puppet安装及使用.doc

puppet是一种Linux、Unix、windows平台的集中配置管理系统，使用自有的puppet描述语言，可管理配置文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源，puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。 puppet采用C/S星状的结构，所有的客户端和一个或几个服务器交互。每个客户端周期的（默认半个小时）向服务器发送请求，获得其最新的配置信息，保证和该配置信息同步。每个puppet客户端每半小时(可以设置)连接一次服务器端, 下载最新的配置文件,并且严格按照配置文件来配置服务器. 配置完成以后,puppet客户端可以反馈给服务器端一个消息. 如果出错,也会给服务器端反馈一个消息. 第二，工作原理： puppet既可以在单机上使用,也可以以c/s结构使用.在大规模使用puppet的情况下,通常使用c/s结构.在这种结构中puppet客户端只是指运行puppet的服务器,puppet服务器端是只运行puppetmaster的服务器. puppet客户端首先会连接到puppet服务器端,并且通过facter工具把客户端的基本配置信息发送给服务器端. 服务器端通过分析客户端的主机名,通过node 定义,找到该主机的配置代码,然后编译配置代码,把编译好的配置代码发回客户端,客户端执行代码完成配置.并且把代码执行情况反馈给puppet服务器端.修改系统配置 puppet 通过管理资源的方式来管理系统, 例如管理某个软件是否要安装,是安装最新的还是安装了就行. 管理某个服务是否开启, 管理某个文件的属性,内容等等. 所有的资源都有对应的几个属性可以设置. 通过设置属性的方式来管理资源. 有一种特殊的属性可以用在所有的资源上面,这种属性叫做 metaparams ( 元参数或者元属性). 1) 客户端通过facter收集客户端信息并发送至服务端2) 连接服务端并请求catalog日志3) 请求节点（node）的信息4) 从服务器端接收节点（node)的实例5) 编译代码（包括语法检查等工作）6) 查询是否有exported 虚拟资源7) 如有，则从数据库接收虚拟资源8) 接收完整的catalog日志9) 存储catalog日志到数据库10) 客户端接收完整的catalog日志 第三，案例目标：实现文件同步并修改文件所属帐户：测试环境：puppetserver : 70puppet1 : 71 第四，安装配置：两台机器都需要安装必要软件：yum install ntp vixie-cron vim-enhanced telnet软件的下载地址：facter:/facter/facter-1.6.17.tar.gz/facter/facter-1.6.17.tar.gzfacter是一个系统盘点工具，收集主机的一些资料，比如CPU，主机IP等，它收集到值发送给puppet服务器端,服务器端就可以根据不同的条件来对不同的节点机器生成不同的puppet配置文件，安装puppet之前必须先安装facter。puppet: /puppet/puppet-3.1.0.tar.gz 服务器puppetserver安装部署：1. 准备环境同步时间： （如果时间不同步会有问题）由于puppet是由ruby语言编写，所以要安装ruby环境及库文件安装ruby：yum install ruby ruby-libs ruby-rdoc（也可以yun install ruby*）2. 修改HOSTS修改双方的/etc/hosts文件，添加各自的IP地址对应的主机名，生产环境做内部DNS比较好，不用修改每台服务器的hosts文件。70 puppetserver71 puppet13. 开放端口：8140（server服务器端口），8139（client服务器端口）/sbin/iptables -I INPUT -s *-p tcp -dport 8140 -j ACCEPT/sbin/iptables -I INPUT -s *-p tcp -dport 8139 -j ACCEPT或是干脆chkconfig iptables off 半闭防火墙4. 源码安装：安装facter和puppetwget/facter/facter-1.6.17.tar.gztar zxvf facter-1.6.17.tar.gzcd facter-1.6.17ruby install.rbcd .wget/puppet/puppet-2.7.10.tar.gztar zxvf puppet-2.7.10.tar.gzcd puppet-2.7.10ruby install.rbcd .5. 复制文件：cp conf/auth.conf /etc/puppet/cp conf/redhat/fileserver.conf /etc/puppet/cp conf/redhat/puppet.conf /etc/puppet/cp conf/redhat/server.init /etc/init.d/puppetmasterchmod +x /etc/init.d/puppetmasterchkconfig -add puppetmasterchkconfig puppetmaster onchkconfig -level 35 puppetmaster onmkdir -p /etc/puppet/manifests /存放入口文件的目录6. 生成pupput用户：puppetmasterd -mkusers7. 启动服务：/etc/init.d/puppetmaster restart 客户端puppetclient安装部署：1. 环境准备：同步时间： （如果时间不同步会有问题）/可以不做安装ruby：yum install ruby ruby-libs ruby-rdoc添加用户：useradd puppet2. 修改HOSTS：修改双方的/etc/hosts文件，添加各自的IP地址对应的主机名，生产环境做内部DNS比较好，不用修改每台服务器的hosts文件。70 puppetserver71 puppet13. 开放端口：开放8140（server服务器端口），8139（client服务器端口）/sbin/iptables -I INPUT -s *-p tcp -dport 8140 -j ACCEPT/sbin/iptables -I INPUT -s *-p tcp -dport 8139 -j ACCEPT或是干脆chkconfig iptables off 半闭防火墙4. 安装facter和puppet:wget/facter/facter-1.6.17.tar.gztar zxvf facter-1.6.17.tar.gzcd facter-1.6.17ruby install.rbwget/puppet/puppet-2.7.10.tar.gztar zxvf puppet-2.7.10.tar.gzcd puppet-2.7.10ruby install.rb5. 复制文件：cp conf/auth.conf /etc/puppet/cp conf/namespaceauth.conf /etc/puppet/cp conf/redhat/puppet.conf /etc/puppet/cp conf/redhat/client.init /etc/init.d/puppetchmod +x /etc/init.d/puppetvi /etc/puppet/puppet.conf-内容如下agentListen = trueServer = puppetserver -vi /etc/puppet/namespaceauth.conf-内容如下fileserverallow *puppetmasterallow *puppetrunnerallow *puppetbucketallow *puppetreportsallow *resourceallow * 第三步：连接认证：测试解析与puppetmaster端口是否畅通点击(此处)折叠或打开1. rootclient1 puppet-2.7.14#telnet 81401.2. Trying 2.3. Connected to (2).4. Escapecharacter is.5.6. rootclient1 puppet-2.7.14#puppetd-test-server 7. warning:peer certificate wont be verified in this SSL session8. info: Caching certificate for ca9. warning: peer certificate wont be verifiedinthisSSL session10. warning:peer certificate wont be verified in this SSL session11. info: Creating a new SSL certificate request for 12. info: Certificate Request fingerprint (md5): 07:C9:D4:43:3C:3E:D6:D1:0A:B1:8B:71:DB:6B:9D:FE13. warning: peer certificate wont be verifiedinthisSSL session14. warning:peer certificate wont be verified in this SSL session15. warning: peer certificate wont be verifiedinthisSSL session16. Exiting;no certificate foundandwaitforcert is disabled# puppetd -test -server 命令是指puppetd 从 去读取puppet配置文件. 第一次连接,双方会进行ssl证书的验证,这是一个新的客户端,在服务器端那里还没有被认证,因此需要在服务器端进行证书认证以下这步批准证书是在服务端操作查看当前待批准证书列表点击(此处)折叠或打开1. rootpuppetmaster #puppetca-l2. (07:C9:D4:43:3C:3E:D6:D1:0A:B1:8B:71:DB:6B:9D:FE)批准当前证书点击(此处)折叠或打开1. rootpuppetmaster #puppetca-s 2. notice:Signed certificate 3. notice:Removing file Puppet:SSL:CertificateRequest at/var/lib/puppet/ssl/ca/requests/.pem查看验证签名,注意前面的+号，说明已经签名点击(此处)折叠或打开1. rootpuppetmaster #puppetca-a-list2. +(03:BE:50:AE:72:1A:39:79:17:F4:E5:74:FD:CC:BC:8C)3. +(97:34:BF:26:A6:0E:E9:9C:DB:76:D3:53:D0:56:60:83)(alt names:DNS:puppet,DNS:,DNS:)如果要批准全部证书点击(此处)折叠或打开1. puppetca-s-a2. 也可以在puppetmaster端的puppet.conf加入这行：3. autosign=true4. 服务端就自动签证书回到客户端操作，从服务端取回已批准的证书点击(此处)折叠或打开1. rootclient1 puppet-2.7.14#puppetd-test-server 2. warning:peer certificate wont be verified in this SSL session3. info: Caching certificate for 4. info: Caching certificate_revocation_list for ca5. info: Caching catalog for 6. info: Applying configuration version 1378188531验证证书是否正确点击(此处)折叠或打开1. 服务端:2. rootpuppetmaster #md5sum /var/lib/puppet/ssl/ca/signed/.pem3. 27a295f39a6b4a6c7ceb74c9c3a5084c /var/lib/puppet/ssl/ca/signed/.pem4.5. 客户端:6. rootclient1 puppet-2.7.14#md5sum /etc/puppet/ssl/certs/.pem7. 27a295f39a6b4a6c7ceb74c9c3a5084c /etc/puppe