本文转自：http://www.yoyotown.com/?tag=cfengine

前言：

系统管理员经常陷入一系列的重复任务中：如升级软件包、管理配置文件、系统服务、cron任务以及添加新的配置、修复错误等。这些任务通常是重复低 效的，解决这类任务的第一反应是让他们自动化，于是出现了定制脚本。由于环境复杂，定制脚本和应用程序一再被重复开发，并且很难适合多种平台，灵活性和功 能也很难保证，于是像Puppet这样的自动化配置管理工具便出现了。

在开源世界里，有很多配置工具可供选择，这个领域一些关键的产品有：

Puppet(http://puppet.reductivelabs.com/):

• Ruby写成的配置管理工具，使用C/S架构，使用declarative language配置客户端。

Cfengine(http://www.cfengine.org):

• 最先发布的开源配置工具之一，1993年发布，同样是C/S架构，通常应用于教育机构。

LCFG(http://www.lcfg.org/):

• C/S架构的配置管理工具，使用XML定义配置。

Bcfg2

• Python编写的C/S架构的配置管理工具，使用规格书和客户机响应配置目标主机。

本文档致力于描述使用Puppet管理你的主机、应用程序、后台程序和各种服务。

Puppet简介：

1. Puppet的用途

Puppet是开源的基于Ruby的系统配置管理工具，依赖于C/S的部署架构。主要开发者是Luke Kanies，遵循GPLv2版权协议。从1997年开始Kanies参与UNIX的系统管理工作，Puppet的开发源于这些经验。因为对已有的配置工 具不甚满意，从2001年到2005年间，Kanies开始在Reductive实验室从事工具的开发。很快，Reductive实验室发布了他们的旗舰 产品——Puppet。

2. Pupput的特性

许多系统配置管理工具工作的方式非常类似，如cfengine。是什么让Puppet与众不同？

Puppet的语法允许你创建一个单独脚本，用来在你所有的目标主机上建立一个用户。所有的目标主机会依次使用适用于本地系统的语法解释和执行这个 模块。举例：如果这个配置是在Red Hat服务器上执行，建立用户使用useradd命令；如果这个配置是在FreeBSD主机上执行，使用的是adduser命令。

Puppet另一个卓越的地方是它的灵活性。源于开源软件的天性，你可以自由的获得Puppet的源码，如果你遇到问题并且有能力的话，你可以修改 或者加强Puppet的代码去适用于你的环境。另外，社区开发者和捐献者还在不断增强Puppet的功能。一个大的开发者和用户社区也致力于提供 Puppet的文档和技术支持。

Puppet也是易于扩展的。定制软件包的支持功能和特殊的系统环境配置能够快速简单的添加进Puppet的安装程序中。

3. Puppet的工作模式

Puppet是一个C/S架构的配置管理工具，在中央服务器上安装puppet-server软件包（被称作Puppet master）。在需要管理的目标主机上安装puppet客户端软件（被称作Puppet Client）。当客户端连接上Puppet master后，定义在Puppet master上的配置文件会被编译，然后在客户端上运行。每个客户端默认每半个小时和服务器进行一次通信，确认配置信息的更新情况。如果有新的配置信息或 者配置信息已经改变，配置将会被重新编译并发布到各客户端执行。也可以在服务器上主动触发一个配置信息的更新，强制各客户端进行配置。如果客户端的配置信 息被改变了，它可以从服务器获得原始配置进行校正。

4. Puppet的未来

最后，Puppet是一个年轻的工具，仍然处于开发和发展中。Puppet社区快速壮大，并且许多新的想法不断融入，促使开发、更新和模块每天都在 呈现。

安装配置：

1. Puppet在RedHat/CentOS系 统上安装

Puppet是基于Ruby写成的，所以安装前要准备好Ruby环境。在中心的Server上安装puppet-server包，并运行 puppetmasterd进程；在被管理机上安装puppet包，并运行puppetd进程。另外，在每台主机上配置好自己的hostname，之后每 台机器要以hostname区分。

1). 安装ruby环境：

yum install ruby ruby-rdoc

2). 安装puppet

Server端安装：

 wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm

rpm -Uvh epel-release-5-4.noarch.rpm

yum install puppet-server

chkconfig --level 2345 puppetmaster on

修改hosts，添加下面行：

Vi /etc/hosts

172.16.228.30   puppet.sina.com.cn puppet

172.16.228.29   web1.sina.com.cn web1

客户端安装：

 wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm

rpm -Uvh epel-release-5-4.noarch.rpm

yum install puppet

chkconfig --level 2345 puppet on

修改hosts，添加下面行：

Vi /etc/hosts

172.16.228.30   puppet.sina.com.cn puppet

172.16.228.29   web1.sina.com.cn web1

3). 启动puppet

Server端首次运行前，编辑/etc/puppet/manifests/site.pp文件，内容可以用最基本的：

# Create “/tmp/testfile” if it doesn’t exist.

class test_class {

file { “/tmp/testfile”:

ensure => present,

mode => 644,

owner => root,

group => root

}

}

# tell puppet on which client to run the class

node web1.sina.com.cn {

include test_class

}

启动Server端：

service puppetmaster start

启动客户端：

/etc/init.d/puppet once -v

这时客户机会去连server，但是由于连接是在ssl上的，而Server还没有sign过客户端的cert，客户机被断开。

到Server端执行：puppetca --list，会显示等待签名的客户端的主机名，执行：puppetca -sign <客户端主机名> 即可为其签名。

在Server端为web1.sian.com.cn授权：

puppetca --list

web1.sian.com.cn

puppetca --sign web1.sian.com.cn

这时再到客户机上启动puppetd，即可看到客户在正常地连接server，并且应用Server上为客户端定制的配置策略。

启动客户端：

/etc/init.d/puppet once -v

4). 测试：

也可以将日志直接打印到终端上进行测试：

Server端：puppetmasterd -d --no-daemonize -v --trace

客户端：puppetd --test --trace --debug

2. puppet配置文件

主配置文件（puppet.conf）：

1). 配置文件命名空间：

main 通用配置选项

puppetd 客户端配置选项

puppetmasterd 服务端配置选项

2). main命名空间选项：

confdir 配置文件目录，默认在/etc/puppet

vardir 动态数据目录，默认在/var/lib/puppet

logdir 日志目录，默认在/var/log/log

rundir puppet PID目录，默认在/var/run/puppet

statedir state目录，默认在$vardir/state

statefile state文件，默认在$statedir/state.yaml

ssldir SSL证书目录，默认在$vardir/ssl

trace 发生错误时显示跟踪信息，默认false

filetimeout 检测配置文件状态改变的时间周期，单位秒，默认15秒

syslogfacility 指定syslog功能为user级，默认为daemon级

3). puppetmasterd命名空间选项:

user 后台进程执行的用户

group 后台进程执行的组

mainfestdir mainfests文件存储目录，默认为$confdir/mainfests

mainfest mainfest站点文件的名字，默认为site.pp

bindaddress 后台进程绑定的网卡地址接口

masterport 后台进程执行的端口，默认为8140

4). puppet命名空间选项:

server puppet puppet服务器名，默认为puppet

runinterval seconds puppet应用配置的时间间隔，默认1800秒（0.5小时）

puppetdlockfie file puppet lock文件位置，默认$statedir/puppetdlock

puppetport port 后台进程执行的端口，默认8139

文件服务配置文件（fileserver.conf）：

[files]

path /var/lib/puppet/files

allow 121.14.1.*

allow 60.28.228.0/24

allow *.house.sina.com.cn

deny *.sina.com.cn

path定义文件存放路径，通过allow/deny来控制访问权限。

3. puppet命令集

1). puppet 用于执行用户所写独立的mainfests文件

# puppet -l /tmp/manifest.log manifest.pp

2). puppetd 运行在被管理主机上的客户端程序

# puppetd –server puppet.leju.com

3). puppetmasterd 运行在管理机上的服务器程序

# puppetmasterd

4). puppetca puppet认证程序

# puppetca -l

pclient.leju.com

# puppetca -s pclient.leju.com

5). puppetrun 用于连接客户端，强制运行本地配置文件

# puppetrun -p 10 –host host1 –host host2 -t remotefile -t webserver

6). filebucket 客户端用于发送文件到puppet file bucket的工具

# filebucket -b /tmp/filebucket /my/file

7). ralsh 转换配置信息到puppet配置代码

# ralsh user luke

user { ‘luke’:

home => ‘/home/luke’,

uid => ‘100′,

ensure => ‘present’,

comment => ‘Luke Kanies,,,’,

gid => ‘1000′,

shell => ‘/bin/bash’,

groups => ['sysadmin','audio','video','puppet']

}

8). puppetdoc 打印puppet参考文档

# puppetdoc -r type > /tmp/type_reference.rst

# puppetdoc –outputdir /tmp/rdoc –mode rdoc /path/to/manifests

# puppetdoc /etc/puppet/manifests/site.pp