cfpuppetserver sınıfı

• konuşlandırma kullanıcısı = "deploypuppet" - yapılandırma güncellemelerinin otomatik olarak dağıtılması için kullanıcı adı
• Deployuser_auth_keys = undef - $deployuser için anahtarların listesi
• repo_url = undef - depo URI'si (örnek: ssh://user@host/repo veya file:///some/path)
• puppetserver = true - Puppet Server bileşeninin bu düğüme yüklenip yüklenmeyeceği
• puppetdb = true - PuppetDB bileşeninin bu düğüme kurulup kurulmayacağı
• puppetdb_port = 8081 - PuppetDB için bağlantı noktası
• setup_postgresql = true - PostgreSQL bileşeninin bu düğüme kurulup kurulmayacağı (yalnızca PuppetDB kurulumu etkinse)
• service_face = "herhangi biri" - gelen bağlantıları kabul etmek için cfnetwork::iface kaynağının adı
• puppetserver_mem = auto - Kukla Sunucusu için megabayt cinsinden RAM (minimum 192 MB)
• puppetdb_mem = auto - PuppetDB için megabayt cinsinden RAM (minimum 192 MB)
• postgresql_mem = auto - PostgreSQL için megabayt cinsinden RAM (minimum 128 MB)

sınıf cfpuppetserver::puppetdb

• postgresql_host = "localhost" - veritabanı adresi
• postgresql_listen = $postgresql_host - değer doğrudan listen_addresses PostgreSQL yönergesine gider
• postgresql_port = 5432 - veritabanı bağlantı noktası
• postgresql_user = "puppetdb" - Veritabanındaki PuppetDB kullanıcısı
• postgresql_pass = "puppetdb" - veritabanındaki PuppetDB kullanıcısının şifresi
• postgresql_ssl = false - Puppet PKI sertifikalarına dayalı bağlantı şifrelemesini etkinleştir

sınıf cfpuppetserver::puppetserver

• autosign = false - DMZ dışında bir savaş ortamında KULLANILMAMALIDIR. Yalnızca test otomasyonu için mevcuttur.
• global_hiera_config = "cfpuppetserver/hiera.yaml" - Puppet kurallarına göre varsayılan Hiera yapılandırma dosyasının yolu (ilk bileşen modülün adıdır, geri kalanı modüldeki dosyalar/klasörün altındaki yoldur)

Sitenin geliştirilmesi için yardım edebilir ve bazı fonları aktarabilirsiniz.

Çok sayıda Unix sistemini yönetmek uygun denemez. Bir parametreyi değiştirmek için yöneticinin her makineyle iletişime geçmesi gerekir; komut dosyaları yalnızca kısmen yardımcı olabilir ve her durumda değil.

Windows ağ yöneticilerinin halen daha avantajlı bir konumda olduklarını kabul etmek gerekir. Grup ilkesi ayarlarını değiştirmek yeterlidir ve bir süre sonra, yakın zamanda kurulmuş bir işletim sistemine sahip olanlar da dahil olmak üzere ağdaki tüm bilgisayarlar, elbette kendilerini ilgilendiriyorsa, yenilik hakkında "öğrenecektir". Unix'in uzun geliştirme sürecine dönüp baktığınızda, bunun gibi hiçbir şeyin şimdiye kadar tutulmadığını fark edeceksiniz. İlk kuruluma yardımcı olan kickstart gibi çözümler var işletim sistemi, ancak daha fazla ayrıntılandırmak önemli çaba gerektirecektir. BladeLogic ve OpsWare gibi ticari çözümler, ayarların otomatikleştirilmesi sorununu yalnızca kısmen çözmektedir; ana avantajları kullanılabilirliktir GUI ve yalnızca büyük kuruluşlardan satın alınabilirler. Elbette ücretsiz çözümler sunan projeler var, ancak varoluşları boyunca hiçbir zaman büyük bir topluluk oluşturamadılar. Örneğin, Cfengine yöneticiler arasında pek popüler değildir, ancak Linux'a ek olarak *BSD, Windows ve Mac OS X'te de kullanılabilir. Bunun nedeni, yapılandırma oluşturmanın göreceli karmaşıklığı olabilir. Görevleri açıklarken, her bir sistemin özelliklerini dikkate almanız ve komutları yürütürken eylem sırasını manuel olarak kontrol etmeniz gerekir. Yani, yönetici bazı sistemler için adduser yazmanız gerektiğini, diğerleri için useradd yazmanız gerektiğini, farklı sistemlerdeki dosyaların konumunu dikkate almanız gerektiğini hatırlamalıdır. Bu, komut yazma sürecini büyüklük sırasına göre karmaşıklaştırır, anında doğru konfigürasyonu oluşturmak çok zordur ve oluşturulan konfigürasyonları bir süre sonra okumak neredeyse imkansızdır. GPL lisansına rağmen Cfengine aslında tüm değişiklikleri kontrol eden ve açık bir toplum inşa etmekle pek ilgilenmeyen tek kişilik bir projedir. Sonuç olarak, cfengine'in yetenekleri geliştirici için oldukça tatmin edicidir, ancak diğer yöneticiler için bu ekstra bir baş ağrısıdır. Cfengine'i iyileştirmek için üçüncü taraf geliştiriciler tarafından çeşitli eklentiler oluşturuldu ve bu genellikle durumu daha da kötüleştirdi. Cfengine için bu tür birkaç modülün yazarı Luke Kanies, sonunda benzer bir araç geliştirmeye karar verdi, ancak cfengine'in pek çok kusuru yoktu.

Kukla Özellikleri

Puppet, cfengine gibi, uygulamalarına yönelik görevleri ve kütüphaneleri tanımlamak için bildirimsel, yani zorunlu bir dil kullanan bir istemci-sunucu sistemidir. İstemciler periyodik olarak (varsayılan olarak 30 dakika) merkezi sunucuya bağlanır ve en son yapılandırmayı alırlar. Alınan ayarlar sistem durumuyla eşleşmiyorsa yürütülecek ve gerekirse gerçekleştirilen işlemlere ilişkin bir rapor sunucuya gönderilecektir. Sunucu, mesajları sistem günlüğüne veya bir dosyaya kaydedebilir, bir RRD grafiği oluşturabilir ve bunları belirtilen bir e-postaya gönderebilir. Ek İşlem ve Kaynak soyutlama katmanları, mevcut ayarlar ve uygulamalarla maksimum uyumluluk sağlayarak, ayrıntılı komutların ve dosya formatlarının uygulanması ve açıklamasındaki farklılıklar konusunda endişelenmeden sistem nesnelerine odaklanmanıza olanak tanır. Yönetici yalnızca nesne türüyle çalışır, gerisini Puppet halleder. Böylece, paket türü yaklaşık 17 paket sistemini bilir; gerekli olan, dağıtım veya sistemin sürümü hakkındaki bilgilere göre otomatik olarak tanınacaktır, ancak gerekirse paket yöneticisi zorlanabilir.

Diğer sistemlerde kullanılması çoğu zaman mümkün olmayan komut dosyalarının aksine, üçüncü taraf yöneticiler tarafından yazılan Puppet yapılandırmaları çoğunlukla diğer ağlarda sorunsuz çalışacaktır. Kukla Yemek Kitabı'nda [ http://www.reductivelabs.com/trac/puppet/tags/puppet%2Crecipe] zaten üç düzine hazır tarif var. Puppet şu anda aşağıdaki işletim sistemlerini ve hizmetlerini resmi olarak desteklemektedir: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo ve MySQL, LDAP.

Kukla dili

İlerlemek için öncelikle dilin temel unsurlarını ve yeteneklerini anlamalısınız. Dil bunlardan biridir güçlü Kukla. Onun yardımıyla yöneticinin yönetmeyi planladığı kaynaklar ve eylemler açıklanır. Çoğu benzer çözümün aksine Puppet, dilin heterojen bir ortamdaki herhangi bir sistemdeki tüm benzer kaynaklara erişimi basitleştirmesine olanak tanır. Bir kaynak açıklaması genellikle bir ad, tür ve özniteliklerden oluşur. Örneğin, /etc/passwd dosyasına işaret edelim ve onun niteliklerini ayarlayalım:

dosya("/etc/passwd":

sahip => kök,

grup => kök,

Artık sunucuya bağlanan istemciler /etc/passwd dosyasını kopyalayacak ve belirtilen nitelikleri yükleyecektir. Tek bir kuralda birden fazla kaynağı noktalı virgül kullanarak ayırarak tanımlayabilirsiniz. Sunucuda kullanılan konfigürasyon dosyası istemcidekilerden farklıysa veya hiç kullanılmıyorsa ne yapmalısınız? Örneğin bu durum şu durumlarda ortaya çıkabilir: VPN ayarları bağlantılar. Bu durumda dosyaya kaynak yönergesi kullanılarak işaret edilebilir. Başka bir dosyanın yolunu belirtmek için her zamanki gibi burada iki seçenek vardır; iki URI protokolü de desteklenir: dosya ve kukla. İlk durumda, harici bir bağlantı NFS sunucusu, ikinci seçenekte Puppet sunucusunda kaynakları dışa aktaran NFS benzeri bir hizmet başlatılır. İkinci durumda, varsayılan yol kukla kök dizinine göredir - /etc/puppet. Yani, puppet://server.domain.com/config/sshd_config bağlantısı /etc/puppet/config/sshd_config dosyasına karşılık gelecektir. Filebucket direktifini kullanarak bu dizini geçersiz kılabilirsiniz, ancak /etc/puppet/fileserver.conf dosyasında aynı adı taşıyan bölümü kullanmak daha doğrudur. Bu durumda hizmete erişimi yalnızca belirli adreslerden kısıtlayabilirsiniz. Örnek olarak config kısmını anlatalım.

yol /var/puppet/config

*.domain.com'a izin ver

192.168.0'a izin ver.*

192.168.1.0/24'e izin ver

*.wireless.domain.com adresini reddet

Daha sonra kaynağı anlatırken bu bölüme dönüyoruz.

kaynak => "kukla://sunucu.alanadi.com/config/sshd_config"

İki nokta üst üsteden önce kaynağın adı gelir. En basit durumlarda, bir takma adı veya değişkenleri ad olarak belirtebilirsiniz. Takma ad, takma ad yönergesi kullanılarak ayarlanır. dosyanın tam yolu. Daha karmaşık konfigürasyonlarda

dosya("/etc/passwd":

takma ad => şifre

Takma ad oluşturmanın başka bir seçeneği de, farklı işletim sistemleriyle uğraşmanız gerektiğinde iyidir. Örneğin sshd_config dosyasını açıklayan bir kaynak oluşturalım:

dosya(sshdconfig:

isim => $işletim sistemi ? (

solaris => "/usr/local/etc/ssh/sshd_config",

varsayılan => "/etc/ssh/sshd_config"

Bu örnekte bir seçimle karşı karşıyayız. Solaris dosyası ayrı olarak belirtilir, diğerleri için /etc/ssh/sshd_config dosyası seçilecektir. Artık bu kaynağa sshdconfig olarak erişilebilir, işletim sistemine bağlı olarak istenen yol seçilecektir. Örneğin, sshd arka plan programının çalışıp çalışmadığını belirtiriz. yeni dosya hizmeti yeniden başlatmalısınız.

emin olun => doğru,

abone ol => Dosya

Değişkenler genellikle kullanıcı verileriyle çalışırken kullanılır. Örneğin, kullanıcı ana dizinlerinin konumunu açıklıyoruz:

$homeroot = "/home"

Artık belirli bir kullanıcının dosyalarına şu şekilde erişilebilir:

$(homeroot)/$isim

$name parametresi kullanıcının hesap adı ile doldurulacaktır. Bazı durumlarda, bazı türler için varsayılan bir değer tanımlamak uygundur. Örneğin, exec türü için genellikle yürütülebilir dosyayı araması gereken dizinleri belirtirler:

Exec (yol => "/usr/bin:/bin:/usr/sbin:/sbin")

İç içe geçmiş birkaç dosya ve dizine işaret etmeniz gerekiyorsa recurse parametresini kullanabilirsiniz.

dosya("/etc/apache2/conf.d":

kaynak => “kukla:// kukla://sunucu.alanadi.com/config/apache/conf.d”,

yineleme => "doğru"

Birden fazla kaynak, sınıflar veya tanımlar halinde birleştirilebilir. Sınıflar bir sistemin veya hizmetin tam açıklamasıdır ve ayrı olarak kullanılır.

"/etc/passwd": sahip => kök, grup => kök, mod => 644;

"/etc/shadow": sahip => kök, grup => kök, mod => 440

Nesneye yönelik dillerde olduğu gibi sınıflar geçersiz kılınabilir. Örneğin FreeBSD'de bu dosyaların grup sahibi wheel'dir. Bu nedenle, kaynağı tamamen yeniden yazmamak için, linux sınıfını miras alacak yeni bir freebsd sınıfı oluşturalım:

freebsd sınıfı linux'u devralır (

Dosya[“/etc/passwd”] ( grup => tekerlek );

Dosya[“/etc/shadow”] ( grup => tekerlek )

Kolaylık sağlamak için, tüm sınıflar, include yönergesi kullanılarak bağlanabilen ayrı bir dosyaya yerleştirilebilir. Tanımlar bağımsız değişken olarak birden fazla parametre alabilir ancak kalıtımı desteklemez ve yeniden kullanılabilir nesneleri tanımlamanız gerektiğinde kullanılır. Örneğin kullanıcıların ana dizinini ve yeni hesap oluşturmak için gerekli komutları tanımlayalım.

user_homedir'i tanımla ($grup, $tam ad, $gruplar) (

kullanıcı("$isim":

sağlamak => mevcut,

yorum => "$tam ad",

gid => "$grup",

gruplar => $gruplar arası,

üyelik => minimum,

kabuk => "/bin/bash",

ev => "/ev/$isim",

gerektirir => Grup[$grup],

exec("$isim ana dizin":

komut => “/bin/cp -R /etc/skel /home/$isim; /bin/chown -R $isim:$grup /ev/$isim",

oluşturur => "/home/$isim",

gerektirir => Kullanıcı[$isim],

Şimdi yeni bir tane oluşturmak için hesap user_homedir ile iletişime geçmeniz yeterli.

user_homedir("sergej":

grup => "sergej",

tam ad => “Sergej Jaremchuk”,

grup içi => ["medya", "yönetici]

Sınıflar gibi kalıtımı destekleyen düğümlerin ayrı açıklamaları vardır. Bir client Puppet sunucusuna bağlandığında ilgili node bölümü aranacak ve sadece bu bilgisayara özel ayarlar sağlanacaktır. Diğer tüm sistemleri tanımlamak için düğüm varsayılanını kullanabilirsiniz. En azından Kukla dilinin tüm yeteneklerini anlamak için her durumda okunması gereken "Tip Referansı" belgesinde tüm türlerin bir açıklaması verilmiştir. Çeşitli türler belirli koşulların karşılanması (örneğin, bir yapılandırma dosyasının değiştirilmesi), cron ile çalışma, kullanıcı kimlik bilgileri ve gruplar, bilgisayarlar, kaynakları bağlama, hizmetleri başlatma ve durdurma, paketleri yükleme, güncelleme ve kaldırma, çalışma dahil olmak üzere belirli komutları yürütmenize olanak tanır ile SSH anahtarları, Solaris bölgeleri vb. Apt kullanarak dağıtımlardaki paketlerin listesini her gün 2 ila 4 saat arasında güncellenmeye zorlamak işte bu kadar kolaydır.

program (günlük:

dönem => günlük,

aralık =>

exec("/usr/bin/apt-get update":

program => günlük

Bu süreye ilişkin güncelleme her sistem tarafından yalnızca bir kez gerçekleştirilecek, ardından görev tamamlanmış sayılacak ve istemci bilgisayardan silinecektir. Puppet dili diğer tanıdık yapıları destekler: koşullar, işlevler, diziler, yorumlar ve benzerleri.

Kuklanın Kurulumu

Puppet, Faster kütüphanesinin yanı sıra OpenSSL desteği ve XMLRPC kütüphanelerine sahip Ruby (>= 1.8.1) gerektirir. http://reductivelabs.com/projects/facter] Test kurulumu için kullanılan Ubuntu 7.04 deposu zaten yavru paketini içeriyordu.

$ sudo apt-cache arama kuklası

kukla — ağlar için merkezi konfigürasyon yönetimi

puppetmaster - merkezi konfigürasyon yönetimi kontrol arka plan programı

Kurulum sırasında gerekli tüm bağımlılık paketleri kurulacaktır: facter libopenssl-Ruby libxmlrpc-Ruby.

$ sudo apt-get puppet puppetmaster'ı yükle

Ruby kütüphanelerinin kullanılabilirliğini komutla kontrol edebilirsiniz.

$ ruby ​​-ropenssl -e "koyar:evet"

~$ ruby ​​​​-rxmlrpc/client -e "koyar:evet"

Herhangi bir hata alınmazsa, ihtiyacınız olan her şey zaten dahil edilmiştir. Sistemlerin istenen konfigürasyonunu tanımlayan dosyalara Puppet terminolojisinde manifestolar adı verilir. Başlatıldığında, arka plan programı /etc/puppet/manifests/site.pp dosyasını okumaya çalışır; eksikse bir uyarı mesajı görüntüler. Test sırasında arka plan programının çevrimdışı modda çalışmasını söyleyebilirsiniz; bu durumda bildirime gerek kalmaz

$ sudo /usr/bin/puppetmasterd --nonodes

Gerekirse, örneğin sınıf açıklamalarıyla birlikte diğer dosyaları site.pp'ye bağlayabilirsiniz. Bir test çalıştırması için en basit talimatları bu dosyaya girebilirsiniz.

dosya("/etc/sudoers":

sahip => kök,

grup => kök,

Hem sunucu hem de istemciler için tüm yapılandırma dosyaları /etc/puppet dizininde bulunur. Yukarıda bahsettiğimiz fileserver.conf dosyası isteğe bağlıdır ve yalnızca Puppet'ın dosya sunucusu olarak da çalışacak olması durumunda kullanılır. Ubuntu'da bu dosya /etc/puppet/files alt dizinini dışa aktarır. SSL alt dizini, istemcilere bağlanırken şifreleme için kullanılacak sertifikaları ve anahtarları içerir. Anahtarlar, puppetmasterd'ı ilk başlattığınızda otomatik olarak oluşturulur; bunları komutla manuel olarak oluşturabilirsiniz.

$ sudo /usr/bin/ puppetmasterd --mkusers.

puppetd.conf ve puppetmasterd.conf dosyaları benzerdir. İstemci sistemi ve sunucudaki daemonların çalışması için bazı parametreleri belirtirler. İstemci dosyası yalnızca puppetmasterd'ın çalıştığı bilgisayarı işaret eden sunucu parametresinin varlığında farklılık gösterir.

sunucu = öğütücü.com

logdir = /var/log/kukla

vardir = /var/lib/kukla

rundir = /var/run

# sunucuya bir rapor gönder

Her şeyi manuel olarak yazmaktan kaçınmak için puppetd'in kendisini kullanarak bir şablon oluşturabilirsiniz.

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Benzer şekilde sunucuda site.pp oluşturabilirsiniz.

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Başka bir dosya olan tagmail.conf, raporların gönderileceği e-posta adreslerini belirtmenize olanak tanır. En basit durumda tek satır kullanabilirsiniz.

Tümü: [e-posta korumalı]

Yapılandırma dosyaları istemcinin sunucuya bağlanması için yeterli değil. Bunu yapmak için sertifikaları da imzalamanız gerekir. İlk olarak, sunucunun istemci sistemindeki yeni bilgisayar hakkında bilgi sahibi olmasını sağlamak için şu komutu girin:

$ sudo puppetd --sunucu öğütücü.com --waitforcert 60 --test

bilgi: Sertifika isteniyor

uyarı: eş sertifika bu SSL oturumunda doğrulanmayacak

uyarı: Sertifika alınmadı

Farklı bir satır döndürülürse sunucunun çalışmasını kontrol etmelisiniz.

$ ps yardımcı | grep kuklası

kukla 5779 0,0 1,4 27764 15404 ? SSL 21:49 0:00 ruby ​​​​/usr/sbin/puppetmasterd

Güvenlik duvarı 8140 numaralı bağlantı noktasındaki bağlantılara izin vermelidir.

Sunucuda imzalanması gereken sertifikaların bir listesini alıyoruz.

$ sudo kukla --list

nomad.grinder.com

Ve müşteri sertifikasını imzalıyoruz.

$ sudo puppetca –sign nomad.grinder.com

Artık istemci sunucuya serbestçe bağlanabilir ve ayarları alabilir.

Yazıda Puppet'ın tüm yeteneklerini göstermek ne yazık ki mümkün değil. Ancak görebileceğiniz gibi bu, çok sayıda sistemin eşzamanlı yönetimiyle ilgili sorunların çoğunu çözmenize olanak tanıyan işlevsel ve esnek bir araçtır. İş alanınız birden fazla sistem kurmanızı gerektiriyorsa. Ve en önemlisi, proje küçük ama sürekli büyüyen bir topluluğu bir araya getirmeyi başardı. Bu nedenle, iyi bir fikrin ölmesine veya bir kenara atılmasına izin verilmeyeceğini umalım.

Kukla sağlayan çapraz platformlu bir yapıdır. sistem yöneticileri Kodu kullanarak ortak görevleri gerçekleştirin. Kod, yeni programlar yüklemekten dosya izinlerini kontrol etmeye veya kullanıcı hesaplarını güncellemeye kadar çeşitli görevleri gerçekleştirmenize olanak tanır. Kukla yalnızca sistemin ilk kurulumu sırasında değil, sistemin tüm yaşam döngüsü boyunca üstündür. Çoğu durumda kukla istemci/sunucu yapılandırmasında kullanılır.

Bu bölümde kurulum ve yapılandırma gösterilmektedir Kukla istemci/sunucu yapılandırmasında. Bu basit örnek nasıl kurulacağını gösterir Apaçi kullanarak Kukla.

Kurulum

Kurulum için Kukla terminale girin:

Sudo apt-get install puppetmaster

İstemci makine(ler)inde şunu girin:

Sudo apt-get kurulum kuklası

Ayarlar

Kuklayı kurmadan önce bir giriş eklemek isteyebilirsiniz DNS CNAMEİçin kukla.example.com, Nerede example.com- bu sizin alanınız. Varsayılan istemciler Kukla kukla sunucu adı olarak kukla.example.com DNS'sini kontrol edin ( Kukla ustası). DNS kullanımına ilişkin ek ayrıntılar için Etki Alanı Adı Hizmeti'ne bakın.

DNS kullanmayı düşünmüyorsanız, sunucu ve istemcideki /etc/hosts dosyasına girişler ekleyebilirsiniz. Örneğin, /etc/hosts dosyasında Kukla sunucu ekleme:

127.0.0.1 localhost.localdomain localhost kuklası 192.168.1.17 meercat02.example.com meercat02

Her birinde Kuklaİstemcide sunucu için bir giriş ekleyin:

192.168.1.16 meercat.example.com meercat kuklası

IP adreslerini değiştirin ve alan isimleriörnekten mevcut adreslerinize ve sunucu ve istemci adlarına kadar.

Şimdi bunun için bazı kaynaklar ayarlayalım. apache2. Dosya oluştur /etc/puppet/manifests/site.pp aşağıdakileri içeren:

Paket ("Apache2": sağlayın => kurulu ) hizmeti ( "Apache2": sağlayın => doğru, etkinleştirin => doğru, gerektirir => Paket["apache2"] )

"meercat02.example.com" düğümü (apache2 dahil)

Yer değiştirmek meercat02.example.comşimdiki adınıza Kukla müşteri.

Bu basit işlemin son adımı Kukla sunucu hizmeti yeniden başlatacak:

Sudo /etc/init.d/puppetmaster yeniden başlat

Şu andan itibaren Kukla sunucuda her şey yapılandırılmıştır ve istemciyi yapılandırmanın zamanı gelmiştir.

Öncelikle servisi yapılandıralım Kukla başlatmak için ajan. Değeri değiştirerek /etc/default/puppet'i düzenleyin BAŞLANGIÇ Açık Evet:

Sudo /etc/init.d/puppet start

Hadi geri dönelim Kukla Sunucunun istemci sertifikasını şu komutu kullanarak imzalaması gerekir:

Sudo puppetca --meercat02.example.com adresini imzala

Kontrol etmek /var/log/syslog herhangi bir yapılandırma hatası için. Her şey yolunda giderse paket apache2 ve bağımlılıkları şuraya kurulacak: Kukla müşteri.

Bu örnek çok basittir ve pek çok özellik ve faydayı göstermez. Kukla. İçin Ek Bilgiler Bakmak

Sergey Yaremçuk

UNIX sistemlerinin Puppet kullanılarak merkezi yapılandırılması

Çok sayıda UNIX sistemini yönetmeye uygun denemez. Bir parametreyi değiştirmek için yöneticinin her makineyle iletişime geçmesi gerekir; komut dosyaları yalnızca kısmen yardımcı olabilir ve her durumda değil.

Windows ağ yöneticilerinin halen daha avantajlı bir konumda olduklarını kabul etmek gerekir. Grup ilkesi ayarlarını değiştirmek yeterlidir ve bir süre sonra, yakın zamanda kurulmuş bir işletim sistemine sahip olanlar da dahil olmak üzere ağdaki tüm bilgisayarlar, elbette kendilerini ilgilendiriyorsa, yenilik hakkında "öğrenecektir". UNIX'in uzun gelişim dönemine dönüp baktığınızda, buna benzer hiçbir şeyin şimdiye kadar tutulmadığını görebilirsiniz. İşletim sisteminin ilk kurulumuna yardımcı olan hızlı başlatma gibi çözümler vardır, ancak daha fazla geliştirme önemli çaba gerektirecektir. BladeLogic ve OpsWare gibi ticari çözümler, ayarların otomatikleştirilmesi sorununu yalnızca kısmen çözmektedir; ana avantajları grafiksel bir arayüzün varlığıdır ve yalnızca büyük kuruluşlar bunları satın almaya gücü yetebilir. Ücretsiz çözümler sunan projeler de var elbette ama var oldukları süre boyunca geniş bir topluluk oluşturamadılar. Örneğin, Cfengine yöneticiler arasında pek popüler değildir, ancak Linux'a ek olarak *BSD, Windows ve Mac OS X'te de kullanılabilir. Bunun nedeni, yapılandırma oluşturmanın göreceli karmaşıklığı olabilir. Görevleri açıklarken, her bir sistemin özelliklerini hesaba katmak ve komutları yürütürken eylem sırasını manuel olarak kontrol etmek gerekir. Yani yönetici, bazı sistemler için adduser yazmanız gerektiğini, diğerleri için ise useradd yazmanız gerektiğini, farklı sistemlerdeki dosyaların konumunu dikkate almanız gerektiğini hatırlamalıdır. Bu, komut yazma sürecini büyüklük sırasına göre karmaşıklaştırır, anında doğru konfigürasyonu oluşturmak çok zordur ve oluşturulan konfigürasyonları bir süre sonra okumak neredeyse imkansızdır. GPL lisansına rağmen Cfengine aslında tüm değişiklikleri kontrol eden ve açık bir toplum inşa etmekle pek ilgilenmeyen tek kişilik bir projedir. Sonuç olarak, Cfengine'in yetenekleri geliştirici için oldukça tatmin edicidir, ancak diğer yöneticiler için ekstra bir baş ağrısıdır. Cfengine'i geliştirmek için üçüncü taraf geliştiriciler tarafından çeşitli eklentiler oluşturuldu ve bu genellikle durumu daha da kötüleştirdi. Cfengine için bu tür birkaç modülün yazarı Luke Kanies, sonunda benzer bir araç geliştirmeye karar verdi, ancak Cfengine'in birçok eksikliğini ortadan kaldırdı.

Kukla Özellikleri

Puppet, Cfengine gibi, görevleri ve bunları uygulayacak kütüphaneleri tanımlamak için bildirimsel bir dil kullanan bir istemci-sunucu sistemidir. İstemciler periyodik olarak (varsayılan olarak her 30 dakikada bir) merkezi sunucuya bağlanır ve en son yapılandırmayı alır. Alınan ayarlar sistem durumuyla eşleşmiyorsa yürütülecek ve gerekirse gerçekleştirilen işlemlere ilişkin bir rapor sunucuya gönderilecektir. Mesaj sunucusu bunu sistem günlüğüne veya bir dosyaya kaydedebilir, bir RRD grafiği oluşturabilir ve bunu belirtilen e-postaya gönderebilir. Ek İşlemsel ve Kaynak soyutlama katmanları, mevcut ayarlar ve uygulamalarla maksimum uyumluluk sağlayarak, ayrıntılı komutların ve dosya formatlarının uygulanması ve açıklamasındaki farklılıklar konusunda endişelenmeden sistem nesnelerine odaklanmanıza olanak tanır. Yönetici yalnızca nesne türüyle çalışır, gerisini Puppet halleder. Böylece, paket türü yaklaşık 17 paket sistemini bilir; gerekli olan, dağıtım veya sistemin sürümü hakkındaki bilgilere göre otomatik olarak tanınacaktır, ancak gerekirse paket yöneticisi zorla ayarlanabilir.

Diğer sistemlerde kullanılması genellikle imkansız olan komut dosyalarının aksine, üçüncü taraf yöneticiler tarafından yazılan Puppet yapılandırmaları diğer ağlarda çoğunlukla sorunsuz çalışır. Puppet CookBook'ta halihazırda üç düzine hazır tarif var. Puppet şu anda aşağıdaki işletim sistemlerini ve hizmetlerini resmi olarak desteklemektedir: Debian, RedHat/Fedora, Solaris, SUSE, CentOS, Mac OS X, OpenBSD, Gentoo ve MySQL, LDAP.

Kukla dili

İlerlemek için öncelikle dilin temel unsurlarını ve yeteneklerini anlamalısınız. Dil, Puppet'ın güçlü yönlerinden biridir. Yöneticinin yönetmeyi planladığı kaynakları ve gerçekleştirdiği eylemleri açıklar. Çoğu benzer çözümün aksine Puppet, dilin heterojen bir ortamdaki herhangi bir sistemdeki tüm benzer kaynaklara erişimi basitleştirmesine olanak tanır. Bir kaynak açıklaması genellikle bir ad, tür ve özniteliklerden oluşur. Örneğin, /etc/passwd dosyasına işaret edelim ve onun niteliklerini ayarlayalım:

dosya("/etc/passwd":

Sahip => kök,

Grup => kök,

Mod => 644,

Artık sunucuya bağlanan istemciler /etc/passwd dosyasını kopyalayacak ve belirtilen nitelikleri ayarlayacaktır. Tek bir kuralda birden fazla kaynağı noktalı virgül kullanarak ayırarak tanımlayabilirsiniz. Peki ya sunucuda kullanılan konfigürasyon dosyası istemcidekilerden farklıysa veya hiç kullanılmıyorsa? Örneğin VPN bağlantılarını kurarken bu durum ortaya çıkabilir. Bu durumda kaynak yönergesini kullanarak dosyayı işaret etmelisiniz. Burada iki seçenek vardır; her zamanki gibi başka bir dosyanın yolunu belirtebilir ve ayrıca desteklenen iki URI protokolünü de kullanabilirsiniz: dosya ve kukla. İlk durumda, harici bir NFS sunucusuna bağlantı kullanılır, ikinci seçenekte ise kaynakları dışa aktaran Puppet sunucusunda NFS benzeri bir hizmet başlatılır. İkinci durumda, varsayılan yol kukla kök dizinine göredir – /etc/puppet. Yani, puppet://server.domain.com/config/sshd_config bağlantısı /etc/puppet/config/sshd_config dosyasına karşılık gelecektir. Filebucket direktifini kullanarak bu dizini geçersiz kılabilirsiniz, ancak /etc/puppet/fileserver.conf dosyasında aynı adı taşıyan bölümü kullanmak daha doğrudur. Bu durumda hizmete erişimi yalnızca belirli adreslerle sınırlandırabilirsiniz. Örnek olarak config kısmını anlatalım:

Yol /var/puppet/config

*.domain.com'a izin ver

127.0.0.1'e izin ver

192.168.0.*'a izin ver

192.168.1.0/24'e izin ver

*.wireless.domain.com adresini reddet

Daha sonra kaynağı açıklarken bu bölüme başvuruyoruz:

kaynak => "kukla://sunucu.alanadi.com/config/sshd_config"

İki nokta üst üsteden önce kaynağın adı gelir. En basit durumlarda, dosyanın tam yolunu ad olarak belirtebilirsiniz. Daha karmaşık konfigürasyonlarda bir takma ad veya değişken kullanmak daha iyidir. Takma ad, takma ad yönergesi kullanılarak ayarlanır:

dosya("/etc/passwd":

Takma ad => şifre

Takma ad oluşturmanın başka bir seçeneği de, farklı işletim sistemleriyle uğraşmanız gerektiğinde iyidir. Örneğin sshd_config dosyasını açıklayan bir kaynak oluşturalım:

dosya(sshdconfig:

Ad => $işletim sistemi ? (

Solaris => "/usr/local/etc/ssh/sshd_config",

Varsayılan => "/etc/ssh/sshd_config"

Bu örnekte bir seçimle karşı karşıyayız. Solaris dosyası ayrı olarak belirtilir, diğerleri için /etc/ssh/sshd_config dosyası seçilecektir. Artık bu kaynağa sshdconfig olarak erişilebilir, işletim sistemine bağlı olarak istenen yol seçilecektir. Örneğin sshd arka plan programı çalışıyorsa ve yeni bir dosya alınırsa hizmetin yeniden başlatılması gerektiğini belirtiyoruz:

hizmet(sshd:

Emin olun => doğru,

Abone ol => Dosya

Değişkenler genellikle kullanıcı verileriyle çalışırken kullanılır. Örneğin, kullanıcı ana dizinlerinin konumunu açıklıyoruz:

$homeroot = "/home"

Artık belirli bir kullanıcının dosyalarına şu şekilde erişilebilir:

$(homeroot)/$isim

$name parametresi kullanıcının hesap adı ile doldurulacaktır. Bazı durumlarda, bazı türler için varsayılan bir değer tanımlamak uygundur. Örneğin, exec türü için yürütülebilir dosyayı araması gereken dizinleri belirtmek çok yaygındır:

Exec ( yol => "/usr/bin:/bin:/usr/sbin:/sbin" )

Birden fazla iç içe geçmiş dosya ve dizine işaret etmeniz gerekiyorsa recurse parametresini kullanabilirsiniz:

dosya("/etc/apache2/conf.d":

Kaynak => "kukla:// kukla://sunucu.alanadi.com/config/apache/conf.d",

Tekrar => "doğru"

Birden fazla kaynak, sınıflar veya tanımlar halinde birleştirilebilir. Sınıflar bir sistemin veya hizmetin tam açıklamasıdır ve ayrı olarak kullanılır:

Linux sınıfı (

Dosya(

"/etc/passwd": sahip => kök, grup => kök, mod => 644;

"/etc/shadow": sahip => kök, grup => kök, mod => 440

Nesneye yönelik dillerde olduğu gibi sınıflar geçersiz kılınabilir. Örneğin FreeBSD'de bu dosyaların grup sahibi wheel'dir. Bu nedenle, kaynağı tamamen yeniden yazmamak için, linux sınıfını miras alacak yeni bir freebsd sınıfı oluşturalım:

freebsd sınıfı linux'u devralır (

Dosya["/etc/passwd"] ( grup => tekerlek );

Dosya["/etc/shadow"] ( grup => tekerlek )

Kolaylık sağlamak için, tüm sınıflar, include yönergesi kullanılarak dahil edilmesi gereken ayrı bir dosyaya yerleştirilebilir. Tanımlar bağımsız değişken olarak birden fazla parametre alabilir ancak kalıtımı desteklemez ve yeniden kullanılabilir nesneleri tanımlamanız gerektiğinde kullanılır. Örneğin kullanıcının ana dizinini ve yeni bir hesap oluşturmak için gereken komutları tanımlayalım:

user_homedir'i tanımla ($grup, $tam ad, $gruplar) (

Kullanıcı("$isim":

Emin olun => mevcut,

Yorum => "$tam ad",

Gid => "$grup",

Gruplar => $gruplar arası,

Üyelik => minimum,

Kabuk => "/bin/bash",

Ana Sayfa => "/ev/$isim",

Gerekli => Grup[$grup],

Exec("$isim ana dizin":

Komut => "/bin/cp -R /etc/skel /home/$isim; /bin/chown -R $isim:$grup /ev/$isim",

=> "/home/$name" öğesini oluşturur,

Gerekli => Kullanıcı[$isim],

Şimdi yeni bir hesap oluşturmak için user_homedir ile iletişime geçmeniz yeterli:

user_homedir("sergej":

Grup => "sergej",

Soyadı => "Sergej Jaremchuk",

Grup içi => ["medya", " yönetici]

Sınıfların yanı sıra kalıtımı destekleyen düğümlerin ayrı açıklamaları vardır. Bir client Puppet sunucusuna bağlandığında ilgili node bölümü aranacak ve sadece bu bilgisayara özel ayarlar sağlanacaktır. Diğer tüm sistemleri tanımlamak için düğüm varsayılanını kullanabilirsiniz. En azından Kukla dilinin tüm yeteneklerini anlamak için her durumda okunması gereken "Tip Referansı" belgesinde tüm türlerin bir açıklaması verilmiştir. Çeşitli türler, belirli koşulların karşılanması (örneğin, bir yapılandırma dosyasının değiştirilmesi), cron ile çalışma, kullanıcı kimlik bilgileri ve gruplar, bilgisayarlar, kaynaklar bağlama, hizmetleri başlatma ve durdurma, paketleri yükleme, güncelleme ve kaldırma dahil olmak üzere belirtilen komutları yürütmenize olanak tanır , SSH anahtarlarıyla, Solaris bölgeleriyle vb. çalışma. Apt kullanarak dağıtımlardaki paketlerin listesini günlük olarak 2 ila 4 saat arasında güncellenmeye kolayca zorlayabilirsiniz:

program (günlük:

Süre => günlük,

Aralık =>

exec("/usr/bin/apt-get update":

Program => günlük

Bu süreye ilişkin güncelleme her sistem tarafından yalnızca bir kez gerçekleştirilecek, ardından görev tamamlanmış sayılacak ve istemci bilgisayardan silinecektir. Puppet dili diğer tanıdık yapıları destekler: koşullar, işlevler, diziler, yorumlar ve benzerleri.

Kuklanın Kurulumu

Puppet, Faster kütüphanesinin yanı sıra OpenSSL desteği ve XMLRPC kütüphanelerine sahip Ruby'yi (sürüm 1.8.1 ve üzeri) gerektirir. Test kurulumu için kullanılan Ubuntu 7.04 deposu halihazırda yavru paketini içermektedir:

$ sudo apt-cache arama kuklası

~$ ruby ​​​​-rxmlrpc/client -e "koyar:evet"

Herhangi bir hata alınmazsa, ihtiyacınız olan her şey zaten dahil edilmiştir. Sistemlerin istenen konfigürasyonunu tanımlayan dosyalara Puppet terminolojisinde manifestolar adı verilir. Başlatıldığında, arka plan programı /etc/puppet/manifests/site.pp dosyasını okumaya çalışır; eksikse bir uyarı mesajı görüntüler. Test sırasında arka plan programının bildirim gerektirmeyen bağımsız modda çalışmasını söyleyebilirsiniz:

$ sudo /usr/bin/puppetmasterd --nonodes

Gerekirse, örneğin sınıf açıklamalarıyla diğer dosyaları site.pp'ye bağlayabilirsiniz. Bir test çalıştırması için en basit talimatları bu dosyaya girebilirsiniz.

sınıf sudo(

Dosya("/etc/sudoers":

Sahip => kök,

Grup => kök,

Mod => 440,

düğüm varsayılanı (

Sudo'yu dahil et

Hem sunucu hem de istemci olmak üzere tüm yapılandırma dosyaları /etc/puppet dizininde bulunur. Daha önce bahsettiğimiz fileserver.conf dosyası isteğe bağlıdır ve yalnızca Puppet'ın dosya sunucusu olarak da çalışması durumunda kullanılır. Ubuntu'da bu dosya /etc/puppet/files alt dizinini dışa aktarır. SSL alt dizini, istemcilere bağlanırken şifreleme için kullanılacak sertifikaları ve anahtarları içerir. Anahtarlar, puppetmasterd'ı ilk başlattığınızda otomatik olarak oluşturulur; bunları şu komutla manuel olarak oluşturabilirsiniz:

$ sudo /usr/bin/puppetmasterd --mkusers

puppetd.conf ve puppetmasterd.conf dosyaları benzerdir. İstemci sistemi ve sunucudaki daemonların çalışması için bazı parametreleri belirtirler. İstemci dosyası yalnızca puppetmasterd'ın çalıştığı bilgisayarı işaret eden sunucu parametresinin varlığında farklılık gösterir:

sunucu = öğütücü.com

logdir = /var/log/kukla

vardir = /var/lib/kukla

rundir = /var/run

# sunucuya bir rapor gönder

rapor = doğru

Her şeyi manuel olarak yazmaktan kaçınmak için puppetd'in kendisini kullanarak bir şablon oluşturabilirsiniz:

$ puppetd --genconfig > /etc/puppet/puppetd.conf

Benzer şekilde, sunucuda site.pp oluşturabilirsiniz:

$ puppetd --genmanifest > /etc/puppet/manifests/site.pp

Başka bir dosya olan tagmail.conf, raporların gönderileceği e-posta adreslerini belirtmenize olanak tanır. En basit durumda bir satır kullanabilirsiniz:

Tümü: [e-posta korumalı]

Yapılandırma dosyaları istemcinin sunucuya bağlanması için yeterli değil. Bunu yapmak için sertifikaları da imzalamanız gerekir.

Öncelikle sunucuya yeni bilgisayar hakkında bilgi vermek için istemci sistemine şu komutu girin:

$ sudo puppetd --server öğütücü.com --waitforcert 60 –test

Güvenlik duvarı 8140 numaralı bağlantı noktasındaki bağlantılara izin vermelidir.

Sunucuda imzalanması gereken sertifikaların bir listesini alıyoruz:

$ sudo kukla –list

Ve istemci sertifikasını imzalayın:

$ sudo puppetca –sign nomad.grinder.com

Artık istemci sunucuya serbestçe bağlanabilir ve ayarları alabilir.

Puppet'ın tüm yeteneklerini yazı içerisinde göstermek ne yazık ki mümkün değil. Ancak gördüğünüz gibi bu, çok sayıda sistemin eşzamanlı yönetimiyle ilgili sorunların çoğunu çözmenize olanak tanıyan işlevsel ve esnek bir araçtır. Ve en önemlisi, proje küçük ama sürekli büyüyen bir topluluğu bir araya getirmeyi başardı. Bu nedenle, iyi bir fikrin ölmesine veya bir kenara atılmasına izin verilmeyeceğini umalım.

İyi şanlar!

1. BladeLogic proje web sitesi – http://www.bladelogic.com.
2. OpsWare projesinin web sitesi http://www.opsware.com'dur.
3. Cfengine projesinin web sitesi http://www.cfengine.org'dur.
4. Puppet projesinin web sitesi http://reductivelabs.com/projects/puppet'tir.
5. Kukla Yemek Kitabı - http://www.reductivelabs.com/trac/puppet/tagspuppet%2Crecipe.
6. Daha Hızlı Kütüphane –