一、puppet 介绍
1、puppet是什么
puppet是一个IT基础设施自动化管理工具,它能够帮助系统管理员管理基础设施的整个生命周期: 供应(provisioning)、配置(configuration)、联动(orchestration)及报告(reporting)。
基于puppet ,可实现自动化重复任务、快速部署关键性应用以及在本地或云端完成主动管理变更和快速扩展架构规模等。
遵循GPL 协议(2.7.0-), 基于ruby语言开发。
2.7.0 以后使用(Apache 2.0 license)
对于系统管理员是抽象的,只依赖于ruby与facter。
能管理多达40 多种资源,例如:file、user、group、host、package、service、cron、exec、yum repo等。
2、puppet的工作机制
1)工作模型
puppet 通过声明性、基于模型的方法进行IT自动化管理。
定义:通过puppet 的声明性配置语言定义基础设置配置的目标状态;
模拟:强制应用改变的配置之前先进行模拟性应用;
强制:自动、强制部署达成目标状态,纠正任何偏离的配置;
报告:报告当下状态及目标状态的不同,以及达成目标状态所进行的任何强制性改变;
puppet三层模型
puppet三层模型如下:
puppet三层模型
2)工作流程
工作流程
3)使用模型
puppet的使用模型分为单机使用模型和master/agent模型,下面我们来看看这两个模型的原理图。
单机使用模型
实现定义多个manifests —> complier —> catalog —> apply
单机使用模型工作原理
master/agent模型
master/agent模型实现的是集中式管理,即 agent 端周期性向 master 端发起请求,请求自己需要的数据。然后在自己的机器上运行,并将结果返回给 master 端。
架构和工作原理如下:
架构
master/agent模式架构
工作原理
master/agent模式工作原理
3、puppet 名词解释
- 资源:是puppet的核心,通过资源申报,定义在资源清单中。相当于
ansible中的模块,只是抽象的更加彻底。 - 类:一组资源清单。
- 模块:包含多个类。相当于
ansible中的角色。 - 站点清单:以主机为核心,应用哪些模块。
二、puppet 资源详解
接下来,我们就以单机模式来具体介绍一下puppet的各个部分。
1、程序安装及环境
首先,我们还是来安装一下puppet,puppet的安装可以使用源码安装,也可以使用rpm(官方提供)、epel源、官方提供的yum仓库来安装(通过下载官方提供的rpm包可以指定官方的yum仓库)。
在这里,我们就是用 yum 安装的方式。
yum install -y puppet
安装完成过后,我们可以通过rpm -ql puppet | less来查看一下包中都有一些什么文件。
其中主配置文件为/etc/puppet/puppet.conf,使用的主程序为/usr/bin/puppet。
2、puppet 资源简介
1)资源抽象
puppet 从以下三个维度来对资源完成抽象:
- 相似的资源被抽象成同一种资源“类型” ,如程序包资源、用户资源及服务资源等;
- 将资源属性或状态的描述与其实现方式剥离开来,如仅说明安装一个程序包而不用关心其具体是通过yum、pkgadd、ports或是其它方式实现;
- 仅描述资源的目标状态,也即期望其实现的结果,而不是其具体过程,如“确定nginx 运行起来” 而不是具体描述为“运行nginx命令将其启动起来”;
这三个也被称作puppet 的资源抽象层(RAL)
RAL 由type( 类型) 和provider( 提供者,即不同OS 上的特定实现)组成。
2)资源定义
资源定义通过向资源类型的属性赋值来实现,可称为资源类型实例化;
定义了资源实例的文件即清单,manifest;
定义资源的语法如下:
type {'title':attribute1 => value1,atrribute2 => value2,……}
注意:type必须使用小写字符;title是一个字符串,在同一类型中必须惟一;每一个属性之间需要用“,”隔开,最后一个“,”可省略。
例如,可以同时有名为nginx 的“service”资源和“package”资源,但在“package” 类型的资源中只能有一个名为“nginx”的资源。
3)资源属性中的三个特殊属性:
Namevar:可简称为name;ensure:资源的目标状态;Provider:指明资源的管理接口;
3、常用资源总结
1)查看资源
我们可以使用puppet describe来打印有关Puppet资源类型,提供者和元参数的帮助。使用语法如下:
puppet describe [-h|--help] [-s|--short] [-p|--providers] [-l|--list] [-m|--meta] [type]-l:列出所有资源类型;-s:显示指定类型的简要帮助信息;-m:显示指定类型的元参数,一般与-s一同使用;
2)group:管理系统上的用户组。
查看使用帮助信息:
group使用帮助
属性:name:组名,可以省略,如果省略,将继承title的值;gid:GID;system:是否为系统组,true OR false;ensure:目标状态,present/absent;members:成员用户;
简单举例如下:
vim group.ppgroup{'mygrp':name => 'mygrp',ensure => present,gid => 2000,}
我们可以来运行一下:
运行写好的group资源
3)user:管理系统上的用户。
查看使用帮助信息:
user使用帮助
属性:name:用户名,可以省略,如果省略,将继承title的值;uid: UID;gid:基本组ID;groups:附加组,不能包含基本组;comment:注释;expiry:过期时间 ;home:用户的家目录;shell:默认shell类型;system:是否为系统用户 ;ensure:present/absent;password:加密后的密码串;
简单举例如下:
vim user1.ppuser{'keerr':ensure => present,system => false,comment => 'Test User',shell => '/bin/tcsh',home => '/data/keerr',managehome => true,groups => 'mygrp',uid => 3000,}
4)package:puppet的管理软件包。
查看使用帮助信息:
package使用帮助
属性:ensure:installed, present, latest, absent, any version string (implies present)name:包名,可以省略,如果省略,将继承title的值;source:程序包来源,仅对不会自动下载相关程序包的provider有用,例如rpm或dpkg;provider:指明安装方式;
简单举例如下:
vim package1.pppackage{'nginx':ensure => installed,procider => yum}
5)service:定义服务的状态
查看使用帮助信息:
puppet describe service -s -m
service使用帮助
属性:ensure:服务的目标状态,值有true(running)和false(stopped)enable:是否开机自动启动,值有true和falsename:服务名称,可以省略,如果省略,将继承title的值path:服务脚本路径,默认为/etc/init.d/下start:定制启动命令stop:定制关闭命令restart:定制重启命令status:定制状态
简单举例如下:
vim service1.ppservice{'nginx':ensure => true,enable => false}
6)file:管理文件、目录、软链接
查看使用帮助信息:
file使用帮助
属性:ensure:目标状态,值有absent,present,file,directory和linkfile:类型为普通文件,其内容由content属性生成或复制由source属性指向的文件路径来创建;link:类型为符号链接文件,必须由target属性指明其链接的目标文件;directory:类型为目录,可通过source指向的路径复制生成,recurse属性指明是否递归复制;path:文件路径;source:源文件;content:文件内容;target:符号链接的目标文件;owner:定义文件的属主;group:定义文件的属组;mode:定义文件的权限;atime/ctime/mtime:时间戳;
简单举例如下:
vim file1.ppfile{'aaa':path => '/data/aaa',source => '/etc/aaa',owner => 'keerr',mode => '611',}
7)exec:执行命令,慎用。通常用来执行外部命令
查看使用帮助信息:
puppet describe exec -s -m
exec使用帮助
属性:command(namevar):要运行的命令;cwd:指定运行该命令的目录;creates:文件路径,仅此路径表示的文件不存在时,command方才执行;user/group:运行命令的用户身份;path:指定命令执行的搜索路径;onlyif:此属性指定一个命令,此命令正常(退出码为0)运行时,当前command才会运行;unless:此属性指定一个命令,此命令非正常(退出码为非0)运行时,当前command才会运行;refresh:重新执行当前command的替代命令;refreshonly:仅接收到订阅的资源的通知时方才运行;
简单举例如下:
vim exec1.ppexec{'cmd':command => 'mkdir /data/testdir',path => ['/bin','/sbin','/usr/bin','/usr/sbin'],# path => '/bin:/sbin:/usr/bin:/usr/sbin',}
8)cron:定义周期性任务
查看使用帮助信息:
cron使用帮助
属性:command:要执行的任务(命令或脚本);ensure:目标状态,present/absent;hour:时;minute:分;monthday:日;month:月;weekday:周;user:以哪个用户的身份运行命令(默认为root);target:添加为哪个用户的任务;name:cron job的名称;
简单举例如下:
vim cron1.ppcron{'timesync':command => '/usr/sbin/ntpdata 172.16.0.1',ensure => present,minute => '*/3',user => 'root',}
我们可以运行一下,查看我们的crontab,来看看该任务是否已经被添加:
[root@master manifests]# puppet apply -v --noop cron1.pp #试运行[root@master manifests]# puppet apply -v cron1.pp #运行[root@master manifests]# crontab -l #查看计划任务# HEADER: This file was autogenerated at 2017-12-14 15:05:05 +0800 by puppet.# HEADER: While it can still be managed manually, it is definitely not recommended.# HEADER: Note particularly that the comments starting with 'Puppet Name' should# HEADER: not be deleted, as doing so could cause duplicate cron jobs.# Puppet Name: timesync*/3 * * * * /usr/sbin/ntpdata 172.16.0.1
9)notify:调试输出
查看使用帮助信息:
属性:message:记录的信息name:信息名称
该选项一般用于master/agent模式中,来记录一些操作的时间,比如重新安装了一个程序呀,或者重启了应用等等。会直接输出到代理机的运行日志中。
以上,就是我们常见的8个资源。其余的资源我们可以使用puppet describe -l来列出,上文中也已经说过了~
4、资源的特殊属性
puppet中也提供了before、require、notify和subscribe四个参数来定义资源之间的依赖关系和通知关系。
before:表示需要依赖于某个资源 require:表示应该先执行本资源,在执行别的资源 notify:A notify B:B依赖于A,且A发生改变后会通知B; subscribe:B subscribe A:B依赖于A,且B监控A资源的变化产生的事件;
同时,依赖关系还可以使用->和~>来表示:
-> 表示后资源需要依赖前资源 ~> 表示前资源变动通知后资源调用
举例如下:
vim file.ppfile{'test.txt': #定义一个文件path => '/data/test.txt',ensure => file,source => '/etc/fstab',}file{'test.symlink': #依赖文件建立超链接path => '/data/test.symlink',ensure => link,target => '/data/test.txt',require => File['test.txt'],}file{'test.dir': #定义一个目录path => '/data/test.dir',ensure => directory,source => '/etc/yum.repo.d/',recurse => true,}
我们还可以使用在最下面统一写依赖关系的方式来定义:
vim redis.pppackage{'reids':ensure => installed,}file{'/etc/redis.conf':source => '/root/manifets/files/redis.conf',ensure => file,owner => redis,group => root,mode => '0640',}service{'redis':ensure => running,enable => true,hasrestart => true,}Package['redis'] -> File['/etc/redis.conf'] -> Service['redis'] #定义依赖关系
tag 标签
如同 anssible 一样,puppet 也可以定义“标签”——tag,打了标签以后,我们在运行资源的时候就可以只运行某个打过标签的部分,而非全部。这样就更方便于我们的操作。
一个资源中,可以有一个tag也可以有多个。具体使用语法如下:
type{'title':...tag => 'TAG1',}type{'title':...tag => ['TAG1','TAG2',...],}
调用时的语法如下:
puppet apply --tags TAG1,TAG2,... FILE.PP
实例
首先,我们去修改一下redis.pp文件,添加一个标签进去
vim redis.pppackage{'redis':ensure => installed,}file{'/etc/redis.conf':source => '/root/manifets/file/redis.conf',ensure => file,owner => redis,group => root,mode => '0640',tag => 'instconf' #定义标签}service{'redis':ensure => running,enable => true,hasrestart => true,}Package['redis'] -> File['/etc/redis.conf'] -> Service['redis']
然后,我们手动先开启redis服务:
systemctl start redis
现在,我们去修改一下file目录下的配置文件:
vim file/redis.confrequirepass keerya
接着,我们就去运行redis.pp,我们的配置文件已经修改过了,现在想要实现的就是重启该服务,实现,需要使用密码keer登录:
puppet apply -v --tags instconf redis.pp
redis.pp运行结果
现在,我们就去登录一下redis看看是否生效:
redis-cli -a keerya
redis验证
验证成功,实验完成。
5、puppet 变量
puppet 变量以“$”开头,赋值操作符为“=”,语法为$variable_name=value。
数据类型:
字符型:引号可有可无;但单引号为强引用,双引号为弱引用;支持转义符; 数值型:默认均识别为字符串,仅在数值上下文才以数值对待; 数组:[]中以逗号分隔元素列表; 布尔型值:true, false;不能加引号; hash:{}中以逗号分隔k/v数据列表; 键为字符型,值为任意puppet支持的类型;{ ‘mon’ => ‘Monday’, ‘tue’ => ‘Tuesday’, }; undef:从未被声明的变量的值类型;
正则表达式:
(?:) (?-:) OPTIONS: i:忽略字符大小写; m:把.当换行符; x:忽略中的空白字符; (?i-mx:PATTERN) 注意:不能赋值给变量,仅能用在接受
=~或!~操作符的位置;
1)puppet的变量种类
puppet 种类有三种,为facts,内建变量和用户自定义变量。
facts:
由facter提供;top scope;
内建变量:
master端变量
$servername, $serverip, $serverversion
agent端变量
$clientcert, $clientversion, $environment
parser变量
$module_name
用户自定义变量
2)变量的作用域
不同的变量也有其不同的作用域。我们称之为Scope。
作用域有三种,top scope,node scope,class scope。
其生效范围排序为:top scope > node scope > class scope
变量生效范围
其优先级排序为:top scope < node scope < class scope
6、puppet 流程控制语句
puppet 支持if 语句,case 语句和selector 语句。
1)if 语句
if语句支持单分支,双分支和多分支。具体语法如下:
单分支:if CONDITION {statement……}双分支:if CONDITION {statement……}else{statement……}多分支:if CONDITION {statement……}elsif CONDITION{statement……}else{statement……}
其中,CONDITION的给定方式有如下三种:
- 变量
- 比较表达式
- 有返回值的函数
举例
vim if.ppif $operatingsystemmajrelease == '7' {$db_pkg='mariadb-server'}else{$db_pkg='mysql-server'}package{"$db_pkg":ensure => installed,}
2)case 语句
类似 if 语句,case 语句会从多个代码块中选择一个分支执行,这跟其它编程语言中的 case 语句功能一致。
case 语句会接受一个控制表达式和一组 case 代码块,并执行第一个匹配到控制表达式的块。
使用语法如下:
case CONTROL_EXPRESSION {case1: { ... }case2: { ... }case3: { ... }……default: { ... }}
其中,CONTROL_EXPRESSION的给定方式有如下三种:
- 变量
- 表达式
- 有返回值的函数
各case的给定方式有如下五种:
- 直接字串;
- 变量
- 有返回值的函数
- 正则表达式模式;
- default
举例
vim case.ppcase $osfamily {"RedHat": { $webserver='httpd' }/(?i-mx:debian)/: { $webserver='apache2' }default: { $webserver='httpd' }}package{"$webserver":ensure => installed, before => [ File['httpd.conf'], Service['httpd'] ],}file{'httpd.conf':path => '/etc/httpd/conf/httpd.conf',source => '/root/manifests/httpd.conf',ensure => file,}service{'httpd':ensure => running,enable => true, restart => 'systemctl restart httpd.service',subscribe => File['httpd.conf'],}
3)selector 语句
Selector 只能用于期望出现直接值(plain value) 的地方,这包括变量赋值、资源属性、函数参数、资源标题、其它 selector。
selector 不能用于一个已经嵌套于于selector 的case 中,也不能用于一个已经嵌套于case 的case 语句中。
具体语法如下:
CONTROL_VARIABLE ? {case1 => value1,case2 => value2,...default => valueN,}
其中,CONTROL_EXPRESSION的给定方式有如下三种:
- 变量
- 表达式
- 有返回值的函数
各case的给定方式有如下五种:
- 直接子串;
- 变量;
- 有返回值的函数;
- 正则表达式模式;
- default
selectors 使用要点:
- 整个selector 语句会被当作一个单独的值,puppet 会将控制变量按列出的次序与每个case 进行比较,并在遇到一个匹配的 case 后,将其值作为整个语句的值进行返回,并忽略后面的其它 case。
- 控制变量与各 case 比较的方式与 case 语句相同,但如果没有任何一个 case 与控制变量匹配时,puppet 在编译时将会返回一个错误,因此,实践中,其必须提供default case。
- selector 的控制变量只能是变量或有返回值的函数,切记不能使用表达式。
- 其各 case 可以是直接值(需要加引号) 、变量、能调用返回值的函数、正则表达式模式或 default。
- 但与 case 语句所不同的是,selector 的各 case 不能使用列表。
- selector 的各 case 的值可以是一个除了 hash 以外的直接值、变量、能调用返回值的函数或其它的 selector。
举例
vim selector.pp$pkgname = $operatingsystem ? {/(?i-mx:(ubuntu|debian))/ => 'apache2',/(?i-mx:(redhat|fedora|centos))/ => 'httpd',default => 'httpd',}package{"$pkgname":ensure => installed,}
三、class 类
1)什么是类?
类是puppet中命名的代码模块,常用于定义一组通用目标的资源,可在puppet全局调用;
类可以被继承,也可以包含子类;
具体定义的语法如下:
class NAME{... puppet code ...}
其中,在我们定义的时候,需要注意的是:
- 类的名称只能以小写字母开头,可以包含小字字母、数字和下划线。
- 每个类都会引入一个新的变量scope ,这意味着在任何时候访问类中的变量时,都得使用其完全限定名称。
- 不过,在本地 scope 可以重新为 top scope 中的变量赋予一个新值。
下面,我们来看一个简单的例子:
vim class1.ppclass redis { #定义一个类package{'redis':ensure => installed,} ->file{'/etc/redis.conf':ensure => file,source => '/root/manifests/file/redis.conf',owner => 'redis',group => 'root',mode => '0640',tag => 'redisconf'} ~>service{'redis':ensure => running,enable => true,hasrestart => true,hasstatus => true}}include redis #调用类
注意:类只有被调用才会执行。include后可以跟多个类,直接用”,”隔开即可。
2)带有参数的类
我们定义的类也可以进行参数设置,可以进行参数的传递。
具体语法如下所示:
class NAME(parameter1, parameter2) { #注意,大括号前有一个空格...puppet code...}
我们来看一个例子:
vim class2.ppclass instpkg($pkg) {package{"$pkg":ensure => installed,}}class{"instpkg": #给参数传入值pkg => 'memcached',}
注意:单个主机上不能被直接声明两次。
如果对应的参数未传值的话,执行会报错。
但是我们可以在定义形参的时候,设定一个默认值,这样的话,我们不传入值的话,就会自动调用默认值:
vim class3.ppclass instpkg($pkg='wget') {package{"$pkg":ensure => installed,}}include instpkg
这样的话,我们直接使用include调用即可,就不需要给参数传入值了。
由上,我们可以总结出,调用类的方式有两种:
1. include CLASS_NAME1, CLASS_NAME2, ...2. class{'CLASS_NAME':attribute => value,}
我们来看一个比较全面的例子:
首先,判断我们系统的版本,是6还是7,由此来确定,是安装mysql还是mariadb,同时,使用调用参数的方式来实现如上需求。
具体实现的代码如下:
vim dbserver.ppclass dbserver($dbpkg='mariadb-server',$svc='mariadb') { #定义类并给参数赋值package{"$dbpkg":ensure => installed,}service{"$svc":ensure => running,enable => true,hasrestart => true,hasstatus => true,}}if $operatingsystem == 'CentOS' {if $operatingsystemmajrelease == '7' {include dbserver #直接调用类} else {class{"dbserver": #调用类并对参数重新赋值dbpkg => 'mysql-server',svc => 'mysqld'}}}
3)类的继承
类似于其它编程语言中的类的功能,puppet 的Class 可以被继承,也可以包含子类。
其定义的语法如下:
class SUB_CLASS_NAME inherits PARENT_CLASS_NAME {...puppet code...}
下面我们来看一个例子:
vim class4.ppclass redis { #定义class类package{'redis':ensure => installed,}service{'redis':ensure => running,enable => true,}}class redis::master inherits redis { #调用父类file {'/etc/redis.conf':ensure => file,source => '/root/manifests/file/redis-master.conf',owner => 'redis',group => 'root',}Service['redis'] { #定义依赖关系subscribe => File['/etc/redis.conf']}}class redis::slave inherits redis { #调用父类file {'/etc/redis.conf':ensure => file,source => '/root/manifests/file/redis-slave.conf',owner => 'redis',group => 'root',}Service['redis'] { #定义依赖关系subscribe => File['/etc/redis.conf']}}
一样的,我们的类在调用的时候,可以实现修改原有值和额外新增属性的功能。
1.新增属性
我们的继承父类的时候,可以定义一些父类原本没有的属性:
新增属性
2.新增原有值
在继承的类中,我们可以在属性原有值的基础上,使用 +> 进行新增修改:
新增原有值
3.修改原有值
在继承的类中,我们可以直接把原有的值进行覆盖修改,使用 =>进行覆盖即可:
修改原有值
4.整体调用父类,并重写部分值
在继承的类中,我们还可以在整体调用的基础上,根据不同的需求,把父类中的部分值进行重写修改:
整体调用父类,并重写部分值
四、模板
模板通常以erb结尾。模板均使用erb语法。
关于puppet兼容的erb语法,我们可以去官方文档查看,下面附上官方文档地址:https://docs.puppet.com/puppet/latest/reference/lang_template_erb.html
以下,附上部分重要内容:
<%= EXPRESSION %> — 插入表达式的值,进行变量替换<% CODE %> — 执行代码,但不插入值<%# COMMENT %> — 插入注释<%% or %%> — 插入%
接着我们来看一个实例:
实例1:puppet 模板实现修改 redis 端口地址
我们使用puppet 模板来实现,将redis 监听端口修改为本机的ip地址。
首先,我们先来定义一个file.pp文件,在该文件中调用我们的模板:
vim file.ppfile{'/tmp/redis.conf': #仅用于测试模板是否生效,所以放在tmp目录下ensure => file,content => template('/root/manifests/file/redis.conf.erb'), #调用模板文件owner => 'redis',group => 'root',mode => '0640',}
接着,我们去修改配置文件的源,也就是我们的模板文件:
vim file/redis.conf.erbbind 127.0.0.1 <%= @ipaddress_eth0 %> #修改监听端口
修改完成以后,我们就可以执行查看结果了:
然后,我们去查看一下/tmp/redis.conf文件:
监听端口
可以看出,我们的变量替换已经成功。
五、模块
1)什么是模块?
实践中,一般需要把manifest 文件分解成易于理解的结构,例如将类文件、配置文件甚至包括后面将提到的模块文件等分类存放,并且通过某种机制在必要时将它们整合起来。
这种机制即模块,它有助于以结构化、层次化的方式使用puppet,而puppet 则基于“模块自动装载器”。
从另一个角度来说,模块实际上就是一个按约定的、预定义的结构存放了多个文件或子目录的目录,目录里的这些文件或子目录必须遵循其命名规范。
2)模块的命名规范
模块的目录格式如下:
目录格式
其中,每个文件夹中存放的内容及其要求如下:
- MODULE NAME:模块名称,模块名只能以小写字母开头,可以包含小写字母、数字和下划线;但不能使用”main”和”settings”;
- manifests/:必须要有
- init.pp:必须一个类定义,类名称必须与模块名称相同;
- files/:静态文件;
- 其中,每个文件的访问路径遵循:
puppet:///modules/MODULE_NAME/FILE_NAME;
- 其中,每个文件的访问路径遵循:
- templates/:
- 其中,每个文件的访问路径遵循:
tempate('MOD_NAME/TEMPLATE_FILE_NAME');
- 其中,每个文件的访问路径遵循:
- lib/:插件目录,常用于存储自定义的facts以及自定义类型;
- spec/:类似于tests目录,存储lib/目录下插件的使用帮助和范例;
- tests/:当前模块的使用帮助或使用范例文件;
实例:定义一个redis主从模块
下面我们就来看一个实例来具体的了解应该如何定义一个模块:
1)我们先来创建对应的目录格式:
[root@master ~]# mkdir modules[root@master ~]# cd modoules/[root@master modules]# ls[root@master modules]# mkdir -pv redis/{manifests,files,templates,tests,lib,spec}mkdir: created directory ‘redis’mkdir: created directory ‘redis/manifests’mkdir: created directory ‘redis/files’mkdir: created directory ‘redis/templates’mkdir: created directory ‘redis/tests’mkdir: created directory ‘redis/lib’mkdir: created directory ‘redis/spec’
2)目录格式创建完成之后,我们就可以来创建对应的父类子类文件了。
首先,我们来创建父类文件:
[root@master modules]# cd redis/[root@master redis]# vim manifests/init.ppclass redis {package{'redis':ensure => installed,} ->service{'redis':ensure => running,enable => true,hasrestart => true,hasstatus => true,require => Package['redis'],}}
创建完成后,我们再来创建对应的子类文件:
[root@master redis]# vim manifests/master.ppclass redis::master inherits redis {file {'/etc/redis.conf':ensure => file,source => 'puppet:///modules/redis/redis-master.conf',owner => 'redis',group => 'root',mode => '0640',}Package['redis'] -> File['/etc/redis.conf'] ~> Service['redis']}[root@master redis]# vim manifests/slave.ppclass redis::slave($master_ip,$master_port='6379') inherits redis {file {'/etc/redis.conf':ensure => file,content => template('redis/redis-slave.conf.erb'),owner => 'redis',group => 'root',mode => '0640',}Package['redis'] -> File['/etc/redis.conf'] ~> Service['redis']}
3)准备文件:
现在我们需要把模板文件准备好,放入我们的templates目录下:
scp redis.conf.erb /root/modules/redis/templates/redis-slave.conf.erb
还有我们的静态文件,也要放入我们的files目录下:
scp redis.conf /root/modules/redis/files/redis-master.conf
4)查看目录结构,确定我们是否都已准备完成:
[root@master modules]# tree.└── redis├── files│ └── redis-master.conf├── lib├── manifests│ ├── init.pp│ ├── master.pp│ └── slave.pp├── spec├── templates│ └── redis-slave.conf.erb└── tests7 directories, 5 files
5)现在就可以把我们的准备好的模块放入系统的模块目录下:
[root@master mdoules]# cp -rp redis/ /etc/puppet/modules/
注意,模块是不能直接被调用的,只有放在/etc/puppet/modules下,或/usr/share/puppet/modules目录下,使其生效才可以被调用。
我们可以来查看一下我们的模块到底有哪些:
[root@master mdoules]# puppet module list/etc/puppet/modules└── redis (???)/usr/share/puppet/modules (no modules installed)
可以看出,我们的模块已经定义好了,现在我们就可以直接调用了。
6)调用模块
我们可以直接命令行传入参数来调用我们准备好的模块:
[root@master modules]# puppet apply -v --noop -e "class{'redis::slave': master_ip => '192.168.37.100'}" #如果有多个参数,直接以逗号隔开即可
也可以把我们的调用的类赋值在.pp文件中,然后运行该文件。
[root@master ~]# cd manifests/[root@master manifests]# vim redis2.ppclass{'redis::slave':master_ip => '192.168.37.100',}[root@master manifests]# puppet apply -e --noop redis2.pp
以上。实验完成。
注意,以上实验是我们在单机模式下进行的,如果是要在master/agent 模式下进行,步骤还会略有不同。
六、master/agent 模型
master/agent模型时通过主机名进行通信的,下面,就来看看 master-agent 模式的puppet运维自动化如何实现:
实现步骤
1、实现前准备
1)下载包
master 端:puppet.noarch,puppet-server.noarch
agent 端:puppet.noarch
puppet包查询
2)主机名解析
为了方便我们后期的操作,我们可以通过定义/etc/hosts文件实现主机名的解析。如果机器很多的话,可以使用DNS进行解析。
[root@master ~]# vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.37.111 master.keer.com192.168.37.122 server1.keer.com
注意,该操作需要在每一台主机上进行。
修改完成以后,我们可以来测试一下是否已经成功:
[root@master ~]# ping server1.keer.com
连通性测试
3)时间同步
[root@master ~]# systemctl start chronyd.service
所有机器上都开启chronyd.service服务来进行时间同步
开启过后可以查看一下状态:
[root@master ~]# systemctl status chronyd.service
时间同步状态
我们可以使用chronyc sources命令来查看时间源:
查看时间源
2、开启 master 端的 puppet 服务
1)手动前台开启,观察服务开启过程:
puppet master -v --no-daemonize #前台运行
整个过程都是自动完成的,其中,每一步的意思如下:
① 创建key 给CA
② 创建一个请求给CA
③ 自签名证书
④ CA 创建完成
⑤ 创建证书吊销列表
⑥ 为当前的master 主机签署证书
⑦ master 的证书签署完成
2)直接systemctl开启服务,监听在8140端口。
开启服务
3、在 agent 端开启服务
1)在配置文件中指明server端的主机名:
[root@server1 ~]# vim /etc/puppet/puppet.confserver = master.keer.com
agent端配置文件
接着,我们可以通过puppet config print命令来打印输出我们配置的参数:
[root@server1 ~]# puppet config print 显示配置文件中的配置参数[root@server1 ~]# puppet config print --section=main 显示main 段的配置参数[root@server1 ~]# puppet config print --section=agent 显示agent 段的配置参数[root@server1 ~]# puppet config print server 显示server 的配置参数
打印输出参数
2)开启 agent 服务
开启agent服务
我们可以发现,他会一直卡在这里等待CA颁发证书。
3)在 master 端签署证书
[root@master ~]# puppet cert list"server1.keer.com" (SHA256) B5:67:51:30:5C:FB:45:BA:7A:73:D5:C5:87:D4:E3:1C:D7:02:BE:DD:CC:7A:E2:F0:28:34:87:86:EF:E7:1D:E4[root@master ~]# puppet cert sign server1.keer.com #颁发证书Notice: Signed certificate request for server1.keer.comNotice: Removing file Puppet::SSL::CertificateRequest server1.keer.com at '/var/lib/puppet/ssl/ca/requests/server1.keer.com.pem'
master 端管理证书部署的命令语法如下: puppet cert [–all|-a] [] action: list 列出证书请求 sign 签署证书 revoke 吊销证书 clean 吊销指定的客户端的证书,并删除与其相关的所有文件;
注意:某agent证书手工吊销后重新生成一次;
On master host:
puppet cert revoke NODE_NAME
puppet cert clean NODE_NAME
On agent host:
重新生成的主机系统,直接启动agent;
变换私钥,建议先清理/var/lib/puppet/ssl/目录下的文件
4)终止服务开启,再次开启
[root@server1 ~]# puppet agent -v --noop --no-daemonize
开启agent端服务
可以看出我们的服务开启成功,但是由于master 端没有配置站点清单,所以没有什么动作。
4、配置站点清单,且测试agent 端是否实现
1)设置站点清单
① 查询站点清单应存放的目录,(可以修改,去配置文件修改)
[root@master ~]# puppet config print |grep manifest
查询配置文件的参数
[root@master ~]# cd /etc/puppet/manifests/[root@master manifests]# vim site.ppnode 'server1.along.com' {include redis::master}
分析:就是简单的调用模块,只有模块提前定义好就可以直接调用;我调用的是上边的redis 模块
2)给puppet 用户授权
因为agent 端要来master 端读取配置,身份是puppet
[root@master manifests]# chown -R puppet /etc/puppet/modules/redis/*
3)[root@server1 ~]# puppet agent -v —noop —no-daemonize 手动前台开启agent 端服务
enter description here
(4)直接开启服务,agent 会自动去master 端获取配置
[root@server1 ~]# systemctl start puppetagent 包已下载,服务也开启了
enter description here
实战
使用master-agent 模型完成完整的 redis 主从架构
1)环境准备
| 机器名称 | IP配置 | 服务角色 |
|---|---|---|
| puppet-master | 192.168.37.111 | puppet的master |
| puppet-server1-master-redis | 192.168.37.122 | puppet的agent,redis 的master |
| puppet-server2-slave-redis | 192.168.37.133 | puppet的agent,redis 的slave |
2)实验前准备
1)下载包
master 端:puppet.noarch,puppet-server.noarch
agent 端:puppet.noarch
puppet包查询
2)主机名解析
为了方便我们后期的操作,我们可以通过定义/etc/hosts文件实现主机名的解析。如果机器很多的话,可以使用DNS进行解析。
[root@master ~]# vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.37.111 master.keer.com192.168.37.122 server1.keer.com192.168.37.133 server2.keer.com
注意,该操作需要在每一台主机上进行。
修改完成以后,我们可以来测试一下是否已经成功:
[root@master ~]# ping server1.keer.com
连通性测试
3)时间同步
[root@master ~]# systemctl start chronyd.service
三台机器上都开启chronyd.service服务来进行时间同步
开启过后可以查看一下状态:
[root@master ~]# systemctl status chronyd.service
时间同步状态
我们可以使用chronyc sources命令来查看时间源:
查看时间源
3)开启puppet 的master、agent 服务
(1)开启服务
[root@master ~]# systemctl start puppetmaster[root@server1 ~]# systemctl start puppetagent[root@server2 ~]# systemctl start puppetagent
因为server2 是第一次连接,需master 端签署证书
(2)master 签署颁发证书
[root@master manifests]# puppet cert list[root@master ~]# puppet cert sign server2.keer.com
master 颁发证书
4)配置站点清单
[root@master manifests]# cd /etc/puppet/manifests[root@master manifests]# vim site.pp 直接调上边完成的模块node 'server1.keer.com' {include redis::master}node 'server2.keer.com' {class{'redis::slave':master_ip => 'server1.keer.com'}}
5)检测主从架构
[root@server2 ~]# vim /etc/redis.conf
检测主从架构
[root@server2 ~]# redis-cli -a keerya info Replication
enter description here
6)再添加个模块准备配置进站点清单
(1) 创建一个 chrony 模块,前准备
[root@master ~]# cd modules/ 进入模块工作目录[root@master modules]# mkdir chrony 创建chrony 的模块[root@master modules]# mkdir chrony/{manifests,files} -pv 创建模块结构
(2)配置chrony 模块
[root@master modules]# cd chrony/[root@master chrony]# cp /etc/chrony.conf files/[root@master puppet]# vim files/chrony.conf# test #用于测试实验结果
添加一行
[root@master chrony]# vim manifests/init.ppclass chrony {package{'chrony':ensure => installed} ->file{'/etc/chrony.conf':ensure => file,source => 'puppet:///modules/chrony.conf',owner => 'root',group => 'root',mode => '0644'} ~>service{'chronyd':ensure => running,enable => true,hasrestart => true,hasstatus => true}}
(3)puppet 添加这个模块,并生效
[root@master modules]# cp -rp chrony/ /etc/puppet/modules/[root@master modules]# puppet module list
查看puppet模块列表
7)再配置站点清单
[root@master ~]# cd /etc/puppet/manifests/[root@master manifests]# vim site.ppnode 'base' {include chrony}node 'server1.keer.com' inherits 'base' {include redis::master}node 'server2.keer.com' inherits 'base' {class{'redis::slave':master_ip => 'server1.keer.com'}}#node /cache[1-7]+\.keer\.com/ { #可以用正则匹配多个服务器使用模块# include varnish#}
8)测试
我们现在直接去server2机器上,查看我们的配置文件是否已经生效,是否是我们添加过一行的内容:
[root@server2 ~]# vim /etc/chrony.conf
server2上的内容
发现我们的实验成功。
https://www.cnblogs.com/keerya/
若有收获,就点个赞吧
0 人点赞
