首页 > 代码库 > puppet
puppet
puppet自动化管理工具
基于ruby语言开发的自动化管理工具,以c/s模式独立运行
puppet工作原理
1:客户端puppetd调用facter,facter会探测出本机的一些信息,然后puppetd把这些信息发送到服务端
2:服务端的puppetmaster监测到客户端的主机名,然后会到manifest里面对应的node配置,然后对这段内容进行解析,facter送过来的信息可以作为变量进行处理的,node牵涉到的
代码才会解析,其他的代码不会解析,解析过程:语法检查,然后生成一个中间的伪代码,然后在把伪代码发给客户机
3:客户端收到伪代码之后开始执行,客户端在把执行结果发送给服务端
4:服务端再把客户端的执行结果写入日志
5:puppet服务端和客户端是通过ssl隧道通信的,客户端安装完成后,需要向服务端申请证书
puppet主要资源
1:file主要负责管理文件
2:package 软件包的安装管理
3:service 系统服务的管理
4:cron 配置计划任务
5:exec 远程执行运行命令
puppet安装
192.168.110.130 test_server_110_130 (服务端)
192.168.110.131 test_server_110_131 (客户端)
1:添加hosts文件
192.168.110.130 test_server_110_130
192.168.110.131 test_server_110_131
2:服务端和客户端
rpm -Uvh http://yum.puppetlabs.com/el/6/products/x86_64/puppetlabs-release-6-1.noarch.rpm
3:服务端
yum -y install puppet-server
/etc/init.d/puppetmaster restart
4:客户端
yum -y install puppet
/etc/init.d/puppet restart
5:服务端配置文件
cd /etc/puppet
auth.conf (认证配置文件)
environments (环境变量的配置)
manifests (主配置目录)
modules (主配置模块)
puppet.conf (主配置文件)
fileserver.conf (主要用于文件传输)
6:客户端配置文件
cd /etc/puppet
auth.conf (认证配置文件)
modules (主配置模块)
puppet.conf (主配置文件)
7:客户端向服务端请求证书
puppet agent --server 服务端主机名 --test
8:服务端向客户端颁发证书
puppet cert --list(查看没有颁发的证书)
puppet cert --list --all(查看颁发的证书)
puppet cert -s 客户端主机名
file主要负责管理文件
1:服务端
cd /etc/puppet/manifests
vi site.pp(配置文件写法)
node default {
file {
"/tmp/2016test.txt":
content => "hello world";
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
package 软件包的安装管理
1:服务端
node default {
package {
["screen","ntp"]:
allow_virtual => false,
ensure => "installed(安装)";
"pppoe(包名)":
allow_virtual => false,
ensure => "absent(卸载)";
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
service 系统服务的管理
1:服务端
node default {
service {
"httpd":
ensure => "running";
"nfs":
ensure => "stopped";
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
cron 配置计划任务
1:服务器
node default {
cron {
"ntpdate":
command => "/usr/sbin/ntpdate pool.ntp.org",
user => "root",
hour => "0",
minute => "0",
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
文件推送
1:服务端
vi fileserver.conf
添加三行
[files]
path /etc/puppet/files (推送目录,要先存在此目录)
allow *
vi site.pp
node default {
file {
"/data/sh/auto_ssh.sh":
source => "puppet://服务端主机名/files/auto_ssh.sh",
group => "root",
owner => "root",
mode => "755",
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
exec 远程执行运行命令
1:服务器
node default {
exec {
"/tmp/auto_ssh.sh":
cwd => "/tmp",
user => "root",
path => ["/usr/bin","/usr/sbin","/bin","/bin/bash"],
}
}
2:客户端同步
puppet agent --server 服务端主机名 --test
不更新就不执行
exec {
"/linux/shell/echo.sh":
cwd => "/linux/shell",
user => "root",
path => ["/usr/bin","/usr/sbin","/bin","/bin/sh"],
subscribe => File["/linux/shell/echo.sh"], #定义资源和refreshonly一起使用,如果文件更新才执行
refreshonly => true,
}
puppet管理以及维护
1)puppet自动认证
手动删除证书
客户端
rm -rf /var/lib/puppet/ssl/*
服务端删除证书
puppet cert --clean test-server-31-131-web
在服务端puppet.conf的main配置下添加autosign = true(服务端自动颁发证书)
重启puppetmaster,客户端直接同步
2)客户端自动同步默认时间为半小时
客户端
vi /etc/sysconfig/puppet
PUPPET_SERVER=test-server-31-130-web 定义服务端
PUPPET_PORT=8140 客户端监听的端口
PUPPET_LOG=/var/log/puppet/puppet.log 客户端puppet同步日志
PUPPET_EXTRA_OPTS=--waitforcert=500 证书返回等待时间
将客户端自动同步时间调整
在/etc/puppet/puppet.conf中agent下添加
runinterval = 30 (自动同步时间调整为30s)
重启puppet,观察日志,可以看到自动同步已经生效
tail -f /var/log/puppet/puppet.log
Sat Mar 18 14:47:27 +0800 2017 Puppet (notice): Finished catalog run in 0.62 seconds
Sat Mar 18 14:47:57 +0800 2017 Puppet (notice): Finished catalog run in 0.77 seconds
Sat Mar 18 14:48:26 +0800 2017 Puppet (notice): Finished catalog run in 0.48 seconds
也可以设置成never(不主动同步)
3)服务端主动推送
客户端
启动客户端监听端口
在/etc/puppet/puppet.conf中agent下添加
listen = true(服务端的监听端口为8140,客户端的监听端口为8139)
在客户端进行对服务端的授权,编辑配置文件
vi /etc/puppet/namespaceauth.conf
[puppetrunner]
allow *
vi /etc/puppet/auth.conf(要添加在path /上边)
path /run
method save
allow *
重启客户端
在服务端进行推送
puppet kick -d test-server-31-131-web host host(可以推送多台机器,多台机器用空格分开,推送成功的提示信息code 0)
也可以通过IP列表进行推送,将主机名加入到ip.list下(一行一个)
puppet kick -d `cat ip.list`
puppet自定义模块
1:将同步时间的计划任务更改为每五小时执行
在服务端/etc/puppet/modules/下创建ntp目录
/etc/puppet/modules/ntp/manifests创建init.pp
class ntp { #class为自定义模块名
exec {
path => "/bin:/sbin:/bin/sh:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"
}
exec {
"auto change crontab ntp config":
command => "sed -i ‘s/0/*\/5/2‘ /var/spool/cron/root",
}
}
2:引用ntp模块
在/etc/puppet/manifests下需要创建两个文件
2.1:cat modules.pp
import "ntp"
2.2:cat nodes.pp
node default {
include ntp
}
2.3:在site.pp里导入这两个模块
cat site.pp
import "modules.pp"
import "nodes.pp"
puppet+svn自动提交部署
1:svn的构建
wget https://archive.apache.org/dist/subversion/subversion-1.7.10.tar.bz2
wget http://www.sqlite.org/sqlite-amalgamation-3071502.zip
安装svn
需要安装apr和apr-util,以及zlib zlib-devel
tar -jxf subversion-1.7.10.tar.bz2
unzip sqlite-amalgamation-3071502.zip
mv sqlite-amalgamation-3071502 subversion-1.7.10/sqlite-amalgamation
cd subversion-1.7.10
./configure --prefix=/usr/local/svn --with-apr=/usr/local/apr --with-apr-util=/usr/local/aprutil/
make && make install
添加环境变量
在/etc/profile添加
export PATH=/usr/local/svn/bin:$PATH
source /etc/profile
svn --version
svn, version 1.7.10 (r1485443)
创建svn版本库目录
mkdir -p /data/svn
创建svn版本库关联puppet
svnadmin create /data/svn/puppet
ls /data/svn/puppet/
conf db format hooks locks README.txt
修改版本库配置文件
vi /data/svn/puppet/conf/svnserve.conf
[general]
# 使非授权用户无法访问
anon-access = none
# 使授权用户有写权限
auth-access = write
# 指明密码文件路径
password-db = passwd
# 访问控制文件
authz-db = authz
# 认证命名空间,subversion会在认证提示里显示,并且作为凭证缓存的关键字
realm = /data/svn/puppet
创建用户并设定权限
vi /data/svn/puppet/conf/passwd
[users]
test1 = 123456
test2 = 123456
vi /data/svn/puppet/conf/authz
[/]
test1 = rw
test2 = rw
启动svn服务
svnserve -d -r /data/svn/ --listen-port=8001 (指定监听端口为8001)
netstat -ntlp|grep 8001
tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN 43851/svnserve
将/etc/puppet下的文件导入到svn版本库下
svn import /etc/puppet/ file:///data/svn/puppet -m ‘version1‘
将svn的版本库迁移到/etc/puppet
svn co svn://192.168.31.130:8001/puppet puppet
从windows中更改后,在服务端直接执行svn up即可
puppet