Marionnette - Guide rapide

Puppet est un outil de gestion de configuration développé par Puppet Labs afin d'automatiser la gestion et la configuration de l'infrastructure. Puppet est un outil très puissant qui aide dans le concept d'infrastructure en tant que code. Cet outil est écrit en langage Ruby DSL qui aide à convertir une infrastructure complète au format de code, qui peut être facilement gérée et configurée.

Puppet suit le modèle client-serveur, où une machine dans n'importe quel cluster agit en tant que serveur, connu sous le nom de Puppet Master et l'autre agit en tant que client connu comme esclave sur les nœuds. Puppet a la capacité de gérer n'importe quel système à partir de zéro, de la configuration initiale à la fin de vie d'une machine particulière.

Caractéristiques du système de marionnettes

Voici les caractéristiques les plus importantes de Puppet.

Idempotence

Puppet prend en charge l'Idempotency, ce qui le rend unique. Semblable à Chef, dans Puppet, on peut exécuter en toute sécurité le même ensemble de configuration plusieurs fois sur la même machine. Dans ce flux, Puppet vérifie l'état actuel de la machine cible et n'apportera des modifications qu'en cas de modification spécifique de la configuration.

L'idempotence aide à gérer une machine particulière tout au long de son cycle de vie à partir de la création de la machine, des changements de configuration de la machine, jusqu'à la fin de vie. La fonction Puppet Idempotency est très utile pour maintenir la machine à jour pendant des années plutôt que de reconstruire la même machine plusieurs fois, en cas de changement de configuration.

Multiplateforme

Dans Puppet, avec l'aide de Resource Abstraction Layer (RAL) qui utilise les ressources Puppet, on peut cibler la configuration spécifiée du système sans se soucier des détails d'implémentation et du fonctionnement de la commande de configuration à l'intérieur du système, qui sont définis dans la configuration sous-jacente fichier.

Marionnette - Flux de travail

Puppet utilise le flux de travail suivant pour appliquer la configuration sur le système.

  • Dans Puppet, la première chose que fait le maître Puppet est de collecter les détails de la machine cible. En utilisant le facteur présent sur tous les nœuds Puppet (similaire à Ohai dans Chef), il obtient tous les détails de configuration au niveau de la machine. Ces détails sont collectés et renvoyés au maître des marionnettes.

  • Ensuite, le maître marionnettiste compare la configuration récupérée avec les détails de configuration définis, et avec la configuration définie, il crée un catalogue et l'envoie aux agents Puppet ciblés.

  • L'agent Puppet applique ensuite ces configurations pour amener le système dans un état souhaité.

  • Enfin, une fois que le nœud cible est dans un état souhaité, il renvoie un rapport au maître Puppet, ce qui aide le maître Puppet à comprendre où se trouve l'état actuel du système, tel que défini dans le catalogue.

Puppet - Composants clés

Voici les composants clés de Puppet.

Ressources de marionnettes

Les ressources Puppet sont les composants clés pour modéliser une machine particulière. Ces ressources ont leur propre modèle d'implémentation. Puppet utilise le même modèle pour obtenir une ressource particulière dans l'état souhaité.

Fournisseurs

Les fournisseurs sont essentiellement des fournisseurs de toute ressource particulière utilisée dans Puppet. Par exemple, le type de package 'apt-get' et 'yum' sont tous deux valides pour la gestion des packages. Parfois, plusieurs fournisseurs seraient disponibles sur une plate-forme particulière. Bien que chaque plate-forme ait toujours un fournisseur par défaut.

Manifeste

Manifest est une collection de ressources qui sont couplées à l'intérieur de la fonction ou des classes pour configurer n'importe quel système cible. Ils contiennent un ensemble de code Ruby afin de configurer un système.

Modules

Le module est le bloc de construction clé de Puppet, qui peut être défini comme une collection de ressources, fichiers, modèles, etc. Ils peuvent être facilement distribués entre différents types d'OS étant définis qu'ils sont de la même saveur. Comme ils peuvent être facilement distribués, un module peut être utilisé plusieurs fois avec la même configuration.

Modèles

Les modèles utilisent des expressions Ruby pour définir le contenu personnalisé et l'entrée de variable. Ils sont utilisés pour développer du contenu personnalisé. Les modèles sont définis dans les manifestes et sont copiés vers un emplacement du système. Par exemple, si l'on veut définir httpd avec un port personnalisable, alors cela peut être fait en utilisant l'expression suivante.

Listen <% = @httpd_port %>

La variable httpd_port dans ce cas est définie dans le manifeste qui fait référence à ce modèle.

Fichiers statiques

Les fichiers statiques peuvent être définis comme un fichier général qui sont parfois nécessaires pour effectuer des tâches spécifiques. Ils peuvent être simplement copiés d'un endroit à un autre à l'aide de Puppet. Tous les fichiers statiques sont situés dans le répertoire des fichiers de n'importe quel module. Toute manipulation du fichier dans un manifeste est effectuée à l'aide de la ressource fichier.

Voici la représentation schématique de l'architecture Puppet.

Maître de la marionnette

Puppet Master est le mécanisme clé qui gère tous les éléments liés à la configuration. Il applique la configuration aux nœuds à l'aide de l'agent Puppet.

Agent de marionnettes

Les agents de marionnettes sont les machines de travail réelles qui sont gérées par le maître de marionnettes. Ils ont le service de démon de l'agent Puppet en cours d'exécution.

Référentiel de configuration

Il s'agit du dépôt où tous les nœuds et les configurations liées au serveur sont enregistrés et extraits lorsque cela est nécessaire.

Les faits

Factssont les détails liés au nœud ou à la machine maître, qui sont essentiellement utilisés pour analyser l'état actuel de n'importe quel nœud. Sur la base des faits, les modifications sont effectuées sur n'importe quelle machine cible. Il existe des faits prédéfinis et personnalisés dans Puppet.

Catalogue

Tous les fichiers manifestes ou la configuration écrits dans Puppet sont d'abord convertis dans un format compilé appelé catalogue, puis ces catalogues sont appliqués sur la machine cible.

Puppet fonctionne sur l'architecture client-serveur, dans laquelle nous appelons le serveur en tant que maître Puppet et le client en tant que nœud Puppet. Cette configuration est réalisée en installant Puppet à la fois sur le client et sur toutes les machines serveur.

Pour la plupart des plates-formes, Puppet peut être installé via le gestionnaire de paquets de votre choix. Cependant, pour quelques plates-formes, cela peut être fait en installant letarball ou RubyGems.

Conditions préalables

Le facteur est le seul pré-requis qui ne vient pas avec Ohai qui est présent dans Chef.

Bibliothèque de système d'exploitation standard

Nous avons besoin d'un ensemble standard de bibliothèques de tout système d'exploitation sous-jacent. Le reste du système est fourni avec les versions Ruby 1.8.2 +. Voici la liste des éléments de bibliothèque, dont un système d'exploitation doit être constitué.

  • base64
  • cgi
  • digest/md5
  • etc
  • fileutils
  • ipaddr
  • openssl
  • strscan
  • syslog
  • uri
  • webrick
  • webrick/https
  • xmlrpc

Installation de Facter

Comme discuté, le facterne vient pas avec l'édition standard de Ruby. Ainsi, pour obtenir le facter dans le système cible, il faut l'installer manuellement à partir de la source car la bibliothèque de facter est un pré-requis de Puppet.

Ce package est disponible pour plusieurs plates-formes, mais pour être plus sûr, il peut être installé à l'aide de tarball, ce qui aide à obtenir la dernière version.

Tout d'abord, téléchargez le tarball depuis le site officiel de Puppet en utilisant le wget utilitaire.

$ wget http://puppetlabs.com/downloads/facter/facter-latest.tgz  ------: 1

Ensuite, décompressez le fichier tar. Entrez dans le répertoire non taré à l'aide de la commande CD. Enfin, installez le facter en utilisantinstall.rb fichier présent dans le facter annuaire.

$ gzip -d -c facter-latest.tgz | tar xf - -----: 2 
$ cd facter-* ------: 3 $ sudo ruby install.rb # or become root and run install.rb -----:4

Installer Puppet à partir de la source

Tout d'abord, installez l'archive tar de Puppet à partir du site Puppet en utilisant wget. Ensuite, extrayez l'archive tar vers un emplacement cible. Déplacez-vous dans le répertoire créé en utilisant leCDcommander. En utilisantinstall.rb fichier, installez Puppet sur le serveur sous-jacent.

# get the latest tarball 
$ wget http://puppetlabs.com/downloads/puppet/puppet-latest.tgz -----: 1 # untar and install it $ gzip -d -c puppet-latest.tgz | tar xf - ----: 2 
$ cd puppet-* ------: 3 $ sudo ruby install.rb # or become root and run install.rb -------: 4

Installer Puppet et Facter à l'aide de Ruby Gem

# Installing Facter 
$ wget http://puppetlabs.com/downloads/gems/facter-1.5.7.gem $ sudo gem install facter-1.5.7.gem

# Installing Puppet 
$ wget http://puppetlabs.com/downloads/gems/puppet-0.25.1.gem $ sudo gem install puppet-0.25.1.gem

Une fois que Puppet est installé sur le système, l'étape suivante consiste à le configurer pour effectuer certaines opérations initiales.

Ouvrir les ports de pare-feu sur les machines

Pour que le serveur Puppet gère le serveur du client de manière centralisée, il faut ouvrir un port spécifié sur toutes les machines, c'est-à-dire 8140peut être utilisé s'il n'est utilisé sur aucune des machines que nous essayons de configurer. Nous devons activer la communication TCP et UDP sur toutes les machines.

Fichier de configuration

Le fichier de configuration principal de Puppet est etc/puppet/puppet.conf. Tous les fichiers de configuration sont créés dans une configuration basée sur un package de Puppet. La plupart de la configuration requise pour configurer Puppet est conservée dans ces fichiers et une fois que l'exécution de Puppet a lieu, il récupère ces configurations automatiquement. Cependant, pour certaines tâches spécifiques telles que la configuration d'un serveur Web ou d'une autorité de certification externe (CA), Puppet a une configuration distincte pour les fichiers et les paramètres.

Les fichiers de configuration du serveur se trouvent dans conf.drépertoire qui est également connu sous le nom de Puppet master. Ces fichiers sont par défaut situés sous/etc/puppetlabs/puppetserver/conf.dchemin. Ces fichiers de configuration sont au format HOCON, ce qui conserve la structure de base de JSON mais il est plus lisible. Lorsque le démarrage de Puppet a lieu, il récupère tous les fichiers .cong du répertoire conf.d et les utilise pour apporter des modifications de configuration. Toute modification de ces fichiers n'a lieu qu'au redémarrage du serveur.

Fichier de liste et fichier de paramètres

  • global.conf
  • webserver.conf
  • web-routes.conf
  • puppetserver.conf
  • auth.conf
  • master.conf (obsolète)
  • ca.conf (obsolète)

Il existe différents fichiers de configuration dans Puppet qui sont spécifiques à chaque composant de Puppet.

Puppet.conf

Le fichier Puppet.conf est le fichier de configuration principal de Puppet. Puppet utilise le même fichier de configuration pour configurer toutes les commandes et services Puppet requis. Tous les paramètres liés à Puppet tels que la définition du maître Puppet, de l'agent Puppet, de Puppet s'appliquent et les certificats sont définis dans ce fichier. Puppet peut les renvoyer selon les besoins.

Le fichier de configuration ressemble à un fichier ini standard dans lequel les paramètres peuvent aller dans la section d'application spécifique de la section principale.

Section de configuration principale

[main] 
certname = Test1.vipin.com 
server = TestingSrv 
environment = production 
runinterval = 1h

Fichier de configuration Puppet Master

[main] 
certname = puppetmaster.vipin.com 
server = MasterSrv 
environment = production 
runinterval = 1h 
strict_variables = true  
[master] 

dns_alt_names = MasterSrv,brcleprod01.vipin.com,puppet,puppet.test.com 
reports = puppetdb 
storeconfigs_backend = puppetdb 
storeconfigs = true 
environment_timeout = unlimited

Aperçu détaillé

Dans la configuration Puppet, le fichier qui va être utilisé a plusieurs sections de configuration dans lesquelles chaque section a différents types de plusieurs nombres de paramètres.

Section de configuration

Le fichier de configuration Puppet se compose principalement des sections de configuration suivantes.

  • Main- Ceci est connu comme la section globale qui est utilisée par toutes les commandes et services de Puppet. On définit les valeurs par défaut dans la section principale qui peuvent être remplacées par n'importe quelle section présente dans le fichier puppet.conf.

  • Master - Cette section est référencée par le service Puppet master et la commande Puppet cert.

  • Agent - Cette section est référencée par le service d'agent Puppet.

  • User - Il est principalement utilisé par la commande Puppet apply ainsi que par la plupart des commandes les moins courantes.

[main] 
certname = PuppetTestmaster1.example.com

Composants clés du fichier de configuration

Voici les composants clés du fichier de configuration.

Lignes de commentaire

Dans Puppet, toute ligne de commentaire commence par (#) signe. Cela peut être utile avec n'importe quelle quantité d'espace. Nous pouvons également avoir un commentaire partiel dans la même ligne.

# This is a comment. 
Testing = true #this is also a comment in same line

Lignes de paramètres

La ligne de paramètres doit être composée de -

  • N'importe quelle quantité d'espace de début (facultatif)
  • Nom des paramètres
  • Un signe égal = au signe, qui peut être entouré par n'importe quel nombre d'espace
  • Une valeur pour le réglage

Définition des variables

Dans la plupart des cas, la valeur des paramètres sera un seul mot, mais dans certains cas particuliers, il existe peu de valeurs spéciales.

Les chemins

Dans les paramètres du fichier de configuration, prenez une liste de répertoires. Lors de la définition de ces répertoires, il faut garder à l'esprit qu'ils doivent être séparés par le caractère séparateur de chemin système, qui est (:) sur les plates-formes * nix et des points-virgules (;) sous Windows.

# *nix version: 
environmentpath = $codedir/special_environments:$codedir/environments 
# Windows version: 
environmentpath = $codedir/environments;C:\ProgramData\PuppetLabs\code\environment

Dans la définition, le répertoire de fichiers qui est répertorié en premier est analysé, puis se déplace plus tard vers l'autre répertoire de la liste, s'il n'en trouve pas.

Fichiers et répertoires

Tous les paramètres qui prennent un seul fichier ou répertoire peuvent accepter un hachage facultatif d'autorisations. Lorsque le serveur démarre, Puppet applique ces fichiers ou répertoires dans la liste.

ssldir = $vardir/ssl {owner = service, mode = 0771}

Dans le code ci-dessus, le hachage autorisé est propriétaire, groupe et mode. Il n'y a que deux valeurs valides des clés de propriétaire et de groupe.

Dans Puppet, tous les environnements ont environment.conffichier. Ce fichier peut remplacer plusieurs paramètres par défaut chaque fois que le maître dessert l'un des nœuds ou tous les nœuds affectés à cet environnement particulier.

Emplacement

Dans Puppet, pour tous les environnements définis, le fichier environment.conf est situé au niveau supérieur de son environnement d'origine, tout à côté du manifeste et des directeurs des modules. Prenons un exemple, si votre environnement est dans les répertoires par défaut(Vipin/testing/environment), puis le fichier de configuration de l'environnement de test se trouve dans Vipin/testing/environments/test/environment.conf.

Exemple

# /etc/testingdir/code/environments/test/environment.conf  
# Puppet Enterprise requires $basemodulepath; see note below under modulepath". modulepath = site:dist:modules:$basemodulepath  
# Use our custom script to get a git commit for the current state of the code: 
config_version = get_environment_commit.sh

Format

Tous les fichiers de configuration de Puppet utilisent le même format de type INI de la même manière. environment.confLe fichier suit le même format de type INI que d'autres, comme le fichier puppet.conf. La seule différence entre environment.conf etpuppet.confCe fichier environment.conf ne peut pas contenir la section [main]. Tous les paramètres du fichier environment.conf doivent être en dehors de toute section de configuration.

Chemin relatif dans les valeurs

La plupart des paramètres autorisés acceptent le chemin du fichier ou la liste des chemins comme valeur. Si l'un des chemins est un chemin pertinent, il commence sans barre oblique ni lettre de lecteur - ils seront principalement résolus par rapport au répertoire principal de cet environnement.

Interpolation dans les valeurs

Le fichier de paramètres Environment.conf est capable d'utiliser les valeurs d'autres paramètres comme variables. Il existe plusieurs variables utiles qui pourraient être interpolées dans le fichier environment.conf. Voici une liste de quelques variables importantes -

  • $basemodulepath- Utile pour inclure des répertoires dans les paramètres du chemin du module. L'utilisateur d'entreprise Puppet doit généralement inclure cette valeur demodulepath puisque le moteur Puppet utilise le module dans le basemodulepath.

  • $environment- Utile comme argument de ligne de commande pour votre script config_version. Vous ne pouvez interpoler cette variable que dans le paramètre config_version.

  • $codedir - Utile pour localiser les fichiers.

Paramètres autorisés

Par défaut, le fichier Puppet environment.conf ne peut remplacer que quatre paramètres de la configuration, comme indiqué.

  • Modulepath
  • Manifest
  • Config_version
  • Environment_timeout

Modulepath

C'est l'un des paramètres clés du fichier environment.conf. Tous les directeurs définis dans modulepath sont chargés par défaut par Puppet. Il s'agit de l'emplacement du chemin à partir duquel Puppet charge ses modules. Il faut explicitement configurer cela. Si ce paramètre ci-dessus n'est pas défini, le chemin d'accès par défaut de tout environnement dans Puppet sera -

<MODULES DIRECTORY FROM ENVIRONMENT>:$basemodulepath

Manifeste

Ceci est utilisé pour définir le fichier manifeste principal, que Puppet Master utilisera lors du démarrage et de la compilation du catalogue à partir du manifeste défini qui sera utilisé pour configurer l'environnement. En cela, nous pouvons définir un seul fichier, une liste de fichiers ou même un répertoire composé de plusieurs fichiers manifestes qui doivent être évalués et compilés dans une séquence alphabétique définie.

Il faut définir explicitement ce paramètre dans le fichier environment.conf. Sinon, Puppet utilisera le répertoire du manifeste par défaut de l'environnement comme manifeste principal.

Config_version

Config_version peut être défini comme une version définie utilisée pour identifier les catalogues et les événements. Lorsque Puppet compile un fichier manifeste par défaut, il ajoute une version de configuration aux catalogues générés ainsi qu'aux rapports qui sont générés lorsque le maître Puppet applique un catalogue défini sur les nœuds Puppet. Puppet exécute un script pour effectuer toutes les étapes ci-dessus et utilise toute la sortie générée comme Config_version.

Délai d'expiration de l'environnement

Il est utilisé pour obtenir des détails sur le temps que Puppet doit utiliser pour charger les données pour un environnement donné. Si la valeur est définie dans le fichier puppet.conf, ces valeurs remplaceront la valeur de délai par défaut.

Exemple de fichier environment.conf

[master] 
   manifest =  $confdir/environments/$environment/manifests/site.pp 
   modulepath =  $confdir/environments/$environment/modules

Dans le code ci-dessus $confdir est le chemin du répertoire dans lequel se trouvent les fichiers de configuration d'environnement. $environment est le nom de l'environnement pour lequel la configuration est effectuée.

Fichier de configuration de l'environnement prêt pour la production

# The environment configuration file  
# The main manifest directory or file where Puppet starts to evaluate code  
# This is the default value. Works with just a site.pp file or any other  
manifest = manifests/  
# The directories added to the module path, looked in first match first used order:  
# modules - Directory for external modules, populated by r10k based on Puppetfile  
# $basemodulepath - As from: puppet config print basemodulepath modulepath = site:modules:$basemodulepath  
# Set the cache timeout for this environment.  
# This overrides what is set directly in puppet.conf for the whole Puppet server  
# environment_timeout = unlimited  
# With caching you need to flush the cache whenever new Puppet code is deployed  
# This can also be done manually running: bin/puppet_flush_environment_cache.sh  
# To disable catalog caching:  
environment_timeout = 0  
# Here we pass to one in the control repo the Puppet environment (and git branch)  
# to get title and essential info of the last git commit
config_version = 'bin/config_script.sh $environment'

Dans Puppet, l'architecture client-serveur de Puppet master est considérée comme l'autorité de contrôle de l'ensemble de l'installation. Puppet master agit en tant que serveur dans la configuration et contrôle toutes les activités sur tous les nœuds.

Pour tout serveur devant jouer le rôle de maître Puppet, le logiciel serveur Puppet doit être en cours d'exécution. Ce logiciel serveur est le composant clé du contrôle de toutes les activités sur les nœuds. Dans cette configuration, un point clé à retenir est d'avoir un accès super utilisateur à toutes les machines que l'on va utiliser dans la configuration. Voici les étapes pour configurer Puppet Master.

Conditions préalables

Private Network DNS- L'avant et l'arrière doivent être configurés, chaque serveur devant avoir un nom d'hôte unique. Si l'on n'a pas configuré le DNS, alors on peut utiliser un réseau privé pour communiquer avec l'infrastructure.

Firewall Open Port- Puppet master doit être ouvert sur un port particulier afin de pouvoir écouter les requêtes entrantes sur un port particulier. Nous pouvons utiliser n'importe quel port ouvert sur le pare-feu.

Création d'un serveur maître Puppet

Le maître de marionnettes que nous créons sera sur une machine CentOS 7 × 64 en utilisant Puppet comme nom d'hôte. La configuration minimale du système pour la création du Puppet Master est de deux cœurs de processeur et de 1 Go de mémoire. La configuration peut également avoir une taille plus grande en fonction du nombre de nœuds que nous allons gérer avec ce maître. Dans l'infrastructure, est plus grand qu'il n'est configuré en utilisant 2 Go de RAM.

Nom d'hôte Rôle FQDN privé
Brcleprod001 Maître de la marionnette bnrcleprod001.brcl.com

Ensuite, il faut générer le certificat SSL Puppet master et le nom de la machine master sera copié dans le fichier de configuration de tous les nœuds.

Installation de NTP

Étant donné que Puppet Master est l'autorité centrale pour les nœuds d'agent dans toute configuration donnée, l'une des principales responsabilités du maître Puppet est de maintenir une heure système précise pour éviter les problèmes de configuration potentiels, qui peuvent survenir lorsqu'il émet des certificats d'agent aux nœuds.

Si le problème de conflit de temps survient, les certificats peuvent apparaître expirés en cas de divergence de temps entre le maître et le nœud. Le protocole de temps réseau est l'un des mécanismes clés pour éviter ce genre de problèmes.

Liste des fuseaux horaires disponibles

$ timedatectl list-timezones

La commande ci-dessus fournira une liste complète des fuseaux horaires disponibles. Il fournira aux régions la disponibilité du fuseau horaire.

La commande suivante peut être utilisée pour définir le fuseau horaire requis sur la machine.

$ sudo timedatectl set-timezone India/Delhi

Installez NTP sur la machine serveur Puppet à l'aide de l'utilitaire yum de la machine CentOS.

$ sudo yum -y install ntp

Synchronisez NTP avec l'heure système que nous avons définie dans les commandes ci-dessus.

$ sudo ntpdate pool.ntp.org

Dans la pratique courante, nous mettrons à jour la configuration NTP pour utiliser des pools communs qui sont disponibles plus près des centres de données de la machine. Pour cela, nous devons éditer le fichier ntp.conf sous/etc.

$ sudo vi /etc/ntp.conf

Ajoutez le serveur de temps à partir des fuseaux horaires disponibles du pool NTP. Voici à quoi ressemble le fichier ntp.conf.

brcleprod001.brcl.pool.ntp.org 
brcleprod002.brcl.pool.ntp.org 
brcleprod003.brcl.pool.ntp.org
brcleprod004.brcl.pool.ntp.org

Enregistrez la configuration. Démarrez le serveur et activez le démon.

$ sudo systemctl restart ntpd $ sudo systemctl enable ntpd

Configuration du logiciel Puppet Server

Le logiciel serveur Puppet est un logiciel qui s'exécute sur la machine maître Puppet. C'est la machine qui pousse les configurations vers d'autres machines exécutant le logiciel de l'agent Puppet.

Activez le référentiel de collecte officiel de Puppet Labs à l'aide de la commande suivante.

$ sudo rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el7.noarch.rpm

Installez le package puppetserver.

$ sudo yum -y install puppetserver

Configurer l'allocation de mémoire sur le serveur Puppet

Comme nous l'avons vu, par défaut, le serveur Puppet est configuré sur une machine de 2 Go de RAM. On peut personnaliser la configuration en fonction de la mémoire libre disponible sur la machine et du nombre de nœuds que le serveur gérera.

Modifier la configuration du serveur de marionnettes en mode vi

$ sudo vi /etc/sysconfig/puppetserver  
Find the JAVA_ARGS and use the –Xms and –Xms options to set the memory allocation. 
We will allocate 3GB of space  
JAVA_ARGS="-Xms3g -Xmx3g"

Une fois terminé, enregistrez et quittez le mode d'édition.

Une fois que toute la configuration ci-dessus est terminée, nous sommes prêts à démarrer le serveur Puppet sur la machine maître avec la commande suivante.

$ sudo systemctl start puppetserver

Ensuite, nous ferons la configuration pour que le serveur de marionnettes démarre chaque fois que le serveur maître démarre.

$ sudo systemctl enable puppetserver

Section maître Puppet.conf

[master] 
autosign = $confdir/autosign.conf { mode = 664 } 
reports = foreman 
external_nodes = /etc/puppet/node.rb 
node_terminus = exec 
ca = true 
ssldir = /var/lib/puppet/ssl 
certname = sat6.example.com 
strict_variables = false 
manifest = 
/etc/puppet/environments/$environment/manifests/site.pp modulepath = /etc/puppet/environments/$environment/modules 
config_version =

L'agent Puppet est une application logicielle, fournie par Puppet Labs, qui s'exécute sur n'importe quel nœud du cluster Puppet. Si l'on souhaite gérer un serveur à l'aide du maître Puppet, le logiciel de l'agent Puppet doit être installé sur ce serveur particulier. En général, l'agent Puppet sera installé sur toutes les machines à l'exception de la machine maître Puppet sur une infrastructure donnée. Le logiciel de l'agent Puppet peut s'exécuter sur la plupart des machines Linux, UNIX et Windows. Dans les exemples suivants, nous utilisons le logiciel de l'agent Puppet d'installation de la machine CentOS.

Step 1 - Activez le référentiel officiel de la collection Puppet Labs avec la commande suivante.

$ sudo rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el7.noarch.rpm

Step 2 - Installez le package de l'agent Puppet.

$ sudo yum -y install puppet-agent

Step 3 - Une fois l'agent Puppet installé, activez-le avec la commande suivante.

$ sudo /opt/puppetlabs/bin/puppet resource service puppet ensure=running enable = true

Une caractéristique clé de l'agent Puppet est que, pour la première fois, lorsque l'agent Puppet démarre, il génère un certificat SSL et l'envoie au maître Puppet qui va le gérer pour signature et approbation. Une fois que le maître Puppet a approuvé la demande de signature de certificat de l'agent, il sera en mesure de communiquer et de gérer le nœud de l'agent.

Note - Il faut répéter les étapes ci-dessus sur tous les nœuds qui doivent être configurés et gérés pour un maître Puppet donné.

Lorsque le logiciel de l'agent Puppet s'exécute pour la première fois sur un nœud Puppet, il génère un certificat et envoie la demande de signature de certificat au maître Puppet. Avant que le serveur Puppet ne puisse communiquer et contrôler les nœuds d'agent, il doit signer le certificat de ce nœud d'agent particulier. Dans les sections suivantes, nous décrirons comment signer et vérifier la demande de signature.

Répertorier les demandes de certificat actuelles

Sur le maître Puppet, exécutez la commande suivante pour voir toutes les demandes de certificat non signées.

$ sudo /opt/puppetlabs/bin/puppet cert list

Comme nous venons de configurer un nouveau nœud d'agent, nous verrons une demande d'approbation. Voici leoutput.

"Brcleprod004.brcl.com" (SHA259) 
15:90:C2:FB:ED:69:A4:F7:B1:87:0B:BF:F7:ll:
B5:1C:33:F7:76:67:F3:F6:45:AE:07:4B:F 6:E3:ss:04:11:8d

Il ne contient aucun signe + (signe) au début, ce qui indique que le certificat n'est toujours pas signé.

Signer une demande

Afin de signer la nouvelle demande de certificat qui a été générée lorsque l'exécution de l'agent Puppet a eu lieu sur le nouveau nœud, la commande Puppet cert sign serait utilisée, avec le nom d'hôte du certificat, qui a été généré par le nœud nouvellement configuré qui a besoin à signer. Comme nous avons le certificat de Brcleprod004.brcl.com, nous utiliserons la commande suivante.

$ sudo /opt/puppetlabs/bin/puppet cert sign Brcleprod004.brcl.com

Voici le output.

Notice: Signed certificate request for Brcle004.brcl.com 
Notice: Removing file Puppet::SSL::CertificateRequest Brcle004.brcl.com at 
'/etc/puppetlabs/puppet/ssl/ca/requests/Brcle004.brcl.com.pem'

Le serveur de marionnettes peut désormais communiquer avec le nœud auquel appartient le certificat de signature.

$ sudo /opt/puppetlabs/bin/puppet cert sign --all

Révocation de l'hôte de la configuration de la marionnette

Il y a des conditions sur la configuration de la reconstruction du noyau quand il faut supprimer l'hôte de l'installation et l'ajouter à nouveau. Ce sont ces conditions qui ne peuvent pas être gérées par la marionnette elle-même. Cela peut être fait en utilisant la commande suivante.

$ sudo /opt/puppetlabs/bin/puppet cert clean hostname

Affichage de toutes les demandes signées

La commande suivante générera une liste de certificats signés avec + (signe) qui indique que la demande est approuvée.

$ sudo /opt/puppetlabs/bin/puppet cert list --all

La suite sera sa output.

+ "puppet" (SHA256) 5A:71:E6:06:D8:0F:44:4D:70:F0:
BE:51:72:15:97:68:D9:67:16:41:B0:38:9A:F2:B2:6C:B 
B:33:7E:0F:D4:53 (alt names: "DNS:puppet", "DNS:Brcle004.nyc3.example.com")  

+ "Brcle004.brcl.com" (SHA259) F5:DC:68:24:63:E6:F1:9E:C5:FE:F5:
1A:90:93:DF:19:F2:28:8B:D7:BD:D2:6A:83:07:BA:F E:24:11:24:54:6A 

+ " Brcle004.brcl.com" (SHA259) CB:CB:CA:48:E0:DF:06:6A:7D:75:E6:CB:22:BE:35:5A:9A:B3

Une fois que ce qui précède est fait, nous avons notre infrastructure prête dans laquelle le maître Puppet est maintenant capable de gérer les nœuds nouvellement ajoutés.

Dans Puppet, nous avons un outil de gestion de code appelé r10k qui aide à gérer les configurations d'environnement liées à différents types d'environnements que nous pouvons configurer dans Puppet, tels que le développement, les tests et la production. Cela aide à stocker la configuration liée à l'environnement dans le référentiel de code source. En utilisant les branches du référentiel de contrôle de source, r10k crée des environnements sur la machine maître Puppet installe et met à jour l'environnement à l'aide des modules présents dans le référentiel.

Le fichier Gem peut être utilisé pour installer r10k sur n'importe quelle machine, mais pour la modularité et afin d'obtenir la dernière version, nous utiliserons le gestionnaire de packages rpm et rpm. Voici un exemple pour le même.

$ urlgrabber -o /etc/yum.repos.d/timhughes-r10k-epel-6.repo
https://copr.fedoraproject.org/coprs/timhughes/yum -y install rubygem-r10k

Configurer l'environnement dans /etc/puppet/puppet.conf

[main] 
environmentpath = $confdir/environments

Créer un fichier de configuration pour r10k Config

cat <<EOF >/etc/r10k.yaml 
# The location to use for storing cached Git repos 
:cachedir: '/var/cache/r10k' 
# A list of git repositories to create 
:sources: 
# This will clone the git repository and instantiate an environment per 
# branch in /etc/puppet/environments 
:opstree: 
#remote: 'https://github.com/fullstack-puppet/fullstackpuppet-environment.git' 
remote: '/var/lib/git/fullstackpuppet-environment.git' 
basedir: '/etc/puppet/environments' 
EOF

Installation du manifeste et du module Puppet

r10k deploy environment -pv

Comme nous devons continuer à mettre à jour l'environnement toutes les 15 minutes, nous allons créer un travail cron pour le même.

cat << EOF > /etc/cron.d/r10k.conf 
SHELL = /bin/bash 
PATH = /sbin:/bin:/usr/sbin:/usr/bin 
H/15 * * * * root r10k deploy environment -p 
EOF

Tester l'installation

Afin de tester si tout fonctionne comme accepté, il faut compiler le manifeste Puppet pour le module Puppet. Exécutez la commande suivante et obtenez une sortie YAML comme résultat.

curl --cert /etc/puppet/ssl/certs/puppet.corp.guest.pem \ 
--key /etc/puppet/ssl/private_keys/puppet.corp.guest.pem \ 
--cacert /etc/puppet/ssl/ca/ca_crt.pem \ 
-H 'Accept: yaml' \ 
https://puppet.corp.guest:8140/production/catalog/puppet.corp.guest

Dans Puppet, la configuration peut être testée localement. Par conséquent, une fois que nous avons configuré le maître et le nœud Puppet, il est temps de valider la configuration localement. Nous devons avoir Vagrant et Vagrant Box installés localement, ce qui aide à tester la configuration localement.

Configuration de la machine virtuelle

Comme nous testons la configuration localement, nous n'avons pas besoin d'un maître Puppet en cours d'exécution. Cela signifie que sans exécuter réellement le maître Puppet sur le serveur, nous pouvons simplement utiliser Puppet pour appliquer la commande pour la validation de la configuration de Puppet. La commande Puppet Apply appliquera les modifications delocal/etc/puppet en fonction du nom d'hôte de la machine virtuelle dans le fichier de configuration.

La première étape que nous devons effectuer pour tester la configuration est de construire ce qui suit Vagrantfile et démarrer une machine et monter le /etc/puppetdossier en place. Tous les fichiers nécessaires seront placés dans le système de contrôle de version avec la structure suivante.

Structure du répertoire

- manifests 
   \- site.pp 
- modules 
   \- your modules  
- test 
   \- update-puppet.sh 
   \- Vagrantfile 
- puppet.conf

Fichier Vagrant

# -*- mode: ruby -*- 
# vi: set ft = ruby : 
Vagrant.configure("2") do |config| 
   config.vm.box = "precise32" 
   config.vm.box_url = "http://files.vagrantup.com/precise64.box" 
   config.vm.provider :virtualbox do |vb| 
      vb.customize ["modifyvm", :id, "--memory", 1028, "--cpus", 2] 
   end 
  
   # Mount our repo onto /etc/puppet 
   config.vm.synced_folder "../", "/etc/puppet"  
   
   # Run our Puppet shell script   
   config.vm.provision "shell" do |s| 
      s.path = "update-puppet.sh" 
   end  
 
   config.vm.hostname = "localdev.example.com" 
end

Dans le code ci-dessus, nous avons utilisé le fournisseur Shell dans lequel nous essayons d'exécuter un script Shell nommé update-puppet.sh. Le script est présent dans le même répertoire où se trouve le fichier Vagrant et le contenu du script est répertorié ci-dessous.

!/bin/bash 
echo "Puppet version is $(puppet --version)" if [ $( puppet --version) != "3.4.1" ]; then  
   echo "Updating puppet" 
   apt-get install --yes lsb-release 
   DISTRIB_CODENAME = $(lsb_release --codename --short) DEB = "puppetlabs-release-${DISTRIB_CODENAME}.deb" 
   DEB_PROVIDES="/etc/apt/sources.list.d/puppetlabs.list"  
   
   if [ ! -e $DEB_PROVIDES ] then wget -q http://apt.puppetlabs.com/$DEB 
      sudo dpkg -i $DEB 
   fi  
sudo apt-get update 
   sudo apt-get install -o Dpkg::Options:: = "--force-confold" 
   --force-yes -y puppet 
else 
   echo "Puppet is up to date!" 
fi

Traitement ultérieur, l'utilisateur doit créer un fichier manifeste dans le répertoire Manifests avec le nom site.pp qui installera certains logiciels sur VM.

node 'brclelocal03.brcl.com' { 
   package { ['vim','git'] : 
      ensure => latest 
   } 
} 
echo "Running puppet" 
sudo puppet apply /etc/puppet/manifests/site.pp

Une fois que l'utilisateur a prêt le script ci-dessus avec la configuration de fichier Vagrant requise, l'utilisateur peut accéder au répertoire de test et exécuter le vagrant up command. Cela démarrera une nouvelle VM, plus tard, installera Puppet, puis l'exécutera à l'aide du script Shell.

Voici la sortie.

Notice: Compiled catalog for localdev.example.com in environment production in 0.09 seconds 
Notice: /Stage[main]/Main/Node[brclelocal03.brcl.com]/Package[git]/ensure: created 
Notice: /Stage[main]/Main/Node[brcllocal03.brcl.com]/Package[vim]/ensure: ensure changed 'purged' to 'latest'

Validation de la configuration de plusieurs machines

Si nous devons tester la configuration de plusieurs machines localement, cela peut être simplement fait en modifiant le fichier de configuration Vagrant.

Nouveau fichier Vagrant configuré

config.vm.define "brclelocal003" do |brclelocal003| 
   brclelocal03.vm.hostname = "brclelocal003.brcl.com" 
end  

config.vm.define "production" do |production| 
   production.vm.hostname = "brcleprod004.brcl.com" 
end

Supposons que nous ayons un nouveau serveur de production, qui nécessite l'installation de l'utilitaire SSL. Nous avons juste besoin d'étendre l'ancien manifeste avec la configuration suivante.

node 'brcleprod004.brcl.com' inherits 'brcleloacl003.brcl.com' { 
   package { ['SSL'] : 
      ensure => latest 
   } 
}

Après avoir apporté des modifications de configuration dans le fichier manifeste, il suffit de passer au répertoire de test et d'exécuter la commande de base vagrant up qui affichera les deux brclelocal003.brcl.com et brcleprod004.brcl.commachine. Dans notre cas, nous essayons de mettre en place une machine de production, ce qui pourrait être fait en exécutant levagrant up production command. Le créera une nouvelle machine avec le nom de production tel que défini dans le fichier Vagrant et le package SSL sera installé.

Dans Puppet, le style de codage définit toutes les normes à suivre en essayant de convertir l'infrastructure sur la configuration de la machine en un code. Puppet fonctionne et exécute toutes ses tâches définies en utilisant des ressources.

La définition du langage de Puppet aide à spécifier toutes les ressources de manière structurée, ce qui est nécessaire pour gérer toute machine cible qui doit être gérée. Puppet utilise Ruby comme langage d'encodage, qui possède plusieurs fonctionnalités intégrées qui permettent de faire très facilement les choses avec une configuration simple côté code.

Unités fondamentales

Puppet utilise plusieurs styles de codage fondamentaux qui sont faciles à comprendre et à gérer. Voici une liste de quelques-uns.

Ressources

Dans Puppet, les ressources sont appelées unités de modélisation fondamentales utilisées pour gérer ou modifier n'importe quel système cible. Les ressources couvrent tous les aspects d'un système tels que les fichiers, les services et les packages. Puppet est livré avec une capacité intégrée dans laquelle il permet aux utilisateurs ou aux développeurs de développer des ressources personnalisées, qui aident à gérer toute unité particulière d'une machine

Dans Puppet, toutes les ressources sont agrégées soit en utilisant “define” ou “classes”. Ces fonctionnalités d'agrégation aident à organiser un module. Voici un exemple de ressource qui se compose de plusieurs types, un titre et une liste d'attributs avec lesquels Puppet peut prendre en charge plusieurs attributs. Chaque ressource de Puppet a sa propre valeur par défaut, qui peut être remplacée si nécessaire.

Exemple de ressource Puppet pour fichier

Dans la commande suivante, nous essayons de spécifier une autorisation pour un fichier particulier.

file {  
   '/etc/passwd': 
   owner => superuser, 
   group => superuser, 
   mode => 644, 
}

Chaque fois que la commande ci-dessus est exécutée sur n'importe quelle machine, elle vérifie que le fichier passwd dans le système est configuré comme décrit. Le fichier avant: deux points est le titre de la ressource, qui peut être appelé ressource dans d'autres parties de la configuration de Puppet.

Spécification du nom local en plus du titre

file { 'sshdconfig': 
   name => $operaSystem ? { 
      solaris => '/usr/local/etc/ssh/sshd_config', 
      default => '/etc/ssh/sshd_config', 
   }, 
   owner => superuser, 
   group => superuser, 
   mode => 644, 
}

En utilisant le titre, qui est toujours le même, il est très facile de référencer la ressource de fichier dans la configuration sans avoir à répéter la logique liée au système d'exploitation.

Un autre exemple pourrait être l'utilisation d'un service qui dépend d'un fichier.

service { 'sshd': 
   subscribe => File[sshdconfig], 
}

Avec cette dépendance, le sshd le service redémarrera toujours une fois sshdconfigchangements de fichiers. Le point à retenir ici estFile[sshdconfig] est une déclaration en tant que fichier comme en minuscules mais si nous la modifions en FILE[sshdconfig] alors ça aurait été une référence.

Un point fondamental qu'il faut garder à l'esprit lors de la déclaration d'une ressource est qu'elle ne peut être déclarée qu'une seule fois par fichier de configuration. Répéter la déclaration de la même ressource plus d'une fois provoquera une erreur. Grâce à ce concept fondamental, Puppet s'assure que la configuration est bien modélisée.

Nous avons même la capacité de gérer la dépendance aux ressources, ce qui aide à gérer plusieurs relations.

service { 'sshd': 
   require => File['sshdconfig', 'sshconfig', 'authorized_keys']
}

Métaparamètres

Les métaparamètres sont appelés paramètres globaux dans Puppet. L'une des principales caractéristiques du métaparamètre est qu'il fonctionne avec tout type de ressource dans Puppet.

Valeur par défaut de la ressource

Quand on a besoin de définir une valeur d'attribut de ressource par défaut, Puppet fournit un ensemble de syntaxe pour l'archiver, en utilisant une spécification de ressource en majuscule qui n'a pas de titre.

Par exemple, si nous voulons définir le chemin par défaut de tous les exécutables, cela peut être fait avec la commande suivante.

Exec { path => '/usr/bin:/bin:/usr/sbin:/sbin' } 
exec { 'echo Testing mataparamaters.': }

Dans la commande ci-dessus, la première instruction Exec définira la valeur par défaut de la ressource exec. La ressource Exec nécessite un chemin complet ou un chemin qui ressemble à un exécutable. Avec cela, on peut définir un seul chemin par défaut pour toute la configuration. Les valeurs par défaut fonctionnent avec n'importe quel type de ressource dans Puppet.

Les valeurs par défaut ne sont pas des valeurs globales, cependant, elles n'affectent que la portée dans laquelle elles sont définies ou la variable suivante. Si l'on veut définirdefault pour une configuration complète, nous définissons le default et la classe dans la section suivante.

Collections de ressources

L'agrégation est une méthode pour rassembler des choses. Puppet prend en charge un concept d'agrégation très puissant. Dans Puppet, l'agrégation est utilisée pour regrouper la ressource qui est l'unité fondamentale de Puppet. Ce concept d'agrégation dans Puppet est réalisé en utilisant deux méthodes puissantes appeléesclasses et definition.

Classes et définition

Les classes sont responsables de la modélisation des aspects fondamentaux du nœud. Ils peuvent dire que le nœud est un serveur Web et que ce nœud particulier est l'un d'entre eux. Dans Puppet, les classes de programmation sont uniques et peuvent être évaluées une fois par nœud.

La définition d'autre part peut être utilisée plusieurs fois sur un seul nœud. Ils fonctionnent de la même manière que l'on a créé son propre type de marionnette en utilisant la langue. Ils sont créés pour être utilisés plusieurs fois avec des entrées différentes à chaque fois. Cela signifie que l'on peut passer des valeurs de variable dans la définition.

Différence entre classe et définition

La seule différence clé entre une classe et une définition est que lors de la définition de la structure du bâtiment et de l'allocation des ressources, la classe n'est évaluée qu'une seule fois par nœud, dans lequel, d'autre part, une définition est utilisée plusieurs fois sur le même nœud unique.

Des classes

Les classes dans Puppet sont introduites à l'aide du mot clé class et le contenu de cette classe particulière est enveloppé entre accolades, comme illustré dans l'exemple suivant.

class unix { 
   file { 
      '/etc/passwd': 
      owner => 'superuser', 
      group => 'superuser', 
      mode => 644; 
      '/etc/shadow': 
      owner => 'vipin', 
      group => 'vipin', 
      mode => 440; 
   } 
}

Dans l'exemple suivant, nous avons utilisé une main courte similaire à celle ci-dessus.

class unix { 
   file { 
      '/etc/passwd': 
      owner => 'superuser', 
      group => 'superuser', 
      mode => 644; 
   }  
   
   file {'/etc/shadow': 
      owner => 'vipin', 
      group => 'vipin', 
      mode => 440; 
   } 
}

Héritage dans les classes de marionnettes

Dans Puppet, le concept d'héritage de la POO est pris en charge par défaut dans lequel les classes peuvent étendre les fonctionnalités du précédent sans copier et coller à nouveau le bit de code complet dans la classe nouvellement créée. L'héritage permet à la sous-classe de remplacer les paramètres de ressource définis dans la classe parent. Une chose clé à garder à l'esprit lors de l'utilisation de l'héritage est qu'une classe ne peut hériter des fonctionnalités que d'une seule classe parente, pas plus d'une.

class superclass inherits testsubclass { 
   File['/etc/passwd'] { group => wheel } 
   File['/etc/shadow'] { group => wheel } 
}

S'il est nécessaire d'annuler une logique spécifiée dans une classe parente, nous pouvons utiliser undef command.

class superclass inherits testsubcalss { 
   File['/etc/passwd'] { group => undef } 
}

Autre manière d'utiliser l'héritage

class tomcat { 
   service { 'tomcat': require => Package['httpd'] } 
} 
class open-ssl inherits tomcat { 
   Service[tomcat] { require +> File['tomcat.pem'] } 
}

Classe imbriquée dans la marionnette

Puppet prend en charge le concept d'imbrication des classes dans lequel il permet d'utiliser des classes imbriquées ce qui signifie une classe dans l'autre. Cela aide à atteindre la modularité et la portée.

class testclass { 
   class nested { 
      file {  
         '/etc/passwd': 
         owner => 'superuser', 
         group => 'superuser', 
         mode => 644; 
      } 
   } 
} 
class anotherclass { 
   include myclass::nested 
}

Classes paramétrées

Dans Puppet, les classes peuvent étendre leurs fonctionnalités pour permettre le passage de paramètres dans une classe.

Pour passer un paramètre dans une classe, on peut utiliser la construction suivante -

class tomcat($version) { 
   ... class contents ... 
}

Un point clé à retenir dans Puppet est que les classes avec des paramètres ne sont pas ajoutées à l'aide de la fonction include, mais la classe résultante peut être ajoutée en tant que définition.

node webserver { 
   class { tomcat: version => "1.2.12" } 
}

Valeurs par défaut en tant que paramètres dans la classe

class tomcat($version = "1.2.12",$home = "/var/www") { 
   ... class contents ... 
}

Étapes d'exécution

Puppet prend en charge le concept d'étape d'exécution, ce qui signifie que l'utilisateur peut ajouter plusieurs étapes selon l'exigence afin de gérer une ressource particulière ou plusieurs ressources. Cette fonctionnalité est très utile lorsque l'utilisateur souhaite développer un catalogue complexe. Dans un catalogue complexe, on a un grand nombre de ressources qui doivent être compilées tout en gardant à l'esprit que les dépendances entre les ressources définies ne doivent pas être affectées.

Run Stage est très utile pour gérer les dépendances des ressources. Cela peut être fait en ajoutant des classes dans des étapes définies dans lesquelles une classe particulière contient une collection de ressources. Avec l'étape d'exécution, Puppet garantit que les étapes définies s'exécuteront dans un ordre prévisible spécifié à chaque fois que le catalogue s'exécute et est appliqué sur n'importe quel nœud Puppet.

Pour l'utiliser, il faut déclarer des étapes supplémentaires au-delà des étapes déjà présentes, puis Puppet peut être configuré pour gérer chaque étape dans un ordre spécifié en utilisant la même syntaxe de relation de ressources avant d'exiger “->” et “+>”. La relation garantira alors l'ordre des classes associées à chaque étape.

Déclaration d'étapes supplémentaires avec la syntaxe déclarative Puppet

stage { "first": before => Stage[main] } 
stage { "last": require => Stage[main] }

Une fois les étapes déclarées, une classe peut être associée à la scène autre que la principale utilisant la scène.

class { 
   "apt-keys": stage => first; 
   "sendmail": stage => main; 
   "apache": stage => last; 
}

Toutes les ressources associées à la classe apt-key s'exécuteront en premier. Toutes les ressources de Sendmail seront la classe principale et les ressources associées à Apache seront la dernière étape.

Définitions

Dans Puppet, la collecte des ressources dans n'importe quel fichier manifeste est effectuée par classes ou définitions. Les définitions sont très similaires à une classe dans Puppet, mais elles sont introduites avec undefine keyword (not class)et ils soutiennent l'argument pas l'héritage. Ils peuvent fonctionner plusieurs fois sur le même système avec des paramètres différents.

Par exemple, si l'on veut créer une définition qui contrôle les référentiels de code source où l'on essaie de créer plusieurs référentiels sur le même système, alors on peut utiliser la définition et non la classe.

define perforce_repo($path) { 
   exec {  
      "/usr/bin/svnadmin create $path/$title": 
      unless => "/bin/test -d $path", 
   } 
} 
svn_repo { puppet_repo: path => '/var/svn_puppet' } 
svn_repo { other_repo: path => '/var/svn_other' }

Le point clé à noter ici est de savoir comment une variable peut être utilisée avec une définition. Nous utilisons ($) variable de signe dollar. Dans ce qui précède, nous avons utilisé$title. Definitions can have both a $titre et $name with which the name and the title can be represented. By default, $titre et $name are set to the same value, but one can set a title attribute and pass different name as a parameter. $title et $ name ne fonctionnent que dans la définition, pas dans la classe ou dans une autre ressource.

Modules

Un module peut être défini comme une collection de toutes les configurations qui seraient utilisées par le maître Puppet pour appliquer des changements de configuration sur n'importe quel nœud Puppet particulier (agent). Ils sont également connus sous le nom de collection portable de différents types de configurations, qui sont nécessaires pour effectuer une tâche spécifique. Par exemple, un module peut contenir toutes les ressources nécessaires pour configurer Postfix et Apache.

Nœuds

Les nœuds sont une étape restante très simple qui consiste à faire correspondre ce que nous avons défini («c'est à quoi ressemble un serveur Web») à quelles machines sont choisies pour remplir ces instructions.

La définition de nœud ressemble exactement à des classes, y compris l'héritage de prise en charge, mais elles sont spéciales telles que lorsqu'un nœud (un ordinateur géré exécutant un client marionnette) se connecte au démon maître Puppet, son nom sera recherché dans la liste de nœuds définie. Les informations définies seront évaluées pour le nœud, puis le nœud enverra cette configuration.

Le nom de nœud peut être un nom d'hôte court ou le nom de domaine complet (FQDN).

node 'www.vipin.com' { 
   include common 
   include apache, squid 
}

La définition ci-dessus crée un nœud appelé www.vipin.com et inclut la classe commune, Apache et Squid

Nous pouvons envoyer la même configuration à différents nœuds en séparant chacun par une virgule.

node 'www.testing.com', 'www.testing2.com', 'www3.testing.com' { 
   include testing 
   include tomcat, squid 
}

Expression régulière pour les nœuds correspondants

node /^www\d+$/ { 
   include testing 
}

Héritage de nœud

Node prend en charge un modèle d'héritage limité. Comme les classes, les nœuds ne peuvent hériter que d'un autre nœud.

node 'www.testing2.com' inherits 'www.testing.com' { 
   include loadbalancer 
}

Dans le code ci-dessus, www.testing2.com hérite de toutes les fonctionnalités de www.testing.com en plus d'une classe d'équilibrage de charge supplémentaire.

Fonctionnalités avancées prises en charge

Quoting- Dans la plupart des cas, nous n'avons pas besoin de citer une chaîne dans Puppet. Toute chaîne alphanumérique commençant par une lettre doit être laissée sans guillemets. Cependant, il est toujours recommandé de citer une chaîne pour toutes les valeurs non négatives.

Interpolation variable avec citations

Jusqu'à présent, nous avons mentionné la variable en termes de définition. Si vous devez utiliser ces variables avec une chaîne, utilisez des guillemets doubles et non des guillemets simples. La chaîne de guillemets simples ne fera aucune interpolation de variable, la chaîne de guillemets doubles fera l'affaire. La variable peut être entre crochets{} ce qui les rend plus faciles à utiliser ensemble et à comprendre.

$value = "${one}${two}"

Il est recommandé d'utiliser des guillemets simples pour toutes les chaînes qui ne nécessitent pas d'interpolation de chaîne.

Capitalisation

La capitalisation est un processus utilisé pour le référencement, l'héritage et la définition des attributs par défaut d'une ressource particulière. Il existe essentiellement deux manières fondamentales de l'utiliser.

  • Referencing- C'est la manière de référencer une ressource déjà créée. Il est principalement utilisé à des fins de dépendance, il faut mettre en majuscule le nom de la ressource. Exemple, require => file [sshdconfig]

  • Inheritance- Lorsque vous remplacez le paramètre de la classe parente de la sous-classe, utilisez la version majuscule du nom de la ressource. L'utilisation de la version minuscule entraînera une erreur.

  • Setting Default Attribute Value - L'utilisation de la ressource en majuscule sans titre permet de définir la valeur par défaut de la ressource.

Tableaux

Puppet permet l'utilisation de tableaux dans plusieurs zones [Un, deux, trois].

Plusieurs membres de type, tels que l'alias dans la définition d'hôte, acceptent les tableaux dans leurs valeurs. Une ressource hôte avec plusieurs alias ressemblera à quelque chose comme suit.

host { 'one.vipin.com': 
   alias => [ 'satu', 'dua', 'tiga' ], 
   ip => '192.168.100.1', 
   ensure => present, 
}

Le code ci-dessus ajoutera un hôte ‘one.brcletest.com’ à la liste d'hôtes avec trois alias ‘satu’ ‘dua’ ‘tiga’. Si l'on souhaite ajouter plusieurs ressources à une ressource, cela peut être fait comme indiqué dans l'exemple suivant.

resource { 'baz': 
   require => [ Package['rpm'], File['testfile'] ], 
}

Variables

Puppet prend en charge plusieurs variables comme la plupart des autres langages de programmation. Les variables de marionnettes sont désignées par$.

$content = 'some content\n' file { '/tmp/testing': content => $content }

Comme indiqué précédemment, Puppet est un langage déclaratif, ce qui signifie que sa portée et ses règles d'attribution sont différentes du langage impératif. La principale différence est que l'on ne peut pas modifier la variable dans une seule portée, car ils dépendent de l'ordre dans le fichier pour déterminer la valeur d'une variable. L'ordre n'a pas d'importance dans le langage déclaratif.

$user = root file { '/etc/passwd': owner => $user, 
} 

$user = bin file { '/bin': owner => $user, 
      recurse => true, 
   }

Portée variable

La portée de la variable définit si toutes les variables définies sont valides. Comme pour les dernières fonctionnalités, Puppet est actuellement à portée dynamique, ce qui, en termes Puppet, signifie que toutes les variables qui sont définies sont évaluées sur leur portée plutôt que sur l'emplacement où elles sont définies.

$test = 'top' class Testclass { exec { "/bin/echo $test": logoutput => true } 
} 

class Secondtestclass { 
   $test = 'other' 
   include myclass 
} 

include Secondtestclass

Variable qualifiée

Puppet prend en charge l'utilisation de variables qualifiées dans une classe ou une définition. Ceci est très utile lorsque l'utilisateur souhaite utiliser la même variable dans d'autres classes, qu'il a définies ou va définir.

class testclass { 
   $test = 'content' 
} 

class secondtestclass { 
   $other = $myclass::test 
}

Dans le code ci-dessus, la valeur de $ other variable évalue le contenu.

Conditionnels

Les conditions sont des situations dans lesquelles l'utilisateur souhaite exécuter un ensemble d'instructions ou de codes lorsque la condition définie ou la condition requise est satisfaite. Puppet prend en charge deux types de conditions.

La condition de sélecteur qui ne peut être utilisée que dans les ressources définies pour sélectionner la valeur correcte de la machine.

Les conditions de déclaration sont des conditions plus largement utilisées dans le manifeste, ce qui aide à inclure des classes supplémentaires que l'utilisateur souhaite inclure dans le même fichier manifeste. Définissez un ensemble distinct de ressources au sein d'une classe ou prenez d'autres décisions structurelles.

Sélecteurs

Les sélecteurs sont utiles lorsque l'utilisateur souhaite spécifier un attribut de ressource et des variables qui sont différents des valeurs par défaut en fonction des faits ou d'autres variables. Dans Puppet, l'index du sélecteur fonctionne comme un opérateur à trois valeurs à plusieurs valeurs. Les sélecteurs sont également capables de définir les valeurs par défaut personnalisées sans aucune valeur, qui sont définies dans le manifeste et correspondent à la condition.

$owner = $Sysoperenv ? { 
   sunos => 'adm', 
   redhat => 'bin', 
   default => undef, 
}

Dans les versions ultérieures de Puppet 0.25.0, les sélecteurs peuvent être utilisés comme expressions régulières.

$owner = $Sysoperenv ? { 
   /(Linux|Ubuntu)/ => 'bin', 
   default => undef, 
}

Dans l'exemple ci-dessus, le sélecteur $Sysoperenv La valeur correspond à Linux ou Ubuntu, alors le bac sera le résultat sélectionné, sinon l'utilisateur sera défini comme indéfini.

Condition de déclaration

La condition d'instruction est un autre type d'instruction conditionnelle dans Puppet qui est très similaire à la condition de changement de casse dans le script Shell. Dans ce cas, un ensemble multiple d'instructions de cas est défini et les valeurs d'entrée données sont comparées à chaque condition.

L'instruction case qui correspond à la condition d'entrée donnée est exécutée. Cette condition d'instruction case n'a aucune valeur de retour. Dans Puppet, un cas d'utilisation très courant de l'instruction de condition consiste à exécuter un ensemble de bits de code basé sur le système d'exploitation sous-jacent.

case $ Sysoperenv { 
   sunos: { include solaris }  
   redhat: { include redhat }  
   default: { include generic}  
}

Case Statement peut également spécifier plusieurs conditions en les séparant par une virgule.

case $Sysoperenv { 
   development,testing: { include development } testing,production: { include production }
   default: { include generic }  
}

Instruction If-Else

Puppet prend en charge le concept de fonctionnement basé sur des conditions. Pour y parvenir, l'instruction If / else fournit des options de branchement basées sur la valeur de retour de la condition. Comme indiqué dans l'exemple suivant -

if $Filename { 
   file { '/some/file': ensure => present } 
} else { 
   file { '/some/other/file': ensure => present } 
}

La dernière version de Puppet prend en charge les expressions variables dans lesquelles l'instruction if peut également créer une branche en fonction de la valeur d'une expression.

if $machine == 'production' { 
   include ssl 
} else { 
   include nginx 
}

Afin d'obtenir plus de diversité dans le code et d'effectuer des opérations conditionnelles complexes, Puppet prend en charge l'instruction if / else imbriquée, comme indiqué dans le code suivant.

if $ machine == 'production' { include ssl } elsif $ machine == 'testing' { 
   include nginx
} else { 
   include openssl 
}

Ressource virtuelle

Les ressources virtuelles sont celles qui ne sont pas envoyées au client à moins qu'elles ne soient réalisées.

Voici la syntaxe d'utilisation de la ressource virtuelle dans Puppet.

@user { vipin: ensure => present }

Dans l'exemple ci-dessus, l'utilisateur vipin est défini virtuellement pour réaliser la définition que l'on peut utiliser dans la collection.

User <| title == vipin |>

commentaires

Les commentaires sont utilisés dans n'importe quel bit de code pour créer un nœud supplémentaire sur un ensemble de lignes de code et ses fonctionnalités. Dans Puppet, il existe actuellement deux types de commentaires pris en charge.

  • Commentaires de style shell Unix. Ils peuvent être sur leur propre ligne ou sur la ligne suivante.
  • Commentaires de style C sur plusieurs lignes.

Voici un exemple de commentaire de style shell.

# this is a comment

Voici un exemple de commentaire multiligne.

/* 
This is a comment 
*/

Priorité de l'opérateur

La priorité des opérateurs Puppet est conforme à la priorité standard de la plupart des systèmes, du plus élevé au plus bas.

Voici la liste des expressions

  • ! = pas
  • / = fois et diviser
  • - + = moins, plus
  • << >> = décalage gauche et décalage droit
  • ==! = = différent, égal
  • > = <=> <= supérieur égal, inférieur ou égal, supérieur à, inférieur à

Expression de comparaison

Les expressions de comparaison sont utilisées lorsque l'utilisateur souhaite exécuter un ensemble d'instructions lorsque la condition donnée est satisfaite. Les expressions de comparaison incluent des tests d'égalité à l'aide de l'expression ==.

if $environment == 'development' { 
   include openssl 
} else { 
   include ssl 
}

Exemple pas égal

if $environment != 'development' { 
   $otherenvironment = 'testing' } else { $otherenvironment = 'production' 
}

Expression arithmétique

$one = 1 $one_thirty = 1.30 
$two = 2.034e-2 $result = ((( $two + 2) / $one_thirty) + 4 * 5.45) - 
   (6 << ($two + 4)) + (0×800 + -9)

Expression booléenne

Les expressions booléennes sont possibles en utilisant ou, et, & non.

$one = 1 
$two = 2 $var = ( $one < $two ) and ( $one + 1 == $two )

Expression régulière

Puppet prend en charge la correspondance d'expressions régulières en utilisant = ~ (match) et! ~ (Not-match).

if $website =~ /^www(\d+)\./ { notice('Welcome web server #$1') 
}

Comme la correspondance de cas et de regex de sélecteur crée une variable de portée limitée pour chaque expression régulière.

exec { "Test": 
   command => "/bin/echo now we don’t have openssl installed on machine > /tmp/test.txt", 
   unless => "/bin/which php" 
}

De même, nous pouvons utiliser à moins que, à moins d'exécuter la commande tout le temps, à l'exception de la commande ci-dessous à moins qu'elle ne se termine avec succès.

exec { "Test": 
   command => "/bin/echo now we don’t have openssl installed on machine > /tmp/test.txt", 
   unless => "/bin/which php" 
}

Travailler avec des modèles

Les modèles sont utilisés lorsque l'on souhaite avoir une structure prédéfinie qui sera utilisée sur plusieurs modules dans Puppet et que ces modules seront distribués sur plusieurs machines. La première étape pour utiliser un modèle consiste à en créer un qui rend le contenu du modèle avec des méthodes de modèle.

file { "/etc/tomcat/sites-available/default.conf": 
   ensure => "present", 
   content => template("tomcat/vhost.erb")  
}

Puppet fait peu d'hypothèses lorsqu'il s'agit de fichiers locaux afin de renforcer l'organisation et la modularité. Puppet recherche le modèle vhost.erb dans le dossier apache / templates, dans le répertoire modules.

Définition et déclenchement des services

Dans Puppet, il dispose d'une ressource appelée service qui est capable de gérer le cycle de vie de tous les services exécutés sur une machine ou un environnement particulier. Les ressources de service sont utilisées pour s'assurer que les services sont initialisés et activés. Ils sont également utilisés pour le redémarrage du service.

Par exemple, dans le modèle précédent de tomcat, nous avons défini l'hôte virtuel apache. Si l'on veut s'assurer qu'apache est redémarré après un changement d'hôte virtuel, nous devons créer une ressource de service pour le service apache à l'aide de la commande suivante.

service { 'tomcat': 
   ensure => running, 
   enable => true 
}

Lors de la définition des ressources, nous devons inclure l'option de notification afin de déclencher le redémarrage.

file { "/etc/tomcat/sites-available/default.conf": 
   ensure => "present", 
   content => template("vhost.erb"), 
   notify => Service['tomcat']  
}

Dans Puppet, tous les programmes qui sont écrits en utilisant le langage de programmation Ruby et enregistrés avec une extension de .pp sont appelés manifests. En termes généraux, tous les programmes Puppet qui sont construits avec l'intention de créer ou de gérer une machine hôte cible sont appelés un manifeste. Tous les programmes écrits en Puppet suivent le style de codage Puppet.

Le cœur de Puppet est la façon dont les ressources sont déclarées et comment ces ressources représentent leur état. Dans n'importe quel manifeste, l'utilisateur peut avoir une collection de différents types de ressources qui sont regroupées à l'aide d'une classe et d'une définition.

Dans certains cas, le manifeste Puppet peut même avoir une instruction conditionnelle afin d'obtenir un état souhaité. Cependant, en fin de compte, tout se résume à s'assurer que toutes les ressources sont définies et utilisées de la bonne manière et que le manifeste défini lorsqu'il est appliqué après avoir été converti en catalogue est capable d'exécuter la tâche pour laquelle il a été conçu.

Flux de travail du fichier manifeste

Le manifeste de marionnettes comprend les composants suivants:

  • Files (ce sont des fichiers simples où Puppet n'a rien à voir avec eux, juste pour les ramasser et les placer à l'emplacement cible)

  • Resources

  • Templates (ceux-ci peuvent être utilisés pour construire des fichiers de configuration sur le nœud).

  • Nodes (toute la définition relative à un poste client est définie ici)

  • Classes

Points à noter

  • Dans Puppet, tous les fichiers manifestes utilisent Ruby comme langage de codage et sont enregistrés avec .pp extension.

  • L'instruction "Importer" dans de nombreux manifestes est utilisée pour charger des fichiers au démarrage de Puppet.

  • Afin d'importer tous les fichiers contenus dans un répertoire, vous pouvez utiliser l'instruction import d'une autre manière comme import 'clients / *'. Cela importera tout.pp fichiers dans ce répertoire.

Rédaction de manifestes

Travailler avec des variables

Lors de l'écriture d'un manifeste, l'utilisateur peut définir une nouvelle variable ou utiliser une variable existante à tout moment dans un manifeste. Puppet prend en charge différents types de variables, mais peu d'entre elles sont fréquemment utilisées telles que les chaînes et les tableaux de chaînes. En dehors d'eux, d'autres formats sont également pris en charge.

Exemple de variable de chaîne

$package = "vim" package { $package: 
   ensure => "installed" 
}

Utilisation de boucles

Les boucles sont utilisées lorsque l'on souhaite effectuer plusieurs itérations sur un même ensemble de code jusqu'à ce qu'une condition définie soit remplie. Ils sont également utilisés pour effectuer des tâches répétitives avec différents ensembles de valeurs. Création de 10 tâches pour 10 choses différentes. On peut créer une seule tâche et utiliser une boucle pour répéter la tâche avec différents packages que l'on souhaite installer.

Le plus souvent, un tableau est utilisé pour répéter un test avec des valeurs différentes.

$packages = ['vim', 'git', 'curl'] package { $packages: 
   ensure => "installed" 
}

Utilisation des conditions

Puppet prend en charge la plupart des structures conditionnelles qui peuvent être trouvées dans les langages de programmation traditionnels. La condition peut être utilisée pour définir dynamiquement s'il faut exécuter une tâche particulière ou si un ensemble de code doit être exécuté. Comme les instructions if / else et case. De plus, les conditions telles que l'exécution prendront également en charge les attributs qui fonctionnent comme une condition, mais n'acceptent qu'une sortie de commande comme condition.

if $OperatingSystem != 'Linux' { 
   warning('This manifest is not supported on this other OS apart from linux.') 
} else { 
   notify { 'the OS is Linux. We are good to go!': }
}

Dans Puppet, un module peut être défini comme un ensemble de ressources, classes, fichiers, définitions et modèles. Puppet prend en charge la redistribution facile des modules, ce qui est très utile pour la modularité du code car on peut écrire un module générique spécifié et peut l'utiliser plusieurs fois avec très peu de changements de code simples. Par exemple, cela activera la configuration du site par défaut sous / etc / puppet, avec les modules fournis par Puppet proprement dit dans / etc / share / puppet.

Configuration du module

Dans tout module Puppet, nous avons deux partitions qui aident à définir la structure du code et à contrôler les dénominations.

  • Le chemin de recherche des modules est configuré à l'aide d'une liste de répertoires séparés par deux-points dans le puppetmasterd ou masterd, la dernière section du fichier de configuration principal de Puppet avec le modulepath paramètre.

[puppetmasterd] 
... 
modulepath = /var/lib/puppet/modules:/data/puppet/modules

    Le chemin de recherche peut être ajouté au moment de l'exécution en définissant la variable d'environnement PUPPETLAB qui doit également être une liste de variables séparées par deux-points.

  • Paramètres de contrôle d'accès pour les modules de serveur de fichiers dans fileserver.conf, la configuration du chemin pour ce module est toujours ignorée et la spécification d'un chemin produira un avertissement.

Source des modules

Puppet prend en charge un emplacement différent pour stocker les modules. Tout module peut être stocké dans différents systèmes de fichiers d'une machine particulière. Cependant, tous les chemins où sont stockés les modules doivent être spécifiés dans la variable de configuration appeléemodulepath qui est en général une variable de chemin où Puppet recherche tous les répertoires du module et les charge lors du démarrage.

Un chemin par défaut raisonnable peut être configuré comme -

/etc/puppet/modules:/usr/share/puppet:/var/lib/modules.

Alternativement, le répertoire / etc / puppet pourrait être établi comme un module anonyme spécial, qui est toujours recherché en premier.

Nommage des modules

Puppet suit les mêmes normes de dénomination d'un module particulier dans lequel le nom du module doit être des mots normaux, correspondant à [- \\ w +] (lettre, mot, nombre, trait de soulignement et tirets) et ne contenant pas le séparateur d'espace de noms:: ou /. Bien que cela puisse être autorisé concernant les hiérarchies de modules, il ne peut pas être imbriqué pour les nouveaux modules.

Organisation interne du module

Lorsque l'utilisateur crée un nouveau module dans Puppet, il suit la même structure et contient un manifeste, un fichier distribué, des plugins et des modèles organisés dans une structure de répertoires spécifique, comme indiqué dans le code suivant.

MODULE_PATH/ 
   downcased_module_name/ 
      files/ 
      manifests/ 
         init.pp 
      lib/ 
         puppet/ 
            parser/ 
               functions 
            provider/ 
            type/ 
         facter/ 
      templates/ 
      README

Chaque fois qu'un module est créé, il contient init.ppmanifest à l'emplacement de correctif spécifié dans le répertoire manifestes. Ce fichier manifeste est un fichier par défaut qui s'exécute en premier dans un module particulier et contient une collection de toutes les classes associées à ce module particulier. Additionnel.ppLe fichier peut être ajouté directement sous le dossier manifestes. Si nous ajoutons des fichiers .pp supplémentaires, ils doivent être nommés d'après la classe.

L'une des principales caractéristiques obtenues grâce à l'utilisation de modules est le partage de code. Un module par nature devrait être autonome, ce qui signifie que l'on devrait être capable d'inclure n'importe quel module de n'importe où et de le déposer sur le chemin du module, qui est chargé au démarrage de Puppet. Avec l'aide de modules, on obtient la modularité dans le codage d'infrastructure Puppet.

Exemple

Considérez un module autofs qui installe une carte auto.homes fixe et génère le fichier auto.master à partir de modèles.

class autofs { 
   package { autofs: ensure => latest } 
   service { autofs: ensure => running } 
   
   file { "/etc/auto.homes": 
      source => "puppet://$servername/modules/autofs/auto.homes" 
   } 
   file { "/etc/auto.master": 
      content => template("autofs/auto.master.erb") 
   } 
}

Le système de fichiers contiendra les fichiers suivants.

MODULE_PATH/ 
autofs/ 
manifests/ 
init.pp 
files/ 
auto.homes 
templates/ 
auto.master.erb

Recherche de module

Puppet suit une structure prédéfinie dans laquelle il contient plusieurs répertoires et sous-répertoires dans une structure définie. Ces répertoires contiennent différents types de fichiers requis par un module pour effectuer certaines actions. Un peu de magie dans les coulisses s'assure que le bon fichier est associé au bon contexte. Toutes les recherches de modules se trouvent dans le modulepath, une liste de répertoires séparés par deux-points.

Pour les références de fichiers sur le serveur de fichiers, une référence similaire est utilisée afin qu'une référence à puppet: //$servername/modules/autofs/auto.homes soit résolue dans le fichier autofs / files / auto.homes dans le chemin du module.

Pour rendre un module utilisable à la fois avec le client en ligne de commande et un maître de marionnettes, on peut utiliser une URL du chemin from puppet: ///. c'est-à-dire une URL sans nom de serveur explicite. Cette URL est traitée légèrement différemment parPuppet et puppetd. Puppet recherche une URL sans serveur dans le système de fichiers local.

Les fichiers modèles sont recherchés de la même manière que les fichiers manifestes et les fichiers: une mention de modèle («autofs / auto.master.erb») obligera le maître de marionnettes à rechercher un fichier dans $templatedir/autofs/auto.master.erb et alors autofs/templates/auto.master.erbsur le chemin du module. Avec les versions Puppet de tout ce qui se trouve sous le Puppet, il est disponible. C'est ce qu'on appelle le chargement automatique du module. Puppet tentera de charger automatiquement les classes et les définitions à partir du module.

Puppet suit le concept de client et de serveur où une machine dans une configuration fonctionne comme la machine serveur avec le logiciel serveur Puppet en cours d'exécution et le reste fonctionne en tant que client avec le logiciel agent Puppet en cours d'exécution. Cette fonctionnalité du serveur de fichiers permet de copier les fichiers sur plusieurs machines. Cette fonction de service de fichiers dans Puppet fait partie du démon Puppet central. Puppetmasterd et la fonction client jouent un rôle clé dans l'approvisionnement des attributs de fichier en tant qu'objet fichier.

class { 'java':  
   package               => 'jdk-8u25-linux-x64',  
   java_alternative      => 'jdk1.8.0_25',  
   java_alternative_path => '/usr/java/jdk1.8.0_25/jre/bin/java'  
}

Comme dans l'extrait de code ci-dessus, les fonctions de service de fichiers de Puppet font abstraction de la topologie du système de fichiers local en prenant en charge le module de service de fichiers. Nous spécifierons le module de service de fichiers de la manière suivante.

“puppet://server/modules/module_name/sudoers”

Format de fichier

Dans la structure de répertoires Puppet, par défaut, la configuration du serveur de fichiers se trouve sous /etc/puppet/fileserver.config répertoire, si l'utilisateur souhaite changer ce chemin de fichier de configuration par défaut, cela peut être fait en utilisant le nouvel indicateur de configuration pour puppetmasterd. Le fichier de configuration ressemble aux fichiers INI mais n'est pas exactement le même.

[module] 
path /path/to/files 
allow *.domain.com 
deny *.wireless.domain.com

Comme indiqué dans l'extrait de code ci-dessus, les trois options sont représentées dans le fichier de configuration. Le nom du module va quelque peu entre crochets. Le chemin est la seule option requise. L'option de sécurité par défaut est de refuser tous les accès, donc si aucune ligne d'autorisation n'est spécifiée, le module qui sera configuré sera accessible à tous.

Le chemin peut contenir tout ou partie des% d,% h et% H qui sont remplacés dynamiquement par son nom de domaine, son nom d'hôte et son nom d'hôte complet. Tous sont extraits du certificat SSL du client (soyez donc prudent si l'un d'entre eux présente une incohérence dans le nom d'hôte et le nom du certificat). Ceci est utile pour créer des modules où les fichiers de chaque client sont conservés complètement séparément. Exemple, pour les clés d'hôte privées.

[private] 
path /data/private/%h 
allow *

Dans l'extrait de code ci-dessus, le code tente de rechercher le fichier /private/file.txt à partir du client client1.vipin.com. Il le recherchera dans /data/private/client1/file.txt, tandis que la même requête pour client2.vipin.com tentera de récupérer le fichier /data/private/client2/file.txt sur le serveur de fichiers.

Sécurité

Puppet prend en charge les deux concepts de base de la sécurisation des fichiers sur le serveur de fichiers Puppet. Ceci est réalisé en autorisant l'accès à des fichiers spécifiques et en refusant l'accès à ceux qui ne sont pas nécessaires. Par défaut, Puppet n'autorise l'accès à aucun des fichiers. Il doit être défini explicitement. Le format qui peut être utilisé dans les fichiers pour autoriser ou refuser l'accès consiste à utiliser l'adresse IP, le nom ou l'autorisation globale.

Si le client n'est pas connecté directement au serveur de fichiers Puppet, par exemple en utilisant un proxy inverse et Mongrel, le serveur de fichiers verra toutes les connexions comme provenant du serveur proxy et non du client Puppet. Dans les cas ci-dessus, la meilleure pratique consiste à restreindre le nom d'hôte sur la base du nom d'hôte.

Un point clé à noter lors de la définition de la structure du fichier est que toutes les instructions deny sont analysées avant l'instruction allow. Par conséquent, si une instruction de refus correspond à un hôte, cet hôte sera refusé et si aucune instruction d'autorisation n'est écrite dans les fichiers à venir, l'hôte sera refusé. Cette fonctionnalité aide à définir la priorité d'un site particulier.

Nom d'hôte

Dans n'importe quelle configuration de serveur de fichiers, le nom d'hôte du fichier peut être spécifié de deux manières en utilisant un nom d'hôte complet ou en spécifiant un nom de domaine entier à l'aide du caractère générique *, comme illustré dans l'exemple suivant.

[export] 
path /usr 
allow brcleprod001.brcl.com 
allow *.brcl.com 
deny brcleprod002.brcl.com

Adresse IP

Dans n'importe quelle configuration de serveur de fichiers, l'adresse de fichier peut être spécifiée comme similaire aux noms d'hôte, en utilisant soit une adresse IP complète, soit une adresse générique. On peut également utiliser la notation système CIDR.

[export] 
path /usr 
allow 127.0.0.1 
allow 172.223.30.* 
allow 172.223.30.0/24

Autoriser global

L'autorisation globale est utilisée lorsque l'utilisateur souhaite que tout le monde puisse accéder à un module particulier. Pour ce faire, un seul caractère générique permet à tout le monde d'accéder au module.

[export] 
path /export 
allow *

Puppet prend en charge la conservation de plusieurs valeurs en tant que variable d'environnement. Cette fonctionnalité est prise en charge dans Puppet en utilisantfacter. Dans Puppet, facter est un outil autonome qui contient la variable de niveau d'environnement. In peut être considéré comme similaire à la variable env de Bash ou Linux. Parfois, il peut y avoir un chevauchement entre les informations stockées dans les faits et la variable d'environnement de la machine. Dans Puppet, la paire clé-valeur est appelée «fait». Chaque ressource a ses propres faits et dans Puppet, l'utilisateur a le pouvoir de créer ses propres faits personnalisés.

# facter

Facter commandpeut être utilisé pour lister toutes les différentes variables d'environnement et leurs valeurs associées. Ce recueil de faits est livré avec facter prêt à l'emploi et est appelé faits essentiels. On peut ajouter des faits personnalisés à la collection.

Si l'on veut afficher une seule variable. Cela peut être fait en utilisant la commande suivante.

# facter {Variable Name}  

Example 
[root@puppetmaster ~]# facter virtual 
virtualbox

La raison pour laquelle le facter est important pour Puppet est que le facter et les faits sont disponibles dans tout le code Puppet comme “global variable”, ce qui signifie qu'il peut être utilisé dans le code à tout moment sans aucune autre référence.

Exemple à tester

[root@puppetmaster modules]# tree brcle_account 
brcle_account 
└── manifests  └── init.pp [root@puppetmaster modules]# cat brcle_account/manifests/init.pp  
class brcle_account {  
   user { 'G01063908': 
      ensure => 'present', 
      uid => '121', 
      shell => '/bin/bash', 
      home => '/home/G01063908', 
   }  
   
   file {'/tmp/userfile.txt': 
      ensure => file, 
      content => "the value for the 'OperatingSystem' fact is: $OperatingSystem \n", 
   } 
}

Le tester

[root@puppetmaster modules]# puppet agent --test 
Notice: /Stage[main]/Activemq::Service/Service[activemq]/ensure: 
ensure changed 'stopped' to 'running' 
Info: /Stage[main]/Activemq::Service/Service[activemq]: 
Unscheduling refresh on Service[activemq] 

Notice: Finished catalog run in 4.09 seconds  
[root@puppetmaster modules]# cat /tmp/testfile.txt  
the value for the 'OperatingSystem' fact is: Linux   

[root@puppetmaster modules]# facter OperatingSystem 
Linux

Comme nous pouvons le remarquer dans l'extrait de code ci-dessus, nous n'avons pas défini le OperatingSystem. Nous venons de remplacer la valeur par une valeur codée en douceur$OperatingSystem comme variable normale.

Dans Puppet, trois types de faits peuvent être utilisés et définis -

  • Faits essentiels
  • Faits personnalisés
  • Faits externes

Les faits essentiels sont définis au niveau supérieur et accessibles à tous à tout moment du code.

Faits sur les marionnettes

Juste avant qu'un agent demande un catalogue au maître, l'agent compile d'abord une liste complète des informations disponibles en soi sous la forme d'une paire clé / valeur. Les informations sur l'agent sont rassemblées par un outil appelé facter et chaque paire clé-valeur est appelée un fait. Voici une sortie commune de faits sur un agent.

[root@puppetagent1 ~]# facter
architecture => x86_64 
augeasversion => 1.0.0 
bios_release_date => 13/09/2012 
bios_vendor => innotek GmbH 
bios_version => VirtualBox 
blockdevice_sda_model => VBOX HARDDISK 
blockdevice_sda_size => 22020587520 
blockdevice_sda_vendor => ATA 
blockdevice_sr0_model => CD-ROM 
blockdevice_sr0_size => 1073741312 
blockdevice_sr0_vendor => VBOX 
blockdevices => sda,sr0 
boardmanufacturer => Oracle Corporation 
boardproductname => VirtualBox 
boardserialnumber => 0 

domain => codingbee.dyndns.org  
facterversion => 2.1.0 
filesystems => ext4,iso9660 
fqdn => puppetagent1.codingbee.dyndns.org 
hardwareisa => x86_64 
hardwaremodel => x86_64 
hostname => puppetagent1 
id => root 
interfaces => eth0,lo 
ipaddress => 172.228.24.01 
ipaddress_eth0 => 172.228.24.01 
ipaddress_lo => 127.0.0.1 
is_virtual => true 
kernel => Linux 
kernelmajversion => 2.6 
kernelrelease => 2.6.32-431.23.3.el6.x86_64 
kernelversion => 2.6.32 
lsbdistcodename => Final 
lsbdistdescription => CentOS release 6.5 (Final) 
lsbdistid => CentOS 
lsbdistrelease => 6.5 
lsbmajdistrelease => 6 
lsbrelease => :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0noarch:graphics-4.0-amd64:
graphics-4.0-noarch:printing-4.0-amd64:printing-4.0noarch 
macaddress => 05:00:22:47:H9:77 
macaddress_eth0 => 05:00:22:47:H9:77 
manufacturer => innotek GmbH 
memoryfree => 125.86 GB 
memoryfree_mb => 805.86 
memorysize => 500 GB 
memorysize_mb => 996.14 
mtu_eth0 => 1500 
mtu_lo => 16436 
netmask => 255.255.255.0 
netmask_eth0 => 255.255.255.0  

network_lo => 127.0.0.0 
operatingsystem => CentOS 
operatingsystemmajrelease => 6 
operatingsystemrelease => 6.5 
osfamily => RedHat 
partitions => {"sda1"=>{
"uuid"=>"d74a4fa8-0883-4873-8db0-b09d91e2ee8d", "size" =>"1024000", 
"mount" => "/boot", "filesystem" => "ext4"}, "sda2"=>{"size" => "41981952", 
"filesystem" => "LVM2_member"}
} 
path => /usr/lib64/qt3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin 
physicalprocessorcount => 1 
processor0 => Intel(R) Core(TM) i7 CPU         920  @ 2.67GHz 
processor1 => Intel(R) Core(TM) i7 CPU         920  @ 2.67GHz 
processor2 => Intel(R) Core(TM) i7 CPU         920  @ 2.67GHz 
processorcount => 3 
productname => VirtualBox 
ps => ps -ef 
puppetversion => 3.6.2 
rubysitedir => /usr/lib/ruby/site_ruby/1.8 
rubyversion => 1.8.7
selinux => true 
selinux_config_mode => enforcing 
selinux_config_policy => targeted 
selinux_current_mode => enforcing 
selinux_enforced => true 
selinux_policyversion => 24 
serialnumber => 0 
sshdsakey => AAAAB3NzaC1kc3MAAACBAK5fYwRM3UtOs8zBCtRTjuHLw56p94X/E0UZBZwFR3q7
WH0x5+MNsjfmdCxKvpY/WlIIUcFJzvlfjXm4qDaTYalbzSZJMT266njNbw5WwLJcJ74KdW92ds76pjgm
CsjAh+R9YnyKCEE35GsYjGH7whw0gl/rZVrjvWYKQDOmJA2dAAAAFQCoYABgjpv3EkTWgjLIMnxA0Gfud
QAAAIBM4U6/nerfn6Qvt43FC2iybvwVo8ufixJl5YSEhs92uzsW6jiw68aaZ32q095/gEqYzeF7a2knr
OpASgO9xXqStYKg8ExWQVaVGFTR1NwqhZvz0oRSbrN3h3tHgknoKETRAg/imZQ2P6tppAoQZ8wpuLrXU
CyhgJGZ04Phv8hinAAAAIBN4xaycuK0mdH/YdcgcLiSn8cjgtiETVzDYa+jF 
swapfree => 3.55 GB 
swapfree_mb => 2015.99 
swapsize => 3.55 GB 
swapsize_mb => 2015.99 
timezone => GMT 
type => Other 
uniqueid => a8c0af01 
uptime => 45:012 hours 
uptime_days => 0 
uptime_hours => 6 
uptime_seconds => 21865 
uuid => BD8B9D85-1BFD-4015-A633-BF71D9A6A741 
virtual => virtualbox

Dans le code ci-dessus, nous pouvons voir certaines des données se chevaucher avec quelques-unes des informations disponibles dans la variable bash «env». Puppet n'utilise pas directement les données, à la place il utilise des données de facter, les données de Facter sont traitées comme une variable globale.

Les faits sont ensuite disponibles en tant que variable de niveau supérieur et le maître Puppet peut les utiliser pour compiler le catalogue Puppet pour l'agent demandeur. Les caractères sont appelés dans le manifeste comme une variable normale avec le préfixe $.

Exemple

if ($OperatingSystem == "Linux") { 
   $message = "This machine OS is of the type $OperatingSystem \n" 
} else { 
   $message = "This machine is unknown \n" } file { "/tmp/machineOperatingSystem.txt": ensure => file, content => "$message" 
}

Le fichier manifeste ci-dessus ne dérange qu'un seul fichier appelé machineOperatingSystem.txt, où le contenu de ce fichier est déduit du fait appelé OperatingSystem.

[root@puppetagent1 /]# facter OperatingSystem 
Linux  

[root@puppetagent1 /]# puppet apply /tmp/ostype.pp 
Notice: Compiled catalog for puppetagent1.codingbee.dyndns.org 
in environment production in 0.07 seconds 
Notice: /Stage[main]/Main/File[/tmp/machineOperatingSystem.txt]/ensure: 
defined content as '{md5}f59dc5797d5402b1122c28c6da54d073' 
Notice: Finished catalog run in 0.04 seconds  

[root@puppetagent1 /]# cat /tmp/machinetype.txt 
This machine OS is of the type Linux

Faits personnalisés

Tous les faits ci-dessus que nous avons vus sont les faits essentiels de la machine. On peut ajouter ces faits personnalisés au nœud de la manière suivante -

  • Utilisation de la «syntaxe export FACTER…»
  • Utilisation des paramètres $ LOAD_PATH
  • FACTERLIB
  • Pluginsync

Utilisation de la syntaxe «export FACTER»

On peut ajouter manuellement les faits en utilisant la syntaxe d'exportation FACTER_ {nom du fait}.

Exemple

[root@puppetagent1 facter]# export FACTER_tallest_mountain="Everest" 
[root@puppetagent1 facter]# facter tallest_mountain Everest

Utilisation des paramètres $ LOAD_PATH

En rubis, $LOAD_PATH is equivalent to Bash special parameter. Although it is similar to bash $Variable PATH, en faits réels $ LOAD_PATH n'est pas une variable d'environnement, mais plutôt une variable prédéfinie.

$ LOAD_PATH a un synonyme «$:». Cette variable est un tableau pour rechercher et charger les valeurs.

[root@puppetagent1 ~]# ruby -e 'puts $LOAD_PATH'            
# note you have to use single quotes.  
/usr/lib/ruby/site_ruby/1.6 
/usr/lib64/ruby/site_ruby/1.6 
/usr/lib64/ruby/site_ruby/1.6/x86_64-linux 
/usr/lib/ruby/site_ruby 
/usr/lib64/ruby/site_ruby 
/usr/lib64/site_ruby/1.6 
/usr/lib64/site_ruby/1.6/x86_64-linux 
/usr/lib64/site_ruby 
/usr/lib/ruby/1.6 
/usr/lib64/ruby/1.6 
/usr/lib64/ruby/1.6/x86_64-linux

Prenons un exemple de création d'un facter de répertoire et d'ajout d'un .pp fichier et y ajouter un contenu.

[root@puppetagent1 ~]# cd /usr/lib/ruby/site_ruby/ 
[root@puppetagent1 site_ruby]# mkdir facter 
[root@puppetagent1 site_ruby]# cd facter/ 
[root@puppetagent1 facter]# ls 
[root@puppetagent1 facter]# touch newadded_facts.rb

Ajoutez le contenu suivant au fichier custom_facts.rb.

[root@puppetagent1 facter]# cat newadded_facts.rb 
Facter.add('tallest_mountain') do 
   setcode "echo Everest" 
end

Facter fonctionne selon la méthode de numérisation de tous les dossiers répertoriés dans $ LOAD_PATH, et recherche un directeur appelé facter. Une fois qu'il trouve ce dossier particulier, il les chargera n'importe où dans la structure des dossiers. S'il trouve ce dossier, il recherche un fichier Ruby dans ce dossier facter et charge tous les faits définis sur une configuration particulière dans la mémoire.

Utilisation de FACTERLIB

Dans Puppet, FACTERLIB fonctionne très similaire à $ LOAD_PATH mais avec une seule différence clé: il s'agit d'un paramètre d'environnement au niveau du système d'exploitation plutôt que d'une variable spéciale Ruby. Par défaut, la variable d'environnement peut ne pas être définie.

[root@puppetagent1 facter]# env | grep "FACTERLIB" 
[root@puppetagent1 facter]#

Pour tester FACTERLIB, nous devons effectuer les étapes suivantes.

Créez un dossier appelé test_facts dans la structure suivante.

[root@puppetagent1 tmp]# tree /tmp/test_facts/ 
/tmp/some_facts/ 
├── vipin 
│   └── longest_river.rb 
└── testing 
   └── longest_wall.rb

Ajoutez le contenu suivant aux fichiers .rb.

[root@puppetagent1 vipin]# cat longest_river.rb 
Facter.add('longest_river') do 
   setcode "echo Nile" 
end 

[root@puppetagent1 testing]# cat longest_wall.rb 
Facter.add('longest_wall') do 
   setcode "echo 'China Wall'" 
end

Utilisez l'instruction d'exportation.

[root@puppetagent1 /]# export 
FACTERLIB = "/tmp/some_facts/river:/tmp/some_facts/wall" 
[root@puppetagent1 /]# env | grep "FACTERLIB" 
FACTERLIB = /tmp/some_facts/river:/tmp/some_facts/wall

Testez le nouveau facter.

[root@puppetagent1 /]# facter longest_river 
Nile 
[root@puppetagent1 /]# facter longest_wall 
China Wall

Faits externes

Les faits externes sont très utiles lorsque l'utilisateur souhaite appliquer certains nouveaux faits créés au moment de l'approvisionnement. Les faits externes sont l'un des principaux moyens d'appliquer des métadonnées à une machine virtuelle lors de sa phase de provisionnement (par exemple en utilisant vSphere, OpenStack, AWS, etc.)

Toutes les métadonnées et ses détails créés peuvent être utilisés par Puppet pour déterminer quels détails doivent être présents dans le catalogue, qui va être appliqué.

Créer un fait externe

Sur la machine de l'agent, nous devons créer un répertoire comme indiqué ci-dessous.

$ mkdir -p /etc/facter/facts.d

Créez un script Shell dans le répertoire avec le contenu suivant.

$ ls -l /etc/facter/facts.d 
total 4 
-rwxrwxrwx. 1 root root 65 Sep 18 13:11 external-factstest.sh 
$ cat /etc/facter/facts.d/external-factstest.sh 
#!/bin/bash 
echo "hostgroup = dev" 
echo "environment = development"

Modifiez l'autorisation du fichier de script.

$ chmod u+x /etc/facter/facts.d/external-facts.sh

Une fois cela fait, nous pouvons maintenant voir la variable présente avec la paire clé / valeur.

$ facter hostgroup dev $ facter environment 
development

On peut écrire des faits personnalisés dans Puppet. À titre de référence, utilisez le lien suivant du site Puppet.

https://docs.puppet.com/facter/latest/fact_overview.html#writing-structured-facts

Les ressources sont l'une des principales unités fondamentales de Puppet utilisées pour concevoir et construire une infrastructure particulière ou une machine. Ils sont principalement utilisés pour la modélisation et la maintenance des configurations système. Puppet a plusieurs types de ressources, qui peuvent être utilisées pour définir l'architecture du système ou l'utilisateur a le pouvoir de créer et de définir une nouvelle ressource.

Le bloc de code Puppet dans le fichier manifeste ou dans tout autre fichier est appelé une déclaration de ressource. Le bloc de code est écrit dans un langage appelé Declarative Modeling Language (DML). Voici un exemple de son apparence.

user { 'vipin': 
   ensure => present, 
   uid    => '552', 
   shell  => '/bin/bash', 
   home   => '/home/vipin', 
}

Dans Puppet, la déclaration de ressource pour tout type de ressource particulier est effectuée dans un bloc de code. Dans l'exemple suivant, l'utilisateur est composé principalement de quatre paramètres prédéfinis.

  • Resource Type - Dans l'extrait de code ci-dessus, il s'agit de l'utilisateur.

  • Resource Parameter - Dans l'extrait de code ci-dessus, il s'agit de Vipin.

  • Attributes - Dans l'extrait de code ci-dessus, il s'agit de ensure, uid, shell, home.

  • Values - Ce sont les valeurs qui correspondent à chaque propriété.

Chaque type de ressource a sa propre façon de définir les définitions et les paramètres, et l'utilisateur a le privilège de choisir et de choisir la façon dont il veut que sa ressource ressemble.

Type de ressource

Il existe différents types de ressources disponibles dans Puppet qui ont leur propre mode de fonctionnement. Ces types de ressources peuvent être visualisés à l'aide de la commande «describe» avec l'option «-list».

[root@puppetmaster ~]# puppet describe --list 
These are the types known to puppet: 
augeas          - Apply a change or an array of changes to the  ... 
computer        - Computer object management using DirectorySer ... 
cron            - Installs and manages cron jobs 
exec            - Executes external commands 
file            - Manages files, including their content, owner ... 
filebucket      - A repository for storing and retrieving file  ... 
group           - Manage groups 
host            - Installs and manages host entries 
interface       - This represents a router or switch interface 
k5login         - Manage the ‘.k5login’ file for a user 
macauthorization - Manage the Mac OS X authorization database 
mailalias       - .. no documentation .. 
maillist        - Manage email lists 
mcx             - MCX object management using DirectoryService  ... 
mount           - Manages mounted filesystems, including puttin ... 
nagios_command  - The Nagios type command 
nagios_contact  - The Nagios type contact 
nagios_contactgroup - The Nagios type contactgroup 
nagios_host     - The Nagios type host 
nagios_hostdependency - The Nagios type hostdependency 
nagios_hostescalation - The Nagios type hostescalation 
nagios_hostextinfo - The Nagios type hostextinfo 
nagios_hostgroup - The Nagios type hostgroup 

nagios_service  - The Nagios type service 
nagios_servicedependency - The Nagios type servicedependency 
nagios_serviceescalation - The Nagios type serviceescalation 
nagios_serviceextinfo - The Nagios type serviceextinfo  
nagios_servicegroup - The Nagios type servicegroup 
nagios_timeperiod - The Nagios type timeperiod 
notify          - .. no documentation .. 
package         - Manage packages 
resources       - This is a metatype that can manage other reso ... 
router          - .. no documentation .. 
schedule        - Define schedules for Puppet 
scheduled_task  - Installs and manages Windows Scheduled Tasks 
selboolean      - Manages SELinux booleans on systems with SELi ... 
service         - Manage running services 
ssh_authorized_key - Manages SSH authorized keys 
sshkey          - Installs and manages ssh host keys 
stage           - A resource type for creating new run stages 
tidy            - Remove unwanted files based on specific crite ... 
user            - Manage users 
vlan            - .. no documentation .. 
whit            - Whits are internal artifacts of Puppet's curr ... 
yumrepo         - The client-side description of a yum reposito ... 
zfs             - Manage zfs 
zone            - Manages Solaris zones 
zpool           - Manage zpools

Titre de la ressource

Dans l'extrait de code ci-dessus, nous avons le titre de la ressource en tant que vipin qui est unique pour chaque ressource utilisée dans le même fichier du code. Il s'agit d'un titre unique pour ce type de ressource utilisateur. Nous ne pouvons pas avoir une ressource avec le même nom car cela provoquera des conflits.

La commande Resource peut être utilisée pour afficher la liste de toutes les ressources en utilisant le type user.

[root@puppetmaster ~]# puppet resource user 
user { 'abrt': 
   ensure           => 'present', 
   gid              => '173', 
   home             => '/etc/abrt', 
   password         => '!!', 
   password_max_age => '-1', 
   password_min_age => '-1', 
   shell            => '/sbin/nologin', 
   uid              => '173', 
} 

user { 'admin': 
   ensure           => 'present', 
   comment          => 'admin', 
   gid              => '444', 
   groups           => ['sys', 'admin'], 
   home             => '/var/admin', 
   password         => '*', 
   password_max_age => '99999', 
   password_min_age => '0', 
   shell            => '/sbin/nologin', 
   uid              => '55', 
} 

user { 'tomcat': 
   ensure           => 'present', 
   comment          => 'tomcat', 
   gid              => '100', 
   home             => '/var/www', 
   password         => '!!', 
   password_max_age => '-1', 
   password_min_age => '-1', 
   shell            => '/sbin/nologin', 
   uid              => '100', 
}

Liste des ressources d'un utilisateur particulier

[root@puppetmaster ~]# puppet resource user tomcat 
user { 'apache': 
   ensure           => 'present', 
   comment          => 'tomcat', 
   gid              => '100', 
   home             => '/var/www', 
   password         => '!!', 
   password_max_age => '-1', 
   password_min_age => '-1', 
   shell            => '/sbin/nologin', 
   uid              => '100’, 
}

Attributs et valeurs

Le corps principal de toute ressource est constitué d'une collection de paires attribut-valeur. Ici, on peut spécifier les valeurs de la propriété d'une ressource donnée. Chaque type de ressource possède son propre ensemble d'attributs qui peuvent être configurés avec les paires clé-valeur.

Décrivez la sous-commande qui peut être utilisée pour obtenir plus de détails sur un attribut de ressources particulier. Dans l'exemple suivant, nous avons les détails sur la ressource utilisateur ainsi que tous ses attributs configurables.

[root@puppetmaster ~]# puppet describe user 
user 
==== 
Manage users.  This type is mostly built to manage system users, 
so it is lacking some features useful for managing normal users. 

This resource type uses the prescribed native tools for creating groups 
and generally uses POSIX APIs for retrieving information about them.
It does not directly modify ‘/etc/passwd’ or anything. 

**Autorequires:** If Puppet is managing the user's primary group 
(as provided in the ‘gid’ attribute), 
the user resource will autorequire that group. 
If Puppet is managing any role accounts corresponding to the user's roles, 
the user resource will autorequire those role accounts.  

Parameters 
---------- 
- **allowdupe** 
   Whether to allow duplicate UIDs. Defaults to ‘false’. 
   Valid values are ‘true’, ‘false’, ‘yes’, ‘no’.  

- **attribute_membership** 
   Whether specified attribute value pairs should be treated as the 
   **complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of 
   attribute/value pairs for the user. Defaults to ‘minimum’. 
   Valid values are ‘inclusive’, ‘minimum’.  

- **auths** 
   The auths the user has.  Multiple auths should be 
   specified as an array. 
   Requires features manages_solaris_rbac.  

- **comment** 
   A description of the user.  Generally the user's full name.  

- **ensure** 
   The basic state that the object should be in. 
   Valid values are ‘present’, ‘absent’, ‘role’.  

- **expiry**
   The expiry date for this user. Must be provided in 
   a zero-padded YYYY-MM-DD format --- e.g. 2010-02-19. 
   If you want to make sure the user account does never 
   expire, you can pass the special value ‘absent’. 
   Valid values are ‘absent’. Values can match ‘/^\d{4}-\d{2}-\d{2}$/’. Requires features manages_expiry. - **forcelocal** Forces the mangement of local accounts when accounts are also being managed by some other NSS - **gid** The user's primary group. Can be specified numerically or by name. This attribute is not supported on Windows systems; use the ‘groups’ attribute instead. (On Windows, designating a primary group is only meaningful for domain accounts, which Puppet does not currently manage.) - **groups** The groups to which the user belongs. The primary group should not be listed, and groups should be identified by name rather than by GID. Multiple groups should be specified as an array. - **home** The home directory of the user. The directory must be created separately and is not currently checked for existence. - **ia_load_module** The name of the I&A module to use to manage this user. Requires features manages_aix_lam. - **iterations** This is the number of iterations of a chained computation of the password hash (http://en.wikipedia.org/wiki/PBKDF2). This parameter is used in OS X. This field is required for managing passwords on OS X >= 10.8. Requires features manages_password_salt. - **key_membership** - **managehome** Whether to manage the home directory when managing the user. This will create the home directory when ‘ensure => present’, and delete the home directory when ‘ensure => absent’. Defaults to ‘false’. Valid values are ‘true’, ‘false’, ‘yes’, ‘no’. - **membership** Whether specified groups should be considered the **complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of groups to which the user belongs. Defaults to ‘minimum’. Valid values are ‘inclusive’, ‘minimum’. - **name** The user name. While naming limitations vary by operating system, it is advisable to restrict names to the lowest common denominator, which is a maximum of 8 characters beginning with a letter. Note that Puppet considers user names to be case-sensitive, regardless of the platform's own rules; be sure to always use the same case when referring to a given user. - **password** The user's password, in whatever encrypted format the local system requires. * Most modern Unix-like systems use salted SHA1 password hashes. You can use Puppet's built-in ‘sha1’ function to generate a hash from a password. * Mac OS X 10.5 and 10.6 also use salted SHA1 hashes. Windows API for setting the password hash. [stdlib]: https://github.com/puppetlabs/puppetlabs-stdlib/ Be sure to enclose any value that includes a dollar sign ($) in single 
   quotes (') to avoid accidental variable interpolation. 
   Requires features manages_passwords.  

- **password_max_age** 
   The maximum number of days a password may be used before it must be changed. 
   Requires features manages_password_age.  

- **password_min_age** 
   The minimum number of days a password must be used before it may be changed. 
   Requires features manages_password_age.  

- **profile_membership** 
   Whether specified roles should be treated as the **complete list** 
   (‘inclusive’) or the **minimum list** (‘minimum’) of roles 
   of which the user is a member. Defaults to ‘minimum’. 
   Valid values are ‘inclusive’, ‘minimum’.  

- **profiles** 
   The profiles the user has.  Multiple profiles should be 
   specified as an array. 
   Requires features manages_solaris_rbac.  

- **project** 
   The name of the project associated with a user. 
   Requires features manages_solaris_rbac.  

- **uid** 
   The user ID; must be specified numerically. If no user ID is 
   specified when creating a new user, then one will be chosen 
   automatically. This will likely result in the same user having 
   different UIDs on different systems, which is not recommended. This is 
   especially noteworthy when managing the same user on both Darwin and 
   other platforms, since Puppet does UID generation on Darwin, but 
   the underlying tools do so on other platforms. 
   On Windows, this property is read-only and will return the user's 
   security identifier (SID).

Dans Puppet, la couche d'abstraction des ressources (RAL) peut être considérée comme le modèle conceptualisé de base sur lequel fonctionne toute l'infrastructure et la configuration de Puppet. En RAL, chaque alphabet a sa propre signification significative qui est définie comme suit.

Ressource [R]

Une ressource peut être considérée comme l'ensemble des ressources utilisées pour modéliser toute configuration dans Puppet. Ce sont essentiellement des ressources intégrées qui sont présentes par défaut dans Puppet. Ils peuvent être considérés comme un ensemble de ressources appartenant à un type de ressource prédéfini. Ils sont similaires au concept POO dans tout autre langage de programmation dans lequel l'objet est une instance de classe. Dans Puppet, sa ressource est une instance d'un type de ressource.

Abstraction [A]

L'abstraction peut être considérée comme une fonctionnalité clé où les ressources sont définies indépendamment du système d'exploitation cible. En d'autres termes, lors de l'écriture d'un fichier manifeste, l'utilisateur n'a pas à se soucier de la machine cible ou du système d'exploitation, qui est présent sur cette machine particulière. En abstraction, les ressources fournissent suffisamment d'informations sur ce qui doit exister sur l'agent Puppet.

Puppet s'occupera de toutes les fonctionnalités ou de la magie qui se produisent dans les coulisses. Indépendamment des ressources et du système d'exploitation, Puppet se chargera de la mise en œuvre de la configuration sur la machine cible, dans laquelle l'utilisateur n'a pas à s'inquiéter de la façon dont Puppet se comporte en coulisses.

En abstraction, Puppet sépare les ressources de son implémentation. Cette configuration spécifique à la plate-forme existe auprès des fournisseurs. Nous pouvons utiliser plusieurs sous-commandes avec ses fournisseurs.

Calque [L]

Il est possible que l'on définisse une configuration et une configuration de machine entière en termes de collecte de ressources, et cela peut être visualisé et géré via l'interface CLI de Puppet.

Exemple de type de ressource utilisateur

[root@puppetmaster ~]# puppet describe user --providers 
user 
==== 
Manage users.
This type is mostly built to manage systemusers, 
so it is lacking some features useful for managing normalusers. 
This resource type uses the prescribed native tools for 
creating groups and generally uses POSIX APIs for retrieving informationabout them.
It does not directly modify '/etc/passwd' or anything. 

- **comment** 
   A description of the user.  Generally the user's full name.  

- **ensure** 
   The basic state that the object should be in. 
   Valid values are 'present', 'absent', 'role'.  

- **expiry** 
   The expiry date for this user. 
   Must be provided in a zero-padded YYYY-MM-DD format --- e.g. 2010-02-19. 
   If you want to make sure the user account does never expire, 
   you can pass the special value 'absent'. 
   Valid values are 'absent'. 
   Values can match '/^\d{4}-\d{2}-\d{2}$/'. Requires features manages_expiry. - **forcelocal** Forces the management of local accounts when accounts are also being managed by some other NSS Valid values are 'true', 'false', 'yes', 'no'. Requires features libuser. - **gid** The user's primary group. Can be specified numerically or by name. This attribute is not supported on Windows systems; use the ‘groups’ attribute instead. (On Windows, designating a primary group is only meaningful for domain accounts, which Puppet does not currently manage.) - **groups** The groups to which the user belongs. The primary group should not be listed, and groups should be identified by name rather than by GID. Multiple groups should be specified as an array. - **home** The home directory of the user. The directory must be created separately and is not currently checked for existence. - **ia_load_module** The name of the I&A module to use to manage this user. Requires features manages_aix_lam. - **iterations** This is the number of iterations of a chained computation of the password hash (http://en.wikipedia.org/wiki/PBKDF2). This parameter is used in OS X. This field is required for managing passwords on OS X >= 10.8. - **key_membership** Whether specified key/value pairs should be considered the **complete list** ('inclusive') or the **minimum list** ('minimum') of the user's attributes. Defaults to 'minimum'. Valid values are 'inclusive', 'minimum'. - **keys** Specify user attributes in an array of key = value pairs. Requires features manages_solaris_rbac. - **managehome** Whether to manage the home directory when managing the user. This will create the home directory when 'ensure => present', and delete the home directory when ‘ensure => absent’. Defaults to ‘false’. Valid values are ‘true’, ‘false’, ‘yes’, ‘no’. - **membership** Whether specified groups should be considered the **complete list** (‘inclusive’) or the **minimum list** (‘minimum’) of groups to which the user belongs. Defaults to ‘minimum’. Valid values are ‘inclusive’, ‘minimum’. - **name** The user name. While naming limitations vary by operating system, it is advisable to restrict names to the lowest common denominator. - **password** The user's password, in whatever encrypted format the local system requires. * Most modern Unix-like systems use salted SHA1 password hashes. You can use Puppet's built-in ‘sha1’ function to generate a hash from a password. * Mac OS X 10.5 and 10.6 also use salted SHA1 hashes. * Mac OS X 10.7 (Lion) uses salted SHA512 hashes. The Puppet Labs [stdlib][] module contains a ‘str2saltedsha512’ function which can generate password hashes for Lion. * Mac OS X 10.8 and higher use salted SHA512 PBKDF2 hashes. When managing passwords on these systems the salt and iterations properties need to be specified as well as the password. [stdlib]: https://github.com/puppetlabs/puppetlabs-stdlib/ Be sure to enclose any value that includes a dollar sign ($) in single 
   quotes (') to avoid accidental variable interpolation. 
   Requires features manages_passwords.  

- **password_max_age** 
   The maximum number of days a password may be used before it must be changed. 
Requires features manages_password_age.  

- **password_min_age** 
   The minimum number of days a password must be used before it may be changed. 
Requires features manages_password_age.  

- **profile_membership** 
   Whether specified roles should be treated as the **complete list** 
   (‘inclusive’) or the **minimum list** (‘minimum’) of roles 
   of which the user is a member. Defaults to ‘minimum’. 
   Valid values are ‘inclusive’, ‘minimum’. 

- **profiles** 
   The profiles the user has.  Multiple profiles should be 
   specified as an array. 
Requires features manages_solaris_rbac.  

- **project** 
   The name of the project associated with a user. 
   Requires features manages_solaris_rbac.  

- **purge_ssh_keys** 
   Purge ssh keys authorized for the user 
   if they are not managed via ssh_authorized_keys. 
   When true, looks for keys in .ssh/authorized_keys in the user's home directory. 
   Possible values are true, false, or an array of 
   paths to file to search for authorized keys. 
   If a path starts with ~ or %h, this token is replaced with the user's home directory. 
   Valid values are ‘true’, ‘false’.  

- **role_membership** 
   Whether specified roles should be considered the **complete list** 
   (‘inclusive’) or the **minimum list** (‘minimum’) of roles the user has. 
   Defaults to ‘minimum’. 
Valid values are ‘inclusive’, ‘minimum’.  

- **roles** 
   The roles the user has.  Multiple roles should be 
   specified as an array. 
Requires features manages_solaris_rbac.  

- **salt** 
   This is the 32 byte salt used to generate the PBKDF2 password used in 
   OS X. This field is required for managing passwords on OS X >= 10.8. 
   Requires features manages_password_salt. 

- **shell** 
   The user's login shell.  The shell must exist and be 
   executable. 
   This attribute cannot be managed on Windows systems. 
   Requires features manages_shell. 

- **system** 
   Whether the user is a system user, according to the OS's criteria; 
   on most platforms, a UID less than or equal to 500 indicates a system 
   user. Defaults to ‘false’. 
   Valid values are ‘true’, ‘false’, ‘yes’, ‘no’.  

- **uid** 
   The user ID; must be specified numerically. If no user ID is 
   specified when creating a new user, then one will be chosen 
   automatically. This will likely result in the same user having 
   different UIDs on different systems, which is not recommended. 
   This is especially noteworthy when managing the same user on both Darwin and 
   other platforms, since Puppet does UID generation on Darwin, but 
   the underlying tools do so on other platforms. 
   On Windows, this property is read-only and will return the user's 
   security identifier (SID).  

Providers 
--------- 

- **aix** 
   User management for AIX. 
   * Required binaries: '/bin/chpasswd', '/usr/bin/chuser', 
   '/usr/bin/mkuser', '/usr/sbin/lsgroup', '/usr/sbin/lsuser', 
   '/usr/sbin/rmuser'. 
   * Default for ‘operatingsystem’ == ‘aix’. 
   * Supported features: ‘manages_aix_lam’, ‘manages_expiry’, 
   ‘manages_homedir’, ‘manages_password_age’, ‘manages_passwords’, 
   ‘manages_shell’. 

- **directoryservice** 
   User management on OS X. 
   * Required binaries: ‘/usr/bin/dscacheutil’, ‘/usr/bin/dscl’, 
   ‘/usr/bin/dsimport’, ‘/usr/bin/plutil’, ‘/usr/bin/uuidgen’. 
   * Default for ‘operatingsystem’ == ‘darwin’. 
   * Supported features: ‘manages_password_salt’, ‘manages_passwords’, 
   ‘manages_shell’.

- **hpuxuseradd** 
   User management for HP-UX. This provider uses the undocumented ‘-F’ 
   switch to HP-UX's special ‘usermod’ binary to work around the fact that 
   its standard ‘usermod’ cannot make changes while the user is logged in. 
   * Required binaries: ‘/usr/sam/lbin/useradd.sam’, 
   ‘/usr/sam/lbin/userdel.sam’, ‘/usr/sam/lbin/usermod.sam’. 
   * Default for ‘operatingsystem’ == ‘hp-ux’. 
   * Supported features: ‘allows_duplicates’, ‘manages_homedir’, 
   ‘manages_passwords’.  

- **ldap** 
   User management via LDAP. 
   This provider requires that you have valid values for all of the 
   LDAP-related settings in ‘puppet.conf’, including ‘ldapbase’.
   You will almost definitely need settings for ‘ldapuser’ and ‘ldappassword’ in order 
   for your clients to write to LDAP. 
* Supported features: ‘manages_passwords’, ‘manages_shell’.  

- **pw** 
   User management via ‘pw’ on FreeBSD and DragonFly BSD. 
   * Required binaries: ‘pw’. 
   * Default for ‘operatingsystem’ == ‘freebsd, dragonfly’. 
   * Supported features: ‘allows_duplicates’, ‘manages_expiry’, 
   ‘manages_homedir’, ‘manages_passwords’, ‘manages_shell’. 

- **user_role_add** 
   User and role management on Solaris, via ‘useradd’ and ‘roleadd’. 
   * Required binaries: ‘passwd’, ‘roleadd’, ‘roledel’, ‘rolemod’, 
   ‘useradd’, ‘userdel’, ‘usermod’. 
   * Default for ‘osfamily’ == ‘solaris’. 
   * Supported features: ‘allows_duplicates’, ‘manages_homedir’, 
   ‘manages_password_age’, ‘manages_passwords’, ‘manages_solaris_rbac’.  

- **useradd** 
   User management via ‘useradd’ and its ilk.  Note that you will need to 
   install Ruby's shadow password library (often known as ‘ruby-libshadow’) 
   if you wish to manage user passwords. 
   * Required binaries: ‘chage’, ‘luseradd’, ‘useradd’, ‘userdel’, ‘usermod’. 
   * Supported features: ‘allows_duplicates’, ‘libuser’, ‘manages_expiry’, 
   ‘manages_homedir’, ‘manages_password_age’, ‘manages_passwords’, 
   ‘manages_shell’, ‘system_users’.  

- **windows_adsi** 
   Local user management for Windows. 
   * Default for 'operatingsystem' == 'windows'. 
   * Supported features: 'manages_homedir', 'manages_passwords'.

Ressource de test

Dans Puppet, tester une ressource indique directement qu'il faut d'abord appliquer les ressources que l'on souhaite utiliser pour configurer un nœud cible, de sorte que l'état de la machine change en conséquence.

Pour les tests, nous allons appliquer la ressource localement. Comme nous avons une ressource prédéfinie ci-dessus avecuser = vipin. Une manière d'appliquer une ressource est par CLI. Cela peut être fait en réécrivant la ressource complète dans une seule commande, puis en la passant à une sous-commande de ressource.

puppet resource user vipin ensure = present uid = '505' 
shell = '/bin/bash' home = '/home/vipin'

Testez la ressource appliquée.

[root@puppetmaster ~]# cat /etc/passwd | grep "vipin" 
vipin:x:505:501::/home/vipin:/bin/bash

La sortie ci-dessus montre que la ressource est appliquée au système et que nous avons un nouvel utilisateur créé avec le nom de Vipin. Il est conseillé de le tester vous-même car tous les codes ci-dessus sont testés et fonctionnent.

Templatingest une méthode pour obtenir des choses dans un format standard, qui peut être utilisé à plusieurs endroits. Dans Puppet, la création de modèles et les modèles sont pris en charge à l'aide d'erb qui fait partie de la bibliothèque Ruby standard, qui peut être utilisée sur d'autres projets en dehors de Ruby, comme dans les projets Ruby on Rails. En tant que pratique standard, il faut avoir une compréhension de base de Ruby. La création de modèles est très utile lorsque l'utilisateur tente de gérer le contenu d'un fichier modèle. Les modèles jouent un rôle clé lorsque les configurations ne peuvent pas être gérées par un type Puppet intégré.

Évaluation des modèles

Les modèles sont évalués à l'aide de fonctions simples.

$value = template ("testtemplate.erb")

On peut spécifier le chemin complet d'un modèle ou on peut extraire tous les modèles dans templatedir de Puppet, qui se trouve généralement dans / var / puppet / templates. On peut trouver l'emplacement du répertoire en exécutant le puppet –-configprint templatedir.

Les modèles sont toujours évalués par l'analyseur, et non par le client, ce qui signifie que si l'on utilise puppetmasterd, alors le modèle doit seulement être sur le serveur et il n'est jamais nécessaire de les télécharger sur le client. Il n'y a aucune différence sur la façon dont le client voit entre l'utilisation d'un modèle et la spécification de tout le contenu d'un fichier sous forme de chaîne. Cela indique clairement que les variables spécifiques au client sont apprises en premier par puppetmasterd pendant la phase de démarrage de la marionnette.

Utilisation de modèles

Voici un exemple de génération de la configuration tomcat pour les sites de test.

define testingsite($cgidir, $tracdir) { file { "testing-$name": 
   path => "/etc/tomcat/testing/$name.conf", owner => superuser, group => superuser, mode => 644, require => File[tomcatconf], content => template("testsite.erb"), notify => Service[tomcat] } symlink { "testsym-$name": 
      path => "$cgidir/$name.cgi", 
      ensure => "/usr/share/test/cgi-bin/test.cgi" 
   } 
}

Voici la définition du modèle.

<Location "/cgi-bin/ <%= name %>.cgi"> 
   SetEnv TEST_ENV "/export/svn/test/<%= name %>" 
</Location>  

# You need something like this to authenticate users 
<Location "/cgi-bin/<%= name %>.cgi/login"> 
   AuthType Basic 
   AuthName "Test" 
   AuthUserFile /etc/tomcat/auth/svn 
   Require valid-user 
</Location>

Cela pousse chaque fichier de modèle dans un fichier séparé et il suffit alors de dire à Apache de charger ces fichiers de configuration.

Include /etc/apache2/trac/[^.#]*

Combinaison de modèles

Deux modèles peuvent être facilement combinés à l'aide de la commande suivante.

template('/path/to/template1','/path/to/template2')

Itération dans les modèles

Le modèle Puppet prend également en charge l'itération de tableau. Si la variable à laquelle on accède est un tableau, on peut l'itérer.

$values = [val1, val2, otherval]

Nous pouvons avoir des modèles comme celui-ci.

<% values.each do |val| -%> 
Some stuff with <%= val %> 
<% end -%>

La commande ci-dessus produira le résultat suivant.

Some stuff with val1 
Some stuff with val2 
Some stuff with otherval

Conditions dans les modèles

le erbla création de modèles prend en charge les conditions. La construction suivante est un moyen rapide et facile de placer conditionnellement un contenu dans un fichier.

<% if broadcast != "NONE" %> broadcast <%= broadcast %> <% end %>

Modèles et variables

On peut utiliser des modèles pour remplir des variables en plus de remplir le contenu du fichier.

testvariable = template('/var/puppet/template/testvar')

Variable indéfinie

Si l'on a besoin de vérifier si la variable est définie avant de l'utiliser, la commande suivante fonctionne.

<% if has_variable?("myvar") then %> 
myvar has <%= myvar %> value 
<% end %>

Variable hors de portée

On peut rechercher explicitement une variable hors de portée avec la fonction lookupvar.

<%= scope.lookupvar('apache::user') %>

Exemple de modèle de projet

<#Autogenerated by puppet. Do not edit. 
[default] 
#Default priority (lower value means higher priority) 
priority = <%= @priority %> 
#Different types of backup. Will be done in the same order as specified here. 
#Valid options: rdiff-backup, mysql, command 
backups = <% if @backup_rdiff %>rdiff-backup, 
<% end %><% if @backup_mysql %>mysql, 
<% end %><% if @backup_command %>command<% end %> 
<% if @backup_rdiff -%>  

[rdiff-backup]  

<% if @rdiff_global_exclude_file -%> 
   global-exclude-file = <%= @rdiff_global_exclude_file %> 
<% end -%> 
   <% if @rdiff_user -%> 
      user = <%= @rdiff_user %> 
<% end -%> 
<% if @rdiff_path -%> 
   path = <%= @rdiff_path %> 
<% end -%>  

#Optional extra parameters for rdiff-backup  

extra-parameters = <%= @rdiff_extra_parameters %>  

#How long backups are going to be kept 
keep = <%= @rdiff_keep %> 
<% end -%> 
<% if @backup_mysql -%>%= scope.lookupvar('apache::user') %>  

[mysql]  

#ssh user to connect for running the backup 
sshuser =  <%= @mysql_sshuser %>

#ssh private key to be used 
   sshkey = <%= @backup_home %>/<%= @mysql_sshkey %> 
   <% end -%> 
<% if @backup_command -%>  
[command] 

#Run a specific command on the backup server after the backup has finished  

command = <%= @command_to_execute %> 
<% end -%>

Les classes de marionnettes sont définies comme un ensemble de ressources, qui sont regroupées afin d'obtenir un nœud ou une machine cible dans un état souhaité. Ces classes sont définies dans les fichiers manifestes Puppet qui se trouvent dans les modules Puppet. Le but principal de l'utilisation d'une classe est de réduire la même répétition de code dans n'importe quel fichier manifeste ou tout autre code Puppet.

Voici un exemple de classe Puppet.

[root@puppetmaster manifests]# cat site.pp  
class f3backup ( 
   $backup_home   = '/backup', 
   $backup_server = 'default', $myname        = $::fqdn, $ensure        = 'directory', 
) { 
   include '::f3backup::common' 
   if ( $myname == '' or $myname == undef ) { 
      fail('myname must not be empty') 
   }  
   @@file { "${backup_home}/f3backup/${myname}": 
      # To support 'absent', though force will be needed 
      ensure => $ensure, owner => 'backup', group => 'backup', mode => '0644', tag => "f3backup-${backup_server}", 
   }
}

Dans l'exemple ci-dessus, nous avons deux clients où l'utilisateur doit exister. Comme on peut le remarquer, nous avons répété la même ressource deux fois. Une façon de ne pas faire la même tâche en combinant les deux nœuds.

[root@puppetmaster manifests]# cat site.pp 
node 'Brcleprod001','Brcleprod002' { 
   user { 'vipin': 
      ensure => present, 
      uid    => '101', 
      shell  => '/bin/bash', 
      home   => '/home/homer', 
   } 
}

La fusion des nœuds de cette manière pour effectuer la configuration n'est pas une bonne pratique. Cela peut être simplement réalisé en créant une classe et en incluant la classe créée dans les nœuds, ce qui est montré comme suit.

class vipin_g01063908 { 
   user { 'g01063908': 
      ensure => present, 
      uid    => '101', 
      shell  => '/bin/bash', 
      home   => '/home/g01063908', 
   } 
}  
node 'Brcleprod001' { 
   class {vipin_g01063908:} 
}  
node 'Brcleprod002' { 
   class {vipin_g01063908:} 
}

Le point à noter est à quoi ressemble la structure de classe et comment nous avons ajouté une nouvelle ressource à l'aide du mot-clé class. Chaque syntaxe de Puppet a sa propre fonctionnalité. Par conséquent, la syntaxe choisie dépend des conditions.

Classe paramétrée

Comme dans l'exemple ci-dessus, nous avons vu comment créer une classe et l'inclure dans un nœud. Maintenant, il y a des situations où nous devons avoir différentes configurations sur chaque nœud, par exemple lorsque l'on a besoin d'avoir différents utilisateurs sur chaque nœud en utilisant la même classe. Cette fonctionnalité est fournie dans Puppet à l'aide d'une classe paramétrée. La configuration d'une nouvelle classe ressemblera à celle illustrée dans l'exemple suivant.

[root@puppetmaster ~]# cat /etc/puppet/manifests/site.pp 
class user_account ($username){ user { $username: 
      ensure => present, 
      uid    => '101', 
      shell  => '/bin/bash', 
      home   => "/home/$username", 
   } 
}  
node 'Brcleprod002' { 
   class { user_account: 
      username => "G01063908", 
   } 
} 
node 'Brcleprod002' { 
   class {user_account: 
      username => "G01063909", 
   } 
}

Lorsque nous appliquons le manifeste site.pp ci-dessus sur les nœuds, la sortie de chaque nœud ressemblera à ce qui suit.

Brcleprod001

[root@puppetagent1 ~]# puppet agent --test 
Info: Retrieving pluginfacts 
Info: Retrieving plugin 
Info: Caching catalog for puppetagent1.testing.dyndns.org 
Info: Applying configuration version '1419452655' 

Notice: /Stage[main]/User_account/User[homer]/ensure: created 
Notice: Finished catalog run in 0.15 seconds 
[root@brcleprod001 ~]# cat /etc/passwd | grep "vipin" 
G01063908:x:101:501::/home/G01063909:/bin/bash

Brcleprod002

[root@Brcleprod002 ~]# puppet agent --test 
Info: Retrieving pluginfacts 
Info: Retrieving plugin 
Info: Caching catalog for puppetagent2.testing.dyndns.org 
Info: Applying configuration version '1419452725' 

Notice: /Stage[main]/User_account/User[bart]/ensure: created 
Notice: Finished catalog run in 0.19 seconds 
[root@puppetagent2 ~]# cat /etc/passwd | grep "varsha" 
G01063909:x:101:501::/home/G01063909:/bin/bash

On peut également définir la valeur par défaut d'un paramètre de classe comme indiqué dans le code suivant.

[root@puppetmaster ~]# cat /etc/puppet/manifests/site.pp 
class user_account ($username = ‘g01063908'){ 
   user { $username: ensure => present, uid => '101', shell => '/bin/bash', home => "/home/$username", 
   } 
}  
node 'Brcleprod001' { 
   class {user_account:} 
}  
node 'Brcleprod002' { 
   class {user_account: 
      username => "g01063909", 
   } 
}

Puppet prend en charge les fonctions comme tout autre langage de programmation puisque le langage de développement de base de Puppet est Ruby. Il prend en charge deux types de fonctions connues sous le nom destatement et rvalue les fonctions.

  • Statementssont autonomes et n'ont aucun type de retour. Ils sont utilisés pour effectuer des tâches autonomes telles que l'importation d'autres modules Puppet dans le nouveau fichier manifeste.

  • Rvalue renvoie des valeurs et ne peut être utilisé que lorsque l'instruction requiert une valeur, telle qu'une affectation ou une instruction case.

La clé derrière l'exécution de la fonction dans Puppet est qu'elle ne s'exécute que sur Puppet master et qu'elle ne s'exécute pas sur le client ou l'agent Puppet. Par conséquent, ils n'ont accès qu'aux commandes et aux données disponibles sur le maître Puppet. Il existe différents types de fonctions qui sont déjà présentes et même l'utilisateur a le privilège de créer des fonctions personnalisées selon les besoins. Quelques fonctions intégrées sont répertoriées ci-dessous.

Fonction de fichier

La fonction de fichier de la ressource fichier est de charger un module dans Puppet et de renvoyer la sortie souhaitée sous la forme d'une chaîne. Les arguments recherchés sont la référence <nom du module> / <file>, qui aide à charger le module à partir du répertoire de fichiers du module Puppet.

Comme script / tesingscript.sh chargera les fichiers depuis <nom du module> /script/files/testingscript.sh. La fonction a la capacité de lire et d'accepter un chemin absolu, ce qui aide à charger le fichier de n'importe où sur le disque.

Inclure la fonction

Dans Puppet, la fonction include est très similaire à la fonction include de tout autre langage de programmation. Il est utilisé pour la déclaration d'une ou plusieurs classes, ce qui aboutit à évaluer toutes les ressources présentes à l'intérieur de ces classes et enfin à les ajouter à un catalogue. La façon dont cela fonctionne est que la fonction include accepte un nom de classe, une liste de classes ou une liste de noms de classes séparés par des virgules.

Une chose à garder à l'esprit lors de l'utilisation d'un includeest, il peut être utilisé plusieurs fois dans une classe mais a la limitation d'inclure une seule classe une seule fois. Si la classe incluse accepte un paramètre, la fonction include recherchera automatiquement leurs valeurs en utilisant <nom de la classe> :: <nom du paramètre> comme clé de recherche.

Inclure la fonction ne fait pas qu'une classe soit contenue dans la classe quand elle est déclarée, pour cela nous devons utiliser une fonction contenue. Il ne crée même pas de dépendance dans la classe déclarée et les classes qui l'entourent.

Dans la fonction include, seul le nom complet d'une classe est autorisé, les noms relatifs ne sont pas autorisés.

Fonction définie

Dans Puppet, la fonction définie aide à déterminer où une classe ou un type de ressource donné est défini et renvoie une valeur booléenne ou non. On peut également utiliser define pour déterminer si une ressource spécifique est définie ou si la variable définie a une valeur. Le point clé à garder à l'esprit lors de l'utilisation de la fonction définie est que cette fonction prend au moins un argument de chaîne, qui peut être un nom de classe, un nom de type, une référence de ressource ou une référence de variable de la forme «$ name».

Définissez des vérifications de fonction pour le type de fonction natif et défini, y compris les types fournis par les modules. Le type et la classe correspondent à leurs noms. La fonction correspond à la décélération de la ressource en utilisant la référence de ressource.

Définir les correspondances de fonctions

# Matching resource types 
defined("file") 
defined("customtype")  

# Matching defines and classes 
defined("testing") 
defined("testing::java")  

# Matching variables 
defined('$name')  

# Matching declared resources 
defined(File['/tmp/file'])

Comme décrit dans le chapitre précédent, la fonction fournit à l'utilisateur le privilège de développer des fonctions personnalisées. Puppet peut étendre son pouvoir d'interprétation en utilisant des fonctions personnalisées. La fonction personnalisée permet d'augmenter et d'étendre la puissance des modules Puppet et des fichiers manifestes.

Écriture d'une fonction personnalisée

Il y a peu de choses à garder à l'esprit avant d'écrire une fonction.

  • Dans Puppet, les fonctions sont exécutées par des compilateurs, ce qui signifie que toutes les fonctions s'exécutent sur Puppet master et qu'elles n'ont pas besoin de traiter avec le client Puppet pour la même chose. Les fonctions ne peuvent interagir qu'avec les agents, à condition que les informations soient sous forme de faits.

  • Le maître Puppet attrape des fonctions personnalisées, ce qui signifie qu'il faut redémarrer le maître Puppet, si l'on fait quelques changements dans la fonction Puppet.

  • La fonction sera exécutée sur le serveur, ce qui signifie que tout fichier dont la fonction a besoin doit être présent sur le serveur, et on ne peut rien faire si la fonction nécessite un accès direct à la machine cliente.

  • Il existe complètement deux types de fonctions différentes disponibles, l'une est la fonction Rvalue qui renvoie la valeur et la fonction d'instruction qui ne renvoie rien.

  • Le nom du fichier contenant la fonction doit être le même que le nom de la fonction dans le fichier. Sinon, il ne sera pas chargé automatiquement.

Emplacement pour mettre la fonction personnalisée

Toutes les fonctions personnalisées sont implémentées séparément .rbfichiers et sont répartis entre les modules. Il faut mettre des fonctions personnalisées dans lib / puppet / parser / function. Les fonctions peuvent être chargées depuis.rb fichier à partir des emplacements suivants.

  • $libdir/puppet/parser/functions
  • sous-répertoires puppet / parser / functions dans votre Ruby $ LOAD_PATH

Créer une nouvelle fonction

De nouvelles fonctions sont créées ou définies à l'aide du newfunction méthode à l'intérieur du puppet::parser::Functionsmodule. Il faut passer le nom de la fonction comme symbole ànewfunctionméthode et le code à exécuter en tant que bloc. L'exemple suivant est une fonction qui est utilisée pour écrire une chaîne dans le fichier à l'intérieur du répertoire / user.

module Puppet::Parser::Functions 
   newfunction(:write_line_to_file) do |args| 
      filename = args[0] 
      str = args[1] 
      File.open(filename, 'a') {|fd| fd.puts str } 
   end 
end

Une fois que l'utilisateur a déclaré la fonction, elle peut être utilisée dans le fichier manifeste comme indiqué ci-dessous.

write_line_to_file('/user/vipin.txt, "Hello vipin!")

Dans le modèle de développement et de livraison de logiciels, il existe différents types d'environnements de test qui sont utilisés pour tester un produit ou un service particulier. En tant que pratique standard, il existe principalement trois types d'environnements: développement, test et production, chacun ayant sa propre configuration d'ensemble.

Puppet prend en charge la gestion de plusieurs environnements sur la même ligne que Ruby on Rails. Le facteur clé derrière la création de ces environnements est de fournir un mécanisme simple de gestion à différents niveaux d'accord SLA. Dans certains cas, la machine doit toujours être opérationnelle sans aucune tolérance ni utilisation d'anciens logiciels. Où d'autres environnements sont à jour et sont utilisés à des fins de test. Ils sont utilisés pour les mises à niveau de machines plus importantes.

Puppet recommande de s'en tenir à la configuration standard de l'environnement de production, de test et de développement, cependant, ici, il offre même à l'utilisateur un effet de levier pour créer des environnements personnalisés selon les besoins.

Objectif environnemental

L'objectif principal de la configuration divisée par un environnement est que Puppet puisse avoir différentes sources pour les modules et les manifestes. On peut alors tester les changements de configuration dans l'environnement de test sans impacter les nœuds de production. Ces environnements peuvent également être utilisés pour déployer une infrastructure sur différentes sources de réseau.

Utilisation de l'environnement sur Puppet Master

Le but d'un environnement est de tester quel manifeste, module, modèle du fichier doit être envoyé au client. Ainsi, Puppet doit être configuré pour fournir une source spécifique à l'environnement pour ces informations.

Les environnements Puppet sont implémentés simplement en ajoutant les sections de pré-environnement au puppet.conf du serveur et en choisissant une source de configuration différente pour chaque environnement. Ces sections pré-environnement sont ensuite utilisées de préférence à la section principale.

[main] 
manifest = /usr/testing/puppet/site.pp 
modulepath = /usr/testing/puppet/modules 
[development] 
manifest = /usr/testing/puppet/development/site.pp 
modulepath = /usr/testing/puppet/development/modules

Dans le code ci-dessus, tout client de l'environnement de développement utilisera le fichier manifeste site.pp situé dans le répertoire /usr/share/puppet/development et Puppet recherchera n'importe quel module dans /usr/share/puppet/development/modules directory.

L'exécution de Puppet avec ou sans environnement serait par défaut le fichier site.pp et le répertoire spécifié dans les valeurs manifest et modulepath dans la section de configuration principale.

Il n'y a que quelques configurations qui ont réellement du sens pour être configurées au préenvironnement, et tous ces paramètres tournent autour de la spécification des fichiers à utiliser pour compiler la configuration d'un client.

Voici les paramètres.

  • Modulepath- Dans Puppet, en tant que mode standard de base, il est préférable d'avoir un répertoire de module standard que tous les environnements partagent, puis un répertoire de pré-environnement où le module personnalisé peut être stocké. Le chemin du module est l'emplacement où Puppet recherche tous les fichiers de configuration liés à l'environnement.

  • Templatedir- Le répertoire des modèles est l'emplacement où toutes les versions des modèles associés sont enregistrées. Le module doit être préféré à ces paramètres, mais il permet d'avoir différentes versions d'un modèle donné dans chaque environnement.

  • Manifest - Ceci définit la configuration à utiliser comme script de point d'entrée.

Avec plusieurs modules, Puppets aide à obtenir la modularité des configurations. On peut utiliser plusieurs environnements dans Puppet qui fonctionne beaucoup mieux si l'on s'appuie largement sur des modules. Il est plus facile de migrer les modifications vers les environnements en encapsulant les modifications dans le module. Le serveur de fichiers utilise un chemin de module spécifique à l'environnement; si l'on fait le service de fichiers à partir de modules, au lieu de répertoires montés séparés, cet environnement pourra obtenir des fichiers spécifiques à l'environnement et enfin l'environnement actuel sera également disponible dans la variable $ environment dans le fichier manifeste.

Définition de l'environnement des clients

Toutes les configurations liées à la configuration de l'environnement se font sur le fichier puppet.conf. Pour spécifier l'environnement que le client Puppet doit utiliser, on peut spécifier une valeur pour la variable de configuration d'environnement dans le fichier puppet.conf du client.

[puppetd] 
environment = Testing

La définition ci-dessus dans le fichier de configuration définit l'environnement du fichier de configuration dans notre cas, il est en train de tester.

On peut également le spécifier sur la ligne de commande en utilisant -

#puppetd -–environment = testing

Alternativement, Puppet prend également en charge l'utilisation de valeurs dynamiques dans la configuration de l'environnement. Plutôt que de définir les valeurs statiques, le développeur a un effet de levier pour créer des faits personnalisés qui créent un environnement client basé sur d'autres attributs client ou une source de données externe. La meilleure façon de procéder consiste à utiliser un outil personnalisé. Ces outils sont capables de spécifier l'environnement d'un nœud et sont généralement bien meilleurs pour spécifier les informations de nœud.

Chemin de recherche de marionnettes

Puppet utilise un chemin de recherche simple pour déterminer la configuration à appliquer sur la machine cible. De la même manière, le chemin de recherche dans Puppet est très utile lorsqu'il tente de sélectionner les valeurs appropriées qui doivent être appliquées. Il existe plusieurs emplacements répertoriés ci-dessous où Puppet recherche les valeurs qui doivent être appliquées.

  • Valeur spécifiée dans la ligne de commande
  • Valeurs spécifiées dans une section spécifique à l'environnement
  • Valeurs spécifiées dans une section spécifique à l'exécutable
  • Valeurs spécifiées dans la section principale

Les types de marionnettes sont utilisés pour la gestion de la configuration individuelle. Puppet a différents types comme un type de service, un type de package, un type de fournisseur, etc. Dans lequel chaque type a des fournisseurs. Le fournisseur gère la configuration sur différentes plates-formes ou outils. Par exemple, le type de package a des fournisseurs aptitude, yum, rpm et DGM. Il existe de nombreux types et Puppet couvre un bon élément de gestion de la configuration du spectre qui doit être géré.

Puppet utilise Ruby comme langue de base. Tous les types et fournisseurs de marionnettes présents sont écrits en langage Ruby. Comme il suit le format d'encodage standard, on peut simplement les créer comme indiqué dans l'exemple pour repo qui gère les référentiels. Ici, nous allons créer le référentiel de types et les svn et git des fournisseurs. La première partie du type de référentiel est le type lui-même. Les types sont généralement stockés dans lib / puppet / type. Pour cela, nous allons créer un fichier appelérepo.rb.

$ touch repo.rb

Ajoutez le contenu suivant dans le fichier.

Puppet::Type.newtype(:repo) do  
@doc = "Manage repos"  
   Ensurable   
   newparam(:source) do 
      desc "The repo source"  
      
      validate do |value| 
         if value =~ /^git/ 
            resource[:provider] = :git 
         else 
            resource[:provider] = :svn 
         end 
      end 
      isnamevar 
   end  

   newparam(:path) do 
      desc "Destination path"  
      validate do |value| 
         unless value =~ /^\/[a-z0-9]+/ 
            raise ArgumentError , "%s is not a valid file path" % value 
         end 
      end 
   end 
end

Dans le script ci-dessus, nous avons créé un bloc "Puppet::Type.newtype(:repo) do"qui crée un nouveau type avec le nom repo. Ensuite, nous avons @doc qui aide à ajouter le niveau de détails que l'on souhaite ajouter. L'instruction suivante est Ensurable; elle crée une propriété de base de garantie. Le type de marionnette utilise ensure propriété pour déterminer l'état de l'élément de configuration.

Exemple

service { "sshd": 
   ensure => present, 
}

L'instruction s'assure indique à Puppet d'exclure trois méthodes: créer, détruire et exister dans le fournisseur. Ces méthodes fournissent les fonctionnalités suivantes -

  • Une commande pour créer une ressource
  • Une commande pour supprimer une ressource
  • Une commande pour vérifier l'existence d'une ressource

Il ne reste plus qu'à spécifier ces méthodes et leur contenu. Puppet crée l'infrastructure de soutien autour d'eux.

Ensuite, nous définissons un nouveau paramètre appelé source.

newparam(:source) do 
   desc "The repo source" 
   validate do |value| 
      if value =~ /^git/ 
         resource[:provider] = :git 
      else 
         resource[:provider] = :svn 
      end 
   end 
   isnamevar 
end

La source indiquera au type de référentiel où récupérer / cloner / extraire le référentiel source. En cela, nous utilisons également un hook appelé validate. Dans la section provider, nous avons défini git et svn qui vérifient la validité du référentiel que nous avons défini.

Enfin, dans le code, nous avons défini un autre paramètre appelé path.

newparam(:path) do 
   desc "Destination path" 
   validate do |value| 
      unless value =~ /^\/[a-z0-9]+/ 
         raise ArgumentError , "%s is not a valid file path" % value 
      end

Il s'agit du type de valeur qui spécifie où placer le nouveau code récupéré. Ici, utilisez à nouveau le crochet de validation pour créer un bloc qui vérifie la valeur de pertinence.

Cas d'utilisation du fournisseur Subversion

Commençons par le fournisseur de subversion en utilisant le type créé ci-dessus.

require 'fileutils' 
Puppet::Type.type(:repo).provide(:svn) do 
   desc "SVN Support"  
   
   commands :svncmd => "svn" 
   commands :svnadmin => "svnadmin"  
   
   def create 
      svncmd "checkout", resource[:name], resource[:path] 
   end  
   
   def destroy 
      FileUtils.rm_rf resource[:path] 
   end  
    
   def exists? 
      File.directory? resource[:path] 
   end 
end

Dans le code ci-dessus, nous avons défini à l'avance ce dont nous avons besoin fileutils bibliothèque, exiger 'fileutils' dont nous allons utiliser la méthode.

Ensuite, nous avons défini le fournisseur comme bloc Puppet :: Type.type (: repo) .provide (: svn) do qui indique à Puppet qu'il s'agit du fournisseur du type appelé repo.

Ensuite, nous avons ajouté descce qui permet d'ajouter de la documentation au fournisseur. Nous avons également défini la commande que ce fournisseur utilisera. Dans la ligne suivante, nous vérifions les fonctionnalités des ressources telles que créer, supprimer et exister.

Créer une ressource

Une fois que tout ce qui précède est fait, nous créerons une ressource qui sera utilisée dans nos classes et nos fichiers manifestes comme indiqué dans le code suivant.

repo { "wp": 
   source => "http://g01063908.git.brcl.org/trunk/", 
   path => "/var/www/wp", 
   ensure => present, 
}

Puppet utilise les API RESTful comme canal de communication entre le maître Puppet et les agents Puppet. Voici l'URL de base pour accéder à cette API RESTful.

https://brcleprod001:8140/{environment}/{resource}/{key} 
https://brcleprod001:8139/{environment}/{resource}/{key}

Sécurité de l'API REST

Puppet s'occupe généralement de la sécurité et de la gestion des certificats SSL. Cependant, si l'on souhaite utiliser l'API RESTful en dehors du cluster, il faut gérer le certificat lui-même, lors de la tentative de connexion à une machine. La politique de sécurité de Puppet peut être configurée via le fichier authconfig restant.

Test de l'API REST

L'utilitaire Curl peut être utilisé comme un utilitaire de base pour rétablir la connectivité API RESTful. Voici un exemple de la façon dont nous pouvons récupérer le catalogue de nœuds à l'aide de la commande curl de l'API REST.

curl --cert /etc/puppet/ssl/certs/brcleprod001.pem --key 
   /etc/puppet/ssl/private_keys/brcleprod001.pem

Dans l'ensemble de commandes suivant, nous définissons simplement le certificat SSL, qui sera différent selon l'emplacement du répertoire SSL et le nom du nœud utilisé. Par exemple, regardons la commande suivante.

curl --insecure -H 'Accept: yaml' 
https://brcleprod002:8140/production/catalog/brcleprod001

Dans la commande ci-dessus, nous envoyons simplement un en-tête spécifiant le ou les formats que nous voulons récupérer et une URL RESTful pour générer un catalogue de brcleprod001 dans l'environnement de production, générera la sortie suivante.

--- &id001 !ruby/object:Puppet::Resource::Catalog 
aliases: {} 
applying: false 
classes: [] 
...

Supposons un autre exemple, où nous voulons récupérer le certificat CA du maître Puppet. Il ne nécessite pas d'être authentifié avec son propre certificat SSL signé car c'est quelque chose qui est nécessaire avant d'être authentifié.

curl --insecure -H 'Accept: s' https://brcleprod001:8140/production/certificate/ca  

-----BEGIN CERTIFICATE----- 
MIICHTCCAYagAwIBAgIBATANBgkqhkiG9w0BAQUFADAXMRUwEwYDVQQDDAxwdXBw

Référence des API partagées Puppet Master et Agent

GET /certificate/{ca, other}  

curl -k -H "Accept: s" https://brcelprod001:8140/production/certificate/ca 
curl -k -H "Accept: s" https://brcleprod002:8139/production/certificate/brcleprod002

Référence de l'API Puppet Master

Ressources authentifiées (certificat valide et signé requis).

Catalogues

GET /{environment}/catalog/{node certificate name} 

curl -k -H "Accept: pson" https://brcelprod001:8140/production/catalog/myclient

Liste de révocation de certificat

GET /certificate_revocation_list/ca 

curl -k -H "Accept: s" https://brcleprod001:8140/production/certificate/ca

Demande de certificat

GET /{environment}/certificate_requests/{anything} GET 
/{environment}/certificate_request/{node certificate name}  

curl -k -H "Accept: yaml" https://brcelprod001:8140/production/certificate_requests/all 
curl -k -H "Accept: yaml" https://brcleprod001:8140/production/certificate_request/puppetclient

Rapports Soumettre un rapport

PUT /{environment}/report/{node certificate name}  
curl -k -X PUT -H "Content-Type: text/yaml" -d "{key:value}" https://brcleprod002:8139/production

Nœud - Faits concernant un nœud spécifique

GET /{environment}/node/{node certificate name}  

curl -k -H "Accept: yaml" https://brcleprod002:8140/production/node/puppetclient

Statut - Utilisé pour les tests

GET /{environment}/status/{anything}  

curl -k -H "Accept: pson" https://brcleprod002:8140/production/certificate_request/puppetclient

Référence de l'API Puppet Agent

Lorsqu'un nouvel agent est configuré sur une machine, par défaut, l'agent Puppet n'écoute pas la requête HTTP. Il doit être activé dans Puppet en ajoutant «listen = true» dans le fichier puppet.conf. Cela permettra aux agents Puppet d'écouter la requête HTTP lors du démarrage de l'agent Puppet.

Les faits

GET /{environment}/facts/{anything}  

curl -k -H "Accept: yaml" https://brcelprod002:8139/production/facts/{anything}

Run - Provoque la mise à jour du client comme un tour de marionnette ou un coup de pied de marionnette.

PUT  /{environment}/run/{node certificate name}  

curl -k -X PUT -H "Content-Type: text/pson" -d "{}" 
https://brcleprod002:8139/production/run/{anything}

Afin d'effectuer les tests en direct de l'application de la configuration et des manifestes sur le nœud Puppet, nous utiliserons une démo de travail en direct. Cela peut être directement copié et collé pour tester le fonctionnement de la configuration. Si l'utilisateur souhaite utiliser le même ensemble de code, il doit avoir la même convention de dénomination que celle indiquée dans les extraits de code comme suit.

Commençons par la création d'un nouveau module.

Créer un nouveau module

La première étape du test et de l'application de la configuration httpd consiste à créer un module. Pour ce faire, l'utilisateur doit changer son répertoire de travail en répertoire de module Puppet et créer une structure de module de base. La création de la structure peut être effectuée manuellement ou en utilisant Puppet pour créer un passe-partout pour le module.

# cd /etc/puppet/modules 
# puppet module generate Live-module

Note - La commande de génération du module Puppet nécessite que le nom du module prenne le format [nom d'utilisateur] - [module] pour se conformer aux spécifications de Puppet forge.

Le nouveau module contient quelques fichiers de base, y compris un répertoire de manifeste. Le répertoire contient déjà un manifeste nommé init.pp, qui est le fichier manifeste principal des modules. Il s'agit d'une déclaration de classe vide pour le module.

class live-module { 
}

Le module contient également un répertoire de test contenant un manifeste appelé init.pp. Ce manifeste de test contient une référence à la classe live-module dans manifest / init.pp:

include live-module

Puppet utilisera ce module de test pour tester le manifeste. Nous sommes maintenant prêts à ajouter la configuration au module.

Installer un serveur HTTP

Le module Puppet installera les packages nécessaires pour exécuter le serveur http. Cela nécessite une définition de ressource qui définit la configuration des packages httpd.

Dans le répertoire manifest du module, créez un nouveau fichier manifeste appelé httpd.pp

# touch test-module/manifests/httpd.pp

Ce manifeste contiendra toute la configuration HTTP de notre module. À des fins de séparation, nous garderons le fichier httpd.pp séparé du fichier manifeste init.pp

Nous devons mettre le code suivant dans le fichier manifeste httpd.pp.

class test-module::httpd { 
   package { 'httpd': 
      ensure => installed, 
   } 
}

Ce code définit une sous-classe de test-module appelée httpd, puis définit une déclaration de ressource de package pour le package httpd. L'attribut ensure => installed vérifie si le package requis est installé. S'il n'est pas installé, Puppet utilise l'utilitaire yum pour l'installer. Ensuite, il faut inclure cette sous-classe dans notre fichier manifeste principal. Nous devons éditer le manifeste init.pp.

class test-module { 
   include test-module::httpd 
}

Maintenant, c'est le moment de tester le module qui pourrait être fait comme suit

# puppet apply test-module/tests/init.pp --noop

La commande puppet apply applique la configuration présente dans le fichier manifeste sur le système cible. Ici, nous utilisons le test init.pp qui fait référence au principal init.pp. –Noop exécute l'exécution à sec de la configuration, qui n'affiche que la sortie mais ne fait rien.

Voici la sortie.

Notice: Compiled catalog for puppet.example.com in environment 
production in 0.59 seconds 

Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure: 
current_value absent, should be present (noop) 

Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 1 
events 

Notice: Stage[main]: Would have triggered 'refresh' from 1 events 
Notice: Finished catalog run in 0.67 seconds

La ligne en surbrillance est le résultat de l'attribut ensure => installed. La valeur current_value absente signifie que Puppet a détecté que le package httpd est installé. Sans l'option –noop, Puppet installera le package httpd.

Exécution du serveur httpd

Après avoir installé les serveurs httpd, nous devons démarrer le service en utilisant une autre décélération des ressources: Service

Nous devons éditer le fichier manifeste httpd.pp et éditer le contenu suivant.

class test-module::httpd { 
   package { 'httpd': 
      ensure => installed, 
   } 
   service { 'httpd': 
      ensure => running, 
      enable => true, 
      require => Package["httpd"], 
   } 
}

Voici la liste des objectifs que nous avons atteints à partir du code ci-dessus.

  • le ensure => l'état d'exécution vérifie si le service est en cours d'exécution, sinon il l'active.

  • le enable => L'attribut true définit le service pour qu'il s'exécute au démarrage du système.

  • le require => Package["httpd"]L'attribut définit une relation de classement entre une décélération de ressource et une autre. Dans le cas ci-dessus, il garantit que le service httpd démarre après l'installation du package http. Cela crée une dépendance entre le service et le package respectif.

Exécutez la commande puppet apply pour tester à nouveau les modifications.

# puppet apply test-module/tests/init.pp --noop 
Notice: Compiled catalog for puppet.example.com in environment 
production in 0.56 seconds 

Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure: 
current_value absent, should be present (noop) 

Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure: 
current_value stopped, should be running (noop) 

Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 2 
events 

Notice: Stage[main]: Would have triggered 'refresh' from 1 events 
Notice: Finished catalog run in 0.41 seconds

Configuration du serveur httpd

Once the above steps are completed, we will have HTTP server installed and enabled. The next step is to provide some configuration to the server. By default, httpd provides some default configurations in /etc/httpd/conf/httpd.conf which provides a webhost port 80. We will add some additional host to provide some user-specific facilities to the web-host.

A template will be used to provide additional port as it requires a variable input. We will create a directory called template and add a file called test-server.config.erb in the new director and add the following content.

Listen <%= @httpd_port %> 
NameVirtualHost *:<% = @httpd_port %> 

<VirtualHost *:<% = @httpd_port %>> 
   DocumentRoot /var/www/testserver/ 
   ServerName <% = @fqdn %> 
   
   <Directory "/var/www/testserver/"> 
      Options All Indexes FollowSymLinks 
      Order allow,deny 
      Allow from all 
   </Directory> 
</VirtualHost>

The above template follows the standard apache-tomcat server configuration format. The only difference is the use of Ruby escape character to inject variables from the module. We have FQDN which stores fully qualified domain name of the system. This is known as the system fact.

System facts are collected from each system prior to generating each respective system’s puppet catalog. Puppet uses the facter command to get this information and one can use facter to get other details regarding the system. We need to add the highlight lines in httpd.pp manifest file.

class test-module::httpd { 
   package { 'httpd': 
      ensure => installed, 
   } 
   service { 'httpd': 
      ensure => running, 
      enable => true, 
      require => Package["httpd"], 
   } 
   file {'/etc/httpd/conf.d/testserver.conf': 
      notify => Service["httpd"], 
      ensure => file, 
      require => Package["httpd"], 
      content => template("test-module/testserver.conf.erb"), 
   } 
   file { "/var/www/myserver": 
      ensure => "directory", 
   } 
}

This helps in achieving the following things −

  • This adds a file resource declaration for the server configuration file (/etc/httpd/conf.d/test-server.conf). The content of this file is the test-serverconf.erb template that was created earlier. We also check the httpd package installed before adding this file.

  • This adds the second file resource declaration which creates a directory (/var/www/test-server) for the web server.

  • Next, we add the relationship between the configuration file and the https service using the notify => Service["httpd"]attribute. This checks if there are any configuration file changes. If there is, then Puppet restarts the service.

Next is to include the httpd_port in the main manifest file. For this, we need to end the main init.pp manifest file and include the following content.

class test-module ( 
   $http_port = 80 
) { 
   include test-module::httpd 
}

This sets the httpd port to the default value of 80. Next is to run the Puppet apply command.

Following will be the output.

# puppet apply test-module/tests/init.pp --noop 
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera 
defaults 

Notice: Compiled catalog for puppet.example.com in environment 
production in 0.84 seconds 

Notice: /Stage[main]/test-module::Httpd/File[/var/www/myserver]/ensure: 
current_value absent, should be directory (noop) 

Notice: /Stage[main]/test-module::Httpd/Package[httpd]/ensure: 
current_value absent, should be present (noop) 

Notice: 
/Stage[main]/test-module::Httpd/File[/etc/httpd/conf.d/myserver.conf]/ensure: 
current_value absent, should be file (noop) 

Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure: 
current_value stopped, should be running (noop) 

Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 4 
events 

Notice: Stage[main]: Would have triggered 'refresh' from 1 events 
Notice: Finished catalog run in 0.51 seconds

Configuring the Firewall

In order to communicate with the server one requires an open port. The problem here is that different kind of operating systems use different methods of controlling the firewall. In case of Linux, versions below 6 use iptables and version 7 use firewalld.

This decision of using an appropriate service is somewhat handled by Puppet using the system facts and its logic. For this, we need to first check the OS and then run the appropriate firewall command.

In order to achieve this, we need to add the following code snippet inside testmodule::http class.

if $operatingsystemmajrelease <= 6 { 
   exec { 'iptables': 
      command => "iptables -I INPUT 1 -p tcp -m multiport --ports 
      ${httpd_port} -m comment --comment 'Custom HTTP Web Host' -j ACCEPT && iptables-save > /etc/sysconfig/iptables", path => "/sbin", refreshonly => true, subscribe => Package['httpd'], } service { 'iptables': ensure => running, enable => true, hasrestart => true, subscribe => Exec['iptables'], } } elsif $operatingsystemmajrelease == 7 { 
   exec { 'firewall-cmd': 
      command => "firewall-cmd --zone=public --addport = $ { 
      httpd_port}/tcp --permanent", 
      path => "/usr/bin/", 
      refreshonly => true, 
      subscribe => Package['httpd'], 
   } 
   service { 'firewalld': 
      ensure => running, 
      enable => true, 
      hasrestart => true, 
      subscribe => Exec['firewall-cmd'], 
   } 
}

The above code performs the following −

  • Using the operatingsystemmajrelease determines whether the OS which is used is version 6 or 7.

  • If the version is 6, then it runs all the required configuration commands to configure Linux 6 version.

  • If OS version is 7, then it runs all the required commands required to configure the firewall.

  • The code snippet for both the OS contains a logic which ensures that the configuration runs only after the http package is installed.

Finally, run the Puppet apply command.

# puppet apply test-module/tests/init.pp --noop 
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera 
defaults 

Notice: Compiled catalog for puppet.example.com in environment 
production in 0.82 seconds 

Notice: /Stage[main]/test-module::Httpd/Exec[iptables]/returns: 
current_value notrun, should be 0 (noop) 

Notice: /Stage[main]/test-module::Httpd/Service[iptables]: Would have 
triggered 'refresh' from 1 events

Configuring the SELinux

As we are working on a Linux machine which is version 7 and above, hence we need to configure it to make a http communication. SELinux restricts non-standard access to the HTTP server by default. If we define a custom port, then we need to configure the SELinux to provide access to that port.

Puppet contains some resource type to manage SELinux functions, such as Booleans and modules. Here, we need to execute semanage command to manage port settings. This tools is a part of policycoreutils-python package, which is not installed on red-hat servers by default. In order to achieve the above, we need to add the following code inside the test-module::http class.

exec { 'semanage-port': 
   command => "semanage port -a -t http_port_t -p tcp ${httpd_port}", 
   path => "/usr/sbin", 
   require => Package['policycoreutils-python'], 
   before => Service ['httpd'], 
   subscribe => Package['httpd'], 
   refreshonly => true, 
} 

package { 'policycoreutils-python': 
   ensure => installed, 
}

The above code performs the following −

  • The require => Package['policycoreutils-python'] ensures that we have the required python module installed.

  • Puppet uses semanage to open the port using the httpd_port as a veriable.

  • The before => service ensures to execute this command before httpd service starts. If HTTPD starts before SELinux command, then SELinux the service request and the service request fails.

Finally, run the Puppet apply command

# puppet apply test-module/tests/init.pp --noop 
... 
Notice: /Stage[main]/test-module::Httpd/Package[policycoreutilspython]/ 
ensure: current_value absent, should be present (noop) 
...
Notice: /Stage[main]/test-module::Httpd/Exec[semanage-port]/returns: 
current_value notrun, should be 0 (noop) 
... 
Notice: /Stage[main]/test-module::Httpd/Service[httpd]/ensure: 
current_value stopped, should be running (noop)

Puppet installs the python module first and then configures the port access and finally starts the httpd service.

Copying HTML Files in the Web Host

With the above steps we have completed the http server configuration. Now, we have a platform ready to install a web-based application, which Puppet can also configure. To test, we will copy some sample html index web pages to the server.

Create an index.html file inside the files directory.

<html> 
   <head> 
      <title>Congratulations</title> 
   <head> 
   
   <body> 
      <h1>Congratulations</h1> 
      <p>Your puppet module has correctly applied your configuration.</p> 
   </body> 
</html>

Create a manifest app.pp inside the manifest directory and add the following content.

class test-module::app { 
   file { "/var/www/test-server/index.html": 
      ensure => file, 
      mode => 755, 
      owner => root, 
      group => root, 
      source => "puppet:///modules/test-module/index.html", 
      require => Class["test-module::httpd"], 
   } 
}

This new class contains a single resource deceleration. This copies a file from the module’s file directory to the web server and sets its permissions. The required attribute ensures the test-module::http class completes the configuration successfully before one applies test-module::app.

Finally, we need to include a new manifest in our main init.pp manifest.

class test-module ( 
   $http_port = 80 
) { 
   include test-module::httpd 
   include test-module::app 
}

Now, run the apply command to actually test what is happening. Following will be the output.

# puppet apply test-module/tests/init.pp --noop
Warning: Config file /etc/puppet/hiera.yaml not found, using Hiera 
defaults 

Notice: Compiled catalog for brcelprod001.brcle.com in environment 
production in 0.66 seconds 

Notice: /Stage[main]/Test-module::Httpd/Exec[iptables]/returns: 
current_value notrun, should be 0 (noop) 

Notice: /Stage[main]/Test-module::Httpd/Package[policycoreutilspython]/ 
ensure: current_value absent, should be present (noop) 

Notice: /Stage[main]/Test-module::Httpd/Service[iptables]: Would have 
triggered 'refresh' from 1 events 

Notice: /Stage[main]/Test-module::Httpd/File[/var/www/myserver]/ensure: 
current_value absent, should be directory (noop) 

Notice: /Stage[main]/Test-module::Httpd/Package[httpd]/ensure: 
current_value absent, should be present (noop) 

Notice: 
/Stage[main]/Test-module::Httpd/File[/etc/httpd/conf.d/myserver.conf]/ensur 
e: current_value absent, should be file (noop) 

Notice: /Stage[main]/Test-module::Httpd/Exec[semanage-port]/returns: 
current_value notrun, should be 0 (noop) 

Notice: /Stage[main]/Test-module::Httpd/Service[httpd]/ensure: 
current_value stopped, should be running (noop) 

Notice: Class[test-module::Httpd]: Would have triggered 'refresh' from 8 
Notice: 
/Stage[main]/test-module::App/File[/var/www/myserver/index.html]/ensur: 
current_value absent, should be file (noop) 

Notice: Class[test-module::App]: Would have triggered 'refresh' from 1 
Notice: Stage[main]: Would have triggered 'refresh' from 2 events Notice: 
Finished catalog run in 0.74 seconds

The highlighted line shows the result of index.html file being copied to the web-host.

Finalizing the Module

With all the above steps, our new module that we created is ready to use. If we want to create an archive of the module, it can be done using the following command.

# puppet module build test-module