedku pristupovať ako sshdconfig, v závislosti od operačného systému sa vyberie požadovaná cesta. Napríklad uvádzame, že ak je démon sshd spustený a prijatý nový súbor, mali by ste službu reštartovať.

zabezpečiť => pravda,

predplatiť => Súbor

Pri práci s používateľskými údajmi sa často používajú premenné. Napríklad popíšeme umiestnenie domovských adresárov používateľov:

$homeroot = "/home"

Teraz je možné pristupovať k súborom konkrétneho používateľa ako

$(homeroot)/$name

Parameter $name bude vyplnený názvom účtu používateľa. V niektorých prípadoch je vhodné definovať predvolenú hodnotu pre niektorý typ. Napríklad pre typ exec často označujú adresáre, v ktorých by mal hľadať spustiteľný súbor:

Exec (cesta => "/usr/bin:/bin:/usr/sbin:/sbin")

Ak potrebujete ukázať na niekoľko vnorených súborov a adresárov, môžete použiť parameter recurse.

súbor("/etc/apache2/conf.d":

zdroj => “puppet:// puppet://server.domain.com/config/apache/conf.d”,

rekurz => "pravda"

Viaceré zdroje možno kombinovať do tried alebo definícií. Triedy predstavujú úplný popis systému alebo služby a používajú sa samostatne.

"/etc/passwd": vlastník => root, skupina => root, režim => 644;

"/etc/shadow": vlastník => root, skupina => root, režim => 440

Rovnako ako v objektovo orientovaných jazykoch je možné triedy prepísať. Napríklad na FreeBSD je vlastníkom skupiny týchto súborov wheel. Preto, aby sme zdroj neprepísali úplne, vytvorme novú triedu freebsd, ktorá zdedí linuxovú triedu:

trieda freebsd dedí linux (

Súbor[“/etc/passwd”] ( skupina => koliesko );

Súbor[“/etc/shadow”] ( skupina => koliesko )

Pre pohodlie je možné všetky triedy umiestniť do samostatného súboru, ktorý je možné prepojiť pomocou direktívy include. Definície môžu mať viacero parametrov ako argumenty, ale nepodporujú dedičnosť a používajú sa, keď potrebujete opísať opakovane použiteľné objekty. Napríklad definujme domovský adresár používateľov a príkazy potrebné na vytvorenie nového účtu.

definovať user_homedir ($group, $fullname, $ingroups) (

user("$name":

zabezpečiť => prítomný,

komentár => "$fullname",

gid => "$skupina",

skupiny => $ingroups,

členstvo => minimum,

shell => "/bin/bash",

home => "/home/$name",

vyžadovať => Skupina[$group],

exec("$name homedir":

príkaz => “/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$group /home/$name",

vytvorí => "/home/$name",

vyžadovať => User[$name],

Teraz vytvorte nový účtu stačí kontaktovať user_homedir.

user_homedir("sergej":

skupina => "sergej",

celé meno => “Sergej Jaremchuk”,

ingroups => ["media", "admin]

Existujú samostatné popisy uzlov, ktoré podporujú triedy podobné dedičnosti. Keď sa klient pripojí k serveru Puppet, vyhľadá sa príslušná sekcia uzla a poskytnú sa nastavenia špecifické len pre tento počítač. Na popis všetkých ostatných systémov môžete použiť predvolené nastavenie uzla. Popis všetkých typov je uvedený v dokumente „Type Reference“, ktorý si v každom prípade musíte prečítať, aspoň aby ​​ste pochopili všetky možnosti jazyka Puppet. Rôzne druhy vám umožňujú vykonávať špecifikované príkazy, vrátane prípadu, keď sú splnené určité podmienky (napríklad zmena konfiguračného súboru), pracovať s cron, používateľskými povereniami a skupinami, počítačmi, pripájať prostriedky, spúšťať a zastavovať služby, inštalovať, aktualizovať a odstraňovať balíky, pracovať s SSH kľúče, zóny Solaris a pod. Takto jednoducho je možné vynútiť aktualizáciu zoznamu balíkov v distribúciách pomocou apt každý deň medzi 2 a 4 hodinami.

rozvrh (denne:

obdobie => denne,

rozsah =>

exec("/usr/bin/apt-get update":

rozvrh => denne

Aktualizáciu za toto obdobie vykoná každý systém iba raz, potom sa úloha považuje za dokončenú a bude z klientskeho počítača vymazaná. Jazyk Puppet podporuje ďalšie známe štruktúry: podmienky, funkcie, polia, komentáre a podobne.

Inštalácia bábky

Puppet vyžaduje Ruby (>= 1.8.1) s podporou OpenSSL a XMLRPC knižnicami, ako aj Faster library [ http://reductivelabs.com/projects/facter]. Úložisko Ubuntu 7.04, ktoré bolo použité na testovaciu inštaláciu, už obsahovalo balík pre šteniatko.

$ sudo apt-cache vyhľadávacia bábka

bábka — centralizovaná správa konfigurácie pre siete

puppetmaster - centralizovaný riadiaci démon správy konfigurácie

Počas inštalácie sa nainštalujú všetky potrebné balíčky závislostí: facter libopenssl-ruby libxmlrpc-ruby.

$ sudo apt-get nainštalujte bábkový majster

Dostupnosť knižníc Ruby môžete skontrolovať pomocou príkazu.

$ ruby ​​​​-ropenssl -e "puts:yep"

~$ ruby ​​​​-rxmlrpc/client -e "puts:yep"

Ak sa neobjavia žiadne chyby, všetko, čo potrebujete, je už zahrnuté. Súbory, ktoré popisujú požadovanú konfiguráciu systémov, sa v terminológii Puppet nazývajú manifesty. Po spustení sa démon pokúsi prečítať súbor /etc/puppet/manifests/site.pp, ak chýba, zobrazí varovnú správu. Pri testovaní môžete démonovi povedať, aby pracoval v režime offline, v takom prípade sa manifest nevyžaduje

$ sudo /usr/bin/puppetmasterd --nonodes

V prípade potreby môžete k site.pp pripojiť ďalšie súbory, napríklad s popismi tried. Pre skúšobnú prevádzku môžete do tohto súboru zadať najjednoduchšie pokyny.

súbor("/etc/sudoers":

vlastník => root,

skupina => koreň,

Všetky konfiguračné súbory pre server aj klientov sa nachádzajú v /etc/puppet. Súbor fileserver.conf, o ktorom sme hovorili vyššie, je voliteľný a používa sa iba v prípade, že Puppet bude fungovať aj ako súborový server. Na Ubuntu tento súbor exportuje podadresár /etc/puppet/files. Podadresár ssl obsahuje certifikáty a kľúče, ktoré sa použijú na šifrovanie pri pripájaní klientov. Kľúče sa vytvoria automaticky pri prvom spustení puppetmasterd; môžete ich vytvoriť manuálne pomocou príkazu.

$ sudo /usr/bin/ puppetmasterd --mkusers.

Súbory puppetd.conf a puppetmasterd.conf sú podobné. Označujú niektoré parametre pre činnosť démonov na klientskom systéme a serveri. Súbor klienta sa líši iba prítomnosťou parametra server, ktorý ukazuje na počítač, na ktorom beží puppetmasterd.

server = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# poslať správu na server

Aby ste sa vyhli zadávaniu všetkého ručne, môžete si vytvoriť šablónu pomocou samotného puppetd.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Podobne môžete vytvoriť site.pp na serveri.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Ďalší súbor, tagmail.conf, vám umožňuje určiť e-mailové adresy, na ktoré sa budú odosielať prehľady. V najjednoduchšom prípade môžete použiť jeden riadok.

všetko: [e-mail chránený]

Konfiguračné súbory nestačia na to, aby sa klient mohol pripojiť k serveru. Aby ste to mohli urobiť, musíte tiež podpísať certifikáty. Najprv, aby ste dali serveru vedieť o novom počítači v klientskom systéme, zadajte príkaz:

$ sudo puppetd --server grinder.com --waitforcert 60 --test

info: Žiadosť o certifikát

varovanie: Partnerský certifikát nebude v tejto relácii SSL overený

upozornenie: Nedostal som certifikát

Ak sa vráti iný riadok, mali by ste skontrolovať fungovanie servera.

$ ps aux | grep bábka

bábka 5779 0,0 1,4 27764 15404 ? Ssl 21:49 0:00 ruby ​​​​/usr/sbin/puppetmasterd

Firewall musí umožňovať pripojenia na porte 8140.

Na server dostaneme zoznam certifikátov, ktoré je potrebné podpísať.

$ sudo puppetca --list

nomad.grinder.com

A podpisujeme klientsky certifikát.

$ sudo puppetca –sign nomad.grinder.com

Teraz sa klient môže voľne pripojiť k serveru a prijímať nastavenia.

Bohužiaľ, jednoducho nie je možné v článku ukázať všetky schopnosti Puppet. Ako však vidíte, ide o funkčný a flexibilný nástroj, ktorý vám umožní vyriešiť väčšinu problémov súčasnej správy veľkého množstva systémov. Ak váš odbor vyžaduje, aby ste nastavili niekoľko systémov. A čo je najdôležitejšie, projektu sa podarilo zhromaždiť malú, ale neustále rastúcu komunitu. Dúfajme preto, že dobrý nápad nenechá zomrieť alebo ísť bokom.

Bábka je multiplatformová štruktúra, ktorá umožňuje správcov systému Vykonajte bežné úlohy pomocou kódu. Kód vám umožňuje vykonávať rôzne úlohy od inštalácie nových programov až po kontrolu povolení súborov alebo aktualizáciu používateľských účtov. Bábka nadradený nielen pri prvotnej inštalácii systému, ale počas celého životného cyklu systému. Väčšinou bábka používané v konfigurácii klient/server.

Táto časť zobrazuje inštaláciu a konfiguráciu Bábka v konfigurácii klient/server. Tento jednoduchý príklad ukazuje, ako nainštalovať Apache použitím Bábka.

Inštalácia

Na inštaláciu Bábka zadajte do terminálu:

Sudo apt-get install puppetmaster

Na klientskom počítači (zariadeniach) zadajte:

Sudo apt-get nainštalovať bábku

nastavenie

Pred nastavením bábky možno budete chcieť pridať položku DNS CNAME Pre bábka.example.com, Kde example.com- toto je vaša doména. Predvolených klientov Bábka skontrolujte DNS pre puppet.example.com ako názov bábkového servera ( Bábkar). Ďalšie podrobnosti o používaní DNS nájdete v časti Služba názvov domén.

Ak nemáte v úmysle používať DNS, môžete pridať položky do súboru /etc/hosts na serveri a klientovi. Napríklad v súbore /etc/hosts Bábka pridať server:

127.0.0.1 localhost.localdomain localhost bábka 192.168.1.17 meercat02.example.com meercat02

Na každom Bábka V klientovi pridajte položku pre server:

192.168.1.16 suricat.example.com bábka suricat

Nahraďte adresy IP a názvy domén od príkladu po vaše aktuálne adresy a názvy servera a klientov.

Teraz nastavíme nejaké zdroje pre apache2. Vytvorte súbor /etc/puppet/manifests/site.pp obsahujúce nasledovné:

Balíček ( "apache2": zaistenie => nainštalované ) služba ( "apache2": zaistenie => pravda, povoliť => pravda, vyžadovať => Balík["apache2"] )

Uzol "meercat02.example.com" (vrátane apache2)

Nahradiť meercat02.example.com na vaše aktuálne meno Bábka zákazník.

Posledný krok pre tento jednoduchý Bábka server má reštartovať službu:

Sudo /etc/init.d/puppetmaster reštartujte

Teraz Bábka všetko je nakonfigurované na serveri a je čas nakonfigurovať klienta.

Najprv nakonfigurujeme službu Bábka agent na spustenie. Upravte /etc/default/puppet a nahraďte hodnotu ŠTART na Áno:

Sudo /etc/init.d/puppet start

Vráťme sa k Bábka server podpísať klientsky certifikát pomocou príkazu:

Sudo puppetca --sign meercat02.example.com

Skontrolujte /var/log/syslog pre prípadné chyby konfigurácie. Ak všetko prebehlo v poriadku, balík apache2 a jeho závislosti sa nainštalujú do Bábka zákazník.

Tento príklad je veľmi jednoduchý a neukazuje veľa funkcií a výhod. Bábka. Pre Ďalšie informácie pozri

Sergej Jaremčuk

Centralizovaná konfigurácia UNIXových systémov pomocou Puppet

Správa veľkého počtu UNIXových systémov sa nedá nazvať pohodlnou. Na zmenu jedného parametra musí administrátor kontaktovať každý stroj, skripty môžu pomôcť len čiastočne a nie vo všetkých situáciách.

Treba uznať, že správcovia siete Windows sú stále vo výhodnejšej pozícii. Stačí zmeniť nastavenia skupinovej politiky a po chvíli sa o novinke „dozvedia“ všetky počítače v sieti, vrátane tých s nedávno nainštalovaným operačným systémom, ak sa ich to samozrejme týka. Keď sa pozriete späť na dlhé obdobie vývoja UNIXu, môžete vidieť, že nič také sa nikdy neuchytilo. Existujú riešenia ako kickstart, ktoré pomáhajú s počiatočnou inštaláciou operačného systému, no ďalší vývoj si bude vyžadovať značné úsilie. Komerčné riešenia ako BladeLogic a OpsWare riešia problém automatizácie nastavení len čiastočne, ich hlavnou výhodou je prítomnosť grafického rozhrania a ich nákup si môžu dovoliť len veľké organizácie. Existujú samozrejme projekty, ktoré ponúkajú bezplatné riešenia, no za celú dobu svojej existencie nedokázali vytvoriť veľkú komunitu. Napríklad Cfengine nie je medzi správcami veľmi obľúbený, hoci okrem Linuxu sa dá použiť aj v *BSD, Windows a Mac OS X. Môže to byť spôsobené relatívnou zložitosťou vytvárania konfigurácií. Pri popise úloh je potrebné brať do úvahy vlastnosti každého konkrétneho systému a manuálne riadiť postupnosť akcií pri vykonávaní príkazov. To znamená, že správca si musí pamätať, že pre niektoré systémy by ste mali napísať adduser, pre iné - useradd, brať do úvahy umiestnenie súborov na rôznych systémoch atď. To rádovo komplikuje proces zápisu príkazov, za chodu je veľmi ťažké vytvoriť správnu konfiguráciu a po chvíli je takmer nemožné vytvorené konfigurácie prečítať. Napriek GPL licencii je Cfengine v podstate projektom jedného človeka, ktorý kontroluje všetky zmeny a nemá veľký záujem o budovanie otvorenej spoločnosti. Vo výsledku sú možnosti Cfengine pre vývojára celkom uspokojivé, no pre ostatných administrátorov je to skôr bolesť hlavy navyše. Na zlepšenie Cfengine boli vývojármi tretích strán vytvorené rôzne doplnky, ktoré situáciu často len zhoršili. Autor niekoľkých takýchto modulov pre Cfengine, Luke Kanies, sa nakoniec rozhodol vyvinúť podobný nástroj, no bez mnohých nedostatkov Cfengine.

Vlastnosti bábky

Puppet, podobne ako Cfengine, je systém klient-server, ktorý používa deklaratívny jazyk na popis úloh a knižnice na ich implementáciu. Klienti sa pravidelne (štandardne každých 30 minút) pripájajú k centrálnemu serveru a dostávajú najnovšiu konfiguráciu. Ak prijaté nastavenia nezodpovedajú stavu systému, vykonajú sa av prípade potreby sa na server odošle správa o vykonaných operáciách. Server správ ich môže uložiť do syslogu alebo súboru, vytvoriť graf RRD a poslať ho na zadaný e-mail. Dodatočné vrstvy transakčnej a abstrakcie zdrojov poskytujú maximálnu kompatibilitu s existujúcimi nastaveniami a aplikáciami, čo vám umožňuje zamerať sa na systémové objekty bez obáv z rozdielov v implementácii a popise podrobných príkazov a formátov súborov. Administrátor operuje len s typom objektu, o zvyšok sa postará Puppet. Typ balíkov teda pozná asi 17 balíkových systémov, požadovaný bude automaticky rozpoznaný na základe informácie o verzii distribúcie alebo systému, aj keď v prípade potreby je možné správcu balíkov nastaviť násilne.

Na rozdiel od skriptov, ktoré sa často nedajú použiť na iných systémoch, konfigurácie bábok napísané správcami tretích strán budú väčšinou fungovať bez problémov v akejkoľvek inej sieti. Bábková kuchárka má už tri desiatky hotových receptov. Puppet v súčasnosti oficiálne podporuje nasledujúce operačné systémy a služby: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo a MySQL, LDAP.

Bábkový jazyk

Aby ste sa posunuli vpred, musíte najprv pochopiť základné prvky a možnosti jazyka. Jazyk je jednou zo silných stránok Puppet. Popisuje zdroje, ktoré správca plánuje spravovať, a akcie, ktoré vykonáva. Na rozdiel od väčšiny podobných riešení, Puppet umožňuje jazyku zjednodušiť prístup ku všetkým podobným zdrojom na akomkoľvek systéme v heterogénnom prostredí. Popis prostriedku zvyčajne pozostáva z názvu, typu a atribútov. Ukážme napríklad na súbor /etc/passwd a nastavte jeho atribúty:

súbor("/etc/passwd":

Vlastník => root,

Skupina => root,

Režim => 644,

Teraz klienti pripájajúci sa k serveru skopírujú súbor /etc/passwd a nastavia zadané atribúty. V jednom pravidle môžete definovať viacero zdrojov, pričom ich oddelíte bodkočiarkou. Čo ak sa však konfiguračný súbor používaný na serveri líši od klientskeho súboru alebo sa nepoužíva vôbec? Táto situácia môže nastať napríklad pri nastavovaní pripojení VPN. V tomto prípade by ste mali ukázať na súbor pomocou zdrojovej direktívy. Tu sú dve možnosti; ako obvykle môžete zadať cestu k inému súboru a tiež pomocou dvoch podporovaných protokolov URI: súbor a bábka. V prvom prípade sa používa prepojenie na externý server NFS, v druhom prípade sa na serveri Puppet spustí služba podobná NFS, ktorá exportuje zdroje. V druhom prípade je predvolená cesta relatívna ku koreňovému adresáru bábky – /etc/puppet. To znamená, že odkaz puppet://server.domain.com/config/sshd_config bude zodpovedať súboru /etc/puppet/config/sshd_config. Tento adresár môžete prepísať pomocou direktívy filebucket, aj keď správnejšie je použiť sekciu s rovnakým názvom v súbore /etc/puppet/fileserver.conf. V tomto prípade môžete obmedziť prístup k službe len na určité adresy. Napríklad popíšme konfiguračnú sekciu:

Cesta /var/puppet/config

Povoliť *.domena.com

Povoliť 127.0.0.1

Povoliť 192.168.0.*

Povoliť 192.168.1.0/24

Zakázať *.wireless.domain.com

A potom sa pri popise zdroja odvolávame na túto časť:

zdroj => "puppet://server.domain.com/config/sshd_config"

Pred dvojbodkou je názov zdroja. V najjednoduchších prípadoch môžete ako názov jednoducho zadať úplnú cestu k súboru. V zložitejších konfiguráciách je lepšie použiť alias alebo premenné. Alias ​​sa nastavuje pomocou direktívy alias:

súbor("/etc/passwd":

Alias ​​​​=> passwd

Ďalšia možnosť vytvorenia aliasu je dobrá, keď sa musíte vysporiadať s rôznymi operačnými systémami. Napríklad vytvorte zdroj, ktorý popisuje súbor sshd_config:

súbor (sshdconfig:

Meno => $ operačný systém ? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Predvolené => "/etc/ssh/sshd_config"

V tomto príklade stojíme pred voľbou. Súbor pre Solaris je špecifikovaný samostatne, pre všetky ostatné sa vyberie súbor /etc/ssh/sshd_config. Teraz je možné k tomuto prostriedku pristupovať ako sshdconfig, v závislosti od operačného systému sa vyberie požadovaná cesta. Napríklad uvádzame, že ak je spustený démon sshd a je prijatý nový súbor, služba by sa mala reštartovať:

služba (sshd:

Uistite sa, že => pravda,

Odoberať => Súbor

Pri práci s používateľskými údajmi sa často používajú premenné. Napríklad popíšeme umiestnenie domovských adresárov používateľov:

$homeroot = "/home"

Teraz je možné pristupovať k súborom konkrétneho používateľa ako:

$(homeroot)/$name

Parameter $name bude vyplnený názvom účtu používateľa. V niektorých prípadoch je vhodné definovať predvolenú hodnotu pre niektorý typ. Napríklad pre typ exec je veľmi bežné špecifikovať adresáre, v ktorých má hľadať spustiteľný súbor:

Exec ( cesta => "/usr/bin:/bin:/usr/sbin:/sbin" )

Ak potrebujete ukázať na niekoľko vnorených súborov a adresárov, môžete použiť parameter recurse:

súbor("/etc/apache2/conf.d":

Zdroj => "puppet:// puppet://server.domain.com/config/apache/conf.d",

Rekurz => "pravda"

Viaceré zdroje možno kombinovať do tried alebo definícií. Triedy sú úplným popisom systému alebo služby a používajú sa samostatne:

trieda linux (

Súbor (

"/etc/passwd": vlastník => root, skupina => root, režim => 644;

"/etc/shadow": vlastník => root, skupina => root, režim => 440

Rovnako ako v objektovo orientovaných jazykoch je možné triedy prepísať. Napríklad na FreeBSD je vlastníkom skupiny týchto súborov wheel. Preto, aby sme zdroj neprepísali úplne, vytvorme novú triedu freebsd, ktorá zdedí linuxovú triedu:

trieda freebsd dedí linux (

Súbor["/etc/passwd"] ( skupina => koliesko );

Súbor["/etc/shadow"] ( skupina => koliesko )

Pre pohodlie môžu byť všetky triedy umiestnené v samostatnom súbore, ktorý musí byť zahrnutý pomocou direktívy include. Definície môžu mať viacero parametrov ako argumenty, ale nepodporujú dedičnosť a používajú sa, keď potrebujete opísať opakovane použiteľné objekty. Napríklad definujme domovský adresár používateľa a príkazy potrebné na vytvorenie nového účtu:

definovať user_homedir ($group, $fullname, $ingroups) (

Používateľ("$name":

Zabezpečte => prítomný,

Komentár => "$fullname",

Gid => "$skupina",

Skupiny => $ingroups,

Členstvo => minimum,

Shell => "/bin/bash",

Domov => "/home/$name",

Vyžadovať => Skupina[$group],

Exec("$name homedir":

Príkaz => "/bin/cp -R /etc/skel /home/$name; /bin/chown -R $name:$group /home/$name",

Vytvorí => "/home/$name",

Vyžadovať => Používateľ[$name],

Ak chcete vytvoriť nový účet, stačí kontaktovať user_homedir:

user_homedir("sergej":

Skupina => "sergej",

Celé meno => "Sergej Jaremchuk",

Ingroups => ["médiá", " admin]

Existujú samostatné popisy uzlov, ktoré podporujú dedičnosť, ako aj triedy. Keď sa klient pripojí k serveru Puppet, vyhľadá sa príslušná sekcia uzla a poskytnú sa nastavenia špecifické len pre tento počítač. Na popis všetkých ostatných systémov môžete použiť predvolené nastavenie uzla. Popis všetkých typov je uvedený v dokumente „Type Reference“, ktorý si v každom prípade musíte prečítať, aspoň aby ​​ste pochopili všetky možnosti jazyka Puppet. Rôzne typy vám umožňujú vykonávať špecifikované príkazy, vrátane prípadu, keď sú splnené určité podmienky (napríklad zmena konfiguračného súboru), prácu s cronom, používateľskými povereniami a skupinami, počítačmi, pripájaním prostriedkov, spúšťaním a zastavovaním služieb, inštaláciou, aktualizáciou a odstraňovaním balíkov. , práca s kľúčmi SSH, zónami Solaris atď. Takto môžete jednoducho vynútiť, aby sa zoznam balíkov v distribúciách pomocou apt aktualizoval denne medzi 2 a 4 hodinami:

rozvrh (denne:

Obdobie => denne,

Rozsah =>

exec("/usr/bin/apt-get update":

Rozvrh => denne

Aktualizáciu za toto obdobie vykoná každý systém iba raz, potom sa úloha považuje za dokončenú a bude z klientskeho počítača vymazaná. Jazyk Puppet podporuje ďalšie známe štruktúry: podmienky, funkcie, polia, komentáre a podobne.

Inštalácia bábky

Puppet vyžaduje Ruby (verziu 1.8.1 a vyššiu) s podporou OpenSSL a XMLRPC knižnicami, ako aj knižnicu Faster. Úložisko Ubuntu 7.04, ktoré bolo použité na testovaciu inštaláciu, už obsahuje balík puppy:

$ sudo apt-cache vyhľadávacia bábka

~$ ruby ​​​​-rxmlrpc/client -e "puts:yep"

Ak sa neobjavia žiadne chyby, všetko, čo potrebujete, je už zahrnuté. Súbory, ktoré popisujú požadovanú konfiguráciu systémov, sa v terminológii Puppet nazývajú manifesty. Po spustení sa démon pokúsi prečítať súbor /etc/puppet/manifests/site.pp, ak chýba, zobrazí varovnú správu. Pri testovaní môžete démonovi povedať, aby pracoval v samostatnom režime, ktorý nevyžaduje manifest:

$ sudo /usr/bin/puppetmasterd --nonodes

V prípade potreby môžete k site.pp pripojiť ďalšie súbory, napríklad s popismi tried. Pre skúšobnú prevádzku môžete do tohto súboru zadať najjednoduchšie pokyny.

trieda sudo(

Súbor("/etc/sudoers":

Vlastník => root,

Skupina => root,

Režim => 440,

predvolený uzol (

Zahrňte sudo

Všetky konfiguračné súbory, server aj klient, sa nachádzajú v /etc/puppet. Súbor fileserver.conf, o ktorom sme už hovorili, je voliteľný a používa sa iba v prípade, že Puppet bude fungovať aj ako súborový server. Na Ubuntu tento súbor exportuje podadresár /etc/puppet/files. Podadresár ssl obsahuje certifikáty a kľúče, ktoré sa použijú na šifrovanie pri pripájaní klientov. Kľúče sa vytvoria automaticky pri prvom spustení puppetmasterd; môžete ich vytvoriť manuálne pomocou príkazu:

$ sudo /usr/bin/puppetmasterd --mkusers

Súbory puppetd.conf a puppetmasterd.conf sú podobné. Označujú niektoré parametre pre činnosť démonov na klientskom systéme a serveri. Súbor klienta sa líši iba prítomnosťou parametra servera, ktorý ukazuje na počítač, na ktorom beží puppetmasterd:

server = grinder.com

logdir = /var/log/puppet

vardir = /var/lib/puppet

rundir = /var/run

# poslať správu na server

správa = pravda

Aby ste sa vyhli zadávaniu všetkého ručne, môžete vytvoriť šablónu pomocou samotného puppetd:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Podobne môžete vytvoriť site.pp na serveri:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Ďalší súbor, tagmail.conf, vám umožňuje zadať e-mailové adresy, na ktoré sa budú odosielať prehľady. V najjednoduchšom prípade môžete použiť jeden riadok:

všetko: [e-mail chránený]

Konfiguračné súbory nestačia na to, aby sa klient mohol pripojiť k serveru. Aby ste to mohli urobiť, musíte tiež podpísať certifikáty.

Najprv, aby ste dali serveru vedieť o novom počítači, zadajte príkaz na klientskom systéme:

$ sudo puppetd --server grinder.com --waitforcert 60 –test

Firewall musí umožňovať pripojenia na porte 8140.

Na serveri dostaneme zoznam certifikátov, ktoré je potrebné podpísať:

$ sudo puppetca –list

A podpíšte klientsky certifikát:

$ sudo puppetca –sign nomad.grinder.com

Teraz sa klient môže voľne pripojiť k serveru a prijímať nastavenia.

Bohužiaľ nie je možné v článku ukázať všetky schopnosti Puppet. Ako však vidíte, ide o funkčný a flexibilný nástroj, ktorý vám umožní vyriešiť väčšinu problémov súčasnej správy veľkého počtu systémov. A čo je najdôležitejšie, projektu sa podarilo zhromaždiť malú, ale neustále rastúcu komunitu. Dúfajme preto, že dobrý nápad nenechá zomrieť alebo ísť bokom.

Veľa štastia!

1. Webová stránka projektu BladeLogic – http://www.bladelogic.com.
2. Webová stránka projektu OpsWare je http://www.opsware.com.
3. Webová stránka projektu Cfengine je http://www.cfengine.org.
4. Webová stránka projektu Puppet je http://reductivelabs.com/projects/puppet.
5. Bábková kuchárka – http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Rýchlejšia knižnica –