puppet yum安装配置,简单证书维护

Puppet学习之puppet的安装和配置

一、Puppet简介

Puppet基于ruby语言开发的自动化系统配置工具，可以C/S模式或独立运行，支持对所有UNIX及类UNIX系统的配置管理，最新版本也开始支持对Windows操作系统有限的一些管理。Puppet适用于服务器管的整个过程 ，比如初始安装、配置更新以及系统下线。

二、Puppet的安装

Puppet的安装方式支持源码安装、yum安装以及ruby的gem安装。官网推荐使用yum来安装puppet，方面以后的升级、管理、维护。Centos可以采用yum来安装，但是Centos的默认源中没有puppet包，因此需要先安装epel包。Epel是企业版Linux附加软件包(Extra Packages for Enterprise Linux)的缩写，是一个由特别兴趣小组创建、维护并管理的，针对红帽企业版Linux(RHEL)及其衍生发行版(比如CentOS、Scientific Linux)的一个高质量附加软件包项目。

1. Master的安装

yum -y install ruby ruby-libs ruby-shadow

wget ftp://ftp.sunet.se/pub/Linux/distributions/yellowdog/yum/6.2/extras/RPMS/epel-release-5-3.noarch.rpm

rpm -Uvh epel-release-5-3.noarch.rpm

yum -y install puppet puppet-server facter

2. Agent的安装

yum install ruby ruby-libs ruby-shadow

wget ftp://ftp.sunet.se/pub/Linux/distributions/yellowdog/yum/6.2/extras/RPMS/epel-release-5-3.noarch.rpm

rpm -Uvh epel-release-5-3.noarch.rpm

yum -y install puppet facter

Ruiy tips:

puppet C/S 同一台Server上测试获取离线部署包文件名for rpm

至此如果安装过程不报错的话，puppet已经安装成功了。

三、Puppet的简单配置

1. Master的配置

先来看看puppet主目录下都有什么文件已经每个文件是做什么用的：

ls -1 /etc/puppet/

auth.conf       #定义puppet master的acl文件

fileserver.conf   #定义puppet master文件服务器的配置文件

manifests        #puppet脚本主文件目录，site.pp文件必须存在

modules            #puppet模块目录

puppet.conf     #puppet主配置文件

ssl                     #存放ssl证书的目录

刚开始的话， puppet.conf不需要配置就可以满足。

需要更改hosts文件，注意hosts要和主机名对应。

vim  /etc/hosts添加如下内容：

10.1.4.218 puppet.zhang.com puppet

10.1.4.213 node1.zhang.com node1

10.1.4.214 node2.zhang.com node2

大家要根据实际情况加，我这里是一个master，两个agent。

2. Agent的配置

Agent的配置主要是更改agent上的/etc/puppet/puppet.conf文件的[agent]部分。

在agent上vim /etc/puppet/puppet.conf 添加如下配置

server = puppet.zhang.com        #master服务器的地址

runinterval = 3600                       #每隔多久的时间进行自动更新,时间单位为秒

listen = true                         #客户端作为一个服务进行监听，允许其它的机器触发puppet运行允许远程触发puppet的节点配置

四、puppet的启动和停止

1. Master的启动和停止

Master的启动

/etc/rc.d/init.d/puppetmaster start

也可以以采用 service puppetmaster start启动

第一次启动建议采用puppet master --verbose --no-daemonize方式启动，有助于测试和调试错误，如果采用后面这种方式，你可以看到启动的整个过程，启动过程会做一些初始化的工作，为master创建本地证书认证中心，证书和key。并打开socket等待client的连接。你可以在/etc/puppet/ssl目录看到相关的文件和目录。

Master的停止

/etc/rc.d/init.d/puppetmaster stop

也可以以采用 service puppetmaster stop停止

更改多选项可以使用/etc/rc.d/init.d/puppetmaster –h查看

2. Agent的启动和停止

Agent的启动

/etc/rc.d/init.d/puppet start

也可以采用service puppet start来启动

调试的时候可以采用

puppet agent --server=puppet.zhang.com --no-daemonize –verbose

的方式来启动，这样启动我们可以看到agent是如何和master建立连接的。

Agent的停止

/etc/rc.d/init.d/puppet stop

也可以采用service puppet stop来停止。

五、FAQ

1. 连接master的时候出现如下报错：

dnsdomainname: Unknown host

解决办法：检查机器主机名的设置，以及是否添加进hosts。

1. 连接master的时候出现如下报错：

err: Could not request certificate: getaddrinfo: Name or service not known

解决办法：服务器端没有配置hosts域名绑定，在hosts中添加。

1. 连接master的时候出现如下报错：

warning: peer certificate won't be verified in this SSL session

解决办法：服务端还没有返回签发证书，使用puppet cert --list查看

1. 连接master的时候出现如下报错：

err: Could not retrieve catalog from remote server: certificate verify failed

解决办法：客户端和服务器端时间不同步，SSL连接需要依赖主机上的时间是否正确。执行更新时间的命令：/sbin/ntpdate asia.pool.ntp.org

简单证书维护

一、    关于证书在master的认识

我们知道puppet为了安全，采用ssl隧道通信，因此需要申请证书来验证的，当puppet master第一次启动的时候，可以查看/var/log/message有类似如下的信息：

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificate request for ca

Jul 25 03:14:01 localhost puppet-master[25011]: Rebuilding inventory file

Jul 25 03:14:01 localhost puppet-master[25011]: puppet.zhang.com has a waiting certificate request

Jul 25 03:14:01 localhost puppet-master[25011]: Signed certificate request for puppet.zhang.com

Jul 25 03:14:01 localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequest puppet.zhang.com at '/etc/puppet/ssl/ca/requests/puppet.zhang.com.pem'

Jul 25 03:14:01 localhost puppet-master[25011]: Removing file Puppet::SSL::CertificateRequest puppet.zhang.com at '/etc/puppet/ssl/certificate_requests/puppet.zhang.com.pem'

从日志中我们可以看出第一次启动的时候，puppet master创建本地认证中心，给自己签发证书和key，你可以在/etc/puppet/ssl看到那些证书和key。这个目录和/etc/puppet/puppet.conf文件中配置的ssldir路径有关系。

ll /etc/puppet/ssl/   ssl目录的内容如下：

drwxrwx--- 5 puppet puppet 4096 Jul 25 03:01 ca

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 certificate_requests

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 certs

-rw-r--r-- 1 puppet puppet  398 Jul 25 03:01 crl.pem

drwxr-x--- 2 puppet root   4096 Jul 25 03:01 private

drwxr-x--- 2 puppet root   4096 Jul 25 03:01 private_keys

drwxr-xr-x 2 puppet root   4096 Jul 25 03:01 public_keys

二、    关于证书在agent的认识

puppet agent在第一次连接master的时候会向master申请证书，如果没有master没有签发证书，那么puppet agent和master的连接是否建立成功的，agent会持续等待master签发证书，并会每隔2分钟去检查master是否签发证书。

通过puppet agent --server= puppet.zhang.com --no-daemonize –verbose启动的时候能很清楚的查看到agent申请证书的过程

puppet agent --server=puppet.zhang.com --no-daemonize --verbose

info: Creating a new SSL key for node1.zhang.com

info: Caching certificate for ca

#申请证书

info: Creating a new SSL certificate request for node1.zhang.com

info: Certificate Request fingerprint (md5): 54:11:FB:75:87:94:AF:6B:D1:6B:AD:6B:44:3E:74:A0

#等待证书签发

warning: peer certificate won't be verified in this SSL session

#2分钟检查一次，如果没有签发就显示如下信息

notice: Did not receive certificate

#证书签发成功后，顺利建立连接

info: Caching certificate for node1.zhang.com

notice: Starting Puppet client version 2.6.16

info: Caching certificate_revocation_list for ca

info: Caching catalog for node1.zhang.com

info: Applying configuration version '1344943902'

notice: Finished catalog run in 0.11 seconds

类似于上面的就是去申请证书了。当master签发证书以后就可以顺利建立连接了。

三、    Master端证书的管理

1. 在master上查看申请证书请求

puppet cert --list

1. 签发证书

puppet cert --sign node1.zhang.com

如果一次性签发所有的证书，采用如下命令：

puppet cert --sign –all

也可以设置自动签发证书。

1. 让证书过期

puppet cert -revoke puppet-test

删除证书

puppet cert --clean puppet-test

证书签名的过期或删除需要重启puppetmaster服务。

1. 可以通过/etc/puppet/auth.conf文件配置签名的ACL列表。

四、    Agent端证书的管理

1. 删除已有的证书

清空 /etc/puppet/ssl(这个目录和你的/etc/puppet/puppet.conf文件中配置的ssldir路径有关系)下的文件和目录

1. 重启申请证书

puppet agent --server puppet.zhang.com --test

在客户端与服务端签名不能正常进行的时候，请删除后重新签名