puppet部署与应用

如果只管理几台服务器,命令多点也没什么,但是如果管理着成百上千台服务器,可以想象一下,工作量将是多么的庞大。所以作为一名运维工程师,就需要寻找一款能够降低工作量的工具。那么今天就给大家介绍一批工具,这批工具是“可编程”的,只需要为这批工具写上几行代码,它便会自动完成所有的工作,这批工具就是运维自动化puppet(为什么说是一批工具,因为软件不止一个)。Puppet可以针对多台服务器进行统一的操作,例如:软件分发,统一执行脚本,在服务器上写好脚本分发给客户机,客户机就会自动执行,减少了人力及误操作风险。Puppet与我们之前在windows2008R2中学习过的“组策略”非常相似,所以在windows中有的功能,在linux中都能找到这些功能的影子。

一、puppet的简单介绍

1、puppet:运维自动化软件,针对多台服务器统一操作,批量安装、上线维护,减少人力及误操作风险。

可在单机上也可以以C/S机构使用。服务器端为puppetmaster,客户端为puppetclient.client和master之间是基于ssl和证书的,需要注册。Puppet同步后会保持状态,默认30分钟重新检测同步一次。

2、puppet工作流程:

1)客户端通用facter探测主机的变量,并通过SSL连接发送到服务器。

2)服务器通过facter分析客户端的主机名,并找到manifests里对应的node配置并分析生成一个伪代码,并发给客户端。

3)客户端收到伪代码,把执行结果发给服务器。

4)服务器把结果记录日志

3、puppetmaster的配置:分模块配置结构和目录结构两部分

模块配置中可以创建许多应用模块,每一个应用模块必须有一个入口,文件(主配置文件)init.pp文件,可以只有这一个文件也可以包含其他文件。

目录结构中包含需要客户端复制的文件及客户端节点信息等:必须有的入口文件名为site.pp

4、客户端同步的方式有两种;

1)客户端主动拉取(小规模):puppet agent -t

2)服务器端推送同步(大规模):需要客户端添加验证信息和权限

puppet kick 客户机名

二、实验拓扑图

三、根据实验拓扑图搭建环境

1、NTPserver的搭建:

yum -y install ntp (如果安装了,请忽略)

vim /etc/ntp.conf 添加两行:

service ntpd start

chconfig ntpd on

2、搭建puppetmaster服务器

1)规划主机名

vim /etc/sysconfig/network 修改

vim /etc/hosts 添加几行:

重启计算机

2)Puppetmaster作为ntp客户端的配置

yum -y install ntp (如果安装了,请忽略)

ntpdate 192.168.1.40

3)安装ruby,注意顺序,先安装compat-readline5包,也可一起安装。

安装完之后检查ruby的版本:

4)Puppet,facter安装

5)创建puppet主目录

注明:manifests为节点信息,modules为模块信息

6)puppet服务证书请求与签名

修改配置文件:vim /etc/puppet/puppet.conf

在[main]标题下添加一行,配置服务器模块路径

7)启动puppet主程序

service puppetmaster start

注明:puppetmaster 默认端口tcp 8140

3、搭建puppetclient(先配置client1)

1)规划主机名

vim /etc/sysconfig/network 修改

vim /etc/hosts 添加几行:

重启计算机

2)与时间服务器同步

yum -y install ntp (如果安装了,请忽略)

ntpdate 192.168.1.40

3)安装ruby,注意顺序,先安装compat-readline5包,也可一起安装。

安装完之后检查ruby的版本:

4)Puppet,facter安装

5)puppet服务证书请求与签名

修改配置文件: vim /etc/puppet/puppet.conf

在[main]标题下添加一行,设置服务器域名。

注明:

Client2的配置过程与client1类似,只要将主机名修改为client2.test.cn即可。

4、申请与注册

1)client端:

分别在client1和client2上进行注册

等待一会儿后,此时可以按ctrl+c结束,因为puppet一直在等待任务,但是已经从server可以查看到申请信息。

2)master 端:

查看申请注册的客户端:

将未注册的客户端进行注册:

puppet cert sign --all

可以通过目录去查看已经注册的客户端:

5、配置实例(应用)

案例应用的背景:为了保护linux的ssh端口爆破,批量修改客户端sshd端口,将端口22修改为9922,并实现重启工作。

想完成以上几点,需要明确几点:

①需确定openssh软件包安装

②需确定存在ssh的配置文件

③确定sshd的服务是系统服务

1)配置一个测试节点:

Master端:

(1)创建需要的必要目录:

注明:创建ssh模块,模块的目录为ssh,模块下有三个文件分别是:manifests、templates、files。

manifest里面必须包含一个init.pp文件,这是该模块的的初始(入口)文件,导入一个模块的时候需要从init.pp开始执行,可以把所有的代码都写入到这个文件中,也可以分成多个.pp文件,init在去包含其他文件,定义class类名时必须是ssh,这样才能实现调动

files目录是该模块的发布目录,puppet提供了一个文件分割机制,类似rsync的模块。

templates目录包含erb模块文件、这个和file资源的templates属性有关(很少使用)

(2)创建模块配置文件install.pp

首先确定客户端安装ssh服务

(3)创建模块配置文件config.pp

ssh主配置文件的配置:

注意:红色的为大写。

注明:

class ssh::config{

file{"/etc/ssh/sshd_config": //配置客户端需要同步的文件

ensure => present, //确定客户端此文件存在

owner => "root", //文件所属用户

group => "root", //文件所属组

mode => "0600", //文件权限

source=>"puppet://$puppetserver/modules/ssh/ssh/sshd_config",

//从服务器同步文件的路径

require =>Class["ssh::install"], //调用ssh::install确定

openssh已经安装

notify =>Class["ssh::service"], //如果config.pp发生变化通知service.pp

}

}

这个文件的内容主要是定义,发布的配置文件权限以及调用ssh::install检查client是否安装了ssh服务,以及调用ssh::service重新启动sshd服务。

(4)创建模块配置文件service.pp

Sshd服务的配置:

注明:

class ssh::service{

service{ "sshd":

ensure=>running, //确定sshd运行

hasstatus=>true,

//puppet该服务支持status命令,即类似service sshd status命令

hasrestart=>true,

//puppet该服务支持status命令,即类似service sshd status命令

enable=>true, //服务是否开机启动

require=>Class["ssh::config"] / /确认config.pp调用

}

}

(5)创建模块主配置文件init.pp

该模块的初始(入口)文件配置:

(6)建立服务器端ssh 统一维护文件

由于服务器和客户端的sshd_config文件默认配置一样,此时将服务器端/etc/ssh/sshd_config复制到模块默认路径。

(7)创建测试节点配置文件,并将ssh加载进去。

(8)将测试节点载入puppet,即修改site.pp

(9)修改服务器端维护的sshd_config配置文件

(10)重启puppet

2)客户端主动拉取:(client1上操作)

Client端:

验证:vim /etc/ssh/sshd_config

查看ssh服务是否重启,端口是否生效:

3)服务器推送同步

Client2端:

(1)修改配置文件

vim /etc/puppet/puppet.conf

最后一行添加:

vim /etc/puppet/auth.conf

最后一行添加:

(2)启动puppet客户端

Master端:

(3)开始往客户端推送

(4)验证结果

在client2上验证:

vim /etc/ssh/sshd_config

查看ssh服务是否重启,端口是否生效:

原文发布于微信公众号 - L宝宝聊IT(gh_b0e552aa80db)

原文发表时间:2018-04-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算教程系列

Nginx的安装和配置疑难解答

Nginx是一个免费的开源Web服务器,用于托管各种规模的网站和应用程序。该软件以其对内存资源的低影响,高可扩展性以及可提供安全,预测性能的模块化事件驱动架构而...

2385
来自专栏Java后端技术

使用Maven的assembly插件实现自定义打包

  最近我们项目越来越多了,然后我就在想如何才能把基础服务的打包方式统一起来,并且可以实现按照我们的要求来生成,通过研究,我们通过使用maven的assembl...

1042
来自专栏代码GG之家

android native 代码内存泄露 定位方案

android native 代码内存泄露 定位方案 ? java代码的内存定位,暂时我们先不关注。此篇文章,主要围绕c c++代码的内存泄露。 欢迎留言,交...

78910
来自专栏北京马哥教育

原创投稿 | 使用nagios监控主机及服务

写在前头:限于个人对nagios的了解有限,写得不够深入与系统,甚至可能会有些错误,各位看官还多包涵。本文主要涉及的是nagios daemon、nrpe及三个...

31211
来自专栏Debian社区

配置 Debian Stretch 的安装源

采用最小化方式安装的 Debian,在没有接入网络的情况下,默认是没有配置 apt 安装源,也没有安装远程管理用的 SSH 服务的,这个时候就无法使用 apt-...

1662
来自专栏前端小叙

win10系统下cmd输入一下安装的软件命令提示拒绝访问解决办法

问题:win10系统安装了nvm,cmd命令提示不是内部或外部命令 解决:卸载nvm,重新安装,再一次输入nvm,发现正常显示: ? 问题:win10安装了nv...

3934
来自专栏GreenLeaves

pl/sql developer安装配置

pl/sql developer是一款第三方的oracle数据库管理工具,是比较受欢迎的一款oracle开发工具,下面将介绍它的安装配置过程。 1、首先去官网下...

2086
来自专栏GreenLeaves

.Net 站点跨域问题及解决方法

了解跨域之前, 先了解下什么同源策略? 百度百科: 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同...

812
来自专栏Java进阶

再谈session 和 cookie的差异

2678
来自专栏风中追风

分布式基础__session 和 cookie的差异

HTTP协议是一种无状态的 通信协议 。那么这就以为着 客户端按道理是需要每次请求之前都要和服务器做连接的。 但是每次都进行这种连接,会非常耗时,并且这些重复...

38610

扫码关注云+社区