要するに：

1. cfpuppetserver-自動構成モジュールPuppet Server + PuppetDB + PostgreSQL + r10k + librarian-puppet
2. Puppetの簡単な紹介
3. 最初からの展開を最初から説明します

テーマサイクル：

• パートI：ネットワークおよびネットワークフィルター（cfnetwork + cffirehol）
• パートII：アクセスと標準環境（cfauth + cfsystem）
• パートIII：Puppet Server（cfpuppetserver）のインストール
• パートIV：集中管理（cftotalcontrol）
• パートV：データベース（cfdb）
• パートVI：現在のブラックリストと保護されたノッキング

少し歌詞。 この記事はサイクル全体を開始するように思えますが、それでもなお、対象読者はオープンソースPuppet Labs製品​​の経験豊富なユーザーであり、Puppet Forgeの個々の低統合モジュールに満足していません。 「ライブラリとフレームワーク」の場合と同様、統合ソリューションの作成者の世界観に従うことです。

Puppetの仕組みについて少し

Puppetは、何よりもまず、システムの最終状態を宣言的に定義するための特定の言語です。 比較のために、GNU Makefileは非常に適しています。依存関係を直接記述することに加えて、最大限に活用することが可能です。

Puppetの抽象化は次のようなものです （ テンプレートの混乱-プログラミング用語について知っていたすべてを忘れてください！ ）。

• ノードは、特定のターゲットシステムの構成の集合です。 実際、これはクラスの特殊なケースです。
• クラスは、ノードまたは他のクラスの構成に含まれる宣言ロジックのセットです。 クラスにはインスタンスもメソッドもありませんが、ロジック内で定義されたパラメーターと変数があります。 実際、それはむしろ、コードの平凡なビルドアップと変数の完全に平凡なスコープによって別のプロシージャを継承できるプロシージャです。
• タイプ -しかし、これはすでに古典的なクラスのように見えます-それは名前と間違いなく指定されたパラメーターを持つインスタンスを持つことになっていますが、それ以上ではありません。 具象型の実装は、他の型のインスタンスを作成define
  
  
  
  を介してPuppetスクリプトとして、または空想の飛行を備えたRubyの拡張として記述できます。
• リソース（リソース） -実際には、これはタイプの名前付きインスタンスです。 各リソースの名前は、ノード（ディレクトリ）の構成内の特定のタイプ内で一意です。
• 変数 -要するに、これらは定数です... Puppet 4以前のスコープでは、さらに悪化していました。 これで十分です。外部から定義の場所を使用するには、クラス継承の場合を除き、完全修飾識別子を指定する必要があります。

Puppetは、ネットワークおよび関連インフラストラクチャなしでローカル展開に使用できます。 これは、コンテナイメージの作成に使用できます。 一元化されたサーバーを放棄することを主張することもあります。

イデオロギー的に正しい方法では、Puppetインフラストラクチャはエージェントで構成されます。ターゲットシステム上の特権サービスと、エージェントからの要求に応じて宣言的なリソースディレクトリの形式で貴重な命令を発行するサーバーです。 セキュリティは、プライベート公開鍵インフラストラクチャ（ X.509 ）のレベルで実装されます。 簡単に言えば、HTTPSと同じメカニズムですが、独自のCAとクライアント証明書の必須検証を使用します。

簡略化された形式では、展開手順は次のようになります。

1. TLSおよびX.509処理（接続の確立、CRLの更新、証明書の制限の確認など）
2. エージェントは、キャッシュおよびすべてのケース（より正確には、モジュール内のすべてのlib /フォルダーがプルされます）を使用してサーバーからファクトジェネレーターを受け取ります。 独自のRubyスクリプトを追加して、関心のある情報を収集するのは簡単です。
3. エージェントは、ターゲットシステムに関する事実を収集し、サーバーに送信します。 puppet facts
   
   
   
   呼び出すことで、すべてのファクトを手動で簡単に表示できます。 これらのファクトは、グローバル変数として利用可能です。
4. サーバーはリソースディレクトリをコンパイルし、エージェントに送信します。 その下には、さまざまな概念のレイヤー全体があります。
5. エージェントは、必要なものをすべてサーバーからプルし、システムを指定された形式にします。 同時に、エージェント自体はリソースの処理方法を認識せず、特定のタイプのリソースのプロバイダー（意味のある変換はプロバイダーではなく「実施形態」）の実装に依存します。 一部のプロバイダーは標準であり、Puppetパッケージに含まれていますが、残りはモジュールから取得されます。

すべての魅力を楽しむために、次の形式の追加のパンがあります。

• モジュールは、宣言的なPuppetスクリプト、PuppetのRuby拡張機能、ファイル、ファイルテンプレート、Hieraデータなどのコレクションです。 より正確な用語は「パッケージ」です。
• 環境 -スクリプト、モジュール、およびHieraデータのコレクション。 インフラストラクチャの複雑さにより、標準的なノード分割よりもさらに構成を分離することが必然的に必要になりました。 基本的に、これはパイロットの革新と平凡なアクセス制御に必要です（すべての管理者がITインフラストラクチャのすべてのノードにアクセスできるわけではない場合）。
• Hieraは階層型データベースです。 この定式化は非常に怖いことがあります。 これがおそらく、後のバージョンのドキュメントで変更された理由です。 実際、これはYAMLまたはJSONファイルから設定を抽出するための非常にシンプルで便利なメカニズムです。 階層とは、多くの構成ファイルの読み取り順序を設定する機能です。 これらのファイルの階層/優先順位。
  
  
  • 関数呼び出しでデータをプルすることに加えて、Puppetはデフォルトでクラスパラメーターをプルします。これは主要なハイライトです。
  • もちろん、Hieraはファクトの補間、さらには特別な関数の呼び出しもサポートしています。
  • Puppet 4.3は再び同じ機能を実装して、グローバルデータベースだけでなく、環境とモジュールのローカルデータベースもサポートしましたが、作成者はすでに実装（ PUP-5983 、 PUP-5952およびPUP-5899 ）でいくつかの問題を発見しましたPuppet Labsによって即座に修正されました。
  • 階層内のすべてのファイルから値を取得するためのいくつかの戦略がサポートされています。
    
    
    • first-最初の優先度の値が返されます
    • unique
      
      
      
      -すべての値を1次元配列に収集し、重複を削除します
    • hash-見つかったすべてのYAMLハッシュを結合します。 重複キーは優先度によって選択されます。
    • deep
      
      
      
      -基本的にハッシュの再帰バージョン
  • 美しさは、 lookup()
    
    
    
    関数を呼び出すときのようにサンプリング戦略を設定できることです。 cfnetworkモジュールでアクティブに使用される特別なキーlookup_optionsを介した階層ファイル内。
• PuppetDBは基本的にリレーショナルデータベース（PostgreSQL）を取り巻くビジネスロジックのレイヤーであり、ファクトレポートと完了した展開を保存し、特別な機能を使用して他のノードまたは選択のディレクトリに後でインポートするためのリソースをエクスポートできます。 Puppetダッシュボード形式のWebマズルもあります。
• X.509 PKIは既に述べた証明書インフラストラクチャであり、別のインフラストラクチャを管理する必要なく他のサービスに使用するのに非常に便利です。
• MCollectiveは、サーバーファームでのタスクのイベントトリガーに役立つもののようですが、作成者は特定のソリューションのセキュリティに一定の不信感を持っています。
• Puppet Forgeは、モジュールを公開およびダウンロードするためのオープンプラットフォームです。
• シスコの機器などの外部デバイスの制御やベアメタルへの展開という形のその他の機能がありますが、これは別の話です

セキュリティと可用性に関する注意

Puppet ServerはITインフラストラクチャ全体の脆弱性になりつつあることを理解する必要があります。 すべてのシステムの最終構成を定義します。 特別な場合には、分離を行うのが理にかなっています。アクセスと手動更新が非常に制限されている重要なインフラストラクチャ要素用の別個のサーバーと、その他すべてのサーバーです。

Availability Puppet Serverは、インフラストラクチャ全体を管理する機能を定義します。 独自の機能よりも信頼性が高く、迅速に復元されるサードパーティクラウドの仮想マシンでPuppet Serverをホストすることは理にかなっています。 または、複数のサーバーをインストールする必要があります。

いずれの場合でも、ガジェットを備えたPuppet Serverがデプロイされるシステムに他のサービスをインストールしないでください。 仮想化とコンテナ化が役立ちます。

マルチマスター（複数のスタンドアロンPuppet Server）

• この場合、CA（認証局）として機能するサーバーは1つだけです。そのサーバーが利用できないことは、新しいノードを追加できないことを意味します。
  
  
  • Puppetは、組み込みが適切でない場合、サードパーティのインフラストラクチャX.509の使用を許可します。
• 構成全体（環境）をバージョン管理システムに保存し、各サーバーに同時に展開する必要があります。
• 唯一共通しているのはPostgreSQLデータベースです。PostgreSQLデータベースの高可用性はこの記事の範囲外です。
• cfpuppetserverモジュールは、プライマリ（CAを使用）およびセカンダリサーバーとしてのインストールをサポートします。

重要な点は古いバージョンから変更されました

製造元には詳細な説明があります。

• すべてのサービスがJVM、JRuby、およびJettyに移行しました。 統合の明らかな利点のために、メモリ消費の面でも欠点があります。
• コレクションを処理するためのラムダ関数が追加されました-Rubyで松葉杖を見たり、create_resources（）で変換したりする必要がなくなりました。
• EPPテンプレート処理ツールが登場しました-基本的に同じERBですが、Rubyの代わりにPuppet DSLを使用して、
• 構成ファイルのデフォルトのディレクトリ構造が大幅に変更されました
• 環境およびモジュールのデータプロバイダーのサポートが登場しました（ハックは必要なくなりました）。
• グローバルHieraの役割を減らす。 関連する新しいpuppet lookup
  
  
  
  コマンド。

設置

このプロセスは非常に原始的ですが、特定の一連の手順が必要です。 これを手作業で行うことは恩知らずな作業であるため、著者は悪いこと、つまり、インターネットから理解できないスクリプトをダウンロードし、自分のシステムでrootとして実行することを教えます。

サーバーの3つの主要コンポーネントは、Puppet Server自体、PuppetDB、およびPostgreSQLです。 それらはすべて1つのノードに詰め込むことも、2つまたは3つのシステムに分割することもできます。 Puppet ServerとPuppet DBは何度も起動できますが、PostgeSQLは単一障害点です。 プライマリおよびセカンダリサーバーの場合の便利なアプローチは、PuppetDB自体でプライマリおよび読み取り専用データベースノードとしてサポートされているマスター+読み取り専用スレーブですが、この構成の自動化には時間がかかるため、まだ行われていませんcfpuppetserver



モジュールに含まれてcfpuppetserver



ます。

構成自体は、Puppet Serverとともにファイルシステムに簡単に保存できますが、戦闘Webサーバーでスクリプトを記述するようなものです。 最も適切なソリューションはgitリポジトリです。 r10kユーティリティは、リポジトリのすべてのブランチを抽出し、それらを個別の環境としてPuppet Serverにデプロイできます。 r10k



依存関係をプルするのr10k



かなり苦手なので、 librarian-puppetが一番上に使用されます。 メインの標準Puppet環境が「実稼働」であることはすぐに注目に値します。 したがって、構成リポジトリーでは、「master」ではなく「production」というブランチを使用する必要があります。

システム要件

製造業者によって記述された鉄。 cfpuppetserver



モジュールはcfpuppetserver



、Debian Jessie +およびUbuntu Trusty +のみをサポートしています。

Gitの構成

r10k自体については、リポジトリの配置は重要ではありません-主なものはその可用性です。 たとえば、テストの目的で、リポジトリをfile://



経由のアクセスで同じシステムでホストできfile://



。 良い出発点は、 codingfuture / puppet-exampleenvの構成例です。

1. リポジトリのgit clone https://github.com/codingfuture/puppet-exampleenv my-puppet-conf && cd my-puppet-conf
   
   
   
   ： git clone https://github.com/codingfuture/puppet-exampleenv my-puppet-conf && cd my-puppet-conf
   
   
   
   
2. コメント内のヒントを使用して、一般的な管理者アクセス設定を設定します。
   
   
   • $EDITOR data/common.yaml
     
     
     
     
3. ノード構成を作成します。
   
   
   • $MY_DOMAIN
     
     
     
     ルートドメイン名（example.orgなど）
   • $HOST_NAME
     
     
     
     ドメインのないクライアントノードの名前
   • mkdir data/$MY_DOMAIN
     
     
     
     
   • cp data/example.com/puppet.yaml data/${MY_DOMAIN}/puppet.yaml
     
     
     
     
   • $EDITOR nano -w data/${MY_DOMAIN}/puppet.yaml
     
     
     
     コメントのヒントに従ってPuppet Serverでノードをセットアップする
   • cp data/example.com/host.yaml data/${MY_DOMAIN}/${HOST_NAME}.yaml
     
     
     
     
   • $EDITOR nano -w data/${MY_DOMAIN}/${HOST_NAME}.yaml
     
     
     
     コメントのプロンプトに基づいたカスタムノードのセットアップ
4. 独自のGitサーバーで食べるか、rsyncまたはscpを介してPuppet Serverを使用してホスト上でローカルにアクセスできるようにします。 ローカルリポジトリは、GitサーバーがPuppet自体からデプロイされるまでの中間ステップとして便利です。 ある意味では、いくつかのステップでコンパイラをコンパイルすることに似ています。

クリーンなシステムにゼロから配置します

cfpuppetserver



モジュールを使用cfpuppetserver



と、Puppet自体を使用してすべてをインストールできcfpuppetserver



が、初期インストールでは、基本操作がBashスクリプトによって複製されます。

対象システム：

1. インストールスクリプトをダウンロードします： wget https://raw.githubusercontent.com/codingfuture/puppet-cfpuppetserver/master/setup_puppetserver.sh
   
   
   
   
2. スクリプトを調べて眉を眉をひそめます： less setup_puppetserver.sh
   
   
   
   
3. 実行： bash setup_puppetserver.sh <repo_uri> puppet.${MY_DOMAIN}
   
   
   
   
   
   
   • リモートリポジトリの例： bash setup_puppetserver.sh ssh://git@git.example.com/puppet-conf
     
     
     
     
   • ローカルの例： bash setup_puppetserver.sh file:///root/puppetconf/
     
     
     
     
4. システムがどのように膨らみ、すべてを非常に迅速にインストールしないかを調べます。
5. リモートリポジトリの場合：
   
   
   • ルートSSHキーを作成します： ssh-keygen -t rsa -b 2048
     
     
     
     
   • リモートGitサーバーに公開キー/root/.ssh/id_rsa.pub
     
     
     
     を登録します...
   • ...そして、次のコマンドでGitフックを構成します/usr/bin/ssh -T deploypuppet@puppet.${MY_DOMAIN} ./puppetdeploy.sh
     
     
     
     
6. 構成デプロイメントを手動で開始します： /etc/puppetlabs/deploy.sh
   
   
   
   
7. サーバー自体でどのように機能するかを試します： /opt/puppetlabs/bin/puppet agent --test
   
   
   
   
8. ネットワーク設定、ネットワークフィルター、SSHアクセスを確認する

管理対象ノードを追加する

1. Puppet Serverのフルネームは、管理対象ホスト上のDNSを介してアクセス可能であるか、/ etc / hostsに「接続」されている必要があります。
   
   
   • 例： echo "128.1.1.1 puppet.example.com" >> /etc/hosts
     
     
     
     
2. Puppet Serverのあるノードで、次のスクリプト/opt/codingfuture/bin/cf_gen_puppet_client_init ${HOST_NAME}.${MY_DOMAIN}
   
   
   
   ます。
3. 結果全体をコピーして、ターゲットシステムのコマンドラインに貼り付けます。
4. 実行の完了を待って、 /opt/puppetlabs/bin/puppet agent --test
   
   
   
   ます。 最初の起動時に、証明書署名要求が生成されます。
5. Puppet Serverサイトにアクセスして、証明書に署名します。
   
   
   • puppet cert list
     
     
     
     最も偏執的な証明書の署名を検証します。
   • puppet cert sign ${HOST_NAME}.${MY_DOMAIN}
     
     
     
     -実際には、証明書に署名します。
6. 管理対象ノードに戻り、/ opt / puppetlabs / bin / puppet agent --test`を再度実行します。 これにより、展開手順が強制的に実行されます。
7. Puppet Agentを介して展開が完了するのを待っています。
8. これで、最小限のPuppetインフラストラクチャが準備できました！

 bash <<EOT #!/bin/bash http_proxy= if test "\$(id -un)" != 'root'; then echo 'This script must run as root' exit 1 fi if test ! -z ""; then echo -n >/etc/cflocation fi if test ! -z ""; then echo -n >/etc/cflocationpool fi if test ! -z "\$http_proxy"; then export http_proxy export https_proxy="\$http_proxy" export HTTP_PROXY="\$http_proxy" export HTTPS_PROXY="\$http_proxy" fi echo host.example.com > /etc/hostname hostname host.example.com if ! which lsb-release | read; then apt-get install lsb-release fi codename=\$(lsb_release -cs) if test -z "\$codename"; then echo "Failed to detect correct codename" exit 1 fi wget https://apt.puppetlabs.com/puppetlabs-release-pc1-\${codename}.deb dpkg -i puppetlabs-release-pc1-\${codename}.deb mkdir -p /etc/puppetlabs/puppet cat > /etc/puppetlabs/puppet/puppet.conf <<EOF [main] certname = host.example.com server = puppet.example.com ca_server = puppet.example.com environment = production EOF apt-get update && apt-get install puppet-agent while ! /opt/puppetlabs/bin/puppet agent --test --wairforcert 120; do echo "Please go to puppetserver and exec the following command when we wait for key" echo "> puppet cert sign host.example.com" echo "Use CTRL+C to stop cycle, if fails due to different reasons" sleep 5 done EOT
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

モジュールの説明

初期インストールスクリプトのbashパラメータの完全なリスト

 ~# ./setup_puppetserver.sh Usage: ./setup_puppetserver.sh <r10k_repo_url> [<certname=hostname> [<cflocation> [<cflocationpool> [<http_proxy>] ] ] ]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

• r10k_repo_url
  
  
  
  -GitリポジトリURI
• certname
  
  
  
  完全修飾ドメイン名
• cflocation
  
  
  
  初期化cf_location
• cflocationpool
  
  
  
  初期化cf_location_pool
• http_proxy
  
  
  
  -HTTPおよびHTTPS要求のプロキシサーバー

Puppetクライアント初期化スクリプトのBashパラメーターの完全なリスト

 ~# /opt/codingfuture/bin/cf_gen_puppet_client_init Usage: cf_gen_puppet_client_init <certname> [<cflocation> [<cflocationpool> [<http_proxy>]]]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パラメーターの値は、前のスクリプトと同じです。

クラスcfpuppetserver

• deployuser = 'deploypuppet'
  
  
  
  構成更新の自動展開用のユーザー名
• deployuser_auth_keys = undef
  
  
  
  $ deployuserのキーのリスト
• repo_url = undef
  
  
  
  リポジトリURI（例：ssh：// user @ host / repoまたはfile：/// some / path）
• puppetserver = true
  
  
  
  このノードにPuppet Serverコンポーネントをインストールするかどうか
• puppetdb = true
  
  
  
  true-このノードにPuppetDBコンポーネントをインストールするかどうか
• puppetdb_port = 8081
  
  
  
  -PuppetDBのポート
• setup_postgresql = true
  
  
  
  -PostgreSQLコンポーネントをこのノードにインストールするかどうか（PuppetDBインストールが有効な場合のみ）
• service_face = 'any'



cfnetwork::iface
  
  
  
  - cfnetwork::iface
  
  
  
  着信接続を受け入れるためのcfnetwork::iface
  
  
  
  リソース名
• puppetserver_mem = auto
  
  
  
  -Puppet Serverの下のRAM（メガバイト単位（最小192MB））
• puppetdb_mem = auto
  
  
  
  - puppetdb_mem = auto
  
  
  
  RAM（メガバイト）（最小192MB）
• postgresql_mem = auto
  
  
  
  -PostgreSQLのRAMのメガバイト（最小128MB）

クラスcfpuppetserver::puppetdb

• postgresql_host = 'localhost'
  
  
  
  データベースアドレス
• postgresql_listen = $postgresql_host
  
  
  
  値はlisten_addresses
  
  
  
  PostgreSQLディレクティブに直接送られます
• postgresql_port = 5432
  
  
  
  データベースポート
• postgresql_user = 'puppetdb'
  
  
  
  データベース内のPuppetDBユーザー
• postgresql_pass = 'puppetdb'
  
  
  
  データベースのPuppetDBユーザーパスワード
• postgresql_ssl = false
  
  
  
  -Puppet PKI証明書に基づいて接続の暗号化を有効にします

クラスcfpuppetserver::puppetserver

• autosign = false
  
  
  
  -DMZを除き、戦闘環境では使用しないでください。 テスト自動化専用に存在します。
• global_hiera_config = 'cfpuppetserver/hiera.yaml'
  
  
  
  - global_hiera_config = 'cfpuppetserver/hiera.yaml'
  
  
  
  デフォルトのHiera設定ファイルへのパス（最初のコンポーネントはモジュール名、残りはモジュール内のfiles/
  
  
  
  フォルダーの下のパス）

UPD 2016-03-12

クライアント初期化生成スクリプトの名前を更新（cf_gen_puppet_client_init）。