puppet的工作原理是什么

Puppet 的介绍

什么是Puppet ？

puppet 是一种Linux、Unix 平台的集中配置管理系统，使用自有的puppet 描述语言，可管理配置文件、用户、cron 任务、软件包、系统服务等。puppet 把这些系统实体称之为资源，puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。 puppet 采用C/S 星状的结构，所有的客户端和一个或几个服务器交互。

每个客户端周期的（默认半个小时）向服务器发送请求，获得其最新的配置信息，保证和该配 置信息同步。每个puppet 客户端每半小时(可以设置runinterval=30)连接一次服务器端,下载最新的配置文件,并且严格按照配置文件来配置服务器. 配置完成以后,puppet 客户 端可以反馈给服务器端一个消息. 如果出错,也会给服务器端反馈一个消息.

为什么要使用puppet?

当你去管理10 台服务器，你肯定会说小意思。没有任何压力。

当你去管理100 台服务器，你肯定也会说小意思。

当你去管理 1000+台服务器呢？你是不是就头痛了，不同的机器，不同的系统，使用不同的软件版本，配置也不一样。这样为了提升效率。Puppet 就派上了大用场。

Puppet 架构

puppet工作原理：

Puppet 后台运行的时候默认是半小时执行一次，不是很方便修改。可以考虑不让它 在后台跑而是使用crontab 来调用。这样可以精确控制每台客户端的执行时间。分散 执行时间也可以减轻压力

Puppet 的工作细节分成如下几个步骤：

1、客户端puppetd 调用facter ，facter 会探测出这台主机的一些变量如主机名、内存大小、IP 地址等。然后puppetd 把这些信息发送到服务器端。

2、服务器端的puppetmaster 检测到客户端的主机名，然后会到manifest 里面对应的node 配置，然后对这段内容进行解析，facter 送过来的信息可以作为变量进行处理的，node 牵涉到的代码才解析，其它的代码不不解析，解析分几个过程：语法检查、然后会生成一个中间的伪代码，然后再把伪代码发给客户机。

3 、客户端接收到伪代码之后就会执行，客户端再把执行结果发送给服务器。

4、服务器再把客户端的执行结果写入日志。

Puppet组织结构：

为什么要说puppet 的组织结构？当你安装完puppet 后，你会发现你不知道它的目录结构是什么样的。要如何组织，怎么样才算合理？puppet 目录在/etc/puppet 下面。

树结构如下：

|--puppet.conf#主配置配置文件|--fileserver.conf#文件服务器配置文件|--auth.conf#认证配置文件|--autosign.conf#自动验证配置文件|--tagmail.conf#邮件配置文件（将错误信息发送）|--manifests#文件存储目录(puppet会先读取该目录的.PP文件)|--nodes|||puppetclient.pp||--site.pp#定义puppet相关的变量和默认配置。||--modules.pp#加载class类模块文件（includesyslog）|--modules#定义模块|--syslog#以syslog为例||--file||--manifests|||--init.pp#class类配置||---templates#模块配置目录|||--syslog.erb#erb模板

环境搭建

然后开始安装，这里选择的是源码安装，puppet是运行在ruby环境的，所以需要安装ruby

上传ruby-1.8.6，facter-1.6.0，puppet-2.7.1到/tmp目录（这3个安装包见附件）tarzxvfruby-1.8.6-p114.tar.gzcdruby-1.8.6-p114./configuremakemakeinstallcd/tmptarzxvffacter-1.6.0.tar.gzcdfacter-1.6.0rubyinstall.rbcd/tmptarzxvfpuppet-2.7.1.tar.gzcdpuppet-2.7.1rubyinstall.rbmkdir-p/etc/puppet&&cpconf/redhat/*/etc/puppet/&&cd~

添加host文件解析

安装完成后需要把主机名和IP写入hosts，因为puppet是根据主机名来识别的，所以主机名对puppet来说比较重要：

echo"192.168.1.100puppetmaster">>/etc/hostsecho"192.168.1.200app_1">>/etc/hosts

开了防火墙的需要在防火墙里面添加8140端口

-ARH-Firewall-1-INPUT-s192.168.0.0/255.255.0.0-ptcp-mtcp--dport8140-jACCEPT

完成后服务端运行

[root@cyy100templates]#puppetmasterd

客户端运行：

[root@cyy111~]#puppetd--servercyy100--test

❝

PS：这里说一下的就是客户端第一次向服务端请求证书的时候要保证两边的时间是同步的，要不会报错

err:Couldnotretrievecatalogfromremoteserver:certificateverifyfailed

出现这个错误首先同步时间：

/usr/sbin/ntpdatetime.nist.gov

然后删除两边的SSL证书

rm-f/var/lib/puppet/ssl/ca/signed/caotest-2.cym.pem###服务端rm-rf/var/lib/puppet/ssl/###客户端

再重新验证

[root@cyy111~]#puppetd--servercyy100--test

没什么问题应该成功了，puppet默认是半小时执行一次，个人推荐用定时任务来执行

实验验证

可以先随便写个类来验证下是否成功

[root@cyy100templates]#cd/etc/puppet[root@cyy100puppet]#cdmodules/[root@cyy100modules]#mkdirtest/[root@cyy100modules]#mkdirtest/manifests/[root@cyy100modules]#mkdirtest/files/[root@cyy100modules]#vitest/files/init.pp

在init.pp里面写入以下内容

classpo{file{"/tmp/test.txt":ensure=>present,group=>"root",owner=>"root",mode=>"0644",source=>"puppet:///test/test.txt"}}

然后在/etc/puppet/modules/est/files下面创建一个test.txt文件，往里面写入：

helloworld！

在/etc/puppet/manifests/modules.pp 写入：

import"test"

在/etc/puppet/manifests/node里面写入:

node'cyy111'{includepo}

然后在客户端执行

puppetd--servercyy100--test

就可以看到test.txt文件下发到客户端的/tmp目录下了。