2. 软件开发
    3. puppet 配置1. 服务器, 客户端配置说明

    puppet 配置1. 服务器, 客户端配置说明

    xiaoxiao2026-02-20  15

    puppet 作用

    1. 适合于在主机完成初始化安装后 (可通过 cobbler + kickstart 进行自动化安装部署) , 进行统一的管理 2. 常见管理包括, 用户, 系统基础配置, 服务, 进程, 软件等等 3. 适合于大规模对大量主机执行重复的相同的配置, 简化了管理员分别对主机执行重复的枯燥的配置, 避免了因为手误, 因为其他原因对主机执行错误配置 4. puppet 还可以定期重启执行, 确保服务, 配置文件一致性, 也可以执行集中化升级降级处理等功能 5. 类似的几种管理软件有多种, 如 cfengine,puppet,chef, ansible 等等, 本文只针对 puppet 进行讨论, 不对其他软件评价与比较

    基础环境介绍

    server: hostname: terry-test-uq2pu.vclound.com ip address: 10.199.198.218 os version: 2.6.32-504.23.4.el6.x86_64 puppet version: puppet-server-3.6.2-1 client: hostname: terry-rhel7.vclound.com ip address: 10.199.198.86 os version: 3.10.0-229.el7.x86_64 puppet version: puppet-3.6.2-3.el7.noarch

    软件包安装方法 (略)

    服务端配置文件说明

    /etc/puppet/puppet.conf

    作用: 主配置文件, 用于控制服务端

    [main] logdir = /var/log/puppet rundir = /var/run/puppet ssldir = $vardir/ssl fileserverconf = /etc/puppet/fileserver.conf # 用于共享文件, 并传送至客户端, 格式: puppet:/// manifest = /etc/puppet/manifests/main-site.pp # 用于指定使用哪一个模板 modulepath = /etc/puppet/modules # 定义存放模板的位置 [agent] classfile = $vardir/classes.txt localconfig = $vardir/localconfig autosign = /etc/puppet/autosign.conf # 自动为客户端进行密钥认证, 避免手动为每个客户密钥签名

    /etc/puppet/fileserver.conf

    作用: 用于共享文件, 并传送至客户端, 格式: puppet:///

    [files] path /etc/puppet/files allow *

    /etc/puppet/autosign.conf

    作用: 自动为客户端进行密钥认证, 避免手动为每个客户密钥签名

    *.vclound.com # 所有主机后缀为 *.vclound.com 则执行自动密钥签名

    /etc/puppet/manifests/main-site.pp

    作用: 定义模板位置

    if versioncmp($::puppetversion,'3.6.1') >= 0 { $allow_virtual_packages = hiera('allow_virtual_packages',false) Package { allow_virtual => $allow_virtual_packages, } } import 'terry/terry-test.pp' # 使用这个文件作为当前的 puppet 模板

    /etc/puppet/manifests/terry/terry-test.pp

    作用: 定义了客户端主机, 配置等功能, 所有 puppet 操作都在该文件中进行定义

    客户端主机定义方法

    1. puppet 客户端连接服务端需要经过验证 (主机名验证) 2. 服务端 客户端主机名更改后, 需要重新进行验证 3. 服务端, 客户端主机名都必须复合 fqdn 规则 4. 只有被定义的主机可以可以使用到该 puppet 模板 (参考下面定义方法)

    定义方法:

    只匹配 terry.vclound.com 主机

    node /terry.vclound.com/ { 各种 puppet 定义; }

    只匹配 terry1.vclound.com, terry2.vclound.com, terry3.vclound.com 主机

    node 'terry1.vclound.com', 'terry2.vclound.com', 'terry3.vclound.com' { 各种 puppet 定义; }

    匹配所有以 vclound.com 后缀的主机名

    node /\\*.vclound.com/ { 各种 puppet 定义; }

    客户端配置文件说明

    /etc/puppet/puppet.conf

    作用: 定义 puppet 主服务器位置则可

    [main] logdir = /var/log/puppet rundir = /var/run/puppet ssldir = $vardir/ssl server = terry-test-uq2pu.vclound.com # 定义 puppet 服务器, 需要 dns 或 /etc/hosts 解释 [agent] classfile = $vardir/classes.txt localconfig = $vardir/localconfig

    注: 假如不进行上述的 server = xxx 定义, 那么在运行 puppet 时候, 需要手动添加 –server 参数也是可以的

    puppet 的启动方法

    服务端启动方法

    rhel6 /etc/init.d/puppetmaster start rhel7 systemctl start puppetmaster

    当服务器启动后, 默认会在下面生成三个密钥, 不建议对服务端执行主机名修改方法, 因为会导致验证失败, 需要手动维护才可以令 puppet master 重新生效, 是一个比较麻烦的操作

    /var/lib/puppet/ssl/certs/terry-test-uq2pu.vclound.com.pem /var/lib/puppet/ssl/private_keys/terry-test-uq2pu.vclound.com.pem /var/lib/puppet/ssl/public_keys/terry-test-uq2pu.vclound.com.pem

    客户端启动方法

    暂时只需要按需连接或者利用 cron job 执行客户端与服务器连接则可 当然, 也可以使用 /etc/init.d/puppet start 方法令 puppet 长期处于后台进程

    客户端连接方法:

    puppet agent -t --debug

    注意

    假如客户端主机名改变或者在之前已经曾经连接过其他的 puppet server 则启动或连接当前的 puppet server 会出现报错 解决方法删除密钥后 rm -rf /var/lib/puppet/ssl/* 在尝试重新连接 puppet server
    最新回复(0)