前言：

    管理员经常陷入一系列的重复任务中：如升级软件包、管理配置文件、服务、用户管理、cron任务以及添加新的配置、修复错误等。这些任务通常是重复低效的，解

决这类任务的第一反应是让他们自动化，于是出现了定制脚本。由于环境复杂，定制脚本和应用程序一再被重复开发，并且很难适合多种平台，灵活性和功能也很难保证，于是像

Puppet这样的自动化配置管理工具便出现了。

在开源世界里，有很多配置工具可供选择，这个领域一些关键的产品有：

Puppet():
Puppet中文wiki：
Ruby写成的配置管理工具，使用C/S架构，使用declarative language配置客户端。

Cfengine():
最先发布的开源配置工具之一，1993年发布，同样是C/S架构，通常应用于教育机构。

LCFG():
C/S架构的配置管理工具，使用XML定义配置。

Bcfg2
Python编写的C/S架构的配置管理工具，使用规格书和客户机响应配置目标主机。

本文档致力于描述使用Puppet管理你的主机、应用程序、后台程序和各种服务。

Puppet简介：

1. Puppet的用途

Puppet是开源的基于Ruby的系统配置管理工具，依赖于C/S的部署架构。主要开发者是Luke Kanies，遵循GPLv2版权协议。从1997年开始Kanies参与UNIX的系统管理工作，Puppet的

开发源于这些经验。因为对已有的配置工具不甚满意，从2001年到2005年间，Kanies开始在Reductive实验室从事工具的开发。很快，Reductive实验室发布了他们的旗舰产品——

Puppet。

2. Pupput的特性

许多系统配置管理工具工作的方式非常类似，如cfengine。是什么让Puppet与众不同？

Puppet的语法允许你创建一个单独脚本，用来在你所有的目标主机上建立一个用户。所有的目标主机会依次使用适用于本地系统的语法解释和执行这个模块。举例：如果这个配置

是在Red Hat服务器上执行，建立用户使用useradd命令；如果这个配置是在FreeBSD主机上执行，使用的是adduser命令。

Puppet另一个卓越的地方是它的灵活性。源于开源软件的天性，你可以自由的获得Puppet的源码，如果你遇到问题并且有能力的话，你可以修改或者加强Puppet的代码去适用于你

的环境。另外，社区开发者和捐献者还在不断增强Puppet的功能。一个大的开发者和用户社区也致力于提供Puppet的文档和技术支持。

Puppet也是易于扩展的。定制软件包的支持功能和特殊的系统环境配置能够快速简单的添加进Puppet的安装程序中。

3. Puppet的工作模式
    puppet有两种执行模式，一是直接运行puppetd file.manifest，这种方式做测试非常直接和方便；二是puppetd --server puppetmaster.server.com;前面一种是直接读取

file.mainfest文件进行配置，后一种是从服务端下载manifest进行配置，也是最常用的工作模式：Puppet是一个C/S架构的配置管理工具，在中央服务器上安装puppet-server软件

包（被称作Puppet master）。在需要管理的目标主机上安装puppet客户端软件（被称作Puppet Client）。当客户端连接上Puppet master后，定义在Puppet master上的配置文件

会被编译，然后在客户端上运行。每个客户端默认每半个小时和服务器进行一次通信，确认配置信息的更新情况，不过建议做好通过crontab来实现即时性，同时也能缓解puppet-

server服务器的负担。如果有新的配置信息或者配置信息已经改变，配置将会被重新编译并发布到各客户端执行。也可以在服务器上主动触发一个配置信息的更新，强制各客户端

进行配置。如果客户端的配置信息被改变了，它可以从服务器获得原始配置进行校正。

4. Puppet的未来

最后，Puppet是一个年轻的工具，仍然处于开发和发展中。Puppet社区快速壮大，并且许多新的想法不断融入，促使开发、更新和模块每天都在呈现。

5、安装配置
  
   准备工作：
  
   在每台主机上配置好自己的hostname，之后每台机器要以hostname区分，这一点非常重要。
环境：rhel5.3（32位）
   服务器：192.168.0.5    hostname:puppet
   客户端：192.168.0.6    hostname:changzheng
   主机名要求：
   /etc/sysconfig/network中的hostname必需是puppet和changzheng
   #vim /etc/hosts
   192.168.0.5    puppet
   192.168.0.6    changzheng
   yum源配置：
   #wget
   防火墙开启：
   服务器端：iptables -I INPUT -p tcp --dport 8140 -j ACCEPT

   1). 安装ruby环境：
   #yum install -y ruby ruby-rdoc
   2). 安装puppet

  
   I.yum安装[推荐]
   Server端安装：
   #rpm -Uvh
   64位：rpm -Uvh
   #yum install -y puppet-server
   Server端简单配置，这个配置文件是必需要创建的，/etc/puppet下的其他配置文件可以用默认的：
   #vim /etc/puppet/manifests/site.pp
   node default {
          file { "/tmp/temp1.txt": content => "hello,first puppet manifest"; }
         }
   配置文件表述的内容为： 创建/tmp/temp1.txt文件，内容为hello,first puppet manifest
   启动服务：
   #rm -rf /var/run/puppet/puppetmasterd.pid
   #service puppetmaster start 或 /usr/sbin/puppetmasterd  
   #chkconfig --level 2345 puppetmaster on
  

   客户端安装：
   ##rpm -Uvh
   64位：rpm -Uvh
   #yum install -y puppet
   启动服务：
   #/etc/init.d/puppet once -v

   II、源码安装
   依赖软件包：
   base64
   cgi
   digest/md5
   etc
   fileutils
   ipaddr
   openssl
   strscan
   syslog
   uri
   webrick
   webrick/https
   xmlrpc

   #
   #gzip -d -c facter-1.5.8.tar.gz | tar xf -
   #cd facter-1.5.8
   #ruby install.rb

   #wget
   #gzip -d -c puppet-2.6.1.tar.gz | tar xf -
   #cd puppet-2.6.1
   #ruby install.rb --bindir=/usr/bin --sbindir=/usr/sbin
  
   配置文件同yum方法。

  
   开始测试：
   a、在客户端运行：
   #puppetd --server puppet --waitforcert 60 --test
   正常会显示如下
   warning: peer certificate won't be verified in this SSL session
   info: Caching certificate for ca
   warning: peer certificate won't be verified in this SSL session
   warning: peer certificate won't be verified in this SSL session
   info: Creating a new SSL certificate request for changzheng
   warning: peer certificate won't be verified in this SSL session
   warning: peer certificate won't be verified in this SSL session
   warning: peer certificate won't be verified in this SSL session
   warning: peer certificate won't be verified in this SSL session
   notice: Did not receive certificate

   b、在服务器端签名
   #puppetca --list 显示待签名的主机名
   changzheng
   #puppetca --sign changzheng
   这时已经完成了服务器和客户端的密钥签名，过30分分钟后，客户端会执行服务器上相应的manifest。

   c、在客户端手动运行：
   #puppetd --server puppet --waitforcert 60 --test
   info: Caching catalog for changzheng
   info: Applying configuration version '1286026709'
   notice: //Node[default]/File[/tmp/temp1.txt]/content: defined content as 'unknown checksum'
   info: Creating state file /var/lib/puppet/state/state.yaml
   notice: Finished catalog run in 0.16 seconds
   就会立即执行服务器上相应的manifest。

   另外，测试也可将日志直接打印到终端上进行测试：
   Server端：puppetmasterd -d --no-daemonize -v --trace
   客户端：puppetd --test --trace --debug

6、配置文件说明
   主配置文件（puppet.conf）：
   1). 配置文件命名空间：
   main 通用配置选项
   puppetd 客户端配置选项
   puppetmasterd 服务端配置选项
   2). main命名空间选项：
   confdir 配置文件目录，默认在/etc/puppet
   vardir 动态数据目录，默认在/var/lib/puppet
   logdir 日志目录，默认在/var/log/log
   rundir puppet PID目录，默认在/var/run/puppet
   statedir state目录，默认在$vardir/state
   statefile state文件，默认在$statedir/state.yaml
   ssldir SSL证书目录，默认在$vardir/ssl
   trace 发生错误时显示跟踪信息，默认false
   filetimeout 检测配置文件状态改变的时间周期，单位秒，默认15秒
   syslogfacility 指定syslog功能为user级，默认为daemon级
   3). puppetmasterd命名空间选项:
   user 后台进程执行的用户
   group 后台进程执行的组
   mainfestdir mainfests文件存储目录，默认为$confdir/mainfests
   mainfest mainfest站点文件的名字，默认为site.pp
   bindaddress 后台进程绑定的网卡地址接口
   masterport 后台进程执行的端口，默认为8140
   4). puppet命名空间选项:
   server puppet puppet服务器名，默认为puppet
   runinterval seconds puppet应用配置的时间间隔，默认1800秒（0.5小时）
   puppetdlockfie file puppet lock文件位置，默认$statedir/puppetdlock
   puppetport port 后台进程执行的端口，默认8139
   文件服务配置文件（fileserver.conf）：
   [files]
   path /var/lib/puppet/files
   allow 121.14.1.*
   allow 60.28.228.0/24
   allow *.house.sina.com.cn
   deny *.sina.com.cn
   path定义文件存放路径，通过allow/deny来控制访问权限。
7、puppet常用命令集
  
   1). puppet 用于执行用户所写独立的mainfests文件
   # puppet -l /tmp/manifest.log manifest.pp
   2). puppetd 运行在被管理主机上的客户端程序
   # puppetd --server puppet.leju.com
   3). puppetmasterd 运行在管理机上的服务器程序
   # puppetmasterd
   4). puppetca puppet认证程序
   # puppetca -l pclient.leju.com 列表
   # puppetca -s pclient.leju.com 签名
   # puppetca -c pclient.leju.com 取消签名
   5). puppetrun 用于连接客户端，强制运行本地配置文件
   # puppetrun -p 10 --host host1 --host host2 -t remotefile -t webserver
   6). filebucket 客户端用于发送文件到puppet file bucket的工具
   # filebucket -b /tmp/filebucket /my/file
   7). ralsh 转换配置信息到puppet配置代码
   # ralsh user luke
   user { 'luke':
   home => '/home/luke',
   uid => '100',
   ensure => 'present',
   comment => 'Luke Kanies,,,',
   gid => '1000',
   shell => '/bin/bash',
   groups => ['sysadmin','audio','video','puppet']
   }
   8). puppetdoc 打印puppet参考文档
   # puppetdoc -r type > /tmp/type_reference.rst
   # puppetdoc --outputdir /tmp/rdoc --mode rdoc /path/to/manifests
   # puppetdoc /etc/puppet/manifests/site.pp
   9). puppet.conf所有配置
   #puppet --genconfig