天天看點
傳回

CentOS7:安裝Puppet

參考連結:https://www.bbsmax.com/A/RnJW2bMgzq/

環境說明:

192.168.154.137 master.localdomain #Puppet Server

192.168.154.138 agent1.localdomain #Puppet Agent

這裡的機器名稱不要有下劃線等特殊符合,否則後面會報“the scheme puppet does not accept registry part”這樣的錯誤資訊。

centos的官方軟體庫裡面不包含puppet包,但是在epel項目裡面有包含puppet包。epel 是一個對rhel軟體倉庫的擴充,把一些有用的,但是rhel庫沒包含的軟體收集在一起做成的一個軟體倉庫。

  1. $ yum install epel-release

1. 安裝Puppet Server

  1. $ hostnamectl set-hostname master.localdomain #設定機器名稱
  2. $ systemctl reboot #重新開機
  3. $ cat /etc/hosts
  4. 192.168.154.137 master.localdomain
  5. 192.168.154.138 agent1.localdomain
  6. $ yum install puppet-server #安裝Puppet Server
  7. # firewall-cmd --permanent --add-port=/tcp6 #修改防火牆,增加8140端口

2. 安裝Puppet Agent

  1. $ hostnamectl set-hostname agent1.localdomain #設定機器名稱
  2. $ systemctl reboot #重新開機
  3. $ cat /etc/hosts
  4. 192.168.154.137 master.localdomain
  5. $ yum install puppet #安裝Puppet Agent

3. 測試Puppet

建立測試檔案site.pp(Server端):

  1. $ cat /etc/puppet/manifests/site.pp
  2. node default {
  3. file { "/tmp/helloworld.txt" :
  4. content => "Hello World!",
  5. }
  6. }

啟動server,以no-daemonize方式,這樣可以在控制台看到操作資訊(Server端):

  1. $ puppet master --no-daemonize --debug
  2. ... ...
  3. Notice: Starting Puppet master version #啟動成功,會看到這樣的資訊

編輯用戶端puppet.conf,增加server配置項(Agent端):

  1. $ cat /etc/puppet/puppet.conf
  2. [agent]
  3. ... ...
  4. server = master.localdomain

啟動agent(Agent端,以root使用者):

  1. $ puppet agent --test
  2. Info: Creating a new SSL key for agent1.localdomain
  3. Info: Caching certificate for ca
  4. Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
  5. Info: Creating a new SSL certificate request for agent1.localdomain
  6. Info: Certificate Request fingerprint (SHA256): 1D:::3B:1F::8C:B5:::0F:FF:CC:4A:4F:8E:BA:B4:5F:7C:::::A2:0C:C0::D9:1D::9E
  7. Info: Caching certificate for ca
  8. Exiting; no certificate found and waitforcert is disabled

啟動後,agent向server申請證書,因為證書還沒有被server稽核,是以目前通信是不成功的。

回到server,通過puppet cert查詢證書:

  1. $ puppet cert list --all
  2. ::3B:1F::8C:B5:::0F:FF:CC:4A:4F:8E:BA:B4
  3. + :A1::::::A5:E5::2B:F6:::A8:D6:1F:9B

證書清單中有cs_agnet1的申請,目前是未稽核狀态(最前面沒有+)。稽核證書:

  1. $ puppet cert sign agent1.localdomain
  2. $ puppet cert list --all
  3. + :7F::A8:3C:B8:EF:B9:E2:AD:1D:5C:D7::B6::CF:
  4. + :A1::::::A5:E5::2B:F6:::A8:D6:1F:9B:

再次啟動agent:

  1. # puppet agent --test
  2. Info: Retrieving pluginfacts
  3. Info: Retrieving plugin
  4. Info: Caching catalog for agent1.localdomain
  5. Info: Applying configuration version '
  6. Notice: /Stage[main]/Main/Node[default]/File[/tmp/helloworld.txt]/ensure: defined content as '{md5}ed076287532e86365e841e92bfc50d8c'
  7. Notice: Finished catalog run in 0.02 seconds

這時候,檢視/tmp/helloworld.txt,該檔案就自動同步了。

在證書申請過程中,如果有問題,可以删除證書重新申請,一般都能解決問題。

  1. Agent:
  2. $ rm -rf /var/lib/puppet #删除緩存檔案
  3. Server:
  4. $ puppet cert clean agent1.localdomain

Q1. 服務端找不到證書?

在測試時,先啟動Server,再通過Agent測試,回到Server通過puppet cert list --all怎麼都找不到證書。

後來發現問題原因是這樣的:在Server端,puppet.conf使用的是預設配置:

  1. [main]
  2. # Where SSL certificates are kept.
  3. ssldir = $vardir/ssl

然後用admin帳号(不是root,另外建立的帳号)啟動Server:

  1. [[email protected] ~]$ sudo puppet master --no-daemonize --debug

這時候,Agent傳過來的證書申請實際上都存放在/home/admin/.puppet/ssl/目錄下。然後,我再開了另外一個SSH Client,用的是不同的root帳号,結果就是怎麼也找不到證書了。是以,在配置Server端時,ssldir最好這樣配置:

  1. ssldir = /var/lib/puppet/ssl

Q2. 自動稽核證書?

建立autosign.conf檔案:

  1. $ cat /etc/puppet/autosign.conf
  2. *.localdomain

修改Server配置:

  1. $ cat /etc/puppet/puppet.conf
  2. [master]
  3. autosign = /etc/puppet/autosign.conf

删除Server和Agent的過期證書:

  1. Server:
  2. $ puppet cert clean --all
  3. Agent:
  4. $ rm -rf /var/lib/puppet

OK,這樣就可以了。

Q3. 一個簡單的site.pp例子

  1. $ cat /etc/puppet/manifests/site.pp
  2. node default {
  3. file { '/tmp/hello.txt':
  4. content => 'Hello World!',
  5. }
  6. user { 'admin':
  7. ensure => 'present',
  8. comment => 'admin',
  9. gid => ',
  10. groups => ['wheel', 'admin'],
  11. home => '/home/admin',
  12. password => '$6$o.PFkMC14Xd2gOTk$atsNGzVmLFtQlvVr9imERjmw9n8vNr0quliqW6EdcZR6zyXFGfUv3EIbc9UZd3kJDIuxuMfyonVdm0OT5SJHM.',
  13. password_max_age => ',
  14. password_min_age => ',
  15. shell => '/bin/bash',
  16. uid => ',
  17. }
  18. package { 'epel-release':
  19. ensure => 'installed',
  20. }
  21. package { 'tcping':
  22. ensure => 'installed',
  23. }
  24. package { 'tree':
  25. ensure => 'installed',
  26. }
  27. package { 'net-tools':
  28. ensure => 'installed',
  29. }
  30. service { 'firewalld.service':
  31. ensure => 'stopped',
  32. enable => 'false',
  33. }
  34. exec { "selinux":
  35. command => "setenforce 0",
  36. path => "/usr/bin:/usr/sbin:/bin:/sbin",
  37. unless => "getenforce |grep -i Permissive",
  38. }
  39. }
puppet CentOS7 安裝
上一篇: 記一次 Centos7 搭建 Puppet 叢集
下一篇: 本地計算機如何使用代理伺服器,自動設定代理ip本地計算機如何使用代理伺服器

繼續閱讀