|
|
上次在1.0 中为大家介绍了如何安装最新的Puppet 3.7 以及使用最新的nginx 1.6 来替换默认的Webrick来实现高性能的HTTP服务...
本次继续来介绍Puppet Agent和Master的详细通讯和同步的执行流程...
1. 证书验证过程...
ssl的证书都保存在..在Agent进行查看
1
2
| [iyunv@agent1 ~]# puppet config print ssldir
/var/lib/puppet/ssl
|
a) 首先查看本地是否存在私钥证书...
1
2
3
4
5
6
7
8
9
10
| #如果存在删除 rm -rf /var/lib/puppet/ssl
[iyunv@agent1 ~]# ls /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem
ls: cannot access /var/lib/puppet/ssl/private_keys/agent1.dbsa.cn.pem: No such file or directory
#如果证书不存在,通过下面命令创建一个...
puppet cert generate $HOSTNAME
#然后仅保留公钥和私钥,其他的删掉.
rm -rf /var/lib/puppet/ssl/ca/
rm -rf /var/lib/puppet/ssl/certs/$HOSTNAME.pem
|
b) 从Server下载ca..
c) 查看$ssldir/certs/<name>.pem 是否存在...
1
2
3
4
| #如果是刚通过puppet cert generate 创建的证书,这个文件肯定存在.
#但是通过上面的命令删掉后,就不存在了..
[iyunv@agent1 ssl]# ll /var/lib/puppet/ssl/certs/$HOSTNAME.pem
ls: cannot access /var/lib/puppet/ssl/certs/agent1.dbsa.cn.pem: No such file or directory
|
d) 通过Server获取$ssldir/certs/<name>.pem
e) 通过私钥和ca签署过的证书抓取crl.pem
2. 获取主机信息...
在Puppet中Agent和Master都是通过RESTful的HTTPS API进行通信。
Agent通过私钥将数据加密,发送给Server.
Server通过Agent签署的csr证书,解密数据,并加密数据发回给Agent
Agent收到数据后用私钥解开.
并且通过crl来验证证书的有效性
a) 在证书验证完毕后,开始获取该Agent在Server中的对象信息..
1
2
3
4
5
6
7
8
9
10
| curl -sk --key /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem --cert /var/lib/puppet/ssl/certs/$HOSTNAME.pem https://master.dbsa.cn:8140/production/node/$HOSTNAME
#返回的json数据结构为
[iyunv@agent1 ~]# ruby aa.rb
{"data"=>
{"environment"=>"production",
"name"=>"agent1.dbsa.cn",
"parameters"=> { key => value #facter的信息 }},
"document_type"=>"Node"
}
|
b) 抓取plugin的元数据..
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| curl -sk --key /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem --cert /var/lib/puppet/ssl/certs/$HOSTNAME.pem "https://master.dbsa.cn:8140/production/file_metadatas/plugins?recurse=true&links=manage"
#返回的json数据结构为一个列表,每个资源都是一个Puppet libs目录中的一个文件..
[{"metadata"=>{"api_version"=>1},
"document_type"=>"FileMetadata",
"data"=>
{"mode"=>420,
"links"=>"manage",
"type"=>"file",
"path"=>"/etc/puppet/modules/base/lib",
"destination"=>nil,
"relative_path"=>"facts/aa.rb",
"group"=>0,
"checksum"=>
{"type"=>"md5", "value"=>"{md5}d41d8cd98f00b204e9800998ecf8427e"},
"owner"=>0}},{},{},{}]
#在继续对json进行迭代抓取所有的文件,保持到本地..
curl -k --key /var/lib/puppet/ssl/private_keys/agent1.dbsa.cn.pem --cert /var/lib/puppet/ssl/certs/agent1.dbsa.cn.pem https://master.dbsa.cn:8140/prod ... plugins/facts/aa.rb > /var/lib/puppet/lib/facts/aa.rb
|
c) 通过所有facter获取数据,并提交Server。
3. 编译catalog
1
2
3
4
5
6
7
8
9
10
11
12
13
| #在base模块中添加一个文件资源..
modules/base/manifests/init.pp
file {
"/tmp/test.txt":
owner => root, group => root, mode => 644,
source => "puppet:///base/test.txt";
}
#在fileserver.conf中,给予文件挂载点访问的权限
/etc/puppet/fileserver.conf
[base]
path /etc/puppet/modules/base/files
allow *
|
a) 标准编译
循环文件源数据,如果有变化抓回到本地...
1
2
3
4
| curl -sk --key /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem --cert /var/lib/puppet/ssl/certs/$HOSTNAME.pem "https://master.dbsa.cn:8140/production/file_metadata/base/test.txt?links=manage&source_permissions=use"
#获取文件的md5如果发生变化,抓回到本地..
curl -sk --key /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem --cert /var/lib/puppet/ssl/certs/$HOSTNAME.pem "https://master.dbsa.cn:8140/production/file_content/base/test.txt"
|
b) 静态编译
配置Server启用静态编译,所有文件的源数据会嵌入到catalog中...
1
2
3
4
5
6
7
8
9
| #配置Server的puppet.conf
catalog_terminus = static_compiler
#配置/etc/puppet/manifests/site.pp
filebucket { puppet:
path => false,
}
#然后重启server端的web进程
|
循环所有文件的源数据
1
2
| #如果文件不一致~..直接通过md5抓取文件.
curl -sk --key /var/lib/puppet/ssl/private_keys/$HOSTNAME.pem --cert /var/lib/puppet/ssl/certs/$HOSTNAME.pem "https://master.dbsa.cn:8140/production/file_bucket_file/md5/60b725f10c9c85c70d97880dfe8191b3"
|
4. Agent执行完成,发送报告
发送报告到Server..
1
| 通过PUT的方式将报告发送到 /report/<node>
|
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2014-12-2 09:52:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡