3、Puppet安装与配置全指南

Puppet安装与配置全指南

Puppet是一款强大的自动化运维工具，可帮助用户高效管理和配置系统。本文将详细介绍Puppet在不同平台的安装方法、配置步骤以及如何连接客户端与主服务器。

1. 下载最新版本

你可以在 http://puppetlabs.com/misc/download-options/ 找到最新的Puppet和Facter版本。

2. 在不同平台安装Puppet

2.1 在Microsoft Windows上安装

Puppet目前不支持在Microsoft Windows上运行Puppet主服务器。若使用客户端 - 服务器模式，你需要一个Unix/Linux的Puppet主服务器，或者可以在无主模式下运行Puppet。

• 图形化安装
  1. 从 http://downloads.puppetlabs.com/windows/ 下载最新的开源MSI文件（该MSI文件包含了Puppet的所有依赖项，包括Ruby和Facter）。
  2. 以管理员身份运行MSI文件，并按照安装向导进行操作。
  3. 向安装程序提供Puppet主服务器的名称，之后Puppet将作为Windows服务启动。安装完成后，你将看到相应的完成界面。

更多信息，如自动化安装，可参考 Windows安装文档 。

• 使用PowerShell安装
  许多Windows管理员，尤其是在云操作中，开始使用PowerShell进行远程管理和脚本化安装。安装开源Puppet，你需要先从Puppetlabs.com下载Puppet MSI安装程序。有两种下载方式：
  • PowerShell 2及更早版本

$downloads = $pwd $webclient = New-Object System.Net.WebClient $url = http://puppetlabs.com/downloads/windows/puppet-3.2.3.msi $file = "$downloads/puppet.msi" $webclient.DownloadFile($url,$file)

- **PowerShell 3及更高版本**

$url = "http://puppetlabs.com/downloads/windows/puppet-3.2.3.msi" Invoke-WebRequest -Uri $url -OutFile puppet.msi

下载完成后，使用以下命令安装MSI文件：

cmd /c "msiexec /qn /i puppet.msi /l*v install.log"

使用/qn参数可使安装过程静默且无交互，使用/l*v install.log参数可将安装日志发送到当前目录的install.log文件中。安装成功后，在install.log文件末尾应看到 “Installation Successful”。

你可以通过运行以下命令验证Puppet是否正确安装：

& 'C:\Program Files (x86)\Puppet Labs\Puppet\bin\puppet.bat' --version

若要覆盖默认的Puppet主服务器和CA服务器设置，可使用以下环境变量：

cmd /c "msiexec /qn PUPPET_MASTER_SERVER=master.example.com PUPPET_CA_SERVER=puppetcat.example.com /i puppet.msi /l*v install.log"

不过，目前无法设置其他配置变量，你需要使用记事本或其他编辑器手动修改puppet.conf文件：

notepad 'C:\ProgramData\PuppetLabs\puppet\etc\puppet.conf'

2.2 在Mac上安装

• 通过图形化安装程序安装

  1. 从Puppet Labs网站（puppetlabs.com）下载Facter和Puppet的.dmg文件。
  2. 挂载.dmg文件，并验证是否有两个Apple Package安装程序。
  3. 双击Facter的图标，进入欢迎界面，输入管理员密码并点击 “Install Software”。
  4. Facter安装完成后，双击Puppet的图标，同样输入管理员密码并点击 “Install Software”。
  5. 安装完成后，可使用puppet --version命令验证安装。若要使用除puppet之外的服务器，需创建/etc/puppet/puppet.conf文件，并设置server=puppet-master.pro-puppet.com。

• 通过命令行安装

$ curl -O http://downloads.puppetlabs.com/mac/facter-1.7.2.dmg $ hdiutil mount facter-1.7.2.dmg $ installer -package /Volumes/facter-1.7.2/facter-1.7.2.pkg/ -target /Volumes/Macintosh\ HD $ hdutil unmount /Volumes/facter-1.7.2 $ curl -O https://downloads.puppetlabs.com/mac/puppet-3.2.3.dmg $ hdiutil mount puppet-3.2.3.dmg $ installer -package /Volumes/puppet-3.2.3/puppet-3.2.3.pkg -target /Volumes/Macintosh\ HD $ hdutil unmount /Volumes/puppet-3.2.3/

安装完成后，你可以通过cron或puppet apply运行Puppet。若要以守护进程模式运行，可参考 官方文档 。

2.3 在其他平台安装

Puppet还可以安装在多种其他平台上，包括：
- SLES/OpenSuSE：通过 http://software.opensuse.org/
- Gentoo：通过Portage
- Mandrake和Mandriva：通过Mandriva contrib仓库
- FreeBSD：通过ports tree
- NetBSD：通过pkgsrc
- OpenBSD：通过ports tree
- ArchLinux：通过ArchLinux AUR

你可以在 https://puppetlabs.com/misc/download-options 找到完整的操作系统列表和具体安装说明。

此外，Puppet还可以在一些网络设备上运行，如BIG - IP F5设备和一些Juniper网络设备。F5设备需要通过代理代理进行高级配置，可参考 https://puppetlabs.com/blog/managing-f5-big-ip-network-devices-with-puppet/ 开始配置。一些现代Juniper设备可以原生运行Puppet，可通过Juniper包jpuppet进行安装，更多信息可在 https://puppetlabs.com/solutions/juniper-networks/ 查看。

Puppet的压缩包在ext目录中还包含一些打包文件，如RPM规范文件和OS X构建脚本，可用于为兼容的操作系统创建自己的包。

3. 配置Puppet

安装完成后，我们需要配置Puppet主服务器。以下是详细的配置步骤：

3.1 配置puppet.conf文件

在大多数平台上，Puppet的配置文件位于/etc/puppet目录下，主要配置文件为puppet.conf。在Unix/Linux系统上，该文件位于/etc/puppet/puppet.conf；在Windows系统上，位于C:\ProgramData\PuppetLabs\puppet\etc\。

若该文件不存在，可使用以下命令创建：

$ cd /etc/puppet/ $ puppet master --genconfig > puppet.conf

puppet.conf文件类似于INI风格的配置文件，分为多个部分。每个部分配置Puppet的特定元素，例如[agent]部分配置Puppet代理，[master]部分配置Puppet主服务器二进制文件，还有一个全局配置部分[main]，Puppet的所有组件都会设置[main]部分中指定的选项。

在这个阶段，我们只需要在puppet.conf文件中添加一个条目server，指定Puppet主服务器的名称：

[main] server=puppet.example.com

将puppet.example.com替换为你的主机的完全限定域名。

同时，建议为Puppet主服务器创建一个DNS CNAME，例如puppet.pro-puppet.com，并将其添加到/etc/hosts文件或DNS配置中：

# /etc/hosts 127.0.0.1 localhost 192.168.0.1 puppet.pro-puppet.com puppet

3.2 添加site.pp文件

site.pp文件告诉Puppet为客户端加载哪些配置。我们将该文件存储在/etc/puppet目录下的manifests目录中。

若该目录和文件不存在，可使用以下命令创建：

# mkdir /etc/puppet/manifests # touch /etc/puppet/manifests/site.pp

你也可以通过puppet.conf文件的[master]部分中的manifestdir和manifest配置选项来覆盖manifests目录和site.pp文件的名称和位置。更多配置选项可参考 http://docs.puppetlabs.com/references/stable/configuration.html 。

3.3 防火墙配置

Puppet主服务器运行在TCP端口8140上。你需要在主服务器的防火墙（以及任何中间的防火墙和网络设备）上打开该端口，确保客户端能够路由并连接到主服务器。

以下是Netfilter防火墙的示例规则：

$ iptables -A INPUT -p tcp -m state --state NEW --dport 8140 -j ACCEPT

此规则允许所有网络访问TCP端口8140。若可能，建议将访问限制为需要访问Puppet主服务器的网络，例如：

$ iptables -A INPUT -p tcp -m state --state NEW -s 192.168.0.0/24 --dport 8140 -j ACCEPT

此规则将端口8140的访问限制为192.168.0.0/24子网。

你可以为其他操作系统的防火墙（如pf或Windows防火墙）创建类似的规则。Puppet客户端和主服务器之间的通信通过SSL加密，并通过客户端x509证书进行身份验证。

3.4 启动Puppet主服务器

在大多数Linux发行版上，Puppet主服务器可以通过init脚本或其他初始化系统（如upstart或systemd）启动。在Red Hat或Debian系统上，可使用service命令启动：

# service puppetmaster start

其他平台应使用相应的服务管理工具。

Puppet守护进程的输出可以在不同系统的不同日志文件中查看：
- Red Hat系统：/var/log/messages
- Debian和Ubuntu系统：/var/log/syslog
- Windows系统：C:\ProgramData\PuppetLabs\puppet\var\log

启动守护进程将初始化Puppet环境，创建本地证书颁发机构（CA）以及主服务器的证书和密钥，并打开相应的网络套接字以等待客户端连接。你可以在/var/lib/puppet/ssl目录中查看Puppet的SSL信息和证书：

# ls -l /var/lib/puppet/ssl/ drwxrwx--- 5 puppet puppet 4096 Apr 11 04:05 ca drwxr-xr-x 2 puppet root 4096 Apr 11 04:05 certificate_requests drwxr-xr-x 2 puppet root 4096 Apr 11 04:05 certs -rw-r--r-- 1 puppet puppet 918 Apr 11 04:05 crl.pem drwxr-x--- 2 puppet root 4096 Apr 11 04:05 private drwxr-x--- 2 puppet root 4096 Apr 11 04:05 private_keys drwxr-xr-x 2 puppet root 4096 Apr 11 04:05 public_keys

你也可以从命令行启动Puppet主服务器，以便进行测试和调试：

# puppet master --verbose --no-daemonize

--verbose选项用于输出详细日志，--no-daemonize选项用于将守护进程保持在前台并将输出重定向到标准输出。你还可以添加--debug选项以生成更详细的调试输出。

4. Puppet的单二进制文件特性

Puppet的所有功能都可以通过一个名为puppet的单二进制文件实现，类似于Git等工具。你可以通过以下命令启动Puppet主服务器：

# puppet master

代理功能也可以通过相同的方式调用：

# puppet agent

你可以通过以下命令查看puppet二进制文件的所有可用功能：

$ puppet help

若需要获取某个Puppet子命令的帮助信息，可添加子命令选项：

$ puppet help subcommand

5. 连接第一个代理

当Puppet主服务器配置并启动后，你可以配置并启动第一个代理。在代理上，你需要使用操作系统的包管理系统安装适当的包，通常是puppet和facter。

我们将在名为node1.pro-puppet.com的主机上安装客户端，并连接到puppet.pro-puppet.com主服务器。连接第一个客户端时，我们建议从命令行运行Puppet代理，以便查看连接过程：

node1# puppet agent --test --server=puppet.pro-puppet.com

在上述命令中，--server选项指定要连接的Puppet主服务器的名称或地址；--test选项使Puppet客户端在前台运行，输出到标准输出，并在运行完成后退出。

若未指定--server选项，Puppet将查找名为 “puppet” 的主机。因此，为Puppet主服务器创建CNAME（如puppet.pro-puppet.com）是一个不错的选择。此外，Puppet还可以查询SRV记录以找到Puppet主服务器和Puppet CA服务器的位置。

你也可以在客户端的/etc/puppet/puppet.conf文件的[main]部分中指定主服务器：

# /etc/puppet/puppet.conf [main] server=puppet.pro-puppet.com

客户端必须能够解析主服务器的主机名才能进行连接。在上述命令的输出中，你可以看到代理创建了一个证书签名请求和一个私钥，用于安全连接。Puppet使用SSL证书对主服务器和代理之间的连接进行身份验证。代理将证书请求发送到主服务器，并等待主服务器签名并返回证书。

此时，代理在发送证书签名请求（CSR）后退出。在CA签署CSR后，需要重新运行代理以进行检查并运行Puppet。你可以配置puppet agent不退出，而是保持活动状态并定期轮询CSR是否已签署，此配置称为waitforcert，通常仅在主服务器上也进行自动签名证书时才有用。你可以使用--waitforcert选项更改Puppet代理的等待时间，可指定秒数或设置为0以不等待证书，此时代理将退出。

6. 完成连接

为了完成连接并验证代理，我们需要在主服务器上签署代理发送的证书。可以使用puppet cert（或puppetca二进制文件）在主服务器上进行操作：

puppet# puppet cert list "node1.pro-puppet.com" (SHA256) 6F:0D:41:14:BD:2D:FC:CE:1C:DC:11:1E:26:07:4C:08:D0:C7:E8:62:A5:33:E3:4B:8B:C6:28:C5:C8:88:1C:C8

list选项用于显示所有等待签署的证书。然后，使用sign选项签署证书：

puppet# puppet cert sign node1.pro-puppet.com Notice: Signed certificate request for node1.pro-puppet.com Notice: Removing file Puppet::SSL::CertificateRequest node1.pro-puppet.com at '/var/lib/puppet/ssl/ca/requests/node1.pro-puppet.com.pem'

通过以上步骤，你可以成功安装、配置和连接Puppet主服务器和客户端，实现自动化的系统管理和配置。

Puppet安装与配置全指南

7. 总结与注意事项

在完成Puppet的安装、配置以及客户端与主服务器的连接后，我们来总结一下整个过程中的关键要点和注意事项。

7.1 安装要点总结

7.2 配置要点总结

• puppet.conf文件：设置server选项指定主服务器名称，可创建DNS CNAME方便解析。
• site.pp文件：存储客户端配置信息，可通过配置选项覆盖默认位置。
• 防火墙配置：打开TCP端口8140，可限制访问网络范围。
• 启动主服务器：根据不同系统选择合适的启动方式，可从命令行启动进行测试。

7.3 连接要点总结

• 客户端连接：使用puppet agent --test --server命令连接主服务器，创建证书签名请求。
• 证书签署：在主服务器上使用puppet cert list和puppet cert sign命令签署客户端证书。

7.4 注意事项

• Windows限制：Puppet主服务器不能在Windows上运行，若使用客户端 - 服务器模式需Unix/Linux主服务器。
• 证书等待：客户端发送证书签名请求后需等待主服务器签署，可配置waitforcert选项。
• 配置文件修改：部分配置变量无法通过安装程序设置，需手动修改puppet.conf文件。

8. 常见问题及解决方法

在使用Puppet的过程中，可能会遇到一些常见问题，以下是一些问题及解决方法。

8.1 客户端无法连接主服务器

• 问题表现：客户端运行puppet agent命令后无法连接到主服务器。
• 可能原因：
  • 主服务器防火墙未开放端口8140。
  • 客户端无法解析主服务器的主机名。
  • 主服务器未启动或出现故障。
• 解决方法：
  • 检查主服务器防火墙配置，确保端口8140开放。
  • 在客户端的/etc/hosts文件中添加主服务器的IP地址和主机名，或使用DNS解析。
  • 检查主服务器的启动状态，查看日志文件排查故障。

8.2 证书签名失败

• 问题表现：在主服务器上使用puppet cert sign命令签署证书时出现错误。
• 可能原因：
  • 证书请求文件损坏。
  • 主服务器的CA证书或密钥出现问题。
• 解决方法：
  • 删除客户端的证书请求文件和私钥，重新运行puppet agent命令生成新的请求。
  • 检查主服务器的CA证书和密钥文件，确保其完整性。

8.3 配置文件修改无效

• 问题表现：修改puppet.conf文件后，配置未生效。
• 可能原因：
  • 修改的配置文件路径错误。
  • 配置项语法错误。
• 解决方法：
  • 确认修改的是正确的puppet.conf文件路径。
  • 检查配置项的语法，可参考官方文档进行修正。

9. 未来拓展与优化建议

Puppet作为一款强大的自动化运维工具，在完成基本的安装和配置后，还可以进行更多的拓展和优化。

9.1 自动化部署

可以使用Puppet的模块和类来实现更复杂的自动化部署任务，例如安装和配置数据库、Web服务器等。通过编写自定义的Puppet代码，可以将常用的部署步骤封装成模块，方便重复使用。

9.2 监控与管理

结合监控工具（如Nagios、Zabbix等）对Puppet管理的系统进行监控，及时发现和解决问题。同时，可以使用Puppet的报告功能来查看系统的配置变更和状态信息，方便进行管理和审计。

9.3 性能优化

优化Puppet的配置和运行环境，提高其性能和响应速度。例如，合理调整Puppet代理的运行间隔时间，减少不必要的资源消耗；使用分布式架构，将Puppet主服务器的负载分散到多个节点上。

10. 流程图

graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px; A([开始]):::startend --> B(下载Puppet和Facter):::process B --> C{选择安装平台}:::decision C -->|Windows| D(图形化或PowerShell安装):::process C -->|Mac| E(图形化或命令行安装):::process C -->|其他平台| F(对应平台安装):::process D --> G(配置Puppet主服务器):::process E --> G F --> G G --> H(配置puppet.conf文件):::process H --> I(添加site.pp文件):::process I --> J(配置防火墙):::process J --> K(启动Puppet主服务器):::process K --> L(安装客户端):::process L --> M(连接客户端到主服务器):::process M --> N(客户端发送证书请求):::process N --> O(主服务器签署证书):::process O --> P(完成连接):::process P --> Q([结束]):::startend

通过以上的安装、配置、连接和优化过程，你可以充分发挥Puppet的功能，实现高效的自动化系统管理和配置。希望本文能对你使用Puppet有所帮助。