碼上快樂

相關內容    簡體    繁體

CentOS7:安裝Puppet

本文轉載自   查看原文   2016-11-14 09:14   2812    系統維護 - 工具軟件/ 系統維護 - Puppet/ 操作系統 - Linux

環境說明:

192.168.154.137 master.localdomain #Puppet Server

192.168.154.138 agent1.localdomain #Puppet Agent

這里的機器名稱不要有下划線等特殊符合,否則后面會報“the scheme puppet does not accept registry part”這樣的錯誤信息。

centos的官方軟件庫里面不包含puppet包,但是在epel項目里面有包含puppet包。epel 是一個對rhel軟件倉庫的擴展,把一些有用的,但是rhel庫沒包含的軟件收集在一起做成的一個軟件倉庫。

$ yum install epel-release

1. 安裝Puppet Server

$ hostnamectl set-hostname master.localdomain         #設置機器名稱
$ systemctl reboot                                    #重啟

$ cat /etc/hosts 
192.168.154.137 master.localdomain
192.168.154.138 agent1.localdomain

$ yum install puppet-server                            #安裝Puppet Server

# firewall-cmd --permanent --add-port=8140/tcp6        #修改防火牆,增加8140端口

2. 安裝Puppet Agent

$ hostnamectl set-hostname agent1.localdomain         #設置機器名稱
$ systemctl reboot                                    #重啟

$ cat /etc/hosts 
192.168.154.137 master.localdomain

$ yum install puppet                                 #安裝Puppet Agent

3. 測試Puppet

創建測試文件site.pp(Server端):

$ cat /etc/puppet/manifests/site.pp
node default {
    file { "/tmp/helloworld.txt" :
        content => "Hello World!",
    }
}

啟動server,以no-daemonize方式,這樣可以在控制台看到操作信息(Server端):

$ puppet master --no-daemonize --debug
... ...
Notice: Starting Puppet master version 3.6.2         #啟動成功,會看到這樣的信息

編輯客戶端puppet.conf,增加server配置項(Agent端):

$ cat /etc/puppet/puppet.conf
[agent]
    ... ...
    server = master.localdomain

啟動agent(Agent端,以root用戶):

$ puppet agent --test
Info: Creating a new SSL key for agent1.localdomain
Info: Caching certificate for ca
Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
Info: Creating a new SSL certificate request for agent1.localdomain
Info: Certificate Request fingerprint (SHA256): 1D:08:61:3B:1F:43:8C:B5:81:83:0F:FF:CC:4A:4F:8E:BA:B4:5F:7C:94:77:15:72:A2:0C:C0:44:D9:1D:16:9E
Info: Caching certificate for ca
Exiting; no certificate found and waitforcert is disabled

啟動后,agent向server申請證書,因為證書還沒有被server審核,所以目前通信是不成功的。

回到server,通過puppet cert查詢證書:

$ puppet cert list --all
  "agent1.localdomain" (SHA256) 1D:08:61:3B:1F:43:8C:B5:81:83:0F:FF:CC:4A:4F:8E:BA:B4
+ "master.localdomain" (SHA256) 47:A1:12:28:22:05:75:A5:E5:92:2B:F6:53:05:A8:D6:1F:9B

證書列表中有cs_agnet1的申請,目前是未審核狀態(最前面沒有+)。審核證書:

$ puppet cert sign agent1.localdomain

$ puppet cert list --all
+ "agent1.localdomain" (SHA256) 39:7F:59:A8:3C:B8:EF:B9:E2:AD:1D:5C:D7:66:B6:02:CF:70
+ "master.localdomain" (SHA256) 47:A1:12:28:22:05:75:A5:E5:92:2B:F6:53:05:A8:D6:1F:9B:

 再次啟動agent:

# puppet agent --test
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for agent1.localdomain
Info: Applying configuration version '1479087051'
Notice: /Stage[main]/Main/Node[default]/File[/tmp/helloworld.txt]/ensure: defined content as '{md5}ed076287532e86365e841e92bfc50d8c'
Notice: Finished catalog run in 0.02 seconds

這時候,查看/tmp/helloworld.txt,該文件就自動同步了。

在證書申請過程中,如果有問題,可以刪除證書重新申請,一般都能解決問題。

Agent:
$ rm -rf /var/lib/puppet     #刪除緩存文件

Server:
$ puppet cert clean agent1.localdomain

 Q1. 服務端找不到證書?

在測試時,先啟動Server,再通過Agent測試,回到Server通過puppet cert list --all怎么都找不到證書。

后來發現問題原因是這樣的:在Server端,puppet.conf使用的是默認配置:

[main]
    # Where SSL certificates are kept.
    ssldir = $vardir/ssl

然后用admin帳號(不是root,另外創建的帳號)啟動Server:

[admin@master ~]$ sudo puppet master --no-daemonize --debug

這時候,Agent傳過來的證書申請實際上都存放在/home/admin/.puppet/ssl/目錄下。然后,我再開了另外一個SSH Client,用的是不同的root帳號,結果就是怎么也找不到證書了。所以,在配置Server端時,ssldir最好這樣配置:

ssldir = /var/lib/puppet/ssl

 Q2. 自動審核證書?

創建autosign.conf文件:

$ cat /etc/puppet/autosign.conf 
*.localdomain

修改Server配置:

$ cat /etc/puppet/puppet.conf 
[master]
    autosign = /etc/puppet/autosign.conf

刪除Server和Agent的過期證書:

Server:
$ puppet cert clean --all

Agent:
$ rm -rf /var/lib/puppet

OK,這樣就可以了。

Q3. 一個簡單的site.pp例子

$ cat /etc/puppet/manifests/site.pp 
node default {
  file { '/tmp/hello.txt':
    content => 'Hello World!',
  }
  user { 'admin':
    ensure           => 'present',
    comment          => 'admin',
    gid              => '1000',
    groups           => ['wheel', 'admin'],
    home             => '/home/admin',
    password         => '$6$o.PFkMC14Xd2gOTk$atsNGzVmLFtQlvVr9imERjmw9n8vNr0quliqW6EdcZR6zyXFGfUv3EIbc9UZd3kJDIuxuMfyonVdm0OT5SJHM.',
    password_max_age => '99999',
    password_min_age => '0',
    shell            => '/bin/bash',
    uid              => '1000',
  }
  package { 'epel-release':
    ensure           => 'installed',
  }
  package { 'tcping':
    ensure           => 'installed',
  }
  package { 'tree':
    ensure           => 'installed',
  }
  package { 'net-tools':
    ensure           => 'installed',
  }
  service { 'firewalld.service':
    ensure           => 'stopped',
    enable           => 'false',
  }
  exec { "selinux":
    command => "setenforce 0",
    path   => "/usr/bin:/usr/sbin:/bin:/sbin",
    unless => "getenforce |grep -i Permissive",
  }
}

網上找到的兩個例子: anjuke-puppet.rar  vmx_puppet.rar


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 CentOS下puppet安裝 centos7安裝puppet詳細教程(簡單易懂,小白也可以看懂的教程) Centos7 安裝netcat CentOS7安裝xrdp CentOS7安裝openvas centos7 安裝docker CentOS7安裝mongodb CentOS7安裝Ceph centos7安裝bbr centos7 安裝 isign
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM