工作原理

Puppet的目的是让管理员只集中于要管理的目标，而忽略实现的细节。Puppet既可以在单机上使用，也可以c/s使用，在大规模使用puppet的情况下，通常使用c/s结构，在这种结构中puppet客户端只运行puppetclient，puppet服务器只运行puppetmaster。

工作流程

1）客户端puppet调用facter（facter是通过ssl加密收集及检测分析客户端配置信息的一个工具），facter探测出主机的一些变量，如主机名，内存大小，ip地址等。Puppet把这些信息通过ssl连接发送到服务器器端

Puppet工作过程有以下两点值得注意：
1）为了保证安全，client和master之间是基于ssl和证书的，只有经master证书认证的client可以与master通信。
2）Puppet会让系统保持在人们所期望的某种状态并一直维持下去，例如：检测某个文件并保证其一直存在，保证ssh服务始终开启，如果文件被删除了或者ssh服务被关闭了，puppet下次执行时（默认30分钟），会重新创建该文件或者启动ssh服务。

●  安装puppet的实验步骤
 ●  搭建puppetmaster
 ●  搭建puppetclient
 ●  配置测试节点
 ●  客户端主动拉取

●  服务器推送

搭建 puppetmaster

规划服务器主机名（小规模可以修改/etc/hosts文件，服务器多的时候我们需要搭建dns服务器来实现服务通过主机名进行通信，这里就以/etc/hosts文件来实现）

（puppetmaster）

HOSTNAME=master.itzhushou.cn .

[root@master /]# vim /etc/hosts

（NTP）

server 127.127.1.0

启动ntp服务并开启iptables例外

[root@master /]# chkconfig ntpd on

（puppetmaster）

[root@master /]# hostname

在puppetmaster上面配置时间同步，作为ntp的客户端

[root@master /]# cd /media/

安装ruby（puppet就是基于ruby语言开发的，所以需要安装ruby）

安装完成之后检查版本

安装facter（通过facter工具分析检测客户端传来的信息）

[root@master /]# umount /dev/cdrom

[root@master /]# mount /dev/cdrom /media/ [root@master /]# ls

[root@master /]# tar zxf facter-1.7.1.tar.gz -C /usr/

编译安装：

[root@master /]# cd /usr/puppet-2.7.21/

复制配置文件

[root@master /]# cp conf/redhat/puppet.conf /etc/puppet/

修改文件属性并创建puppet主目录：

[root@master /]# mkdir /etc/puppet/manifets

puppet服务证书请求与签名
关闭防火墙（也可开例外）

在[main]标题下添加一行：配置服务器模块路径

启动puppet主程序

配置防火墙

(puppetclient1)
搭建puppetclient
规划服务器主机名

192.168.1.30 client2.itzhushou.cn

. [root@master /]# reboot

安装ruby

安装facter

[root@master /]# mount /dev/cdrom /media

[root@master /]# cd /media/ [root@master /]# cd /usr/facter-1.7.1/

安装puppet

[root@master /]# cd /usr/puppet-2.7.21/

复制文件并设置执行权限

[root@master /]# chmod +x /etc/init.d/puppetclient

puppet服务证书请求签名

注意：puppetclient2的配置过程与puppetclient1类似，主机名改为client2.itzhushou.cn即可，其他都一样。

注册服务器

上面会一直等待，可以按ctrl+c结束，但是服务器上已经有申请信息了

(puppetmaster)
可以执行puppet cert —list 查看申请注册客户端
将未注册的客户端进行注册Puppet cert sign —all

可以通过目录去查看已经注册的客户端（看到下面的信息说明注册成功了）
[root@master /]# ll /var/lib/puppet/ssl/ca/signed/

应用案例

1、配置一个测试节点
节点信息：/etc/puppet/manifests/nodes
模块信息： /etc/pupppet/modules

实验目标：为了保护linux的ssh端×××破，批量修改客户端的sshd端口，将22号端口改为9922，并实现重启sshd服务的工作。

想完成以上几点，需要明确几点：

●  需确定openssh软件包安装
 ●  需确定存在ssh的配置文件
 ●  确定sshd的服务是系统服务

创建ssh模块，模块的目录为ssh，模块下有三个文件分别是：manifests、templates、files。

manifest里面必须包含一个init.pp文件，这是该模块的的初始（入口）文件，导入一个模块的时候需要从init.pp开始执行，可以把所有的代码都写入到这个文件中，也可以分成多个.pp文件，init在去包含其他文件，定义class类名时必须是ssh，这样才能实现调动
files目录是该模块的发布目录，puppet提供了一个文件分割机制，类似rsync的模块。

templates目录包含erb模块文件、这个和file资源的templates属性有关（很少使用）
master端

[root@master /]# rpm -q openssh

创建必要的目录

[root@master /]# mkdir /etc/puppet/manifests/nodes

[root@master /]# mkdir /etc/puppet/modules/ssh/files/ssh

创建模块配置文件install.pp
Vi /etc/puppet/modules/ssh/manifests/install.pp
输入以下信息（首先确定客户端安装了ssh服务）

class ssh::install{ package{ "openssh": ensure => present, }

注意：present是以,结尾，由于配置的是ssh服务，所以模块名为ssh，如果配置http，则模块名为http。

创建模块配置文件config.php

[root@master /]# vim /etc/puppet/modules/ssh/manifests/config.pp

class ssh::config{
file { “/etc/ssh/sshd_config”:
ensure =>present,
owner =>”root”,
group =>”root”,
mode =>”0600”,
source =>”puppet://$puppetserver/modules/ssh/ssh/sshd_config”,
require => Class[“ssh::install”],
notify => Class[“ssh::service”],
}
}

ensure => present, //确定客户端此文件存在

owner => "root", //文件所属用户 mode => "0600", //文件权限

require => Class["ssh::install"], //调用ssh：：install确定 openssh已经安装

notify => Class["ssh::service"], //如果config.pp发生变化通知service.pp } }

[root@master /]# vim /etc/puppet/modules/ssh/manifests/service.pp

class ssh::service {
service {“sshd”:
ensure=>running,
hasstatus=>true,
hasrestart=>true,
enable=>true,
require=>Class[“ssh::config”]
}
}

service{ "sshd":

sshd status命令

sshd status命令 enable=>true, //服务是否开机启动

require=>Class["ssh::config"] //确认config.pp调用 } }

[root@master /]# vim /etc/puppet/modules/ssh/manifests/init.pp

class ssh{
include ssh::install,ssh::config,ssh::service
}

建立服务器端ssh统一维护文件

[root@master /]# cp /etc/ssh/sshd_config /etc/puppet/modules/ssh/files/ssh/

[root@master /]# vim /etc/puppet/manifests/nodes/ssh.pp

node ‘client1.itzhushou.cn’ {
include ssh
}

node ‘client2.itzhushou.cn’ {
include ssh
}

[root@master /]# vim /etc/puppet/manifests/site.pp

import “nodes/ssh.pp”

修改服务器端维护的sshd_config配置文件

[root@master /]# vim /etc/puppet/modules/ssh/files/ssh/sshd_config
Port 9922

重新启动puppet
[root@master /]# /etc/init.d/puppetmaster restart

配置客户端主动拉取

在客户端puppetclient1上执行命令： `[root@master /]# puppet agent -t`

[root@master /]# vim /et/ssh/sshd_config
[root@master /]# netstat -anpt | grep ssh

服务器推送同步 1修改puppet主配置文件 在客户端上执行下面命令：

[root@master /]# vim /etc/puppet/puppet.conf
listen= true

[root@master /]# vim /etc/puppet/puppet.conf
listen= true

[root@master /]# vim /etc/puppet/auth.conf
allow *
.
启动puppet客户端
[root@master /]# /etc/init.d/puppetclient start
```

(puppetmaster)

再次把服务器的ssh配置文件端口改为9933（换一个试试）

服务器推送给客户端
[root@master /]# puppet kick client1.itzhushou.cn

在客户端查看端口是否改变

原文发布时间为：2018-11-20

本文作者：李佳良

本文来自云栖社区合作伙伴“高效运维 ”，了解相关信息可以关注“高效运维”。