4、Puppet 入门指南：从基础配置到模块应用-编程实验室

Puppet 入门指南：从基础配置到模块应用

1. 证书签名与连接验证

可以使用puppet cert sign --all命令签署所有等待的证书。另外，也可以启用自动签名模式，在此模式下，来自指定 IP 地址或地址范围的所有传入连接将自动签名，但这存在一定安全风险，需谨慎使用，更多详情可查看相关文档。

在客户端，签署证书两分钟后（也可停止并重启 Puppet 代理而无需等待两分钟），运行以下命令：

# puppet agent --test

可能会看到如下输出：

Info: Retrieving plugin Info: Caching catalog for node1.pro-puppet.com Info: Applying configuration version '1365655737' Notice: Finished catalog run in 0.13 seconds

这表明代理已与主服务器进行身份验证。但也可能出现以下错误信息：

# puppet agent -t Info: Retrieving plugin Error: Could not retrieve catalog from remote server: Error 400 on SERVER: Could not find default node or by name with 'node1.example.com, node1' on node node1.pro-puppet.com Warning: Not using cache on failed catalog Error: Could not retrieve catalog; skipping run

这意味着主服务器没有为该 Puppet 节点提供可用配置，需要在主服务器上为该代理添加配置。

同时，要确保主服务器和代理的时间准确，因为 SSL 连接依赖于主机时钟的正确性。可使用 NTP（网络时间协议）来确保主机时钟准确，例如在每台服务器上运行ntpdate bigben.cac.washington.edu进行一次性 NTP 同步。

2. Puppet 组件与配置语言

Puppet 将包含配置数据的文件描述为清单（manifests），其主要由以下组件构成：
-资源（Resources）：单个配置项。
-文件（Files）：可提供给代理的物理文件。
-模板（Templates）：用于填充文件的模板文件。
-节点（Nodes）：指定每个代理的配置。
-类（Classes）：资源的集合。
-定义（Definitions）：资源的复合集合。

这些组件被封装在一种配置语言中，该语言包含变量、条件语句、数组等特性。此外，Puppet 还有“模块（Module）”的概念，它是包含资源、类、定义、文件和模板的可移植清单集合。

3. 添加节点定义

在site.pp中添加第一个节点定义，在 Puppet 清单中，使用node语句定义代理。例如：

node 'node1.pro-puppet.com' { package { 'vim': ensure => present, } }

节点名称需用单引号括起来，配置放在花括号内。客户端名称可以是主机名或完全限定域名，现阶段不能使用通配符指定节点，但可以使用正则表达式，如：

node /^www\d+\.pro-puppet\.com/ { ... }

此示例将匹配pro-puppet.com域中主机名为www1、www12、www123等的所有节点。

运行以下命令查看 Puppet 执行的操作：

root@node1:~# puppet agent --test

输出如下：

Info: Retrieving plugin Info: Caching catalog for node1.pro-puppet.com Info: Applying configuration version '1375079547' Notice: /Stage[main]//Node[node1]/Package[vim]/ensure: ensure changed 'purged' to 'present' Notice: Finished catalog run in 4.86 seconds

可以看到 Puppet 已安装vim包。不过，通常不建议在节点级别定义资源，资源应放在类和模块中。我们可以去掉vim资源，改为包含sudo类：

node 'node1.pro-puppet.com' { include sudo }

包含类有两种方式：

node /node1/ { include ::sudo } node /node2/ { class { '::sudo': users => ['tom', 'jerry'], } }

第一种语法简单直接，第二种语法允许向类传递参数，这一特性称为参数化类，可提高 Puppet 代码的可重用性。双冒号语法明确指示 Puppet 使用顶级作用域查找sudo模块。

4. 创建第一个模块

接下来创建sudo模块，模块是包含清单、资源、文件、模板、类和定义的集合。每个模块需要特定的目录结构和init.pp文件，Puppet 通过puppet.conf文件[master]部分的modulepath配置选项指定的目录来自动加载模块。默认情况下，Puppet 在/etc/puppet/modules和/usr/share/puppet/modules目录中查找模块，也可根据需要添加其他位置，例如：

[master] modulepath = /etc/puppet/modules:/var/lib/puppet/modules:/opt/modules

创建模块目录和文件结构：

# mkdir –p /etc/puppet/modules/sudo/{files,templates,manifests} # touch /etc/puppet/modules/sudo/manifests/init.pp

manifests目录用于存放init.pp文件和其他配置，init.pp文件是模块的核心，每个模块都应有一个。files目录用于存放作为模块一部分提供的文件，templates目录用于存放模块可能使用的模板。

以下是sudo模块的init.pp文件内容：

class sudo { package { 'sudo': ensure => present, } if $::osfamily == 'Debian' { package { 'sudo-ldap': ensure => present, require => Package['sudo'], } } file { '/etc/sudoers': owner => 'root', group => 'root', mode => '0440', source => "puppet://$::server/modules/sudo/etc/sudoers", require => Package['sudo'], } }

该文件包含一个名为sudo的类，其中有三个资源：两个包资源和一个文件资源。第一个包资源确保sudo包已安装，第二个包资源使用 Puppet 的if/else语法设置条件，若$::osfamily为Debian，则安装sudo-ldap包。require是一个元参数，用于创建资源之间的依赖关系，确保sudo包先安装。最后一个文件资源管理/etc/sudoers文件，通过source属性从 Puppet 源检索文件并传递给客户端。

5. 版本控制

随着配置变得更加复杂，建议将其添加到版本控制系统（如 Subversion 或 Git）中。版本控制系统可记录和跟踪文件更改，对配置管理而言，它能跟踪配置更改，便于恢复到已知状态或在不影响运行配置的情况下进行更改。可查看 Subversion 使用文档和 Puppet 版本控制相关内容了解更多信息。

6. 应用第一个配置

创建好sudo模块后，当连接包含该模块的代理时，将按以下步骤执行：
1. 安装sudo包。
2. 若为 Ubuntu 主机，还将安装sudo-ldap包。
3. 下载sudoers文件并安装到/etc/sudoers。

在之前创建的node1.example.com代理上包含新模块，运行以下命令：

puppet# puppet agent --test

Puppet 有一个方便的noop模式，该模式运行 Puppet 但不对主机进行任何更改，可作为预演查看 Puppet 将执行的操作，在命令行中指定--noop即可运行该模式。

运行 Puppet 代理连接到主服务器后，可能会看到如下输出：

Info: Retrieving plugin Info: Caching catalog for node1.pro-puppet.com Info: Applying configuration version '1365735606' Notice: /Stage[main]/Sudo/Package[sudo]/ensure: created Notice: /Stage[main]/Sudo/File[/etc/sudoers]/ensure: defined content as '{md5}1b00ee0a97a1bcf9961e4 76140e2c5c1' Notice: Finished catalog run in 25.94 seconds

这表明代理已缓存主机配置，先安装了sudo包，然后复制了/etc/sudoers文件。在复制过程中，若文件有修改，Puppet 会进行备份，即文件存储（file bucketing）。

在 Puppet 主服务器上也可看到运行结果的日志：

puppet# puppet master --no-daemonize --verbose --debug Notice: Starting Puppet master version 3.1.1 [..] Info: Caching node for node1.example.com Debug: importing '/etc/puppet/modules/sudo/manifests/init.pp' in environment production Debug: Automatically imported sudo from sudo into production Notice: Compiled catalog for node1.pro-puppet.com in environment production in 0.23 seconds Debug: Finishing transaction 70065298446380 Debug: Received report to process from node1.pro-puppet.com Debug: Processing report from node1.example.com with processor Puppet::Reports::Store

若 Puppet 代理作为守护进程运行，它将每隔 30 分钟连接到主服务器，检查主机配置是否有更改或是否有新配置可用，可通过代理主机/etc/puppet/puppet.conf配置文件中的runinterval选项调整运行间隔，例如：

[agent] runinterval=3600

通过以上步骤，我们使用 Puppet 完成了第一个代理的配置，后续可进一步扩展 Puppet 配置到多个代理，深入探索 Puppet 配置语言并构建更复杂的配置。

总结

本文详细介绍了 Puppet 的入门操作，包括证书签名、节点定义、模块创建和配置应用等方面。通过逐步实践，我们学会了如何使用 Puppet 管理单个主机的简单配置。掌握这些基础知识后，我们可以进一步探索 Puppet 在多主机环境中的应用，构建更加复杂和高效的配置管理系统。

资源链接

Puppet 简介
Puppet 安装
Puppet 配置
Puppet 配置参考

Puppet 入门指南：从基础配置到模块应用

7. Puppet 配置流程总结

为了更清晰地展示使用 Puppet 进行配置管理的流程，我们可以用 mermaid 流程图来表示：

graph LR A[证书签名] --> B[连接验证] B --> C{是否成功获取配置} C -- 是 --> D[添加节点定义] C -- 否 --> E[在主服务器添加配置] E --> D D --> F[创建模块] F --> G[应用配置] G --> H[监控与调整]

从流程图可以看出，整个 Puppet 配置过程是一个逐步推进的过程，每个步骤都为后续步骤奠定基础。

8. Puppet 配置中的注意事项

在使用 Puppet 进行配置管理时，有一些重要的注意事项需要牢记：
-时间同步：如前文所述，主服务器和代理的时间必须准确，因为 SSL 连接依赖于主机时钟的正确性。可以使用 NTP 服务确保时间同步，避免因时间问题导致证书验证失败。
-资源定义位置：尽量避免在节点级别定义资源，应将资源放在类和模块中，以提高代码的可维护性和可重用性。
-条件语句使用：在使用 Puppet 的条件语句（如if/else、case等）时，要注意比较运算符的特性。例如，==比较运算符是不区分大小写的，若需要进行区分大小写的字符串比较，应使用正则表达式运算符=~，并确保正则表达式完全匹配。

9. Puppet 配置的常见错误及解决方法

10. Puppet 配置的扩展与优化

在掌握了 Puppet 的基础配置后，可以对配置进行扩展和优化：
-多节点配置：将 Puppet 配置扩展到多个代理，通过定义不同的节点和类，为不同的主机提供不同的配置。
-参数化类的使用：充分利用参数化类的特性，提高代码的可重用性。例如，在不同的节点中使用相同的类，但传递不同的参数。
-模块的复用与共享：将常用的配置封装成模块，方便在不同的项目中复用和共享。可以将模块发布到 Puppet Forge 等社区，与其他用户分享。

11. 未来展望

Puppet 作为一种强大的配置管理工具，在自动化运维领域有着广泛的应用前景。随着云计算、容器化等技术的发展，Puppet 可以与这些技术更好地结合，实现更高效的资源管理和自动化部署。例如，在 Kubernetes 集群中使用 Puppet 进行节点配置和应用部署，提高集群的管理效率和可靠性。

同时，Puppet 社区也在不断发展，新的功能和特性不断涌现。我们可以关注社区动态，学习和应用新的技术，不断提升自己的配置管理能力。

总结

本文全面介绍了 Puppet 从基础入门到配置应用的整个过程，包括证书签名、节点定义、模块创建、配置应用以及常见问题的解决方法。通过学习和实践这些内容，我们可以使用 Puppet 高效地管理主机的配置。同时，我们也探讨了 Puppet 配置的扩展和优化方向，以及未来的发展前景。希望本文能帮助读者更好地掌握 Puppet 这一强大的配置管理工具，提升运维效率和质量。