Marionnette - Guide rapide
Puppet est un outil de gestion de configuration développé par Puppet Labs afin d'automatiser la gestion et la configuration de l'infrastructure. Puppet est un outil très puissant qui aide dans le concept d'infrastructure en tant que code. Cet outil est écrit en langage Ruby DSL qui aide à convertir une infrastructure complète au format de code, qui peut être facilement gérée et configurée.
Puppet suit le modèle client-serveur, où une machine dans n'importe quel cluster agit en tant que serveur, connu sous le nom de Puppet Master et l'autre agit en tant que client connu comme esclave sur les nœuds. Puppet a la capacité de gérer n'importe quel système à partir de zéro, de la configuration initiale à la fin de vie d'une machine particulière.
Caractéristiques du système de marionnettes
Voici les caractéristiques les plus importantes de Puppet.
Idempotence
Puppet prend en charge l'Idempotency, ce qui le rend unique. Semblable à Chef, dans Puppet, on peut exécuter en toute sécurité le même ensemble de configuration plusieurs fois sur la même machine. Dans ce flux, Puppet vérifie l'état actuel de la machine cible et n'apportera des modifications qu'en cas de modification spécifique de la configuration.
L'idempotence aide à gérer une machine particulière tout au long de son cycle de vie à partir de la création de la machine, des changements de configuration de la machine, jusqu'à la fin de vie. La fonction Puppet Idempotency est très utile pour maintenir la machine à jour pendant des années plutôt que de reconstruire la même machine plusieurs fois, en cas de changement de configuration.
Multiplateforme
Dans Puppet, avec l'aide de Resource Abstraction Layer (RAL) qui utilise les ressources Puppet, on peut cibler la configuration spécifiée du système sans se soucier des détails d'implémentation et du fonctionnement de la commande de configuration à l'intérieur du système, qui sont définis dans la configuration sous-jacente fichier.
Marionnette - Flux de travail
Puppet utilise le flux de travail suivant pour appliquer la configuration sur le système.
Dans Puppet, la première chose que fait le maître Puppet est de collecter les détails de la machine cible. En utilisant le facteur présent sur tous les nœuds Puppet (similaire à Ohai dans Chef), il obtient tous les détails de configuration au niveau de la machine. Ces détails sont collectés et renvoyés au maître des marionnettes.
Ensuite, le maître marionnettiste compare la configuration récupérée avec les détails de configuration définis, et avec la configuration définie, il crée un catalogue et l'envoie aux agents Puppet ciblés.
L'agent Puppet applique ensuite ces configurations pour amener le système dans un état souhaité.
Enfin, une fois que le nœud cible est dans un état souhaité, il renvoie un rapport au maître Puppet, ce qui aide le maître Puppet à comprendre où se trouve l'état actuel du système, tel que défini dans le catalogue.
Puppet - Composants clés
Voici les composants clés de Puppet.
Ressources de marionnettes
Les ressources Puppet sont les composants clés pour modéliser une machine particulière. Ces ressources ont leur propre modèle d'implémentation. Puppet utilise le même modèle pour obtenir une ressource particulière dans l'état souhaité.
Fournisseurs
Les fournisseurs sont essentiellement des fournisseurs de toute ressource particulière utilisée dans Puppet. Par exemple, le type de package 'apt-get' et 'yum' sont tous deux valides pour la gestion des packages. Parfois, plusieurs fournisseurs seraient disponibles sur une plate-forme particulière. Bien que chaque plate-forme ait toujours un fournisseur par défaut.
Manifeste
Manifest est une collection de ressources qui sont couplées à l'intérieur de la fonction ou des classes pour configurer n'importe quel système cible. Ils contiennent un ensemble de code Ruby afin de configurer un système.
Modules
Le module est le bloc de construction clé de Puppet, qui peut être défini comme une collection de ressources, fichiers, modèles, etc. Ils peuvent être facilement distribués entre différents types d'OS étant définis qu'ils sont de la même saveur. Comme ils peuvent être facilement distribués, un module peut être utilisé plusieurs fois avec la même configuration.
Modèles
Les modèles utilisent des expressions Ruby pour définir le contenu personnalisé et l'entrée de variable. Ils sont utilisés pour développer du contenu personnalisé. Les modèles sont définis dans les manifestes et sont copiés vers un emplacement du système. Par exemple, si l'on veut définir httpd avec un port personnalisable, alors cela peut être fait en utilisant l'expression suivante.
Listen <% = @httpd_port %>
La variable httpd_port dans ce cas est définie dans le manifeste qui fait référence à ce modèle.
Fichiers statiques
Les fichiers statiques peuvent être définis comme un fichier général qui sont parfois nécessaires pour effectuer des tâches spécifiques. Ils peuvent être simplement copiés d'un endroit à un autre à l'aide de Puppet. Tous les fichiers statiques sont situés dans le répertoire des fichiers de n'importe quel module. Toute manipulation du fichier dans un manifeste est effectuée à l'aide de la ressource fichier.
Voici la représentation schématique de l'architecture Puppet.
Maître de la marionnette
Puppet Master est le mécanisme clé qui gère tous les éléments liés à la configuration. Il applique la configuration aux nœuds à l'aide de l'agent Puppet.
Agent de marionnettes
Les agents de marionnettes sont les machines de travail réelles qui sont gérées par le maître de marionnettes. Ils ont le service de démon de l'agent Puppet en cours d'exécution.
Référentiel de configuration
Il s'agit du dépôt où tous les nœuds et les configurations liées au serveur sont enregistrés et extraits lorsque cela est nécessaire.
Les faits
Factssont les détails liés au nœud ou à la machine maître, qui sont essentiellement utilisés pour analyser l'état actuel de n'importe quel nœud. Sur la base des faits, les modifications sont effectuées sur n'importe quelle machine cible. Il existe des faits prédéfinis et personnalisés dans Puppet.
Catalogue
Tous les fichiers manifestes ou la configuration écrits dans Puppet sont d'abord convertis dans un format compilé appelé catalogue, puis ces catalogues sont appliqués sur la machine cible.
Puppet fonctionne sur l'architecture client-serveur, dans laquelle nous appelons le serveur en tant que maître Puppet et le client en tant que nœud Puppet. Cette configuration est réalisée en installant Puppet à la fois sur le client et sur toutes les machines serveur.
Pour la plupart des plates-formes, Puppet peut être installé via le gestionnaire de paquets de votre choix. Cependant, pour quelques plates-formes, cela peut être fait en installant letarball ou RubyGems.
Conditions préalables
Le facteur est le seul pré-requis qui ne vient pas avec Ohai qui est présent dans Chef.
Bibliothèque de système d'exploitation standard
Nous avons besoin d'un ensemble standard de bibliothèques de tout système d'exploitation sous-jacent. Le reste du système est fourni avec les versions Ruby 1.8.2 +. Voici la liste des éléments de bibliothèque, dont un système d'exploitation doit être constitué.
- base64
- cgi
- digest/md5
- etc
- fileutils
- ipaddr
- openssl
- strscan
- syslog
- uri
- webrick
- webrick/https
- xmlrpc
Installation de Facter
Comme discuté, le facterne vient pas avec l'édition standard de Ruby. Ainsi, pour obtenir le facter dans le système cible, il faut l'installer manuellement à partir de la source car la bibliothèque de facter est un pré-requis de Puppet.
Ce package est disponible pour plusieurs plates-formes, mais pour être plus sûr, il peut être installé à l'aide de tarball, ce qui aide à obtenir la dernière version.
Tout d'abord, téléchargez le tarball depuis le site officiel de Puppet en utilisant le wget utilitaire.
$ wget http://puppetlabs.com/downloads/facter/facter-latest.tgz ------: 1
Ensuite, décompressez le fichier tar. Entrez dans le répertoire non taré à l'aide de la commande CD. Enfin, installez le facter en utilisantinstall.rb fichier présent dans le facter annuaire.
$ gzip -d -c facter-latest.tgz | tar xf - -----: 2
$ cd facter-* ------: 3 $ sudo ruby install.rb # or become root and run install.rb -----:4
Installer Puppet à partir de la source
Tout d'abord, installez l'archive tar de Puppet à partir du site Puppet en utilisant wget. Ensuite, extrayez l'archive tar vers un emplacement cible. Déplacez-vous dans le répertoire créé en utilisant leCDcommander. En utilisantinstall.rb fichier, installez Puppet sur le serveur sous-jacent.
# get the latest tarball
$ wget http://puppetlabs.com/downloads/puppet/puppet-latest.tgz -----: 1 # untar and install it $ gzip -d -c puppet-latest.tgz | tar xf - ----: 2
$ cd puppet-* ------: 3 $ sudo ruby install.rb # or become root and run install.rb -------: 4
Installer Puppet et Facter à l'aide de Ruby Gem
# Installing Facter
$ wget http://puppetlabs.com/downloads/gems/facter-1.5.7.gem $ sudo gem install facter-1.5.7.gem
# Installing Puppet
$ wget http://puppetlabs.com/downloads/gems/puppet-0.25.1.gem $ sudo gem install puppet-0.25.1.gem
Une fois que Puppet est installé sur le système, l'étape suivante consiste à le configurer pour effectuer certaines opérations initiales.
Ouvrir les ports de pare-feu sur les machines
Pour que le serveur Puppet gère le serveur du client de manière centralisée, il faut ouvrir un port spécifié sur toutes les machines, c'est-à-dire 8140peut être utilisé s'il n'est utilisé sur aucune des machines que nous essayons de configurer. Nous devons activer la communication TCP et UDP sur toutes les machines.
Fichier de configuration
Le fichier de configuration principal de Puppet est etc/puppet/puppet.conf. Tous les fichiers de configuration sont créés dans une configuration basée sur un package de Puppet. La plupart de la configuration requise pour configurer Puppet est conservée dans ces fichiers et une fois que l'exécution de Puppet a lieu, il récupère ces configurations automatiquement. Cependant, pour certaines tâches spécifiques telles que la configuration d'un serveur Web ou d'une autorité de certification externe (CA), Puppet a une configuration distincte pour les fichiers et les paramètres.
Les fichiers de configuration du serveur se trouvent dans conf.drépertoire qui est également connu sous le nom de Puppet master. Ces fichiers sont par défaut situés sous/etc/puppetlabs/puppetserver/conf.dchemin. Ces fichiers de configuration sont au format HOCON, ce qui conserve la structure de base de JSON mais il est plus lisible. Lorsque le démarrage de Puppet a lieu, il récupère tous les fichiers .cong du répertoire conf.d et les utilise pour apporter des modifications de configuration. Toute modification de ces fichiers n'a lieu qu'au redémarrage du serveur.
Fichier de liste et fichier de paramètres
- global.conf
- webserver.conf
- web-routes.conf
- puppetserver.conf
- auth.conf
- master.conf (obsolète)
- ca.conf (obsolète)
Il existe différents fichiers de configuration dans Puppet qui sont spécifiques à chaque composant de Puppet.
Puppet.conf
Le fichier Puppet.conf est le fichier de configuration principal de Puppet. Puppet utilise le même fichier de configuration pour configurer toutes les commandes et services Puppet requis. Tous les paramètres liés à Puppet tels que la définition du maître Puppet, de l'agent Puppet, de Puppet s'appliquent et les certificats sont définis dans ce fichier. Puppet peut les renvoyer selon les besoins.
Le fichier de configuration ressemble à un fichier ini standard dans lequel les paramètres peuvent aller dans la section d'application spécifique de la section principale.
Section de configuration principale
[main]
certname = Test1.vipin.com
server = TestingSrv
environment = production
runinterval = 1h
Fichier de configuration Puppet Master
[main]
certname = puppetmaster.vipin.com
server = MasterSrv
environment = production
runinterval = 1h
strict_variables = true
[master]
dns_alt_names = MasterSrv,brcleprod01.vipin.com,puppet,puppet.test.com
reports = puppetdb
storeconfigs_backend = puppetdb
storeconfigs = true
environment_timeout = unlimited
Aperçu détaillé
Dans la configuration Puppet, le fichier qui va être utilisé a plusieurs sections de configuration dans lesquelles chaque section a différents types de plusieurs nombres de paramètres.
Section de configuration
Le fichier de configuration Puppet se compose principalement des sections de configuration suivantes.
Main- Ceci est connu comme la section globale qui est utilisée par toutes les commandes et services de Puppet. On définit les valeurs par défaut dans la section principale qui peuvent être remplacées par n'importe quelle section présente dans le fichier puppet.conf.
Master - Cette section est référencée par le service Puppet master et la commande Puppet cert.
Agent - Cette section est référencée par le service d'agent Puppet.
User - Il est principalement utilisé par la commande Puppet apply ainsi que par la plupart des commandes les moins courantes.
[main]
certname = PuppetTestmaster1.example.com
Composants clés du fichier de configuration
Voici les composants clés du fichier de configuration.
Lignes de commentaire
Dans Puppet, toute ligne de commentaire commence par (#) signe. Cela peut être utile avec n'importe quelle quantité d'espace. Nous pouvons également avoir un commentaire partiel dans la même ligne.
# This is a comment.
Testing = true #this is also a comment in same line
Lignes de paramètres
La ligne de paramètres doit être composée de -
- N'importe quelle quantité d'espace de début (facultatif)
- Nom des paramètres
- Un signe égal = au signe, qui peut être entouré par n'importe quel nombre d'espace
- Une valeur pour le réglage
Définition des variables
Dans la plupart des cas, la valeur des paramètres sera un seul mot, mais dans certains cas particuliers, il existe peu de valeurs spéciales.
Les chemins
Dans les paramètres du fichier de configuration, prenez une liste de répertoires. Lors de la définition de ces répertoires, il faut garder à l'esprit qu'ils doivent être séparés par le caractère séparateur de chemin système, qui est (:) sur les plates-formes * nix et des points-virgules (;) sous Windows.
# *nix version:
environmentpath = $codedir/special_environments:$codedir/environments
# Windows version:
environmentpath = $codedir/environments;C:\ProgramData\PuppetLabs\code\environment
Dans la définition, le répertoire de fichiers qui est répertorié en premier est analysé, puis se déplace plus tard vers l'autre répertoire de la liste, s'il n'en trouve pas.
Fichiers et répertoires
Tous les paramètres qui prennent un seul fichier ou répertoire peuvent accepter un hachage facultatif d'autorisations. Lorsque le serveur démarre, Puppet applique ces fichiers ou répertoires dans la liste.
ssldir = $vardir/ssl {owner = service, mode = 0771}
Dans le code ci-dessus, le hachage autorisé est propriétaire, groupe et mode. Il n'y a que deux valeurs valides des clés de propriétaire et de groupe.
Dans Puppet, tous les environnements ont environment.conffichier. Ce fichier peut remplacer plusieurs paramètres par défaut chaque fois que le maître dessert l'un des nœuds ou tous les nœuds affectés à cet environnement particulier.
Emplacement
Dans Puppet, pour tous les environnements définis, le fichier environment.conf est situé au niveau supérieur de son environnement d'origine, tout à côté du manifeste et des directeurs des modules. Prenons un exemple, si votre environnement est dans les répertoires par défaut(Vipin/testing/environment), puis le fichier de configuration de l'environnement de test se trouve dans Vipin/testing/environments/test/environment.conf.
Exemple
# /etc/testingdir/code/environments/test/environment.conf
# Puppet Enterprise requires $basemodulepath; see note below under modulepath". modulepath = site:dist:modules:$basemodulepath
# Use our custom script to get a git commit for the current state of the code:
config_version = get_environment_commit.sh
Format
Tous les fichiers de configuration de Puppet utilisent le même format de type INI de la même manière. environment.confLe fichier suit le même format de type INI que d'autres, comme le fichier puppet.conf. La seule différence entre environment.conf etpuppet.confCe fichier environment.conf ne peut pas contenir la section [main]. Tous les paramètres du fichier environment.conf doivent être en dehors de toute section de configuration.
Chemin relatif dans les valeurs
La plupart des paramètres autorisés acceptent le chemin du fichier ou la liste des chemins comme valeur. Si l'un des chemins est un chemin pertinent, il commence sans barre oblique ni lettre de lecteur - ils seront principalement résolus par rapport au répertoire principal de cet environnement.
Interpolation dans les valeurs
Le fichier de paramètres Environment.conf est capable d'utiliser les valeurs d'autres paramètres comme variables. Il existe plusieurs variables utiles qui pourraient être interpolées dans le fichier environment.conf. Voici une liste de quelques variables importantes -
$basemodulepath- Utile pour inclure des répertoires dans les paramètres du chemin du module. L'utilisateur d'entreprise Puppet doit généralement inclure cette valeur demodulepath puisque le moteur Puppet utilise le module dans le basemodulepath.
$environment- Utile comme argument de ligne de commande pour votre script config_version. Vous ne pouvez interpoler cette variable que dans le paramètre config_version.
$codedir - Utile pour localiser les fichiers.
Paramètres autorisés
Par défaut, le fichier Puppet environment.conf ne peut remplacer que quatre paramètres de la configuration, comme indiqué.
- Modulepath
- Manifest
- Config_version
- Environment_timeout
Modulepath
C'est l'un des paramètres clés du fichier environment.conf. Tous les directeurs définis dans modulepath sont chargés par défaut par Puppet. Il s'agit de l'emplacement du chemin à partir duquel Puppet charge ses modules. Il faut explicitement configurer cela. Si ce paramètre ci-dessus n'est pas défini, le chemin d'accès par défaut de tout environnement dans Puppet sera -
<MODULES DIRECTORY FROM ENVIRONMENT>:$basemodulepath
Manifeste
Ceci est utilisé pour définir le fichier manifeste principal, que Puppet Master utilisera lors du démarrage et de la compilation du catalogue à partir du manifeste défini qui sera utilisé pour configurer l'environnement. En cela, nous pouvons définir un seul fichier, une liste de fichiers ou même un répertoire composé de plusieurs fichiers manifestes qui doivent être évalués et compilés dans une séquence alphabétique définie.
Il faut définir explicitement ce paramètre dans le fichier environment.conf. Sinon, Puppet utilisera le répertoire du manifeste par défaut de l'environnement comme manifeste principal.
Config_version
Config_version peut être défini comme une version définie utilisée pour identifier les catalogues et les événements. Lorsque Puppet compile un fichier manifeste par défaut, il ajoute une version de configuration aux catalogues générés ainsi qu'aux rapports qui sont générés lorsque le maître Puppet applique un catalogue défini sur les nœuds Puppet. Puppet exécute un script pour effectuer toutes les étapes ci-dessus et utilise toute la sortie générée comme Config_version.
Délai d'expiration de l'environnement
Il est utilisé pour obtenir des détails sur le temps que Puppet doit utiliser pour charger les données pour un environnement donné. Si la valeur est définie dans le fichier puppet.conf, ces valeurs remplaceront la valeur de délai par défaut.
Exemple de fichier environment.conf
[master]
manifest = $confdir/environments/$environment/manifests/site.pp
modulepath = $confdir/environments/$environment/modules
Dans le code ci-dessus $confdir est le chemin du répertoire dans lequel se trouvent les fichiers de configuration d'environnement. $environment est le nom de l'environnement pour lequel la configuration est effectuée.
Fichier de configuration de l'environnement prêt pour la production
# The environment configuration file
# The main manifest directory or file where Puppet starts to evaluate code
# This is the default value. Works with just a site.pp file or any other
manifest = manifests/
# The directories added to the module path, looked in first match first used order:
# modules - Directory for external modules, populated by r10k based on Puppetfile
# $basemodulepath - As from: puppet config print basemodulepath modulepath = site:modules:$basemodulepath
# Set the cache timeout for this environment.
# This overrides what is set directly in puppet.conf for the whole Puppet server
# environment_timeout = unlimited
# With caching you need to flush the cache whenever new Puppet code is deployed
# This can also be done manually running: bin/puppet_flush_environment_cache.sh
# To disable catalog caching:
environment_timeout = 0
# Here we pass to one in the control repo the Puppet environment (and git branch)
# to get title and essential info of the last git commit
config_version = 'bin/config_script.sh $environment'
Dans Puppet, l'architecture client-serveur de Puppet master est considérée comme l'autorité de contrôle de l'ensemble de l'installation. Puppet master agit en tant que serveur dans la configuration et contrôle toutes les activités sur tous les nœuds.
Pour tout serveur devant jouer le rôle de maître Puppet, le logiciel serveur Puppet doit être en cours d'exécution. Ce logiciel serveur est le composant clé du contrôle de toutes les activités sur les nœuds. Dans cette configuration, un point clé à retenir est d'avoir un accès super utilisateur à toutes les machines que l'on va utiliser dans la configuration. Voici les étapes pour configurer Puppet Master.
Conditions préalables
Private Network DNS- L'avant et l'arrière doivent être configurés, chaque serveur devant avoir un nom d'hôte unique. Si l'on n'a pas configuré le DNS, alors on peut utiliser un réseau privé pour communiquer avec l'infrastructure.
Firewall Open Port- Puppet master doit être ouvert sur un port particulier afin de pouvoir écouter les requêtes entrantes sur un port particulier. Nous pouvons utiliser n'importe quel port ouvert sur le pare-feu.
Création d'un serveur maître Puppet
Le maître de marionnettes que nous créons sera sur une machine CentOS 7 × 64 en utilisant Puppet comme nom d'hôte. La configuration minimale du système pour la création du Puppet Master est de deux cœurs de processeur et de 1 Go de mémoire. La configuration peut également avoir une taille plus grande en fonction du nombre de nœuds que nous allons gérer avec ce maître. Dans l'infrastructure, est plus grand qu'il n'est configuré en utilisant 2 Go de RAM.
Nom d'hôte | Rôle | FQDN privé |
---|---|---|
Brcleprod001 | Maître de la marionnette | bnrcleprod001.brcl.com |
Ensuite, il faut générer le certificat SSL Puppet master et le nom de la machine master sera copié dans le fichier de configuration de tous les nœuds.
Installation de NTP
Étant donné que Puppet Master est l'autorité centrale pour les nœuds d'agent dans toute configuration donnée, l'une des principales responsabilités du maître Puppet est de maintenir une heure système précise pour éviter les problèmes de configuration potentiels, qui peuvent survenir lorsqu'il émet des certificats d'agent aux nœuds.
Si le problème de conflit de temps survient, les certificats peuvent apparaître expirés en cas de divergence de temps entre le maître et le nœud. Le protocole de temps réseau est l'un des mécanismes clés pour éviter ce genre de problèmes.
Liste des fuseaux horaires disponibles
$ timedatectl list-timezones
La commande ci-dessus fournira une liste complète des fuseaux horaires disponibles. Il fournira aux régions la disponibilité du fuseau horaire.
La commande suivante peut être utilisée pour définir le fuseau horaire requis sur la machine.
$ sudo timedatectl set-timezone India/Delhi
Installez NTP sur la machine serveur Puppet à l'aide de l'utilitaire yum de la machine CentOS.
$ sudo yum -y install ntp
Synchronisez NTP avec l'heure système que nous avons définie dans les commandes ci-dessus.
$ sudo ntpdate pool.ntp.org
Dans la pratique courante, nous mettrons à jour la configuration NTP pour utiliser des pools communs qui sont disponibles plus près des centres de données de la machine. Pour cela, nous devons éditer le fichier ntp.conf sous/etc.
$ sudo vi /etc/ntp.conf
Ajoutez le serveur de temps à partir des fuseaux horaires disponibles du pool NTP. Voici à quoi ressemble le fichier ntp.conf.
brcleprod001.brcl.pool.ntp.org
brcleprod002.brcl.pool.ntp.org
brcleprod003.brcl.pool.ntp.org
brcleprod004.brcl.pool.ntp.org
Enregistrez la configuration. Démarrez le serveur et activez le démon.
$ sudo systemctl restart ntpd $ sudo systemctl enable ntpd
Configuration du logiciel Puppet Server
Le logiciel serveur Puppet est un logiciel qui s'exécute sur la machine maître Puppet. C'est la machine qui pousse les configurations vers d'autres machines exécutant le logiciel de l'agent Puppet.
Activez le référentiel de collecte officiel de Puppet Labs à l'aide de la commande suivante.
$ sudo rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el7.noarch.rpm
Installez le package puppetserver.
$ sudo yum -y install puppetserver
Configurer l'allocation de mémoire sur le serveur Puppet
Comme nous l'avons vu, par défaut, le serveur Puppet est configuré sur une machine de 2 Go de RAM. On peut personnaliser la configuration en fonction de la mémoire libre disponible sur la machine et du nombre de nœuds que le serveur gérera.
Modifier la configuration du serveur de marionnettes en mode vi
$ sudo vi /etc/sysconfig/puppetserver
Find the JAVA_ARGS and use the –Xms and –Xms options to set the memory allocation.
We will allocate 3GB of space
JAVA_ARGS="-Xms3g -Xmx3g"
Une fois terminé, enregistrez et quittez le mode d'édition.
Une fois que toute la configuration ci-dessus est terminée, nous sommes prêts à démarrer le serveur Puppet sur la machine maître avec la commande suivante.
$ sudo systemctl start puppetserver
Ensuite, nous ferons la configuration pour que le serveur de marionnettes démarre chaque fois que le serveur maître démarre.
$ sudo systemctl enable puppetserver
Section maître Puppet.conf
[master]
autosign = $confdir/autosign.conf { mode = 664 }
reports = foreman
external_nodes = /etc/puppet/node.rb
node_terminus = exec
ca = true
ssldir = /var/lib/puppet/ssl
certname = sat6.example.com
strict_variables = false
manifest =
/etc/puppet/environments/$environment/manifests/site.pp modulepath = /etc/puppet/environments/$environment/modules
config_version =
L'agent Puppet est une application logicielle, fournie par Puppet Labs, qui s'exécute sur n'importe quel nœud du cluster Puppet. Si l'on souhaite gérer un serveur à l'aide du maître Puppet, le logiciel de l'agent Puppet doit être installé sur ce serveur particulier. En général, l'agent Puppet sera installé sur toutes les machines à l'exception de la machine maître Puppet sur une infrastructure donnée. Le logiciel de l'agent Puppet peut s'exécuter sur la plupart des machines Linux, UNIX et Windows. Dans les exemples suivants, nous utilisons le logiciel de l'agent Puppet d'installation de la machine CentOS.
Step 1 - Activez le référentiel officiel de la collection Puppet Labs avec la commande suivante.
$ sudo rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el7.noarch.rpm
Step 2 - Installez le package de l'agent Puppet.
$ sudo yum -y install puppet-agent
Step 3 - Une fois l'agent Puppet installé, activez-le avec la commande suivante.
$ sudo /opt/puppetlabs/bin/puppet resource service puppet ensure=running enable = true
Une caractéristique clé de l'agent Puppet est que, pour la première fois, lorsque l'agent Puppet démarre, il génère un certificat SSL et l'envoie au maître Puppet qui va le gérer pour signature et approbation. Une fois que le maître Puppet a approuvé la demande de signature de certificat de l'agent, il sera en mesure de communiquer et de gérer le nœud de l'agent.
Note - Il faut répéter les étapes ci-dessus sur tous les nœuds qui doivent être configurés et gérés pour un maître Puppet donné.
Lorsque le logiciel de l'agent Puppet s'exécute pour la première fois sur un nœud Puppet, il génère un certificat et envoie la demande de signature de certificat au maître Puppet. Avant que le serveur Puppet ne puisse communiquer et contrôler les nœuds d'agent, il doit signer le certificat de ce nœud d'agent particulier. Dans les sections suivantes, nous décrirons comment signer et vérifier la demande de signature.
Répertorier les demandes de certificat actuelles
Sur le maître Puppet, exécutez la commande suivante pour voir toutes les demandes de certificat non signées.
$ sudo /opt/puppetlabs/bin/puppet cert list
Comme nous venons de configurer un nouveau nœud d'agent, nous verrons une demande d'approbation. Voici leoutput.
"Brcleprod004.brcl.com" (SHA259)
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d
Il ne contient aucun signe + (signe) au début, ce qui indique que le certificat n'est toujours pas signé.
Signer une demande
Afin de signer la nouvelle demande de certificat qui a été générée lorsque l'exécution de l'agent Puppet a eu lieu sur le nouveau nœud, la commande Puppet cert sign serait utilisée, avec le nom d'hôte du certificat, qui a été généré par le nœud nouvellement configuré qui a besoin à signer. Comme nous avons le certificat de Brcleprod004.brcl.com, nous utiliserons la commande suivante.
$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com
Voici le output.
Notice: Signed certificate request for Brcle004.brcl.com
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'
Le serveur de marionnettes peut désormais communiquer avec le nœud auquel appartient le certificat de signature.
$ sudo /opt/puppetlabs/bin/puppet cert sign --all
Révocation de l'hôte de la configuration de la marionnette
Il y a des conditions sur la configuration de la reconstruction du noyau quand il faut supprimer l'hôte de l'installation et l'ajouter à nouveau. Ce sont ces conditions qui ne peuvent pas être gérées par la marionnette elle-même. Cela peut être fait en utilisant la commande suivante.
$ sudo /opt/puppetlabs/bin/puppet cert clean hostname
Affichage de toutes les demandes signées
La commande suivante générera une liste de certificats signés avec + (signe) qui indique que la demande est approuvée.
$ sudo /opt/puppetlabs/bin/puppet cert list --all
La suite sera sa output.
+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")
+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A
+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3
Une fois que ce qui précède est fait, nous avons notre infrastructure prête dans laquelle le maître Puppet est maintenant capable de gérer les nœuds nouvellement ajoutés.
Dans Puppet, nous avons un outil de gestion de code appelé r10k qui aide à gérer les configurations d'environnement liées à différents types d'environnements que nous pouvons configurer dans Puppet, tels que le développement, les tests et la production. Cela aide à stocker la configuration liée à l'environnement dans le référentiel de code source. En utilisant les branches du référentiel de contrôle de source, r10k crée des environnements sur la machine maître Puppet installe et met à jour l'environnement à l'aide des modules présents dans le référentiel.
Le fichier Gem peut être utilisé pour installer r10k sur n'importe quelle machine, mais pour la modularité et afin d'obtenir la dernière version, nous utiliserons le gestionnaire de packages rpm et rpm. Voici un exemple pour le même.
$ urlgrabber -o /etc/yum.repos.d/timhughes-r10k-epel-6.repo
https://copr.fedoraproject.org/coprs/timhughes/yum -y install rubygem-r10k
Configurer l'environnement dans /etc/puppet/puppet.conf
[main]
environmentpath = $confdir/environments
Créer un fichier de configuration pour r10k Config
cat <<EOF >/etc/r10k.yaml
# The location to use for storing cached Git repos
:cachedir: '/var/cache/r10k'
# A list of git repositories to create
:sources:
# This will clone the git repository and instantiate an environment per
# branch in /etc/puppet/environments
:opstree:
#remote: 'https://github.com/fullstack-puppet/fullstackpuppet-environment.git'
remote: '/var/lib/git/fullstackpuppet-environment.git'
basedir: '/etc/puppet/environments'
EOF
Installation du manifeste et du module Puppet
r10k deploy environment -pv
Comme nous devons continuer à mettre à jour l'environnement toutes les 15 minutes, nous allons créer un travail cron pour le même.
cat << EOF > /etc/cron.d/r10k.conf
SHELL = /bin/bash
PATH = /sbin:/bin:/usr/sbin:/usr/bin
H/15 * * * * root r10k deploy environment -p
EOF
Tester l'installation
Afin de tester si tout fonctionne comme accepté, il faut compiler le manifeste Puppet pour le module Puppet. Exécutez la commande suivante et obtenez une sortie YAML comme résultat.
curl --cert /etc/puppet/ssl/certs/puppet.corp.guest.pem \
--key /etc/puppet/ssl/private_keys/puppet.corp.guest.pem \
--cacert /etc/puppet/ssl/ca/ca_crt.pem \
-H 'Accept: yaml' \
https://puppet.corp.guest:8140/production/catalog/puppet.corp.guest
Dans Puppet, la configuration peut être testée localement. Par conséquent, une fois que nous avons configuré le maître et le nœud Puppet, il est temps de valider la configuration localement. Nous devons avoir Vagrant et Vagrant Box installés localement, ce qui aide à tester la configuration localement.
Configuration de la machine virtuelle
Comme nous testons la configuration localement, nous n'avons pas besoin d'un maître Puppet en cours d'exécution. Cela signifie que sans exécuter réellement le maître Puppet sur le serveur, nous pouvons simplement utiliser Puppet pour appliquer la commande pour la validation de la configuration de Puppet. La commande Puppet Apply appliquera les modifications delocal/etc/puppet en fonction du nom d'hôte de la machine virtuelle dans le fichier de configuration.
La première étape que nous devons effectuer pour tester la configuration est de construire ce qui suit Vagrantfile et démarrer une machine et monter le /etc/puppetdossier en place. Tous les fichiers nécessaires seront placés dans le système de contrôle de version avec la structure suivante.
Structure du répertoire
- manifests
\- site.pp
- modules
\- your modules
- test
\- update-puppet.sh
\- Vagrantfile
- puppet.conf
Fichier Vagrant
# -*- mode: ruby -*-
# vi: set ft = ruby :
Vagrant.configure("2") do |config|
config.vm.box = "precise32"
config.vm.box_url = "http://files.vagrantup.com/precise64.box"
config.vm.provider :virtualbox do |vb|
vb.customize ["modifyvm", :id, "--memory", 1028, "--cpus", 2]
end
# Mount our repo onto /etc/puppet
config.vm.synced_folder "../", "/etc/puppet"
# Run our Puppet shell script
config.vm.provision "shell" do |s|
s.path = "update-puppet.sh"
end
config.vm.hostname = "localdev.example.com"
end
Dans le code ci-dessus, nous avons utilisé le fournisseur Shell dans lequel nous essayons d'exécuter un script Shell nommé update-puppet.sh. Le script est présent dans le même répertoire où se trouve le fichier Vagrant et le contenu du script est répertorié ci-dessous.
!/bin/bash
echo "Puppet version is $(puppet --version)" if [ $( puppet --version) != "3.4.1" ]; then
echo "Updating puppet"
apt-get install --yes lsb-release
DISTRIB_CODENAME = $(lsb_release --codename --short) DEB = "puppetlabs-release-${DISTRIB_CODENAME}.deb"
DEB_PROVIDES="/etc/apt/sources.list.d/puppetlabs.list"
if [ ! -e $DEB_PROVIDES ] then wget -q http://apt.puppetlabs.com/$DEB
sudo dpkg -i $DEB
fi
sudo apt-get update
sudo apt-get install -o Dpkg::Options:: = "--force-confold"
--force-yes -y puppet
else
echo "Puppet is up to date!"
fi
Traitement ultérieur, l'utilisateur doit créer un fichier manifeste dans le répertoire Manifests avec le nom site.pp qui installera certains logiciels sur VM.
node 'brclelocal03.brcl.com' {
package { ['vim','git'] :
ensure => latest
}
}
echo "Running puppet"
sudo puppet apply /etc/puppet/manifests/site.pp
Une fois que l'utilisateur a prêt le script ci-dessus avec la configuration de fichier Vagrant requise, l'utilisateur peut accéder au répertoire de test et exécuter le vagrant up command. Cela démarrera une nouvelle VM, plus tard, installera Puppet, puis l'exécutera à l'aide du script Shell.
Voici la sortie.
Notice: Compiled catalog for localdev.example.com in environment production in 0.09 seconds
Notice: /Stage[main]/Main/Node[brclelocal03.brcl.com]/Package[git]/ensure: created
Notice: /Stage[main]/Main/Node[brcllocal03.brcl.com]/Package[vim]/ensure: ensure changed 'purged' to 'latest'
Validation de la configuration de plusieurs machines
Si nous devons tester la configuration de plusieurs machines localement, cela peut être simplement fait en modifiant le fichier de configuration Vagrant.
Nouveau fichier Vagrant configuré
config.vm.define "brclelocal003" do |brclelocal003|
brclelocal03.vm.hostname = "brclelocal003.brcl.com"
end
config.vm.define "production" do |production|
production.vm.hostname = "brcleprod004.brcl.com"
end
Supposons que nous ayons un nouveau serveur de production, qui nécessite l'installation de l'utilitaire SSL. Nous avons juste besoin d'étendre l'ancien manifeste avec la configuration suivante.
node 'brcleprod004.brcl.com' inherits 'brcleloacl003.brcl.com' {
package { ['SSL'] :
ensure => latest
}
}
Après avoir apporté des modifications de configuration dans le fichier manifeste, il suffit de passer au répertoire de test et d'exécuter la commande de base vagrant up qui affichera les deux brclelocal003.brcl.com et brcleprod004.brcl.commachine. Dans notre cas, nous essayons de mettre en place une machine de production, ce qui pourrait être fait en exécutant levagrant up production command. Le créera une nouvelle machine avec le nom de production tel que défini dans le fichier Vagrant et le package SSL sera installé.
Dans Puppet, le style de codage définit toutes les normes à suivre en essayant de convertir l'infrastructure sur la configuration de la machine en un code. Puppet fonctionne et exécute toutes ses tâches définies en utilisant des ressources.
La définition du langage de Puppet aide à spécifier toutes les ressources de manière structurée, ce qui est nécessaire pour gérer toute machine cible qui doit être gérée. Puppet utilise Ruby comme langage d'encodage, qui possède plusieurs fonctionnalités intégrées qui permettent de faire très facilement les choses avec une configuration simple côté code.
Unités fondamentales
Puppet utilise plusieurs styles de codage fondamentaux qui sont faciles à comprendre et à gérer. Voici une liste de quelques-uns.
Ressources
Dans Puppet, les ressources sont appelées unités de modélisation fondamentales utilisées pour gérer ou modifier n'importe quel système cible. Les ressources couvrent tous les aspects d'un système tels que les fichiers, les services et les packages. Puppet est livré avec une capacité intégrée dans laquelle il permet aux utilisateurs ou aux développeurs de développer des ressources personnalisées, qui aident à gérer toute unité particulière d'une machine
Dans Puppet, toutes les ressources sont agrégées soit en utilisant “define” ou “classes”. Ces fonctionnalités d'agrégation aident à organiser un module. Voici un exemple de ressource qui se compose de plusieurs types, un titre et une liste d'attributs avec lesquels Puppet peut prendre en charge plusieurs attributs. Chaque ressource de Puppet a sa propre valeur par défaut, qui peut être remplacée si nécessaire.
Exemple de ressource Puppet pour fichier
Dans la commande suivante, nous essayons de spécifier une autorisation pour un fichier particulier.
file {
'/etc/passwd':
owner => superuser,
group => superuser,
mode => 644,
}
Chaque fois que la commande ci-dessus est exécutée sur n'importe quelle machine, elle vérifie que le fichier passwd dans le système est configuré comme décrit. Le fichier avant: deux points est le titre de la ressource, qui peut être appelé ressource dans d'autres parties de la configuration de Puppet.
Spécification du nom local en plus du titre
file { 'sshdconfig':
name => $operaSystem ? {
solaris => '/usr/local/etc/ssh/sshd_config',
default => '/etc/ssh/sshd_config',
},
owner => superuser,
group => superuser,
mode => 644,
}
En utilisant le titre, qui est toujours le même, il est très facile de référencer la ressource de fichier dans la configuration sans avoir à répéter la logique liée au système d'exploitation.
Un autre exemple pourrait être l'utilisation d'un service qui dépend d'un fichier.
service { 'sshd':
subscribe => File[sshdconfig],
}
Avec cette dépendance, le sshd le service redémarrera toujours une fois sshdconfigchangements de fichiers. Le point à retenir ici estFile[sshdconfig] est une déclaration en tant que fichier comme en minuscules mais si nous la modifions en FILE[sshdconfig] alors ça aurait été une référence.
Un point fondamental qu'il faut garder à l'esprit lors de la déclaration d'une ressource est qu'elle ne peut être déclarée qu'une seule fois par fichier de configuration. Répéter la déclaration de la même ressource plus d'une fois provoquera une erreur. Grâce à ce concept fondamental, Puppet s'assure que la configuration est bien modélisée.
Nous avons même la capacité de gérer la dépendance aux ressources, ce qui aide à gérer plusieurs relations.
service { 'sshd':
require => File['sshdconfig', 'sshconfig', 'authorized_keys']
}
Métaparamètres
Les métaparamètres sont appelés paramètres globaux dans Puppet. L'une des principales caractéristiques du métaparamètre est qu'il fonctionne avec tout type de ressource dans Puppet.
Valeur par défaut de la ressource
Quand on a besoin de définir une valeur d'attribut de ressource par défaut, Puppet fournit un ensemble de syntaxe pour l'archiver, en utilisant une spécification de ressource en majuscule qui n'a pas de titre.
Par exemple, si nous voulons définir le chemin par défaut de tous les exécutables, cela peut être fait avec la commande suivante.
Exec { path => '/usr/bin:/bin:/usr/sbin:/sbin' }
exec { 'echo Testing mataparamaters.': }
Dans la commande ci-dessus, la première instruction Exec définira la valeur par défaut de la ressource exec. La ressource Exec nécessite un chemin complet ou un chemin qui ressemble à un exécutable. Avec cela, on peut définir un seul chemin par défaut pour toute la configuration. Les valeurs par défaut fonctionnent avec n'importe quel type de ressource dans Puppet.
Les valeurs par défaut ne sont pas des valeurs globales, cependant, elles n'affectent que la portée dans laquelle elles sont définies ou la variable suivante. Si l'on veut définirdefault pour une configuration complète, nous définissons le default et la classe dans la section suivante.
Collections de ressources
L'agrégation est une méthode pour rassembler des choses. Puppet prend en charge un concept d'agrégation très puissant. Dans Puppet, l'agrégation est utilisée pour regrouper la ressource qui est l'unité fondamentale de Puppet. Ce concept d'agrégation dans Puppet est réalisé en utilisant deux méthodes puissantes appeléesclasses et definition.
Classes et définition
Les classes sont responsables de la modélisation des aspects fondamentaux du nœud. Ils peuvent dire que le nœud est un serveur Web et que ce nœud particulier est l'un d'entre eux. Dans Puppet, les classes de programmation sont uniques et peuvent être évaluées une fois par nœud.
La définition d'autre part peut être utilisée plusieurs fois sur un seul nœud. Ils fonctionnent de la même manière que l'on a créé son propre type de marionnette en utilisant la langue. Ils sont créés pour être utilisés plusieurs fois avec des entrées différentes à chaque fois. Cela signifie que l'on peut passer des valeurs de variable dans la définition.
Différence entre classe et définition
La seule différence clé entre une classe et une définition est que lors de la définition de la structure du bâtiment et de l'allocation des ressources, la classe n'est évaluée qu'une seule fois par nœud, dans lequel, d'autre part, une définition est utilisée plusieurs fois sur le même nœud unique.
Des classes
Les classes dans Puppet sont introduites à l'aide du mot clé class et le contenu de cette classe particulière est enveloppé entre accolades, comme illustré dans l'exemple suivant.
class unix {
file {
'/etc/passwd':
owner => 'superuser',
group => 'superuser',
mode => 644;
'/etc/shadow':
owner => 'vipin',
group => 'vipin',
mode => 440;
}
}
Dans l'exemple suivant, nous avons utilisé une main courte similaire à celle ci-dessus.
class unix {
file {
'/etc/passwd':
owner => 'superuser',
group => 'superuser',
mode => 644;
}
file {'/etc/shadow':
owner => 'vipin',
group => 'vipin',
mode => 440;
}
}
Héritage dans les classes de marionnettes
Dans Puppet, le concept d'héritage de la POO est pris en charge par défaut dans lequel les classes peuvent étendre les fonctionnalités du précédent sans copier et coller à nouveau le bit de code complet dans la classe nouvellement créée. L'héritage permet à la sous-classe de remplacer les paramètres de ressource définis dans la classe parent. Une chose clé à garder à l'esprit lors de l'utilisation de l'héritage est qu'une classe ne peut hériter des fonctionnalités que d'une seule classe parente, pas plus d'une.
class superclass inherits testsubclass {
File['/etc/passwd'] { group => wheel }
File['/etc/shadow'] { group => wheel }
}
S'il est nécessaire d'annuler une logique spécifiée dans une classe parente, nous pouvons utiliser undef command.
class superclass inherits testsubcalss {
File['/etc/passwd'] { group => undef }
}
Autre manière d'utiliser l'héritage
class tomcat {
service { 'tomcat': require => Package['httpd'] }
}
class open-ssl inherits tomcat {
Service[tomcat] { require +> File['tomcat.pem'] }
}
Classe imbriquée dans la marionnette
Puppet prend en charge le concept d'imbrication des classes dans lequel il permet d'utiliser des classes imbriquées ce qui signifie une classe dans l'autre. Cela aide à atteindre la modularité et la portée.
class testclass {
class nested {
file {
'/etc/passwd':
owner => 'superuser',
group => 'superuser',
mode => 644;
}
}
}
class anotherclass {
include myclass::nested
}
Classes paramétrées
Dans Puppet, les classes peuvent étendre leurs fonctionnalités pour permettre le passage de paramètres dans une classe.
Pour passer un paramètre dans une classe, on peut utiliser la construction suivante -
class tomcat($version) {
... class contents ...
}
Un point clé à retenir dans Puppet est que les classes avec des paramètres ne sont pas ajoutées à l'aide de la fonction include, mais la classe résultante peut être ajoutée en tant que définition.
node webserver {
class { tomcat: version => "1.2.12" }
}
Valeurs par défaut en tant que paramètres dans la classe
class tomcat($version = "1.2.12",$home = "/var/www") {
... class contents ...
}
Étapes d'exécution
Puppet prend en charge le concept d'étape d'exécution, ce qui signifie que l'utilisateur peut ajouter plusieurs étapes selon l'exigence afin de gérer une ressource particulière ou plusieurs ressources. Cette fonctionnalité est très utile lorsque l'utilisateur souhaite développer un catalogue complexe. Dans un catalogue complexe, on a un grand nombre de ressources qui doivent être compilées tout en gardant à l'esprit que les dépendances entre les ressources définies ne doivent pas être affectées.
Run Stage est très utile pour gérer les dépendances des ressources. Cela peut être fait en ajoutant des classes dans des étapes définies dans lesquelles une classe particulière contient une collection de ressources. Avec l'étape d'exécution, Puppet garantit que les étapes définies s'exécuteront dans un ordre prévisible spécifié à chaque fois que le catalogue s'exécute et est appliqué sur n'importe quel nœud Puppet.
Pour l'utiliser, il faut déclarer des étapes supplémentaires au-delà des étapes déjà présentes, puis Puppet peut être configuré pour gérer chaque étape dans un ordre spécifié en utilisant la même syntaxe de relation de ressources avant d'exiger “->” et “+>”. La relation garantira alors l'ordre des classes associées à chaque étape.
Déclaration d'étapes supplémentaires avec la syntaxe déclarative Puppet
stage { "first": before => Stage[main] }
stage { "last": require => Stage[main] }
Une fois les étapes déclarées, une classe peut être associée à la scène autre que la principale utilisant la scène.
class {
"apt-keys": stage => first;
"sendmail": stage => main;
"apache": stage => last;
}
Toutes les ressources associées à la classe apt-key s'exécuteront en premier. Toutes les ressources de Sendmail seront la classe principale et les ressources associées à Apache seront la dernière étape.
Définitions
Dans Puppet, la collecte des ressources dans n'importe quel fichier manifeste est effectuée par classes ou définitions. Les définitions sont très similaires à une classe dans Puppet, mais elles sont introduites avec undefine keyword (not class)et ils soutiennent l'argument pas l'héritage. Ils peuvent fonctionner plusieurs fois sur le même système avec des paramètres différents.
Par exemple, si l'on veut créer une définition qui contrôle les référentiels de code source où l'on essaie de créer plusieurs référentiels sur le même système, alors on peut utiliser la définition et non la classe.
define perforce_repo($path) {
exec {
"/usr/bin/svnadmin create $path/$title":
unless => "/bin/test -d $path",
}
}
svn_repo { puppet_repo: path => '/var/svn_puppet' }
svn_repo { other_repo: path => '/var/svn_other' }
Le point clé à noter ici est de savoir comment une variable peut être utilisée avec une définition. Nous utilisons ($) variable de signe dollar. Dans ce qui précède, nous avons utilisé$title. Definitions can have both a $titre et $name with which the name and the title can be represented. By default, $titre et $name are set to the same value, but one can set a title attribute and pass different name as a parameter. $title et $ name ne fonctionnent que dans la définition, pas dans la classe ou dans une autre ressource.
Modules
Un module peut être défini comme une collection de toutes les configurations qui seraient utilisées par le maître Puppet pour appliquer des changements de configuration sur n'importe quel nœud Puppet particulier (agent). Ils sont également connus sous le nom de collection portable de différents types de configurations, qui sont nécessaires pour effectuer une tâche spécifique. Par exemple, un module peut contenir toutes les ressources nécessaires pour configurer Postfix et Apache.
Nœuds
Les nœuds sont une étape restante très simple qui consiste à faire correspondre ce que nous avons défini («c'est à quoi ressemble un serveur Web») à quelles machines sont choisies pour remplir ces instructions.
La définition de nœud ressemble exactement à des classes, y compris l'héritage de prise en charge, mais elles sont spéciales telles que lorsqu'un nœud (un ordinateur géré exécutant un client marionnette) se connecte au démon maître Puppet, son nom sera recherché dans la liste de nœuds définie. Les informations définies seront évaluées pour le nœud, puis le nœud enverra cette configuration.
Le nom de nœud peut être un nom d'hôte court ou le nom de domaine complet (FQDN).
node 'www.vipin.com' {
include common
include apache, squid
}
La définition ci-dessus crée un nœud appelé www.vipin.com et inclut la classe commune, Apache et Squid
Nous pouvons envoyer la même configuration à différents nœuds en séparant chacun par une virgule.
node 'www.testing.com', 'www.testing2.com', 'www3.testing.com' {
include testing
include tomcat, squid
}
Expression régulière pour les nœuds correspondants
node /^www\d+$/ {
include testing
}
Héritage de nœud
Node prend en charge un modèle d'héritage limité. Comme les classes, les nœuds ne peuvent hériter que d'un autre nœud.
node 'www.testing2.com' inherits 'www.testing.com' {
include loadbalancer
}
Dans le code ci-dessus, www.testing2.com hérite de toutes les fonctionnalités de www.testing.com en plus d'une classe d'équilibrage de charge supplémentaire.
Fonctionnalités avancées prises en charge
Quoting- Dans la plupart des cas, nous n'avons pas besoin de citer une chaîne dans Puppet. Toute chaîne alphanumérique commençant par une lettre doit être laissée sans guillemets. Cependant, il est toujours recommandé de citer une chaîne pour toutes les valeurs non négatives.
Interpolation variable avec citations
Jusqu'à présent, nous avons mentionné la variable en termes de définition. Si vous devez utiliser ces variables avec une chaîne, utilisez des guillemets doubles et non des guillemets simples. La chaîne de guillemets simples ne fera aucune interpolation de variable, la chaîne de guillemets doubles fera l'affaire. La variable peut être entre crochets{} ce qui les rend plus faciles à utiliser ensemble et à comprendre.
$value = "${one}${two}"
Il est recommandé d'utiliser des guillemets simples pour toutes les chaînes qui ne nécessitent pas d'interpolation de chaîne.
Capitalisation
La capitalisation est un processus utilisé pour le référencement, l'héritage et la définition des attributs par défaut d'une ressource particulière. Il existe essentiellement deux manières fondamentales de l'utiliser.
Referencing- C'est la manière de référencer une ressource déjà créée. Il est principalement utilisé à des fins de dépendance, il faut mettre en majuscule le nom de la ressource. Exemple, require => file [sshdconfig]
Inheritance- Lorsque vous remplacez le paramètre de la classe parente de la sous-classe, utilisez la version majuscule du nom de la ressource. L'utilisation de la version minuscule entraînera une erreur.
Setting Default Attribute Value - L'utilisation de la ressource en majuscule sans titre permet de définir la valeur par défaut de la ressource.
Tableaux
Puppet permet l'utilisation de tableaux dans plusieurs zones [Un, deux, trois].
Plusieurs membres de type, tels que l'alias dans la définition d'hôte, acceptent les tableaux dans leurs valeurs. Une ressource hôte avec plusieurs alias ressemblera à quelque chose comme suit.
host { 'one.vipin.com':
alias => [ 'satu', 'dua', 'tiga' ],
ip => '192.168.100.1',
ensure => present,
}
Le code ci-dessus ajoutera un hôte ‘one.brcletest.com’ à la liste d'hôtes avec trois alias ‘satu’ ‘dua’ ‘tiga’. Si l'on souhaite ajouter plusieurs ressources à une ressource, cela peut être fait comme indiqué dans l'exemple suivant.
resource { 'baz':
require => [ Package['rpm'], File['testfile'] ],
}
Variables
Puppet prend en charge plusieurs variables comme la plupart des autres langages de programmation. Les variables de marionnettes sont désignées par$.
$content = 'some content\n' file { '/tmp/testing': content => $content }
Comme indiqué précédemment, Puppet est un langage déclaratif, ce qui signifie que sa portée et ses règles d'attribution sont différentes du langage impératif. La principale différence est que l'on ne peut pas modifier la variable dans une seule portée, car ils dépendent de l'ordre dans le fichier pour déterminer la valeur d'une variable. L'ordre n'a pas d'importance dans le langage déclaratif.
$user = root file { '/etc/passwd': owner => $user,
}
$user = bin file { '/bin': owner => $user,
recurse => true,
}
Portée variable
La portée de la variable définit si toutes les variables définies sont valides. Comme pour les dernières fonctionnalités, Puppet est actuellement à portée dynamique, ce qui, en termes Puppet, signifie que toutes les variables qui sont définies sont évaluées sur leur portée plutôt que sur l'emplacement où elles sont définies.
$test = 'top' class Testclass { exec { "/bin/echo $test": logoutput => true }
}
class Secondtestclass {
$test = 'other'
include myclass
}
include Secondtestclass
Variable qualifiée
Puppet prend en charge l'utilisation de variables qualifiées dans une classe ou une définition. Ceci est très utile lorsque l'utilisateur souhaite utiliser la même variable dans d'autres classes, qu'il a définies ou va définir.
class testclass {
$test = 'content'
}
class secondtestclass {
$other = $myclass::test
}
Dans le code ci-dessus, la valeur de $ other variable évalue le contenu.
Conditionnels
Les conditions sont des situations dans lesquelles l'utilisateur souhaite exécuter un ensemble d'instructions ou de codes lorsque la condition définie ou la condition requise est satisfaite. Puppet prend en charge deux types de conditions.
La condition de sélecteur qui ne peut être utilisée que dans les ressources définies pour sélectionner la valeur correcte de la machine.
Les conditions de déclaration sont des conditions plus largement utilisées dans le manifeste, ce qui aide à inclure des classes supplémentaires que l'utilisateur souhaite inclure dans le même fichier manifeste. Définissez un ensemble distinct de ressources au sein d'une classe ou prenez d'autres décisions structurelles.
Sélecteurs
Les sélecteurs sont utiles lorsque l'utilisateur souhaite spécifier un attribut de ressource et des variables qui sont différents des valeurs par défaut en fonction des faits ou d'autres variables. Dans Puppet, l'index du sélecteur fonctionne comme un opérateur à trois valeurs à plusieurs valeurs. Les sélecteurs sont également capables de définir les valeurs par défaut personnalisées sans aucune valeur, qui sont définies dans le manifeste et correspondent à la condition.
$owner = $Sysoperenv ? {
sunos => 'adm',
redhat => 'bin',
default => undef,
}
Dans les versions ultérieures de Puppet 0.25.0, les sélecteurs peuvent être utilisés comme expressions régulières.
$owner = $Sysoperenv ? {
/(Linux|Ubuntu)/ => 'bin',
default => undef,
}
Dans l'exemple ci-dessus, le sélecteur $Sysoperenv La valeur correspond à Linux ou Ubuntu, alors le bac sera le résultat sélectionné, sinon l'utilisateur sera défini comme indéfini.
Condition de déclaration
La condition d'instruction est un autre type d'instruction conditionnelle dans Puppet qui est très similaire à la condition de changement de casse dans le script Shell. Dans ce cas, un ensemble multiple d'instructions de cas est défini et les valeurs d'entrée données sont comparées à chaque condition.
L'instruction case qui correspond à la condition d'entrée donnée est exécutée. Cette condition d'instruction case n'a aucune valeur de retour. Dans Puppet, un cas d'utilisation très courant de l'instruction de condition consiste à exécuter un ensemble de bits de code basé sur le système d'exploitation sous-jacent.
case $ Sysoperenv {
sunos: { include solaris }
redhat: { include redhat }
default: { include generic}
}
Case Statement peut également spécifier plusieurs conditions en les séparant par une virgule.
case $Sysoperenv {
development,testing: { include development } testing,production: { include production }
default: { include generic }
}
Instruction If-Else
Puppet prend en charge le concept de fonctionnement basé sur des conditions. Pour y parvenir, l'instruction If / else fournit des options de branchement basées sur la valeur de retour de la condition. Comme indiqué dans l'exemple suivant -
if $Filename {
file { '/some/file': ensure => present }
} else {
file { '/some/other/file': ensure => present }
}
La dernière version de Puppet prend en charge les expressions variables dans lesquelles l'instruction if peut également créer une branche en fonction de la valeur d'une expression.
if $machine == 'production' {
include ssl
} else {
include nginx
}
Afin d'obtenir plus de diversité dans le code et d'effectuer des opérations conditionnelles complexes, Puppet prend en charge l'instruction if / else imbriquée, comme indiqué dans le code suivant.
if $ machine == 'production' { include ssl } elsif $ machine == 'testing' {
include nginx
} else {
include openssl
}
Ressource virtuelle
Les ressources virtuelles sont celles qui ne sont pas envoyées au client à moins qu'elles ne soient réalisées.
Voici la syntaxe d'utilisation de la ressource virtuelle dans Puppet.
@user { vipin: ensure => present }
Dans l'exemple ci-dessus, l'utilisateur vipin est défini virtuellement pour réaliser la définition que l'on peut utiliser dans la collection.
User <| title == vipin |>
commentaires
Les commentaires sont utilisés dans n'importe quel bit de code pour créer un nœud supplémentaire sur un ensemble de lignes de code et ses fonctionnalités. Dans Puppet, il existe actuellement deux types de commentaires pris en charge.
- Commentaires de style shell Unix. Ils peuvent être sur leur propre ligne ou sur la ligne suivante.
- Commentaires de style C sur plusieurs lignes.
Voici un exemple de commentaire de style shell.
# this is a comment
Voici un exemple de commentaire multiligne.
/*
This is a comment
*/
Priorité de l'opérateur
La priorité des opérateurs Puppet est conforme à la priorité standard de la plupart des systèmes, du plus élevé au plus bas.
Voici la liste des expressions
- ! = pas
- / = fois et diviser
- - + = moins, plus
- << >> = décalage gauche et décalage droit
- ==! = = différent, égal
- > = <=> <= supérieur égal, inférieur ou égal, supérieur à, inférieur à
Expression de comparaison
Les expressions de comparaison sont utilisées lorsque l'utilisateur souhaite exécuter un ensemble d'instructions lorsque la condition donnée est satisfaite. Les expressions de comparaison incluent des tests d'égalité à l'aide de l'expression ==.
if $environment == 'development' {
include openssl
} else {
include ssl
}
Exemple pas égal
if $environment != 'development' {
$otherenvironment = 'testing' } else { $otherenvironment = 'production'
}
Expression arithmétique
$one = 1 $one_thirty = 1.30
$two = 2.034e-2 $result = ((( $two + 2) / $one_thirty) + 4 * 5.45) -
(6 << ($two + 4)) + (0×800 + -9)
Expression booléenne
Les expressions booléennes sont possibles en utilisant ou, et, & non.
$one = 1
$two = 2 $var = ( $one < $two ) and ( $one + 1 == $two )
Expression régulière
Puppet prend en charge la correspondance d'expressions régulières en utilisant = ~ (match) et! ~ (Not-match).
if $website =~ /^www(\d+)\./ { notice('Welcome web server #$1')
}
Comme la correspondance de cas et de regex de sélecteur crée une variable de portée limitée pour chaque expression régulière.
exec { "Test":
command => "/bin/echo now we don’t have openssl installed on machine > /tmp/test.txt",
unless => "/bin/which php"
}
De même, nous pouvons utiliser à moins que, à moins d'exécuter la commande tout le temps, à l'exception de la commande ci-dessous à moins qu'elle ne se termine avec succès.
exec { "Test":
command => "/bin/echo now we don’t have openssl installed on machine > /tmp/test.txt",
unless => "/bin/which php"
}
Travailler avec des modèles
Les modèles sont utilisés lorsque l'on souhaite avoir une structure prédéfinie qui sera utilisée sur plusieurs modules dans Puppet et que ces modules seront distribués sur plusieurs machines. La première étape pour utiliser un modèle consiste à en créer un qui rend le contenu du modèle avec des méthodes de modèle.
file { "/etc/tomcat/sites-available/default.conf":
ensure => "present",
content => template("tomcat/vhost.erb")
}
Puppet fait peu d'hypothèses lorsqu'il s'agit de fichiers locaux afin de renforcer l'organisation et la modularité. Puppet recherche le modèle vhost.erb dans le dossier apache / templates, dans le répertoire modules.
Définition et déclenchement des services
Dans Puppet, il dispose d'une ressource appelée service qui est capable de gérer le cycle de vie de tous les services exécutés sur une machine ou un environnement particulier. Les ressources de service sont utilisées pour s'assurer que les services sont initialisés et activés. Ils sont également utilisés pour le redémarrage du service.
Par exemple, dans le modèle précédent de tomcat, nous avons défini l'hôte virtuel apache. Si l'on veut s'assurer qu'apache est redémarré après un changement d'hôte virtuel, nous devons créer une ressource de service pour le service apache à l'aide de la commande suivante.
service { 'tomcat':
ensure => running,
enable => true
}
Lors de la définition des ressources, nous devons inclure l'option de notification afin de déclencher le redémarrage.
file { "/etc/tomcat/sites-available/default.conf":
ensure => "present",
content => template("vhost.erb"),
notify => Service['tomcat']
}
Dans Puppet, tous les programmes qui sont écrits en utilisant le langage de programmation Ruby et enregistrés avec une extension de .pp sont appelés manifests. En termes généraux, tous les programmes Puppet qui sont construits avec l'intention de créer ou de gérer une machine hôte cible sont appelés un manifeste. Tous les programmes écrits en Puppet suivent le style de codage Puppet.
Le cœur de Puppet est la façon dont les ressources sont déclarées et comment ces ressources représentent leur état. Dans n'importe quel manifeste, l'utilisateur peut avoir une collection de différents types de ressources qui sont regroupées à l'aide d'une classe et d'une définition.
Dans certains cas, le manifeste Puppet peut même avoir une instruction conditionnelle afin d'obtenir un état souhaité. Cependant, en fin de compte, tout se résume à s'assurer que toutes les ressources sont définies et utilisées de la bonne manière et que le manifeste défini lorsqu'il est appliqué après avoir été converti en catalogue est capable d'exécuter la tâche pour laquelle il a été conçu.
Flux de travail du fichier manifeste
Le manifeste de marionnettes comprend les composants suivants:
Files (ce sont des fichiers simples où Puppet n'a rien à voir avec eux, juste pour les ramasser et les placer à l'emplacement cible)
Resources
Templates (ceux-ci peuvent être utilisés pour construire des fichiers de configuration sur le nœud).
Nodes (toute la définition relative à un poste client est définie ici)
Classes
Points à noter
Dans Puppet, tous les fichiers manifestes utilisent Ruby comme langage de codage et sont enregistrés avec .pp extension.
L'instruction "Importer" dans de nombreux manifestes est utilisée pour charger des fichiers au démarrage de Puppet.
Afin d'importer tous les fichiers contenus dans un répertoire, vous pouvez utiliser l'instruction import d'une autre manière comme import 'clients / *'. Cela importera tout.pp fichiers dans ce répertoire.
Rédaction de manifestes
Travailler avec des variables
Lors de l'écriture d'un manifeste, l'utilisateur peut définir une nouvelle variable ou utiliser une variable existante à tout moment dans un manifeste. Puppet prend en charge différents types de variables, mais peu d'entre elles sont fréquemment utilisées telles que les chaînes et les tableaux de chaînes. En dehors d'eux, d'autres formats sont également pris en charge.
Exemple de variable de chaîne
$package = "vim" package { $package:
ensure => "installed"
}
Utilisation de boucles
Les boucles sont utilisées lorsque l'on souhaite effectuer plusieurs itérations sur un même ensemble de code jusqu'à ce qu'une condition définie soit remplie. Ils sont également utilisés pour effectuer des tâches répétitives avec différents ensembles de valeurs. Création de 10 tâches pour 10 choses différentes. On peut créer une seule tâche et utiliser une boucle pour répéter la tâche avec différents packages que l'on souhaite installer.
Le plus souvent, un tableau est utilisé pour répéter un test avec des valeurs différentes.
$packages = ['vim', 'git', 'curl'] package { $packages:
ensure => "installed"
}
Utilisation des conditions
Puppet prend en charge la plupart des structures conditionnelles qui peuvent être trouvées dans les langages de programmation traditionnels. La condition peut être utilisée pour définir dynamiquement s'il faut exécuter une tâche particulière ou si un ensemble de code doit être exécuté. Comme les instructions if / else et case. De plus, les conditions telles que l'exécution prendront également en charge les attributs qui fonctionnent comme une condition, mais n'acceptent qu'une sortie de commande comme condition.
if $OperatingSystem != 'Linux' {
warning('This manifest is not supported on this other OS apart from linux.')
} else {
notify { 'the OS is Linux. We are good to go!': }
}
Dans Puppet, un module peut être défini comme un ensemble de ressources, classes, fichiers, définitions et modèles. Puppet prend en charge la redistribution facile des modules, ce qui est très utile pour la modularité du code car on peut écrire un module générique spécifié et peut l'utiliser plusieurs fois avec très peu de changements de code simples. Par exemple, cela activera la configuration du site par défaut sous / etc / puppet, avec les modules fournis par Puppet proprement dit dans / etc / share / puppet.
Configuration du module
Dans tout module Puppet, nous avons deux partitions qui aident à définir la structure du code et à contrôler les dénominations.
Le chemin de recherche des modules est configuré à l'aide d'une liste de répertoires séparés par deux-points dans le puppetmasterd ou masterd, la dernière section du fichier de configuration principal de Puppet avec le modulepath paramètre.
[puppetmasterd]
...
modulepath = /var/lib/puppet/modules:/data/puppet/modules
Paramètres de contrôle d'accès pour les modules de serveur de fichiers dans fileserver.conf, la configuration du chemin pour ce module est toujours ignorée et la spécification d'un chemin produira un avertissement.
Le chemin de recherche peut être ajouté au moment de l'exécution en définissant la variable d'environnement PUPPETLAB qui doit également être une liste de variables séparées par deux-points.
Source des modules
Puppet prend en charge un emplacement différent pour stocker les modules. Tout module peut être stocké dans différents systèmes de fichiers d'une machine particulière. Cependant, tous les chemins où sont stockés les modules doivent être spécifiés dans la variable de configuration appeléemodulepath qui est en général une variable de chemin où Puppet recherche tous les répertoires du module et les charge lors du démarrage.
Un chemin par défaut raisonnable peut être configuré comme -
/etc/puppet/modules:/usr/share/puppet:/var/lib/modules.
Alternativement, le répertoire / etc / puppet pourrait être établi comme un module anonyme spécial, qui est toujours recherché en premier.
Nommage des modules
Puppet suit les mêmes normes de dénomination d'un module particulier dans lequel le nom du module doit être des mots normaux, correspondant à [- \\ w +] (lettre, mot, nombre, trait de soulignement et tirets) et ne contenant pas le séparateur d'espace de noms:: ou /. Bien que cela puisse être autorisé concernant les hiérarchies de modules, il ne peut pas être imbriqué pour les nouveaux modules.
Organisation interne du module
Lorsque l'utilisateur crée un nouveau module dans Puppet, il suit la même structure et contient un manifeste, un fichier distribué, des plugins et des modèles organisés dans une structure de répertoires spécifique, comme indiqué dans le code suivant.
MODULE_PATH/
downcased_module_name/
files/
manifests/
init.pp
lib/
puppet/
parser/
functions
provider/
type/
facter/
templates/
README
Chaque fois qu'un module est créé, il contient init.ppmanifest à l'emplacement de correctif spécifié dans le répertoire manifestes. Ce fichier manifeste est un fichier par défaut qui s'exécute en premier dans un module particulier et contient une collection de toutes les classes associées à ce module particulier. Additionnel.ppLe fichier peut être ajouté directement sous le dossier manifestes. Si nous ajoutons des fichiers .pp supplémentaires, ils doivent être nommés d'après la classe.
L'une des principales caractéristiques obtenues grâce à l'utilisation de modules est le partage de code. Un module par nature devrait être autonome, ce qui signifie que l'on devrait être capable d'inclure n'importe quel module de n'importe où et de le déposer sur le chemin du module, qui est chargé au démarrage de Puppet. Avec l'aide de modules, on obtient la modularité dans le codage d'infrastructure Puppet.
Exemple
Considérez un module autofs qui installe une carte auto.homes fixe et génère le fichier auto.master à partir de modèles.
class autofs {
package { autofs: ensure => latest }
service { autofs: ensure => running }
file { "/etc/auto.homes":
source => "puppet://$servername/modules/autofs/auto.homes"
}
file { "/etc/auto.master":
content => template("autofs/auto.master.erb")
}
}
Le système de fichiers contiendra les fichiers suivants.
MODULE_PATH/
autofs/
manifests/
init.pp
files/
auto.homes
templates/
auto.master.erb
Recherche de module
Puppet suit une structure prédéfinie dans laquelle il contient plusieurs répertoires et sous-répertoires dans une structure définie. Ces répertoires contiennent différents types de fichiers requis par un module pour effectuer certaines actions. Un peu de magie dans les coulisses s'assure que le bon fichier est associé au bon contexte. Toutes les recherches de modules se trouvent dans le modulepath, une liste de répertoires séparés par deux-points.
Pour les références de fichiers sur le serveur de fichiers, une référence similaire est utilisée afin qu'une référence à puppet: //$servername/modules/autofs/auto.homes soit résolue dans le fichier autofs / files / auto.homes dans le chemin du module.
Pour rendre un module utilisable à la fois avec le client en ligne de commande et un maître de marionnettes, on peut utiliser une URL du chemin from puppet: ///. c'est-à-dire une URL sans nom de serveur explicite. Cette URL est traitée légèrement différemment parPuppet et puppetd. Puppet recherche une URL sans serveur dans le système de fichiers local.
Les fichiers modèles sont recherchés de la même manière que les fichiers manifestes et les fichiers: une mention de modèle («autofs / auto.master.erb») obligera le maître de marionnettes à rechercher un fichier dans $templatedir/autofs/auto.master.erb et alors autofs/templates/auto.master.erbsur le chemin du module. Avec les versions Puppet de tout ce qui se trouve sous le Puppet, il est disponible. C'est ce qu'on appelle le chargement automatique du module. Puppet tentera de charger automatiquement les classes et les définitions à partir du module.
Puppet suit le concept de client et de serveur où une machine dans une configuration fonctionne comme la machine serveur avec le logiciel serveur Puppet en cours d'exécution et le reste fonctionne en tant que client avec le logiciel agent Puppet en cours d'exécution. Cette fonctionnalité du serveur de fichiers permet de copier les fichiers sur plusieurs machines. Cette fonction de service de fichiers dans Puppet fait partie du démon Puppet central. Puppetmasterd et la fonction client jouent un rôle clé dans l'approvisionnement des attributs de fichier en tant qu'objet fichier.
class { 'java':
package => 'jdk-8u25-linux-x64',
java_alternative => 'jdk1.8.0_25',
java_alternative_path => '/usr/java/jdk1.8.0_25/jre/bin/java'
}
Comme dans l'extrait de code ci-dessus, les fonctions de service de fichiers de Puppet font abstraction de la topologie du système de fichiers local en prenant en charge le module de service de fichiers. Nous spécifierons le module de service de fichiers de la manière suivante.
“puppet://server/modules/module_name/sudoers”
Format de fichier
Dans la structure de répertoires Puppet, par défaut, la configuration du serveur de fichiers se trouve sous /etc/puppet/fileserver.config répertoire, si l'utilisateur souhaite changer ce chemin de fichier de configuration par défaut, cela peut être fait en utilisant le nouvel indicateur de configuration pour puppetmasterd. Le fichier de configuration ressemble aux fichiers INI mais n'est pas exactement le même.
[module]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
Comme indiqué dans l'extrait de code ci-dessus, les trois options sont représentées dans le fichier de configuration. Le nom du module va quelque peu entre crochets. Le chemin est la seule option requise. L'option de sécurité par défaut est de refuser tous les accès, donc si aucune ligne d'autorisation n'est spécifiée, le module qui sera configuré sera accessible à tous.
Le chemin peut contenir tout ou partie des% d,% h et% H qui sont remplacés dynamiquement par son nom de domaine, son nom d'hôte et son nom d'hôte complet. Tous sont extraits du certificat SSL du client (soyez donc prudent si l'un d'entre eux présente une incohérence dans le nom d'hôte et le nom du certificat). Ceci est utile pour créer des modules où les fichiers de chaque client sont conservés complètement séparément. Exemple, pour les clés d'hôte privées.
[private]
path /data/private/%h
allow *
Dans l'extrait de code ci-dessus, le code tente de rechercher le fichier /private/file.txt à partir du client client1.vipin.com. Il le recherchera dans /data/private/client1/file.txt, tandis que la même requête pour client2.vipin.com tentera de récupérer le fichier /data/private/client2/file.txt sur le serveur de fichiers.
Sécurité
Puppet prend en charge les deux concepts de base de la sécurisation des fichiers sur le serveur de fichiers Puppet. Ceci est réalisé en autorisant l'accès à des fichiers spécifiques et en refusant l'accès à ceux qui ne sont pas nécessaires. Par défaut, Puppet n'autorise l'accès à aucun des fichiers. Il doit être défini explicitement. Le format qui peut être utilisé dans les fichiers pour autoriser ou refuser l'accès consiste à utiliser l'adresse IP, le nom ou l'autorisation globale.
Si le client n'est pas connecté directement au serveur de fichiers Puppet, par exemple en utilisant un proxy inverse et Mongrel, le serveur de fichiers verra toutes les connexions comme provenant du serveur proxy et non du client Puppet. Dans les cas ci-dessus, la meilleure pratique consiste à restreindre le nom d'hôte sur la base du nom d'hôte.
Un point clé à noter lors de la définition de la structure du fichier est que toutes les instructions deny sont analysées avant l'instruction allow. Par conséquent, si une instruction de refus correspond à un hôte, cet hôte sera refusé et si aucune instruction d'autorisation n'est écrite dans les fichiers à venir, l'hôte sera refusé. Cette fonctionnalité aide à définir la priorité d'un site particulier.
Nom d'hôte
Dans n'importe quelle configuration de serveur de fichiers, le nom d'hôte du fichier peut être spécifié de deux manières en utilisant un nom d'hôte complet ou en spécifiant un nom de domaine entier à l'aide du caractère générique *, comme illustré dans l'exemple suivant.
[export]
path /usr
allow brcleprod001.brcl.com
allow *.brcl.com
deny brcleprod002.brcl.com
Adresse IP
Dans n'importe quelle configuration de serveur de fichiers, l'adresse de fichier peut être spécifiée comme similaire aux noms d'hôte, en utilisant soit une adresse IP complète, soit une adresse générique. On peut également utiliser la notation système CIDR.
[export]
path /usr
allow 127.0.0.1
allow 172.223.30.*
allow 172.223.30.0/24
Autoriser global
L'autorisation globale est utilisée lorsque l'utilisateur souhaite que tout le monde puisse accéder à un module particulier. Pour ce faire, un seul caractère générique permet à tout le monde d'accéder au module.
[export]
path /export
allow *
Puppet prend en charge la conservation de plusieurs valeurs en tant que variable d'environnement. Cette fonctionnalité est prise en charge dans Puppet en utilisantfacter. Dans Puppet, facter est un outil autonome qui contient la variable de niveau d'environnement. In peut être considéré comme similaire à la variable env de Bash ou Linux. Parfois, il peut y avoir un chevauchement entre les informations stockées dans les faits et la variable d'environnement de la machine. Dans Puppet, la paire clé-valeur est appelée «fait». Chaque ressource a ses propres faits et dans Puppet, l'utilisateur a le pouvoir de créer ses propres faits personnalisés.
# facter
Facter commandpeut être utilisé pour lister toutes les différentes variables d'environnement et leurs valeurs associées. Ce recueil de faits est livré avec facter prêt à l'emploi et est appelé faits essentiels. On peut ajouter des faits personnalisés à la collection.
Si l'on veut afficher une seule variable. Cela peut être fait en utilisant la commande suivante.
# facter {Variable Name}
Example
[root@puppetmaster ~]# facter virtual
virtualbox
La raison pour laquelle le facter est important pour Puppet est que le facter et les faits sont disponibles dans tout le code Puppet comme “global variable”, ce qui signifie qu'il peut être utilisé dans le code à tout moment sans aucune autre référence.
Exemple à tester
[root@puppetmaster modules]# tree brcle_account
brcle_account
└── manifests └── init.pp [root@puppetmaster modules]# cat brcle_account/manifests/init.pp
class brcle_account {
user { 'G01063908':
ensure => 'present',
uid => '121',
shell => '/bin/bash',
home => '/home/G01063908',
}
file {'/tmp/userfile.txt':
ensure => file,
content => "the value for the 'OperatingSystem' fact is: $OperatingSystem \n",
}
}
Le tester
[root@puppetmaster modules]# puppet agent --test
Notice: /Stage[main]/Activemq::Service/Service[activemq]/ensure:
ensure changed 'stopped' to 'running'
Info: /Stage[main]/Activemq::Service/Service[activemq]:
Unscheduling refresh on Service[activemq]
Notice: Finished catalog run in 4.09 seconds
[root@puppetmaster modules]# cat /tmp/testfile.txt
the value for the 'OperatingSystem' fact is: Linux
[root@puppetmaster modules]# facter OperatingSystem
Linux
Comme nous pouvons le remarquer dans l'extrait de code ci-dessus, nous n'avons pas défini le OperatingSystem. Nous venons de remplacer la valeur par une valeur codée en douceur$OperatingSystem comme variable normale.
Dans Puppet, trois types de faits peuvent être utilisés et définis -
- Faits essentiels
- Faits personnalisés
- Faits externes
Les faits essentiels sont définis au niveau supérieur et accessibles à tous à tout moment du code.
Faits sur les marionnettes
Juste avant qu'un agent demande un catalogue au maître, l'agent compile d'abord une liste complète des informations disponibles en soi sous la forme d'une paire clé / valeur. Les informations sur l'agent sont rassemblées par un outil appelé facter et chaque paire clé-valeur est appelée un fait. Voici une sortie commune de faits sur un agent.
[root@puppetagent1 ~]# facter
architecture => x86_64
augeasversion => 1.0.0
bios_release_date => 13/09/2012
bios_vendor => innotek GmbH
bios_version => VirtualBox
blockdevice_sda_model => VBOX HARDDISK
blockdevice_sda_size => 22020587520
blockdevice_sda_vendor => ATA
blockdevice_sr0_model => CD-ROM
blockdevice_sr0_size => 1073741312
blockdevice_sr0_vendor => VBOX
blockdevices => sda,sr0
boardmanufacturer => Oracle Corporation
boardproductname => VirtualBox
boardserialnumber => 0
domain => codingbee.dyndns.org
facterversion => 2.1.0
filesystems => ext4,iso9660
fqdn => puppetagent1.codingbee.dyndns.org
hardwareisa => x86_64
hardwaremodel => x86_64
hostname => puppetagent1
id => root
interfaces => eth0,lo
ipaddress => 172.228.24.01
ipaddress_eth0 => 172.228.24.01
ipaddress_lo => 127.0.0.1
is_virtual => true
kernel => Linux
kernelmajversion => 2.6
kernelrelease => 2.6.32-431.23.3.el6.x86_64
kernelversion => 2.6.32
lsbdistcodename => Final
lsbdistdescription => CentOS release 6.5 (Final)
lsbdistid => CentOS
lsbdistrelease => 6.5
lsbmajdistrelease => 6
lsbrelease => :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0noarch:graphics-4.0-amd64:
graphics-4.0-noarch:printing-4.0-amd64:printing-4.0noarch
macaddress => 05:00:22:47:H9:77
macaddress_eth0 => 05:00:22:47:H9:77
manufacturer => innotek GmbH
memoryfree => 125.86 GB
memoryfree_mb => 805.86
memorysize => 500 GB
memorysize_mb => 996.14
mtu_eth0 => 1500
mtu_lo => 16436
netmask => 255.255.255.0
netmask_eth0 => 255.255.255.0
network_lo => 127.0.0.0
operatingsystem => CentOS
operatingsystemmajrelease => 6
operatingsystemrelease => 6.5
osfamily => RedHat
partitions => {"sda1"=>{
"uuid"=>"d74a4fa8-0883-4873-8db0-b09d91e2ee8d", "size" =>"1024000",
"mount" => "/boot", "filesystem" => "ext4"}, "sda2"=>{"size" => "41981952",
"filesystem" => "LVM2_member"}
}
path => /usr/lib64/qt3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
physicalprocessorcount => 1
processor0 => Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
processor1 => Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
processor2 => Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
processorcount => 3
productname => VirtualBox
ps => ps -ef
puppetversion => 3.6.2
rubysitedir => /usr/lib/ruby/site_ruby/1.8
rubyversion => 1.8.7
selinux => true
selinux_config_mode => enforcing
selinux_config_policy => targeted
selinux_current_mode => enforcing
selinux_enforced => true
selinux_policyversion => 24
serialnumber => 0
sshdsakey => AAAAB3NzaC1kc3MAAACBAK5fYwRM3UtOs8zBCtRTjuHLw56p94X/E0UZBZwFR3q7
WH0x5+MNsjfmdCxKvpY/WlIIUcFJzvlfjXm4qDaTYalbzSZJMT266njNbw5WwLJcJ74KdW92ds76pjgm
CsjAh+R9YnyKCEE35GsYjGH7whw0gl/rZVrjvWYKQDOmJA2dAAAAFQCoYABgjpv3EkTWgjLIMnxA0Gfud
QAAAIBM4U6/nerfn6Qvt43FC2iybvwVo8ufixJl5YSEhs92uzsW6jiw68aaZ32q095/gEqYzeF7a2knr
OpASgO9xXqStYKg8ExWQVaVGFTR1NwqhZvz0oRSbrN3h3tHgknoKETRAg/imZQ2P6tppAoQZ8wpuLrXU
CyhgJGZ04Phv8hinAAAAIBN4xaycuK0mdH/YdcgcLiSn8cjgtiETVzDYa+jF
swapfree => 3.55 GB
swapfree_mb => 2015.99
swapsize => 3.55 GB
swapsize_mb => 2015.99
timezone => GMT
type => Other
uniqueid => a8c0af01
uptime => 45:012 hours
uptime_days => 0
uptime_hours => 6
uptime_seconds => 21865
uuid => BD8B9D85-1BFD-4015-A633-BF71D9A6A741
virtual => virtualbox
Dans le code ci-dessus, nous pouvons voir certaines des données se chevaucher avec quelques-unes des informations disponibles dans la variable bash «env». Puppet n'utilise pas directement les données, à la place il utilise des données de facter, les données de Facter sont traitées comme une variable globale.
Les faits sont ensuite disponibles en tant que variable de niveau supérieur et le maître Puppet peut les utiliser pour compiler le catalogue Puppet pour l'agent demandeur. Les caractères sont appelés dans le manifeste comme une variable normale avec le préfixe $.
Exemple
if ($OperatingSystem == "Linux") {
$message = "This machine OS is of the type $OperatingSystem \n"
} else {
$message = "This machine is unknown \n" } file { "/tmp/machineOperatingSystem.txt": ensure => file, content => "$message"
}
Le fichier manifeste ci-dessus ne dérange qu'un seul fichier appelé machineOperatingSystem.txt, où le contenu de ce fichier est déduit du fait appelé OperatingSystem.
[root@puppetagent1 /]# facter OperatingSystem
Linux
[root@puppetagent1 /]# puppet apply /tmp/ostype.pp
Notice: Compiled catalog for puppetagent1.codingbee.dyndns.org
in environment production in 0.07 seconds
Notice: /Stage[main]/Main/File[/tmp/machineOperatingSystem.txt]/ensure:
defined content as '{md5}f59dc5797d5402b1122c28c6da54d073'
Notice: Finished catalog run in 0.04 seconds
[root@puppetagent1 /]# cat /tmp/machinetype.txt
This machine OS is of the type Linux
Faits personnalisés
Tous les faits ci-dessus que nous avons vus sont les faits essentiels de la machine. On peut ajouter ces faits personnalisés au nœud de la manière suivante -
- Utilisation de la «syntaxe export FACTER…»
- Utilisation des paramètres $ LOAD_PATH
- FACTERLIB
- Pluginsync
Utilisation de la syntaxe «export FACTER»
On peut ajouter manuellement les faits en utilisant la syntaxe d'exportation FACTER_ {nom du fait}.
Exemple
[root@puppetagent1 facter]# export FACTER_tallest_mountain="Everest"
[root@puppetagent1 facter]# facter tallest_mountain Everest
Utilisation des paramètres $ LOAD_PATH
En rubis, $LOAD_PATH is equivalent to Bash special parameter. Although it is similar to bash $Variable PATH, en faits réels $ LOAD_PATH n'est pas une variable d'environnement, mais plutôt une variable prédéfinie.
$ LOAD_PATH a un synonyme «$:». Cette variable est un tableau pour rechercher et charger les valeurs.
[root@puppetagent1 ~]# ruby -e 'puts $LOAD_PATH'
# note you have to use single quotes.
/usr/lib/ruby/site_ruby/1.6
/usr/lib64/ruby/site_ruby/1.6
/usr/lib64/ruby/site_ruby/1.6/x86_64-linux
/usr/lib/ruby/site_ruby
/usr/lib64/ruby/site_ruby
/usr/lib64/site_ruby/1.6
/usr/lib64/site_ruby/1.6/x86_64-linux
/usr/lib64/site_ruby
/usr/lib/ruby/1.6
/usr/lib64/ruby/1.6
/usr/lib64/ruby/1.6/x86_64-linux
Prenons un exemple de création d'un facter de répertoire et d'ajout d'un .pp fichier et y ajouter un contenu.
[root@puppetagent1 ~]# cd /usr/lib/ruby/site_ruby/
[root@puppetagent1 site_ruby]# mkdir facter
[root@puppetagent1 site_ruby]# cd facter/
[root@puppetagent1 facter]# ls
[root@puppetagent1 facter]# touch newadded_facts.rb
Ajoutez le contenu suivant au fichier custom_facts.rb.
[root@puppetagent1 facter]# cat newadded_facts.rb
Facter.add('tallest_mountain') do
setcode "echo Everest"
end
Facter fonctionne selon la méthode de numérisation de tous les dossiers répertoriés dans $ LOAD_PATH, et recherche un directeur appelé facter. Une fois qu'il trouve ce dossier particulier, il les chargera n'importe où dans la structure des dossiers. S'il trouve ce dossier, il recherche un fichier Ruby dans ce dossier facter et charge tous les faits définis sur une configuration particulière dans la mémoire.
Utilisation de FACTERLIB
Dans Puppet, FACTERLIB fonctionne très similaire à $ LOAD_PATH mais avec une seule différence clé: il s'agit d'un paramètre d'environnement au niveau du système d'exploitation plutôt que d'une variable spéciale Ruby. Par défaut, la variable d'environnement peut ne pas être définie.
[root@puppetagent1 facter]# env | grep "FACTERLIB"
[root@puppetagent1 facter]#
Pour tester FACTERLIB, nous devons effectuer les étapes suivantes.
Créez un dossier appelé test_facts dans la structure suivante.
[root@puppetagent1 tmp]# tree /tmp/test_facts/
/tmp/some_facts/
├── vipin
│ └── longest_river.rb
└── testing
└── longest_wall.rb
Ajoutez le contenu suivant aux fichiers .rb.
[root@puppetagent1 vipin]# cat longest_river.rb
Facter.add('longest_river') do
setcode "echo Nile"
end
[root@puppetagent1 testing]# cat longest_wall.rb
Facter.add('longest_wall') do
setcode "echo 'China Wall'"
end
Utilisez l'instruction d'exportation.
[root@puppetagent1 /]# export
FACTERLIB = "/tmp/some_facts/river:/tmp/some_facts/wall"
[root@puppetagent1 /]# env | grep "FACTERLIB"
FACTERLIB = /tmp/some_facts/river:/tmp/some_facts/wall
Testez le nouveau facter.
[root@puppetagent1 /]# facter longest_river
Nile
[root@puppetagent1 /]# facter longest_wall
China Wall
Faits externes
Les faits externes sont très utiles lorsque l'utilisateur souhaite appliquer certains nouveaux faits créés au moment de l'approvisionnement. Les faits externes sont l'un des principaux moyens d'appliquer des métadonnées à une machine virtuelle lors de sa phase de provisionnement (par exemple en utilisant vSphere, OpenStack, AWS, etc.)
Toutes les métadonnées et ses détails créés peuvent être utilisés par Puppet pour déterminer quels détails doivent être présents dans le catalogue, qui va être appliqué.
Créer un fait externe
Sur la machine de l'agent, nous devons créer un répertoire comme indiqué ci-dessous.
$ mkdir -p /etc/facter/facts.d
Créez un script Shell dans le répertoire avec le contenu suivant.
$ ls -l /etc/facter/facts.d
total 4
-rwxrwxrwx. 1 root root 65 Sep 18 13:11 external-factstest.sh
$ cat /etc/facter/facts.d/external-factstest.sh
#!/bin/bash
echo "hostgroup = dev"
echo "environment = development"
Modifiez l'autorisation du fichier de script.
$ chmod u+x /etc/facter/facts.d/external-facts.sh
Une fois cela fait, nous pouvons maintenant voir la variable présente avec la paire clé / valeur.
$ facter hostgroup dev $ facter environment
development
On peut écrire des faits personnalisés dans Puppet. À titre de référence, utilisez le lien suivant du site Puppet.
https://docs.puppet.com/facter/latest/fact_overview.html#writing-structured-facts
Les ressources sont l'une des principales unités fondamentales de Puppet utilisées pour concevoir et construire une infrastructure particulière ou une machine. Ils sont principalement utilisés pour la modélisation et la maintenance des configurations système. Puppet a plusieurs types de ressources, qui peuvent être utilisées pour définir l'architecture du système ou l'utilisateur a le pouvoir de créer et de définir une nouvelle ressource.
Le bloc de code Puppet dans le fichier manifeste ou dans tout autre fichier est appelé une déclaration de ressource. Le bloc de code est écrit dans un langage appelé Declarative Modeling Language (DML). Voici un exemple de son apparence.
user { 'vipin':
ensure => present,
uid => '552',
shell => '/bin/bash',
home => '/home/vipin',
}
Dans Puppet, la déclaration de ressource pour tout type de ressource particulier est effectuée dans un bloc de code. Dans l'exemple suivant, l'utilisateur est composé principalement de quatre paramètres prédéfinis.
Resource Type - Dans l'extrait de code ci-dessus, il s'agit de l'utilisateur.
Resource Parameter - Dans l'extrait de code ci-dessus, il s'agit de Vipin.
Attributes - Dans l'extrait de code ci-dessus, il s'agit de ensure, uid, shell, home.
Values - Ce sont les valeurs qui correspondent à chaque propriété.
Chaque type de ressource a sa propre façon de définir les définitions et les paramètres, et l'utilisateur a le privilège de choisir et de choisir la façon dont il veut que sa ressource ressemble.
Type de ressource
Il existe différents types de ressources disponibles dans Puppet qui ont leur propre mode de fonctionnement. Ces types de ressources peuvent être visualisés à l'aide de la commande «describe» avec l'option «-list».
[root@puppetmaster ~]# puppet describe --list
These are the types known to puppet:
augeas - Apply a change or an array of changes to the ...
computer - Computer object management using DirectorySer ...
cron - Installs and manages cron jobs
exec - Executes external commands
file - Manages files, including their content, owner ...
filebucket - A repository for storing and retrieving file ...
group - Manage groups
host - Installs and manages host entries
interface - This represents a router or switch interface
k5login - Manage the ‘.k5login’ file for a user
macauthorization - Manage the Mac OS X authorization database
mailalias - .. no documentation ..
maillist - Manage email lists
mcx - MCX object management using DirectoryService ...
mount - Manages mounted filesystems, including puttin ...
nagios_command - The Nagios type command
nagios_contact - The Nagios type contact
nagios_contactgroup - The Nagios type contactgroup
nagios_host - The Nagios type host
nagios_hostdependency - The Nagios type hostdependency
nagios_hostescalation - The Nagios type hostescalation
nagios_hostextinfo - The Nagios type hostextinfo
nagios_hostgroup - The Nagios type hostgroup
nagios_service - The Nagios type service
nagios_servicedependency - The Nagios type servicedependency
nagios_serviceescalation - The Nagios type serviceescalation
nagios_serviceextinfo - The Nagios type serviceextinfo
nagios_servicegroup - The Nagios type servicegroup
nagios_timeperiod - The Nagios type timeperiod
notify - .. no documentation ..
package - Manage packages
resources - This is a metatype that can manage other reso ...
router - .. no documentation ..
schedule - Define schedules for Puppet
scheduled_task - Installs and manages Windows Scheduled Tasks
selboolean - Manages SELinux booleans on systems with SELi ...
service - Manage running services
ssh_authorized_key - Manages SSH authorized keys
sshkey - Installs and manages ssh host keys
stage - A resource type for creating new run stages
tidy - Remove unwanted files based on specific crite ...
user - Manage users
vlan - .. no documentation ..
whit - Whits are internal artifacts of Puppet's curr ...
yumrepo - The client-side description of a yum reposito ...
zfs - Manage zfs
zone - Manages Solaris zones
zpool - Manage zpools
Titre de la ressource
Dans l'extrait de code ci-dessus, nous avons le titre de la ressource en tant que vipin qui est unique pour chaque ressource utilisée dans le même fichier du code. Il s'agit d'un titre unique pour ce type de ressource utilisateur. Nous ne pouvons pas avoir une ressource avec le même nom car cela provoquera des conflits.
La commande Resource peut être utilisée pour afficher la liste de toutes les ressources en utilisant le type user.
[root@puppetmaster ~]# puppet resource user
user { 'abrt':
ensure => 'present',
gid => '173',
home => '/etc/abrt',
password => '!!',
password_max_age => '-1',
password_min_age => '-1',
shell => '/sbin/nologin',
uid => '173',
}
user { 'admin':
ensure => 'present',
comment => 'admin',
gid => '444',
groups => ['sys', 'admin'],
home => '/var/admin',
password => '*',
password_max_age => '99999',
password_min_age => '0',
shell => '/sbin/nologin',
uid => '55',
}
user { 'tomcat':
ensure => 'present',
comment => 'tomcat',
gid => '100',
home => '/var/www',
password => '!!',
password_max_age => '-1',
password_min_age => '-1',
shell => '/sbin/nologin',
uid => '100',
}
Liste des ressources d'un utilisateur particulier
[root@puppetmaster ~]# puppet resource user tomcat
user { 'apache':
ensure => 'present',
comment => 'tomcat',
gid => '100',
home => '/var/www',
password => '!!',
password_max_age => '-1',
password_min_age => '-1',
shell => '/sbin/nologin',
uid => '100’,
}
Attributs et valeurs
Le corps principal de toute ressource est constitué d'une collection de paires attribut-valeur. Ici, on peut spécifier les valeurs de la propriété d'une ressource donnée. Chaque type de ressource possède son propre ensemble d'attributs qui peuvent être configurés avec les paires clé-valeur.
Décrivez la sous-commande qui peut être utilisée pour obtenir plus de détails sur un attribut de ressources particulier. Dans l'exemple suivant, nous avons les détails sur la ressource utilisateur ainsi que tous ses attributs configurables.
[root@puppetmaster ~]# puppet describe user
user
====
Manage users. This type is mostly built to manage system users,
so it is lacking some features useful for managing normal users.
This resource type uses the prescribed native tools for creating groups
and generally uses POSIX APIs for retrieving information about them.
It does not directly modify ‘/etc/passwd’ or anything.
**Autorequires:** If Puppet is managing the user's primary group
(as provided in the ‘gid’ attribute),
the user resource will autorequire that group.
If Puppet is managing any role accounts corresponding to the user's roles,
the user resource will autorequire those role accounts.
Parameters
----------
- **allowdupe**
Whether to allow duplicate UIDs. Defaults to ‘false’.
Valid values are ‘true’, ‘false’, ‘yes’, ‘no’.
- **attribute_membership**
Whether specified attribute value pairs should be treated as the
**complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of
attribute/value pairs for the user. Defaults to ‘minimum’.
Valid values are ‘inclusive’, ‘minimum’.
- **auths**
The auths the user has. Multiple auths should be
specified as an array.
Requires features manages_solaris_rbac.
- **comment**
A description of the user. Generally the user's full name.
- **ensure**
The basic state that the object should be in.
Valid values are ‘present’, ‘absent’, ‘role’.
- **expiry**
The expiry date for this user. Must be provided in
a zero-padded YYYY-MM-DD format --- e.g. 2010-02-19.
If you want to make sure the user account does never
expire, you can pass the special value ‘absent’.
Valid values are ‘absent’. Values can match ‘/^\d{4}-\d{2}-\d{2}$/’. Requires features manages_expiry. - **forcelocal** Forces the mangement of local accounts when accounts are also being managed by some other NSS - **gid** The user's primary group. Can be specified numerically or by name. This attribute is not supported on Windows systems; use the ‘groups’ attribute instead. (On Windows, designating a primary group is only meaningful for domain accounts, which Puppet does not currently manage.) - **groups** The groups to which the user belongs. The primary group should not be listed, and groups should be identified by name rather than by GID. Multiple groups should be specified as an array. - **home** The home directory of the user. The directory must be created separately and is not currently checked for existence. - **ia_load_module** The name of the I&A module to use to manage this user. Requires features manages_aix_lam. - **iterations** This is the number of iterations of a chained computation of the password hash (http://en.wikipedia.org/wiki/PBKDF2). This parameter is used in OS X. This field is required for managing passwords on OS X >= 10.8. Requires features manages_password_salt. - **key_membership** - **managehome** Whether to manage the home directory when managing the user. This will create the home directory when ‘ensure => present’, and delete the home directory when ‘ensure => absent’. Defaults to ‘false’. Valid values are ‘true’, ‘false’, ‘yes’, ‘no’. - **membership** Whether specified groups should be considered the **complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of groups to which the user belongs. Defaults to ‘minimum’. Valid values are ‘inclusive’, ‘minimum’. - **name** The user name. While naming limitations vary by operating system, it is advisable to restrict names to the lowest common denominator, which is a maximum of 8 characters beginning with a letter. Note that Puppet considers user names to be case-sensitive, regardless of the platform's own rules; be sure to always use the same case when referring to a given user. - **password** The user's password, in whatever encrypted format the local system requires. * Most modern Unix-like systems use salted SHA1 password hashes. You can use Puppet's built-in ‘sha1’ function to generate a hash from a password. * Mac OS X 10.5 and 10.6 also use salted SHA1 hashes. Windows API for setting the password hash. [stdlib]: https://github.com/puppetlabs/puppetlabs-stdlib/ Be sure to enclose any value that includes a dollar sign ($) in single
quotes (') to avoid accidental variable interpolation.
Requires features manages_passwords.
- **password_max_age**
The maximum number of days a password may be used before it must be changed.
Requires features manages_password_age.
- **password_min_age**
The minimum number of days a password must be used before it may be changed.
Requires features manages_password_age.
- **profile_membership**
Whether specified roles should be treated as the **complete list**
(‘inclusive’) or the **minimum list** (‘minimum’) of roles
of which the user is a member. Defaults to ‘minimum’.
Valid values are ‘inclusive’, ‘minimum’.
- **profiles**
The profiles the user has. Multiple profiles should be
specified as an array.
Requires features manages_solaris_rbac.
- **project**
The name of the project associated with a user.
Requires features manages_solaris_rbac.
- **uid**
The user ID; must be specified numerically. If no user ID is
specified when creating a new user, then one will be chosen
automatically. This will likely result in the same user having
different UIDs on different systems, which is not recommended. This is
especially noteworthy when managing the same user on both Darwin and
other platforms, since Puppet does UID generation on Darwin, but
the underlying tools do so on other platforms.
On Windows, this property is read-only and will return the user's
security identifier (SID).
Dans Puppet, la couche d'abstraction des ressources (RAL) peut être considérée comme le modèle conceptualisé de base sur lequel fonctionne toute l'infrastructure et la configuration de Puppet. En RAL, chaque alphabet a sa propre signification significative qui est définie comme suit.
Ressource [R]
Une ressource peut être considérée comme l'ensemble des ressources utilisées pour modéliser toute configuration dans Puppet. Ce sont essentiellement des ressources intégrées qui sont présentes par défaut dans Puppet. Ils peuvent être considérés comme un ensemble de ressources appartenant à un type de ressource prédéfini. Ils sont similaires au concept POO dans tout autre langage de programmation dans lequel l'objet est une instance de classe. Dans Puppet, sa ressource est une instance d'un type de ressource.
Abstraction [A]
L'abstraction peut être considérée comme une fonctionnalité clé où les ressources sont définies indépendamment du système d'exploitation cible. En d'autres termes, lors de l'écriture d'un fichier manifeste, l'utilisateur n'a pas à se soucier de la machine cible ou du système d'exploitation, qui est présent sur cette machine particulière. En abstraction, les ressources fournissent suffisamment d'informations sur ce qui doit exister sur l'agent Puppet.
Puppet s'occupera de toutes les fonctionnalités ou de la magie qui se produisent dans les coulisses. Indépendamment des ressources et du système d'exploitation, Puppet se chargera de la mise en œuvre de la configuration sur la machine cible, dans laquelle l'utilisateur n'a pas à s'inquiéter de la façon dont Puppet se comporte en coulisses.
En abstraction, Puppet sépare les ressources de son implémentation. Cette configuration spécifique à la plate-forme existe auprès des fournisseurs. Nous pouvons utiliser plusieurs sous-commandes avec ses fournisseurs.
Calque [L]
Il est possible que l'on définisse une configuration et une configuration de machine entière en termes de collecte de ressources, et cela peut être visualisé et géré via l'interface CLI de Puppet.
Exemple de type de ressource utilisateur
[root@puppetmaster ~]# puppet describe user --providers
user
====
Manage users.
This type is mostly built to manage systemusers,
so it is lacking some features useful for managing normalusers.
This resource type uses the prescribed native tools for
creating groups and generally uses POSIX APIs for retrieving informationabout them.
It does not directly modify '/etc/passwd' or anything.
- **comment**
A description of the user. Generally the user's full name.
- **ensure**
The basic state that the object should be in.
Valid values are 'present', 'absent', 'role'.
- **expiry**
The expiry date for this user.
Must be provided in a zero-padded YYYY-MM-DD format --- e.g. 2010-02-19.
If you want to make sure the user account does never expire,
you can pass the special value 'absent'.
Valid values are 'absent'.
Values can match '/^\d{4}-\d{2}-\d{2}$/'. Requires features manages_expiry. - **forcelocal** Forces the management of local accounts when accounts are also being managed by some other NSS Valid values are 'true', 'false', 'yes', 'no'. Requires features libuser. - **gid** The user's primary group. Can be specified numerically or by name. This attribute is not supported on Windows systems; use the ‘groups’ attribute instead. (On Windows, designating a primary group is only meaningful for domain accounts, which Puppet does not currently manage.) - **groups** The groups to which the user belongs. The primary group should not be listed, and groups should be identified by name rather than by GID. Multiple groups should be specified as an array. - **home** The home directory of the user. The directory must be created separately and is not currently checked for existence. - **ia_load_module** The name of the I&A module to use to manage this user. Requires features manages_aix_lam. - **iterations** This is the number of iterations of a chained computation of the password hash (http://en.wikipedia.org/wiki/PBKDF2). This parameter is used in OS X. This field is required for managing passwords on OS X >= 10.8. - **key_membership** Whether specified key/value pairs should be considered the **complete list** ('inclusive') or the **minimum list** ('minimum') of the user's attributes. Defaults to 'minimum'. Valid values are 'inclusive', 'minimum'. - **keys** Specify user attributes in an array of key = value pairs. Requires features manages_solaris_rbac. - **managehome** Whether to manage the home directory when managing the user. This will create the home directory when 'ensure => present', and delete the home directory when ‘ensure => absent’. Defaults to ‘false’. Valid values are ‘true’, ‘false’, ‘yes’, ‘no’. - **membership** Whether specified groups should be considered the **complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of groups to which the user belongs. Defaults to ‘minimum’. Valid values are ‘inclusive’, ‘minimum’. - **name** The user name. While naming limitations vary by operating system, it is advisable to restrict names to the lowest common denominator. - **password** The user's password, in whatever encrypted format the local system requires. * Most modern Unix-like systems use salted SHA1 password hashes. You can use Puppet's built-in ‘sha1’ function to generate a hash from a password. * Mac OS X 10.5 and 10.6 also use salted SHA1 hashes. * Mac OS X 10.7 (Lion) uses salted SHA512 hashes. The Puppet Labs [stdlib][] module contains a ‘str2saltedsha512’ function which can generate password hashes for Lion. * Mac OS X 10.8 and higher use salted SHA512 PBKDF2 hashes. When managing passwords on these systems the salt and iterations properties need to be specified as well as the password. [stdlib]: https://github.com/puppetlabs/puppetlabs-stdlib/ Be sure to enclose any value that includes a dollar sign ($) in single
quotes (') to avoid accidental variable interpolation.
Requires features manages_passwords.
- **password_max_age**
The maximum number of days a password may be used before it must be changed.
Requires features manages_password_age.
- **password_min_age**
The minimum number of days a password must be used before it may be changed.
Requires features manages_password_age.
- **profile_membership**
Whether specified roles should be treated as the **complete list**
(‘inclusive’) or the **minimum list** (‘minimum’) of roles
of which the user is a member. Defaults to ‘minimum’.
Valid values are ‘inclusive’, ‘minimum’.
- **profiles**
The profiles the user has. Multiple profiles should be
specified as an array.
Requires features manages_solaris_rbac.
- **project**
The name of the project associated with a user.
Requires features manages_solaris_rbac.
- **purge_ssh_keys**
Purge ssh keys authorized for the user
if they are not managed via ssh_authorized_keys.
When true, looks for keys in .ssh/authorized_keys in the user's home directory.
Possible values are true, false, or an array of
paths to file to search for authorized keys.
If a path starts with ~ or %h, this token is replaced with the user's home directory.
Valid values are ‘true’, ‘false’.
- **role_membership**
Whether specified roles should be considered the **complete list**
(‘inclusive’) or the **minimum list** (‘minimum’) of roles the user has.
Defaults to ‘minimum’.
Valid values are ‘inclusive’, ‘minimum’.
- **roles**
The roles the user has. Multiple roles should be
specified as an array.
Requires features manages_solaris_rbac.
- **salt**
This is the 32 byte salt used to generate the PBKDF2 password used in
OS X. This field is required for managing passwords on OS X >= 10.8.
Requires features manages_password_salt.
- **shell**
The user's login shell. The shell must exist and be
executable.
This attribute cannot be managed on Windows systems.
Requires features manages_shell.
- **system**
Whether the user is a system user, according to the OS's criteria;
on most platforms, a UID less than or equal to 500 indicates a system
user. Defaults to ‘false’.
Valid values are ‘true’, ‘false’, ‘yes’, ‘no’.
- **uid**
The user ID; must be specified numerically. If no user ID is
specified when creating a new user, then one will be chosen
automatically. This will likely result in the same user having
different UIDs on different systems, which is not recommended.
This is especially noteworthy when managing the same user on both Darwin and
other platforms, since Puppet does UID generation on Darwin, but
the underlying tools do so on other platforms.
On Windows, this property is read-only and will return the user's
security identifier (SID).
Providers
---------
- **aix**
User management for AIX.
* Required binaries: '/bin/chpasswd', '/usr/bin/chuser',
'/usr/bin/mkuser', '/usr/sbin/lsgroup', '/usr/sbin/lsuser',
'/usr/sbin/rmuser'.
* Default for ‘operatingsystem’ == ‘aix’.
* Supported features: ‘manages_aix_lam’, ‘manages_expiry’,
‘manages_homedir’, ‘manages_password_age’, ‘manages_passwords’,
‘manages_shell’.
- **directoryservice**
User management on OS X.
* Required binaries: ‘/usr/bin/dscacheutil’, ‘/usr/bin/dscl’,
‘/usr/bin/dsimport’, ‘/usr/bin/plutil’, ‘/usr/bin/uuidgen’.
* Default for ‘operatingsystem’ == ‘darwin’.
* Supported features: ‘manages_password_salt’, ‘manages_passwords’,
‘manages_shell’.
- **hpuxuseradd**
User management for HP-UX. This provider uses the undocumented ‘-F’
switch to HP-UX's special ‘usermod’ binary to work around the fact that
its standard ‘usermod’ cannot make changes while the user is logged in.
* Required binaries: ‘/usr/sam/lbin/useradd.sam’,
‘/usr/sam/lbin/userdel.sam’, ‘/usr/sam/lbin/usermod.sam’.
* Default for ‘operatingsystem’ == ‘hp-ux’.
* Supported features: ‘allows_duplicates’, ‘manages_homedir’,
‘manages_passwords’.
- **ldap**
User management via LDAP.
This provider requires that you have valid values for all of the
LDAP-related settings in ‘puppet.conf’, including ‘ldapbase’.
You will almost definitely need settings for ‘ldapuser’ and ‘ldappassword’ in order
for your clients to write to LDAP.
* Supported features: ‘manages_passwords’, ‘manages_shell’.
- **pw**
User management via ‘pw’ on FreeBSD and DragonFly BSD.
* Required binaries: ‘pw’.
* Default for ‘operatingsystem’ == ‘freebsd, dragonfly’.
* Supported features: ‘allows_duplicates’, ‘manages_expiry’,
‘manages_homedir’, ‘manages_passwords’, ‘manages_shell’.
- **user_role_add**
User and role management on Solaris, via ‘useradd’ and ‘roleadd’.
* Required binaries: ‘passwd’, ‘roleadd’, ‘roledel’, ‘rolemod’,
‘useradd’, ‘userdel’, ‘usermod’.
* Default for ‘osfamily’ == ‘solaris’.
* Supported features: ‘allows_duplicates’, ‘manages_homedir’,
‘manages_password_age’, ‘manages_passwords’, ‘manages_solaris_rbac’.
- **useradd**
User management via ‘useradd’ and its ilk. Note that you will need to
install Ruby's shadow password library (often known as ‘ruby-libshadow’)
if you wish to manage user passwords.
* Required binaries: ‘chage’, ‘luseradd’, ‘useradd’, ‘userdel’, ‘usermod’.
* Supported features: ‘allows_duplicates’, ‘libuser’, ‘manages_expiry’,
‘manages_homedir’, ‘manages_password_age’, ‘manages_passwords’,
‘manages_shell’, ‘system_users’.
- **windows_adsi**
Local user management for Windows.
* Default for 'operatingsystem' == 'windows'.
* Supported features: 'manages_homedir', 'manages_passwords'.
Ressource de test
Dans Puppet, tester une ressource indique directement qu'il faut d'abord appliquer les ressources que l'on souhaite utiliser pour configurer un nœud cible, de sorte que l'état de la machine change en conséquence.
Pour les tests, nous allons appliquer la ressource localement. Comme nous avons une ressource prédéfinie ci-dessus avecuser = vipin. Une manière d'appliquer une ressource est par CLI. Cela peut être fait en réécrivant la ressource complète dans une seule commande, puis en la passant à une sous-commande de ressource.
puppet resource user vipin ensure = present uid = '505'
shell = '/bin/bash' home = '/home/vipin'
Testez la ressource appliquée.
[root@puppetmaster ~]# cat /etc/passwd | grep "vipin"
vipin:x:505:501::/home/vipin:/bin/bash
La sortie ci-dessus montre que la ressource est appliquée au système et que nous avons un nouvel utilisateur créé avec le nom de Vipin. Il est conseillé de le tester vous-même car tous les codes ci-dessus sont testés et fonctionnent.
Templatingest une méthode pour obtenir des choses dans un format standard, qui peut être utilisé à plusieurs endroits. Dans Puppet, la création de modèles et les modèles sont pris en charge à l'aide d'erb qui fait partie de la bibliothèque Ruby standard, qui peut être utilisée sur d'autres projets en dehors de Ruby, comme dans les projets Ruby on Rails. En tant que pratique standard, il faut avoir une compréhension de base de Ruby. La création de modèles est très utile lorsque l'utilisateur tente de gérer le contenu d'un fichier modèle. Les modèles jouent un rôle clé lorsque les configurations ne peuvent pas être gérées par un type Puppet intégré.
Évaluation des modèles
Les modèles sont évalués à l'aide de fonctions simples.
$value = template ("testtemplate.erb")
On peut spécifier le chemin complet d'un modèle ou on peut extraire tous les modèles dans templatedir de Puppet, qui se trouve généralement dans / var / puppet / templates. On peut trouver l'emplacement du répertoire en exécutant le puppet –-configprint templatedir.
Les modèles sont toujours évalués par l'analyseur, et non par le client, ce qui signifie que si l'on utilise puppetmasterd, alors le modèle doit seulement être sur le serveur et il n'est jamais nécessaire de les télécharger sur le client. Il n'y a aucune différence sur la façon dont le client voit entre l'utilisation d'un modèle et la spécification de tout le contenu d'un fichier sous forme de chaîne. Cela indique clairement que les variables spécifiques au client sont apprises en premier par puppetmasterd pendant la phase de démarrage de la marionnette.
Utilisation de modèles
Voici un exemple de génération de la configuration tomcat pour les sites de test.
define testingsite($cgidir, $tracdir) { file { "testing-$name":
path => "/etc/tomcat/testing/$name.conf", owner => superuser, group => superuser, mode => 644, require => File[tomcatconf], content => template("testsite.erb"), notify => Service[tomcat] } symlink { "testsym-$name":
path => "$cgidir/$name.cgi",
ensure => "/usr/share/test/cgi-bin/test.cgi"
}
}
Voici la définition du modèle.
<Location "/cgi-bin/ <%= name %>.cgi">
SetEnv TEST_ENV "/export/svn/test/<%= name %>"
</Location>
# You need something like this to authenticate users
<Location "/cgi-bin/<%= name %>.cgi/login">
AuthType Basic
AuthName "Test"
AuthUserFile /etc/tomcat/auth/svn
Require valid-user
</Location>
Cela pousse chaque fichier de modèle dans un fichier séparé et il suffit alors de dire à Apache de charger ces fichiers de configuration.
Include /etc/apache2/trac/[^.#]*
Combinaison de modèles
Deux modèles peuvent être facilement combinés à l'aide de la commande suivante.
template('/path/to/template1','/path/to/template2')
Itération dans les modèles
Le modèle Puppet prend également en charge l'itération de tableau. Si la variable à laquelle on accède est un tableau, on peut l'itérer.
$values = [val1, val2, otherval]
Nous pouvons avoir des modèles comme celui-ci.
<% values.each do |val| -%>
Some stuff with <%= val %>
<% end -%>
La commande ci-dessus produira le résultat suivant.
Some stuff with val1
Some stuff with val2
Some stuff with otherval
Conditions dans les modèles
le erbla création de modèles prend en charge les conditions. La construction suivante est un moyen rapide et facile de placer conditionnellement un contenu dans un fichier.
<% if broadcast != "NONE" %> broadcast <%= broadcast %> <% end %>
Modèles et variables
On peut utiliser des modèles pour remplir des variables en plus de remplir le contenu du fichier.
testvariable = template('/var/puppet/template/testvar')
Variable indéfinie
Si l'on a besoin de vérifier si la variable est définie avant de l'utiliser, la commande suivante fonctionne.
<% if has_variable?("myvar") then %>
myvar has <%= myvar %> value
<% end %>
Variable hors de portée
On peut rechercher explicitement une variable hors de portée avec la fonction lookupvar.
<%= scope.lookupvar('apache::user') %>
Exemple de modèle de projet
<#Autogenerated by puppet. Do not edit.
[default]
#Default priority (lower value means higher priority)
priority = <%= @priority %>
#Different types of backup. Will be done in the same order as specified here.
#Valid options: rdiff-backup, mysql, command
backups = <% if @backup_rdiff %>rdiff-backup,
<% end %><% if @backup_mysql %>mysql,
<% end %><% if @backup_command %>command<% end %>
<% if @backup_rdiff -%>
[rdiff-backup]
<% if @rdiff_global_exclude_file -%>
global-exclude-file = <%= @rdiff_global_exclude_file %>
<% end -%>
<% if @rdiff_user -%>
user = <%= @rdiff_user %>
<% end -%>
<% if @rdiff_path -%>
path = <%= @rdiff_path %>
<% end -%>
#Optional extra parameters for rdiff-backup
extra-parameters = <%= @rdiff_extra_parameters %>
#How long backups are going to be kept
keep = <%= @rdiff_keep %>
<% end -%>
<% if @backup_mysql -%>%= scope.lookupvar('apache::user') %>
[mysql]
#ssh user to connect for running the backup
sshuser = <%= @mysql_sshuser %>
#ssh private key to be used
sshkey = <%= @backup_home %>/<%= @mysql_sshkey %>
<% end -%>
<% if @backup_command -%>
[command]
#Run a specific command on the backup server after the backup has finished
command = <%= @command_to_execute %>
<% end -%>
Les classes de marionnettes sont définies comme un ensemble de ressources, qui sont regroupées afin d'obtenir un nœud ou une machine cible dans un état souhaité. Ces classes sont définies dans les fichiers manifestes Puppet qui se trouvent dans les modules Puppet. Le but principal de l'utilisation d'une classe est de réduire la même répétition de code dans n'importe quel fichier manifeste ou tout autre code Puppet.
Voici un exemple de classe Puppet.
[root@puppetmaster manifests]# cat site.pp
class f3backup (
$backup_home = '/backup',
$backup_server = 'default', $myname = $::fqdn, $ensure = 'directory',
) {
include '::f3backup::common'
if ( $myname == '' or $myname == undef ) {
fail('myname must not be empty')
}
@@file { "${backup_home}/f3backup/${myname}":
# To support 'absent', though force will be needed
ensure => $ensure, owner => 'backup', group => 'backup', mode => '0644', tag => "f3backup-${backup_server}",
}
}
Dans l'exemple ci-dessus, nous avons deux clients où l'utilisateur doit exister. Comme on peut le remarquer, nous avons répété la même ressource deux fois. Une façon de ne pas faire la même tâche en combinant les deux nœuds.
[root@puppetmaster manifests]# cat site.pp
node 'Brcleprod001','Brcleprod002' {
user { 'vipin':
ensure => present,
uid => '101',
shell => '/bin/bash',
home => '/home/homer',
}
}
La fusion des nœuds de cette manière pour effectuer la configuration n'est pas une bonne pratique. Cela peut être simplement réalisé en créant une classe et en incluant la classe créée dans les nœuds, ce qui est montré comme suit.
class vipin_g01063908 {
user { 'g01063908':
ensure => present,
uid => '101',
shell => '/bin/bash',
home => '/home/g01063908',
}
}
node 'Brcleprod001' {
class {vipin_g01063908:}
}
node 'Brcleprod002' {
class {vipin_g01063908:}
}
Le point à noter est à quoi ressemble la structure de classe et comment nous avons ajouté une nouvelle ressource à l'aide du mot-clé class. Chaque syntaxe de Puppet a sa propre fonctionnalité. Par conséquent, la syntaxe choisie dépend des conditions.
Classe paramétrée
Comme dans l'exemple ci-dessus, nous avons vu comment créer une classe et l'inclure dans un nœud. Maintenant, il y a des situations où nous devons avoir différentes configurations sur chaque nœud, par exemple lorsque l'on a besoin d'avoir différents utilisateurs sur chaque nœud en utilisant la même classe. Cette fonctionnalité est fournie dans Puppet à l'aide d'une classe paramétrée. La configuration d'une nouvelle classe ressemblera à celle illustrée dans l'exemple suivant.
[root@puppetmaster ~]# cat /etc/puppet/manifests/site.pp
class user_account ($username){ user { $username:
ensure => present,
uid => '101',
shell => '/bin/bash',
home => "/home/$username",
}
}
node 'Brcleprod002' {
class { user_account:
username => "G01063908",
}
}
node 'Brcleprod002' {
class {user_account:
username => "G01063909",
}
}
Lorsque nous appliquons le manifeste site.pp ci-dessus sur les nœuds, la sortie de chaque nœud ressemblera à ce qui suit.
Brcleprod001
[root@puppetagent1 ~]# puppet agent --test
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for puppetagent1.testing.dyndns.org
Info: Applying configuration version '1419452655'
Notice: /Stage[main]/User_account/User[homer]/ensure: created
Notice: Finished catalog run in 0.15 seconds
[root@brcleprod001 ~]# cat /etc/passwd | grep "vipin"
G01063908:x:101:501::/home/G01063909:/bin/bash
Brcleprod002
[root@Brcleprod002 ~]# puppet agent --test
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for puppetagent2.testing.dyndns.org
Info: Applying configuration version '1419452725'
Notice: /Stage[main]/User_account/User[bart]/ensure: created
Notice: Finished catalog run in 0.19 seconds
[root@puppetagent2 ~]# cat /etc/passwd | grep "varsha"
G01063909:x:101:501::/home/G01063909:/bin/bash
On peut également définir la valeur par défaut d'un paramètre de classe comme indiqué dans le code suivant.
[root@puppetmaster ~]# cat /etc/puppet/manifests/site.pp
class user_account ($username = ‘g01063908'){
user { $username: ensure => present, uid => '101', shell => '/bin/bash', home => "/home/$username",
}
}
node 'Brcleprod001' {
class {user_account:}
}
node 'Brcleprod002' {
class {user_account:
username => "g01063909",
}
}
Puppet prend en charge les fonctions comme tout autre langage de programmation puisque le langage de développement de base de Puppet est Ruby. Il prend en charge deux types de fonctions connues sous le nom destatement et rvalue les fonctions.
Statementssont autonomes et n'ont aucun type de retour. Ils sont utilisés pour effectuer des tâches autonomes telles que l'importation d'autres modules Puppet dans le nouveau fichier manifeste.
Rvalue renvoie des valeurs et ne peut être utilisé que lorsque l'instruction requiert une valeur, telle qu'une affectation ou une instruction case.
La clé derrière l'exécution de la fonction dans Puppet est qu'elle ne s'exécute que sur Puppet master et qu'elle ne s'exécute pas sur le client ou l'agent Puppet. Par conséquent, ils n'ont accès qu'aux commandes et aux données disponibles sur le maître Puppet. Il existe différents types de fonctions qui sont déjà présentes et même l'utilisateur a le privilège de créer des fonctions personnalisées selon les besoins. Quelques fonctions intégrées sont répertoriées ci-dessous.
Fonction de fichier
La fonction de fichier de la ressource fichier est de charger un module dans Puppet et de renvoyer la sortie souhaitée sous la forme d'une chaîne. Les arguments recherchés sont la référence <nom du module> / <file>, qui aide à charger le module à partir du répertoire de fichiers du module Puppet.
Comme script / tesingscript.sh chargera les fichiers depuis <nom du module> /script/files/testingscript.sh. La fonction a la capacité de lire et d'accepter un chemin absolu, ce qui aide à charger le fichier de n'importe où sur le disque.
Inclure la fonction
Dans Puppet, la fonction include est très similaire à la fonction include de tout autre langage de programmation. Il est utilisé pour la déclaration d'une ou plusieurs classes, ce qui aboutit à évaluer toutes les ressources présentes à l'intérieur de ces classes et enfin à les ajouter à un catalogue. La façon dont cela fonctionne est que la fonction include accepte un nom de classe, une liste de classes ou une liste de noms de classes séparés par des virgules.
Une chose à garder à l'esprit lors de l'utilisation d'un includeest, il peut être utilisé plusieurs fois dans une classe mais a la limitation d'inclure une seule classe une seule fois. Si la classe incluse accepte un paramètre, la fonction include recherchera automatiquement leurs valeurs en utilisant <nom de la classe> :: <nom du paramètre> comme clé de recherche.
Inclure la fonction ne fait pas qu'une classe soit contenue dans la classe quand elle est déclarée, pour cela nous devons utiliser une fonction contenue. Il ne crée même pas de dépendance dans la classe déclarée et les classes qui l'entourent.
Dans la fonction include, seul le nom complet d'une classe est autorisé, les noms relatifs ne sont pas autorisés.
Fonction définie
Dans Puppet, la fonction définie aide à déterminer où une classe ou un type de ressource donné est défini et renvoie une valeur booléenne ou non. On peut également utiliser define pour déterminer si une ressource spécifique est définie ou si la variable définie a une valeur. Le point clé à garder à l'esprit lors de l'utilisation de la fonction définie est que cette fonction prend au moins un argument de chaîne, qui peut être un nom de classe, un nom de type, une référence de ressource ou une référence de variable de la forme «$ name».
Définissez des vérifications de fonction pour le type de fonction natif et défini, y compris les types fournis par les modules. Le type et la classe correspondent à leurs noms. La fonction correspond à la décélération de la ressource en utilisant la référence de ressource.
Définir les correspondances de fonctions
# Matching resource types
defined("file")
defined("customtype")
# Matching defines and classes
defined("testing")
defined("testing::java")
# Matching variables
defined('$name')
# Matching declared resources
defined(File['/tmp/file'])
Comme décrit dans le chapitre précédent, la fonction fournit à l'utilisateur le privilège de développer des fonctions personnalisées. Puppet peut étendre son pouvoir d'interprétation en utilisant des fonctions personnalisées. La fonction personnalisée permet d'augmenter et d'étendre la puissance des modules Puppet et des fichiers manifestes.
Écriture d'une fonction personnalisée
Il y a peu de choses à garder à l'esprit avant d'écrire une fonction.
Dans Puppet, les fonctions sont exécutées par des compilateurs, ce qui signifie que toutes les fonctions s'exécutent sur Puppet master et qu'elles n'ont pas besoin de traiter avec le client Puppet pour la même chose. Les fonctions ne peuvent interagir qu'avec les agents, à condition que les informations soient sous forme de faits.
Le maître Puppet attrape des fonctions personnalisées, ce qui signifie qu'il faut redémarrer le maître Puppet, si l'on fait quelques changements dans la fonction Puppet.
La fonction sera exécutée sur le serveur, ce qui signifie que tout fichier dont la fonction a besoin doit être présent sur le serveur, et on ne peut rien faire si la fonction nécessite un accès direct à la machine cliente.
Il existe complètement deux types de fonctions différentes disponibles, l'une est la fonction Rvalue qui renvoie la valeur et la fonction d'instruction qui ne renvoie rien.
Le nom du fichier contenant la fonction doit être le même que le nom de la fonction dans le fichier. Sinon, il ne sera pas chargé automatiquement.
Emplacement pour mettre la fonction personnalisée
Toutes les fonctions personnalisées sont implémentées séparément .rbfichiers et sont répartis entre les modules. Il faut mettre des fonctions personnalisées dans lib / puppet / parser / function. Les fonctions peuvent être chargées depuis.rb fichier à partir des emplacements suivants.
- $libdir/puppet/parser/functions
- sous-répertoires puppet / parser / functions dans votre Ruby $ LOAD_PATH
Créer une nouvelle fonction
De nouvelles fonctions sont créées ou définies à l'aide du newfunction méthode à l'intérieur du puppet::parser::Functionsmodule. Il faut passer le nom de la fonction comme symbole ànewfunctionméthode et le code à exécuter en tant que bloc. L'exemple suivant est une fonction qui est utilisée pour écrire une chaîne dans le fichier à l'intérieur du répertoire / user.
module Puppet::Parser::Functions
newfunction(:write_line_to_file) do |args|
filename = args[0]
str = args[1]
File.open(filename, 'a') {|fd| fd.puts str }
end
end
Une fois que l'utilisateur a déclaré la fonction, elle peut être utilisée dans le fichier manifeste comme indiqué ci-dessous.
write_line_to_file('/user/vipin.txt, "Hello vipin!")
Dans le modèle de développement et de livraison de logiciels, il existe différents types d'environnements de test qui sont utilisés pour tester un produit ou un service particulier. En tant que pratique standard, il existe principalement trois types d'environnements: développement, test et production, chacun ayant sa propre configuration d'ensemble.
Puppet prend en charge la gestion de plusieurs environnements sur la même ligne que Ruby on Rails. Le facteur clé derrière la création de ces environnements est de fournir un mécanisme simple de gestion à différents niveaux d'accord SLA. Dans certains cas, la machine doit toujours être opérationnelle sans aucune tolérance ni utilisation d'anciens logiciels. Où d'autres environnements sont à jour et sont utilisés à des fins de test. Ils sont utilisés pour les mises à niveau de machines plus importantes.
Puppet recommande de s'en tenir à la configuration standard de l'environnement de production, de test et de développement, cependant, ici, il offre même à l'utilisateur un effet de levier pour créer des environnements personnalisés selon les besoins.
Objectif environnemental
L'objectif principal de la configuration divisée par un environnement est que Puppet puisse avoir différentes sources pour les modules et les manifestes. On peut alors tester les changements de configuration dans l'environnement de test sans impacter les nœuds de production. Ces environnements peuvent également être utilisés pour déployer une infrastructure sur différentes sources de réseau.
Utilisation de l'environnement sur Puppet Master
Le but d'un environnement est de tester quel manifeste, module, modèle du fichier doit être envoyé au client. Ainsi, Puppet doit être configuré pour fournir une source spécifique à l'environnement pour ces informations.
Les environnements Puppet sont implémentés simplement en ajoutant les sections de pré-environnement au puppet.conf du serveur et en choisissant une source de configuration différente pour chaque environnement. Ces sections pré-environnement sont ensuite utilisées de préférence à la section principale.
[main]
manifest = /usr/testing/puppet/site.pp
modulepath = /usr/testing/puppet/modules
[development]
manifest = /usr/testing/puppet/development/site.pp
modulepath = /usr/testing/puppet/development/modules
Dans le code ci-dessus, tout client de l'environnement de développement utilisera le fichier manifeste site.pp situé dans le répertoire /usr/share/puppet/development et Puppet recherchera n'importe quel module dans /usr/share/puppet/development/modules directory.
L'exécution de Puppet avec ou sans environnement serait par défaut le fichier site.pp et le répertoire spécifié dans les valeurs manifest et modulepath dans la section de configuration principale.
Il n'y a que quelques configurations qui ont réellement du sens pour être configurées au préenvironnement, et tous ces paramètres tournent autour de la spécification des fichiers à utiliser pour compiler la configuration d'un client.
Voici les paramètres.
Modulepath- Dans Puppet, en tant que mode standard de base, il est préférable d'avoir un répertoire de module standard que tous les environnements partagent, puis un répertoire de pré-environnement où le module personnalisé peut être stocké. Le chemin du module est l'emplacement où Puppet recherche tous les fichiers de configuration liés à l'environnement.
Templatedir- Le répertoire des modèles est l'emplacement où toutes les versions des modèles associés sont enregistrées. Le module doit être préféré à ces paramètres, mais il permet d'avoir différentes versions d'un modèle donné dans chaque environnement.
Manifest - Ceci définit la configuration à utiliser comme script de point d'entrée.
Avec plusieurs modules, Puppets aide à obtenir la modularité des configurations. On peut utiliser plusieurs environnements dans Puppet qui fonctionne beaucoup mieux si l'on s'appuie largement sur des modules. Il est plus facile de migrer les modifications vers les environnements en encapsulant les modifications dans le module. Le serveur de fichiers utilise un chemin de module spécifique à l'environnement; si l'on fait le service de fichiers à partir de modules, au lieu de répertoires montés séparés, cet environnement pourra obtenir des fichiers spécifiques à l'environnement et enfin l'environnement actuel sera également disponible dans la variable $ environment dans le fichier manifeste.
Définition de l'environnement des clients
Toutes les configurations liées à la configuration de l'environnement se font sur le fichier puppet.conf. Pour spécifier l'environnement que le client Puppet doit utiliser, on peut spécifier une valeur pour la variable de configuration d'environnement dans le fichier puppet.conf du client.
[puppetd]
environment = Testing
La définition ci-dessus dans le fichier de configuration définit l'environnement du fichier de configuration dans notre cas, il est en train de tester.
On peut également le spécifier sur la ligne de commande en utilisant -
#puppetd -–environment = testing
Alternativement, Puppet prend également en charge l'utilisation de valeurs dynamiques dans la configuration de l'environnement. Plutôt que de définir les valeurs statiques, le développeur a un effet de levier pour créer des faits personnalisés qui créent un environnement client basé sur d'autres attributs client ou une source de données externe. La meilleure façon de procéder consiste à utiliser un outil personnalisé. Ces outils sont capables de spécifier l'environnement d'un nœud et sont généralement bien meilleurs pour spécifier les informations de nœud.
Chemin de recherche de marionnettes
Puppet utilise un chemin de recherche simple pour déterminer la configuration à appliquer sur la machine cible. De la même manière, le chemin de recherche dans Puppet est très utile lorsqu'il tente de sélectionner les valeurs appropriées qui doivent être appliquées. Il existe plusieurs emplacements répertoriés ci-dessous où Puppet recherche les valeurs qui doivent être appliquées.
- Valeur spécifiée dans la ligne de commande
- Valeurs spécifiées dans une section spécifique à l'environnement
- Valeurs spécifiées dans une section spécifique à l'exécutable
- Valeurs spécifiées dans la section principale
Les types de marionnettes sont utilisés pour la gestion de la configuration individuelle. Puppet a différents types comme un type de service, un type de package, un type de fournisseur, etc. Dans lequel chaque type a des fournisseurs. Le fournisseur gère la configuration sur différentes plates-formes ou outils. Par exemple, le type de package a des fournisseurs aptitude, yum, rpm et DGM. Il existe de nombreux types et Puppet couvre un bon élément de gestion de la configuration du spectre qui doit être géré.
Puppet utilise Ruby comme langue de base. Tous les types et fournisseurs de marionnettes présents sont écrits en langage Ruby. Comme il suit le format d'encodage standard, on peut simplement les créer comme indiqué dans l'exemple pour repo qui gère les référentiels. Ici, nous allons créer le référentiel de types et les svn et git des fournisseurs. La première partie du type de référentiel est le type lui-même. Les types sont généralement stockés dans lib / puppet / type. Pour cela, nous allons créer un fichier appelérepo.rb.
$ touch repo.rb
Ajoutez le contenu suivant dans le fichier.
Puppet::Type.newtype(:repo) do
@doc = "Manage repos"
Ensurable
newparam(:source) do
desc "The repo source"
validate do |value|
if value =~ /^git/
resource[:provider] = :git
else
resource[:provider] = :svn
end
end
isnamevar
end
newparam(:path) do
desc "Destination path"
validate do |value|
unless value =~ /^\/[a-z0-9]+/
raise ArgumentError , "%s is not a valid file path" % value
end
end
end
end
Dans le script ci-dessus, nous avons créé un bloc "Puppet::Type.newtype(:repo) do"qui crée un nouveau type avec le nom repo. Ensuite, nous avons @doc qui aide à ajouter le niveau de détails que l'on souhaite ajouter. L'instruction suivante est Ensurable; elle crée une propriété de base de garantie. Le type de marionnette utilise ensure propriété pour déterminer l'état de l'élément de configuration.
Exemple
service { "sshd":
ensure => present,
}
L'instruction s'assure indique à Puppet d'exclure trois méthodes: créer, détruire et exister dans le fournisseur. Ces méthodes fournissent les fonctionnalités suivantes -
- Une commande pour créer une ressource
- Une commande pour supprimer une ressource
- Une commande pour vérifier l'existence d'une ressource
Il ne reste plus qu'à spécifier ces méthodes et leur contenu. Puppet crée l'infrastructure de soutien autour d'eux.
Ensuite, nous définissons un nouveau paramètre appelé source.
newparam(:source) do
desc "The repo source"
validate do |value|
if value =~ /^git/
resource[:provider] = :git
else
resource[:provider] = :svn
end
end
isnamevar
end
La source indiquera au type de référentiel où récupérer / cloner / extraire le référentiel source. En cela, nous utilisons également un hook appelé validate. Dans la section provider, nous avons défini git et svn qui vérifient la validité du référentiel que nous avons défini.
Enfin, dans le code, nous avons défini un autre paramètre appelé path.
newparam(:path) do
desc "Destination path"
validate do |value|
unless value =~ /^\/[a-z0-9]+/
raise ArgumentError , "%s is not a valid file path" % value
end
Il s'agit du type de valeur qui spécifie où placer le nouveau code récupéré. Ici, utilisez à nouveau le crochet de validation pour créer un bloc qui vérifie la valeur de pertinence.
Cas d'utilisation du fournisseur Subversion
Commençons par le fournisseur de subversion en utilisant le type créé ci-dessus.
require 'fileutils'
Puppet::Type.type(:repo).provide(:svn) do
desc "SVN Support"
commands :svncmd => "svn"
commands :svnadmin => "svnadmin"
def create
svncmd "checkout", resource[:name], resource[:path]
end
def destroy
FileUtils.rm_rf resource[:path]
end
def exists?
File.directory? resource[:path]
end
end
Dans le code ci-dessus, nous avons défini à l'avance ce dont nous avons besoin fileutils bibliothèque, exiger 'fileutils' dont nous allons utiliser la méthode.
Ensuite, nous avons défini le fournisseur comme bloc Puppet :: Type.type (: repo) .provide (: svn) do qui indique à Puppet qu'il s'agit du fournisseur du type appelé repo.
Ensuite, nous avons ajouté descce qui permet d'ajouter de la documentation au fournisseur. Nous avons également défini la commande que ce fournisseur utilisera. Dans la ligne suivante, nous vérifions les fonctionnalités des ressources telles que créer, supprimer et exister.
Créer une ressource
Une fois que tout ce qui précède est fait, nous créerons une ressource qui sera utilisée dans nos classes et nos fichiers manifestes comme indiqué dans le code suivant.
repo { "wp":
source => "http://g01063908.git.brcl.org/trunk/",
path => "/var/www/wp",
ensure => present,
}
Puppet utilise les API RESTful comme canal de communication entre le maître Puppet et les agents Puppet. Voici l'URL de base pour accéder à cette API RESTful.
https://brcleprod001:8140/{environment}/{resource}/{key}
https://brcleprod001:8139/{environment}/{resource}/{key}
Sécurité de l'API REST
Puppet s'occupe généralement de la sécurité et de la gestion des certificats SSL. Cependant, si l'on souhaite utiliser l'API RESTful en dehors du cluster, il faut gérer le certificat lui-même, lors de la tentative de connexion à une machine. La politique de sécurité de Puppet peut être configurée via le fichier authconfig restant.
Test de l'API REST
L'utilitaire Curl peut être utilisé comme un utilitaire de base pour rétablir la connectivité API RESTful. Voici un exemple de la façon dont nous pouvons récupérer le catalogue de nœuds à l'aide de la commande curl de l'API REST.
curl --cert /etc/puppet/ssl/certs/brcleprod001.pem --key
/etc/puppet/ssl/private_keys/brcleprod001.pem
Dans l'ensemble de commandes suivant, nous définissons simplement le certificat SSL, qui sera différent selon l'emplacement du répertoire SSL et le nom du nœud utilisé. Par exemple, regardons la commande suivante.
curl --insecure -H 'Accept: yaml'
https://brcleprod002:8140/production/catalog/brcleprod001
Dans la commande ci-dessus, nous envoyons simplement un en-tête spécifiant le ou les formats que nous voulons récupérer et une URL RESTful pour générer un catalogue de brcleprod001 dans l'environnement de production, générera la sortie suivante.
--- &id001 !ruby/object:Puppet::Resource::Catalog
aliases: {}
applying: false
classes: []
...
Supposons un autre exemple, où nous voulons récupérer le certificat CA du maître Puppet. Il ne nécessite pas d'être authentifié avec son propre certificat SSL signé car c'est quelque chose qui est nécessaire avant d'être authentifié.
curl --insecure -H 'Accept: s' https://brcleprod001:8140/production/certificate/ca
-----BEGIN CERTIFICATE-----
MIICHTCCAYagAwIBAgIBATANBgkqhkiG9w0BAQUFADAXMRUwEwYDVQQDDAxwdXBw
Référence des API partagées Puppet Master et Agent
GET /certificate/{ca, other}
curl -k -H "Accept: s" https://brcelprod001:8140/production/certificate/ca
curl -k -H "Accept: s" https://brcleprod002:8139/production/certificate/brcleprod002
Référence de l'API Puppet Master
Ressources authentifiées (certificat valide et signé requis).
Catalogues
GET /{environment}/catalog/{node certificate name}
curl -k -H "Accept: pson" https://brcelprod001:8140/production/catalog/myclient
Liste de révocation de certificat
GET /certificate_revocation_list/ca
curl -k -H "Accept: s" https://brcleprod001:8140/production/certificate/ca
Demande de certificat
GET /{environment}/certificate_requests/{anything} GET
/{environment}/certificate_request/{node certificate name}
curl -k -H "Accept: yaml" https://brcelprod001:8140/production/certificate_requests/all
curl -k -H "Accept: yaml" https://brcleprod001:8140/production/certificate_request/puppetclient
Rapports Soumettre un rapport
PUT /{environment}/report/{node certificate name}
curl -k -X PUT -H "Content-Type: text/yaml" -d "{key:value}" https://brcleprod002:8139/production
Nœud - Faits concernant un nœud spécifique
GET /{environment}/node/{node certificate name}
curl -k -H "Accept: yaml" https://brcleprod002:8140/production/node/puppetclient
Statut - Utilisé pour les tests
GET /{environment}/status/{anything}
curl -k -H "Accept: pson" https://brcleprod002:8140/production/certificate_request/puppetclient
Référence de l'API Puppet Agent
Lorsqu'un nouvel agent est configuré sur une machine, par défaut, l'agent Puppet n'écoute pas la requête HTTP. Il doit être activé dans Puppet en ajoutant «listen = true» dans le fichier puppet.conf. Cela permettra aux agents Puppet d'écouter la requête HTTP lors du démarrage de l'agent Puppet.
Les faits
GET /{environment}/facts/{anything}
curl -k -H "Accept: yaml" https://brcelprod002:8139/production/facts/{anything}
Run - Provoque la mise à jour du client comme un tour de marionnette ou un coup de pied de marionnette.
PUT /{environment}/run/{node certificate name}
curl -k -X PUT -H "Content-Type: text/pson" -d "{}"
https://brcleprod002:8139/production/run/{anything}
Afin d'effectuer les tests en direct de l'application de la configuration et des manifestes sur le nœud Puppet, nous utiliserons une démo de travail en direct. Cela peut être directement copié et collé pour tester le fonctionnement de la configuration. Si l'utilisateur souhaite utiliser le même ensemble de code, il doit avoir la même convention de dénomination que celle indiquée dans les extraits de code comme suit.
Commençons par la création d'un nouveau module.
Créer un nouveau module
La première étape du test et de l'application de la configuration httpd consiste à créer un module. Pour ce faire, l'utilisateur doit changer son répertoire de travail en répertoire de module Puppet et créer une structure de module de base. La création de la structure peut être effectuée manuellement ou en utilisant Puppet pour créer un passe-partout pour le module.
# cd /etc/puppet/modules
# puppet module generate Live-module
Note - La commande de génération du module Puppet nécessite que le nom du module prenne le format [nom d'utilisateur] - [module] pour se conformer aux spécifications de Puppet forge.
Le nouveau module contient quelques fichiers de base, y compris un répertoire de manifeste. Le répertoire contient déjà un manifeste nommé init.pp, qui est le fichier manifeste principal des modules. Il s'agit d'une déclaration de classe vide pour le module.
class live-module {
}
Le module contient également un répertoire de test contenant un manifeste appelé init.pp. Ce manifeste de test contient une référence à la classe live-module dans manifest / init.pp:
include live-module
Puppet utilisera ce module de test pour tester le manifeste. Nous sommes maintenant prêts à ajouter la configuration au module.
Installer un serveur HTTP
Le module Puppet installera les packages nécessaires pour exécuter le serveur http. Cela nécessite une définition de ressource qui définit la configuration des packages httpd.
Dans le répertoire manifest du module, créez un nouveau fichier manifeste appelé httpd.pp
# touch test-module/manifests/httpd.pp
Ce manifeste contiendra toute la configuration HTTP de notre module. À des fins de séparation, nous garderons le fichier httpd.pp séparé du fichier manifeste init.pp
Nous devons mettre le code suivant dans le fichier manifeste httpd.pp.
class test-module::httpd {
package { 'httpd':
ensure => installed,
}
}
Ce code définit une sous-classe de test-module appelée httpd, puis définit une déclaration de ressource de package pour le package httpd. L'attribut ensure => installed vérifie si le package requis est installé. S'il n'est pas installé, Puppet utilise l'utilitaire yum pour l'installer. Ensuite, il faut inclure cette sous-classe dans notre fichier manifeste principal. Nous devons éditer le manifeste init.pp.
class test-module {
include test-module::httpd
}
Maintenant, c'est le moment de tester le module qui pourrait être fait comme suit
# puppet apply test-module/tests/init.pp --noop
La commande puppet apply applique la configuration présente dans le fichier manifeste sur le système cible. Ici, nous utilisons le test init.pp qui fait référence au principal init.pp. –Noop exécute l'exécution à sec de la configuration, qui n'affiche que la sortie mais ne fait rien.
Voici la sortie.
Notice: Compiled catalog for puppet.example.com in environment
production in 0.59 seconds
Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure:
current_value absent, should be present (noop)
Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 1
events
Notice: Stage[main]: Would have triggered 'refresh' from 1 events
Notice: Finished catalog run in 0.67 seconds
La ligne en surbrillance est le résultat de l'attribut ensure => installed. La valeur current_value absente signifie que Puppet a détecté que le package httpd est installé. Sans l'option –noop, Puppet installera le package httpd.
Exécution du serveur httpd
Après avoir installé les serveurs httpd, nous devons démarrer le service en utilisant une autre décélération des ressources: Service
Nous devons éditer le fichier manifeste httpd.pp et éditer le contenu suivant.
class test-module::httpd {
package { 'httpd':
ensure => installed,
}
service { 'httpd':
ensure => running,
enable => true,
require => Package["httpd"],
}
}
Voici la liste des objectifs que nous avons atteints à partir du code ci-dessus.
le ensure => l'état d'exécution vérifie si le service est en cours d'exécution, sinon il l'active.
le enable => L'attribut true définit le service pour qu'il s'exécute au démarrage du système.
le require => Package["httpd"]L'attribut définit une relation de classement entre une décélération de ressource et une autre. Dans le cas ci-dessus, il garantit que le service httpd démarre après l'installation du package http. Cela crée une dépendance entre le service et le package respectif.
Exécutez la commande puppet apply pour tester à nouveau les modifications.
# puppet apply test-module/tests/init.pp --noop
Notice: Compiled catalog for puppet.example.com in environment
production in 0.56 seconds
Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure:
current_value absent, should be present (noop)
Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure:
current_value stopped, should be running (noop)
Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 2
events
Notice: Stage[main]: Would have triggered 'refresh' from 1 events
Notice: Finished catalog run in 0.41 seconds
Configuration du serveur httpd
Once the above steps are completed, we will have HTTP server installed and enabled. The next step is to provide some configuration to the server. By default, httpd provides some default configurations in /etc/httpd/conf/httpd.conf which provides a webhost port 80. We will add some additional host to provide some user-specific facilities to the web-host.
A template will be used to provide additional port as it requires a variable input. We will create a directory called template and add a file called test-server.config.erb in the new director and add the following content.
Listen <%= @httpd_port %>
NameVirtualHost *:<% = @httpd_port %>
<VirtualHost *:<% = @httpd_port %>>
DocumentRoot /var/www/testserver/
ServerName <% = @fqdn %>
<Directory "/var/www/testserver/">
Options All Indexes FollowSymLinks
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
The above template follows the standard apache-tomcat server configuration format. The only difference is the use of Ruby escape character to inject variables from the module. We have FQDN which stores fully qualified domain name of the system. This is known as the system fact.
System facts are collected from each system prior to generating each respective system’s puppet catalog. Puppet uses the facter command to get this information and one can use facter to get other details regarding the system. We need to add the highlight lines in httpd.pp manifest file.
class test-module::httpd {
package { 'httpd':
ensure => installed,
}
service { 'httpd':
ensure => running,
enable => true,
require => Package["httpd"],
}
file {'/etc/httpd/conf.d/testserver.conf':
notify => Service["httpd"],
ensure => file,
require => Package["httpd"],
content => template("test-module/testserver.conf.erb"),
}
file { "/var/www/myserver":
ensure => "directory",
}
}
This helps in achieving the following things −
This adds a file resource declaration for the server configuration file (/etc/httpd/conf.d/test-server.conf). The content of this file is the test-serverconf.erb template that was created earlier. We also check the httpd package installed before adding this file.
This adds the second file resource declaration which creates a directory (/var/www/test-server) for the web server.
Next, we add the relationship between the configuration file and the https service using the notify => Service["httpd"]attribute. This checks if there are any configuration file changes. If there is, then Puppet restarts the service.
Next is to include the httpd_port in the main manifest file. For this, we need to end the main init.pp manifest file and include the following content.
class test-module (
$http_port = 80
) {
include test-module::httpd
}
This sets the httpd port to the default value of 80. Next is to run the Puppet apply command.
Following will be the output.
# puppet apply test-module/tests/init.pp --noop
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera
defaults
Notice: Compiled catalog for puppet.example.com in environment
production in 0.84 seconds
Notice: /Stage[main]/test-module::Httpd/File[/var/www/myserver]/ensure:
current_value absent, should be directory (noop)
Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure:
current_value absent, should be present (noop)
Notice:
/Stage[main]/test-module::Httpd/File[/etc/httpd/conf.d/myserver.conf]/ensure:
current_value absent, should be file (noop)
Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure:
current_value stopped, should be running (noop)
Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 4
events
Notice: Stage[main]: Would have triggered 'refresh' from 1 events
Notice: Finished catalog run in 0.51 seconds
Configuring the Firewall
In order to communicate with the server one requires an open port. The problem here is that different kind of operating systems use different methods of controlling the firewall. In case of Linux, versions below 6 use iptables and version 7 use firewalld.
This decision of using an appropriate service is somewhat handled by Puppet using the system facts and its logic. For this, we need to first check the OS and then run the appropriate firewall command.
In order to achieve this, we need to add the following code snippet inside testmodule::http class.
if $operatingsystemmajrelease <= 6 {
exec { 'iptables':
command => "iptables -I INPUT 1 -p tcp -m multiport --ports
${httpd_port} -m comment --comment 'Custom HTTP Web Host' -j ACCEPT && iptables-save > /etc/sysconfig/iptables", path => "/sbin", refreshonly => true, subscribe => Package['httpd'], } service { 'iptables': ensure => running, enable => true, hasrestart => true, subscribe => Exec['iptables'], } } elsif $operatingsystemmajrelease == 7 {
exec { 'firewall-cmd':
command => "firewall-cmd --zone=public --addport = $ {
httpd_port}/tcp --permanent",
path => "/usr/bin/",
refreshonly => true,
subscribe => Package['httpd'],
}
service { 'firewalld':
ensure => running,
enable => true,
hasrestart => true,
subscribe => Exec['firewall-cmd'],
}
}
The above code performs the following −
Using the operatingsystemmajrelease determines whether the OS which is used is version 6 or 7.
If the version is 6, then it runs all the required configuration commands to configure Linux 6 version.
If OS version is 7, then it runs all the required commands required to configure the firewall.
The code snippet for both the OS contains a logic which ensures that the configuration runs only after the http package is installed.
Finally, run the Puppet apply command.
# puppet apply test-module/tests/init.pp --noop
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera
defaults
Notice: Compiled catalog for puppet.example.com in environment
production in 0.82 seconds
Notice: /Stage[main]/test-module::Httpd/Exec[iptables]/returns:
current_value notrun, should be 0 (noop)
Notice: /Stage[main]/test-module::Httpd/Service[iptables]: Would have
triggered 'refresh' from 1 events
Configuring the SELinux
As we are working on a Linux machine which is version 7 and above, hence we need to configure it to make a http communication. SELinux restricts non-standard access to the HTTP server by default. If we define a custom port, then we need to configure the SELinux to provide access to that port.
Puppet contains some resource type to manage SELinux functions, such as Booleans and modules. Here, we need to execute semanage command to manage port settings. This tools is a part of policycoreutils-python package, which is not installed on red-hat servers by default. In order to achieve the above, we need to add the following code inside the test-module::http class.
exec { 'semanage-port':
command => "semanage port -a -t http_port_t -p tcp ${httpd_port}",
path => "/usr/sbin",
require => Package['policycoreutils-python'],
before => Service ['httpd'],
subscribe => Package['httpd'],
refreshonly => true,
}
package { 'policycoreutils-python':
ensure => installed,
}
The above code performs the following −
The require => Package['policycoreutils-python'] ensures that we have the required python module installed.
Puppet uses semanage to open the port using the httpd_port as a veriable.
The before => service ensures to execute this command before httpd service starts. If HTTPD starts before SELinux command, then SELinux the service request and the service request fails.
Finally, run the Puppet apply command
# puppet apply test-module/tests/init.pp --noop
...
Notice: /Stage[main]/test-module::Httpd/Package[policycoreutilspython]/
ensure: current_value absent, should be present (noop)
...
Notice: /Stage[main]/test-module::Httpd/Exec[semanage-port]/returns:
current_value notrun, should be 0 (noop)
...
Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure:
current_value stopped, should be running (noop)
Puppet installs the python module first and then configures the port access and finally starts the httpd service.
Copying HTML Files in the Web Host
With the above steps we have completed the http server configuration. Now, we have a platform ready to install a web-based application, which Puppet can also configure. To test, we will copy some sample html index web pages to the server.
Create an index.html file inside the files directory.
<html>
<head>
<title>Congratulations</title>
<head>
<body>
<h1>Congratulations</h1>
<p>Your puppet module has correctly applied your configuration.</p>
</body>
</html>
Create a manifest app.pp inside the manifest directory and add the following content.
class test-module::app {
file { "/var/www/test-server/index.html":
ensure => file,
mode => 755,
owner => root,
group => root,
source => "puppet:///modules/test-module/index.html",
require => Class["test-module::httpd"],
}
}
This new class contains a single resource deceleration. This copies a file from the module’s file directory to the web server and sets its permissions. The required attribute ensures the test-module::http class completes the configuration successfully before one applies test-module::app.
Finally, we need to include a new manifest in our main init.pp manifest.
class test-module (
$http_port = 80
) {
include test-module::httpd
include test-module::app
}
Now, run the apply command to actually test what is happening. Following will be the output.
# puppet apply test-module/tests/init.pp --noop
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera
defaults
Notice: Compiled catalog for brcelprod001.brcle.com in environment
production in 0.66 seconds
Notice: /Stage[main]/Test-module::Httpd/Exec[iptables]/returns:
current_value notrun, should be 0 (noop)
Notice: /Stage[main]/Test-module::Httpd/Package[policycoreutilspython]/
ensure: current_value absent, should be present (noop)
Notice: /Stage[main]/Test-module::Httpd/Service[iptables]: Would have
triggered 'refresh' from 1 events
Notice: /Stage[main]/Test-module::Httpd/File[/var/www/myserver]/ensure:
current_value absent, should be directory (noop)
Notice: /Stage[main]/Test-module::Httpd/Package[httpd]/ensure:
current_value absent, should be present (noop)
Notice:
/Stage[main]/Test-module::Httpd/File[/etc/httpd/conf.d/myserver.conf]/ensur
e: current_value absent, should be file (noop)
Notice: /Stage[main]/Test-module::Httpd/Exec[semanage-port]/returns:
current_value notrun, should be 0 (noop)
Notice: /Stage[main]/Test-module::Httpd/Service[httpd]/ensure:
current_value stopped, should be running (noop)
Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 8
Notice:
/Stage[main]/test-module::App/File[/var/www/myserver/index.html]/ensur:
current_value absent, should be file (noop)
Notice: Class[test-module::App]: Would have triggered 'refresh' from 1
Notice: Stage[main]: Would have triggered 'refresh' from 2 events Notice:
Finished catalog run in 0.74 seconds
The highlighted line shows the result of index.html file being copied to the web-host.
Finalizing the Module
With all the above steps, our new module that we created is ready to use. If we want to create an archive of the module, it can be done using the following command.
# puppet module build test-module