Ubuntu 14.04でのPuppet + Foremanのインストールと設定（ウォークスルー）

Habrの住民の皆さん、良い一日を！

管理対象サーバーの数が数十、または数百に達すると、そのようなフリートを自動的に構成および管理するソリューションを探す必要があります。 これが、Puppetが助けになる場所です。 なぜパペットなのか？ Puppetはクロスプラットフォームであり、豊かなコミュニティを持ち、多くの既製のモジュール（4800+）があり、エンタープライズバージョンがあります。 これらの利点はすべて、この製品の威力を疑うものではありません。 しかし、コンソールからこのような「結合」を管理することはそれほど簡単ではありません。 したがって、Puppetの便利な制御と構成のために、Foremanが開発されました。 次に、SSH鍵管理タスクの例を使用して、このバンドルをインストールおよび構成します。

要件：

• puppet-masterの純粋なサーバー。
• puppet-masterサーバー上のコマンドはrootとして実行されます;
• puppet-agentサーバー上のコマンドはsudoを介して実行されます。

使用したソフトウェア：

• OS Ubuntu 14.04.5 LTS;
• Puppet 3.8.7;
• フォアマン1.11.4。

目的：

• ネットワークインフラストラクチャ管理を自動化する便利な方法を入手する
• SSHキーを管理する便利な方法を入手してください。

ご注意

すべてのスクリーンショットと設定の一部はネタバレによって隠されています。 コマンドが実行される場所をよりよく理解するために、各コマンドの前にサーバータイプ（マスターまたはエージェント）を追加しました。

1. PuppetマスターへのForeman + Puppetのインストール

Foreman / Puppetインストーラーリポジトリを追加して、システムにインストールします。

master ~ $ apt-get -y install ca-certificates master ~ $ cd ~ && wget https://apt.puppetlabs.com/puppetlabs-release-trusty.deb master ~ $ dpkg -i puppetlabs-release-trusty.deb master ~ $ sh -c 'echo "deb http://deb.theforeman.org/ trusty 1.11" > /etc/apt/sources.list.d/foreman.list' master ~ $ sh -c 'echo "deb http://deb.theforeman.org/ plugins 1.11" >> /etc/apt/sources.list.d/foreman.list' master ~ $ cd ~ && wget -q http://deb.theforeman.org/pubkey.gpg -O- | apt-key add - master ~ $ apt-get update && apt-get -y install foreman-installer 

インストーラーを実行します。

 master ~ $ foreman-installer 

結果は次のようになります。


puppet。<Domain.com>のようなリンクとパスワードを使用したログインは、後で便利になります。

Foremanでのファイル変更の違いを表示するための構成を構成しましょう。

 master ~ $ nano /etc/puppet/puppet.conf > show_diff = true 

前のステップで推奨されたリンクをブラウザーで開きます ： puppet。<Domain.com>
そして、ユーザー名： adminと、インストール後にコンソールに表示されたパスワードを入力します。


認証に成功すると、Foremanがインストールされ、正常に動作します。 次の章に進むことができます。

2. Foremanのセットアップ

デフォルトでは、ForemanはPuppetによって生成されたSSL証明書を使用し、ブラウザーはそれを受け入れません。 安全でない接続警告が消えるように、ルート証明書（ /var/lib/puppet/ssl/certs/ca.pem ）をブラウザーに追加できます（Chromiumの場合は、ここに追加：設定/ SSL /認証局）。

最初にログインすると、 ダッシュボードページが表示され、ネットワーク上のすべてのノードの一般的な統計が表示されます。 ホストを追加するとき、有用な統計情報があります。


それ以降のログインでは、ホストリストページにリダイレクトされます。

2.1。 パスワードを変更する

まず、ユーザーのパスワードを変更する必要があります。


デフォルトのパスワードはすでに複雑ですが、独自のパスワードを作成することをお勧めします。

2.2。 例としてNTPを使用してモジュールを追加する

時刻はパペットマスターサーバーで正確に設定する必要があります。 これを行うには、NTPを使用します。 時刻が正しくない場合、パペットマスターは誤って遠い過去または未来からエージェント証明書を発行する可能性があり、他のノードは廃止されたと見なします。

Foremanを介してPuppetモジュールを管理できるようにするために、開発者がPuppet-Labsではなく、Puppetコミュニティの開発者であるモジュールをインストールする必要がある場合があります。 これは、ForemanがPuppetにRestful API HTTPリクエストを使用しているが、すべてのモジュールがこのAPIを使用して管理を定義しているわけではないという事実に基づいています。

puppetマスターにsaz / ntpモジュールをインストールします。

 master ~ $ puppet module install saz/ntp 

ご注意

saz / ntpモジュールは、Foremanバージョン1.11でうまく機能します 。 Foremanの他のバージョンでは、サイトforge.puppetlabs.comのモジュールを使用してntpを検索できます 。

以下が表示されるはずです。


これで、モジュールはpuppet-master専用にインストールされました。 次に、Webインターフェースに入り、Foremanに追加する必要があります。 [ 設定 ] → [ クラス ]メニューに移動し、[ puppetからインポート ]をクリックします。


その結果、使用可能なクラスのリストが表示され、必要なクラスを選択して[ 更新 ]をクリックします 。


最も近い ntpサーバーを使用するには、 www.pool.ntp.orgにアクセスしてください 。 右側のブロックで、必要なプール（アフリカ、アジアなど）を選択し、クリップボード内のサーバーのリストを選択します。

次に、名前をクリックして、 ntpクラスの設定に移動します。 [ スマートクラスパラメーター ]タブに移動し、左側のリストでサーバーリストタブを探します。


前の値の例に従って、 デフォルト値にオーバーライド項目をマークし、上記のステップからサーバーを追加します。 この値を追加しました：

 ["0.asia.pool.ntp.org","1.asia.pool.ntp.org","2.asia.pool.ntp.org","3.asia.pool.ntp.org"] 

ページの下部にある[ 送信 ]をクリックして、クラスパラメーターをオーバーライドします。

2.3。 アカウントとsshモジュールの追加

例として前のモジュールを使用して、 accountsモジュールをインストールします。

 master ~ $ puppet module install camptocamp-accounts 

インストールが成功した場合、次が表示されます。


sshモジュールをインストールします 。

 master ~ $ puppet module install saz/ssh 

その後、 Foremanに移動して新しいクラスをインポートします。 後で、ホストグループを作成した後、 アカウントとsshクラスを構成します 。

2.4。 mysqlおよびapacheモジュールの追加

データベースおよびWebグループの後続の名前を説明するには、 apacheおよびmysqlモジュールを追加します。 前の例の後にモジュールを追加します。 次のコマンドでダウンロードできます：

 master ~ $ puppet module install puppetlabs-apache master ~ $ puppet module install puppetlabs-mysql 

3.ホストの追加

ホストをPuppetに追加するには、そのホストにpuppetエージェントをインストールする必要があります。 puppetエージェントをインストールするには、 puppet-labsリポジトリをダウンロードしてインストールします。

 agent ~ $ cd ~ && wget https://apt.puppetlabs.com/puppetlabs-release-trusty.deb agent ~ $ sudo dpkg -i puppetlabs-release-trusty.deb agent ~ $ sudo apt-get update 

次に、puppetエージェントをインストールします。

 agent ~ $ sudo apt-get -y install puppet 

Puppetをエージェントとして実行するには、Puppetマスターゾーン設定をコメント化する必要があります。 また、エージェントの構成を追加します。これにより、パペットマスターのアドレスが設定されます。 以下に、構成ファイル/etc/puppet/puppet.confの形式を示します。


OSの再起動後にパペットエージェントを起動するには、 START変数の値をnoからyesに変更します。 また、puppetエージェントも実行します。

 agent ~ $ sudo sed -is/START=no/START=yes/g /etc/default/puppet agent ~ $ sudo service puppet start 

小規模なインフラストラクチャでは、puppetエージェントをデーモンとして実行できます。 CRONを実行する方法もあります： docs.puppet.com/puppet/3.6/services_agent_unix.html#running-puppet-agent-as-a-cron-job

ご注意

puppetエージェントは、 サーバーパラメータが明示的に指定されていない限り（puppet.confファイルで）、デフォルトでそのゾーンでpuppetマスタードメインを検索します。 例： server.domain.comはpuppet.domain.comサーバーを検索します。 したがって、まだ指示に従っていれば、すべてがうまくいくはずです。

その後、 インフラストラクチャのフォアマン→スマートプロキシ→証明書に移動します。


パペットエージェントをインストールしたばかりのホストが表示されます。 フィルター（左上）を使用して、署名されていない証明書のみを表示できます。 署名するには、[署名]ボタンをクリックする必要があります。


数分以内に、 サーバー<Domain.com>サーバー（エージェントをインストールしたばかりのサーバー）が[ ホスト]→[すべてのホスト]リストに表示されます 。

4.ホストグループの追加

メニュー項目[ 設定 ] →[ホストグループ ]に移動します 。 [ 新しいホストグループ]をクリックします。 [ ホストグループ ]タブは次のようになります。


ルートグループがルートグループになります。 彼女は他のすべてのグループの親になります。 彼女はすべてに完全にアクセスできます。 そして、メインクラスが含まれます。

次に、 Puppet Classesタブに移動し、 +をクリックして必要なクラスを追加します。


Submitをクリックします。

同じ原則に従って、さらに2つのグループを追加します。 クラスaccounts 、 ntp 、およびsshが継承され、それらを再度追加する必要がないため、ここではルートグループをParentとして選択します。 データベースグループにはmysql ::サーバークラスのみ、 Webグループにはapacheクラスのみを追加します 。

5.グループへのノードの追加

グループにノードを含めるには、その設定に移動する必要があります。


その後、最初のタブで、下のスクリーンショットのようにグループを追加します。


その後、[ 送信 ]をクリックすると、数分以内にmysqlがホストに表示されます。 同様に、他の2つのサーバーをWebグループに割り当てることができます。


構成全体がパペットエージェントに短時間で自動的に拡張されます。

待ちたくない場合は、クライアントでpuppet agent --testを実行し、構成がどのように作成されるかをpuppet agent --testで確認できます。

6.アカウントモジュールを使用して権限を設定する

実際に、最初に示した回路をもう一度見て、それに基づいてロジックを作成できます。

メニュー項目構成→クラスに移動します。 アカウントをクリックしてモジュール設定に移動します。 すべての設定のうち、タブaccounts 、 sshキー 、 usersが必要です 。

ご注意
[アカウント]タブ-ハッシュ「サーバーユーザー→[ sshキー ]タブの公開キー名」が含まれます。 SSHキータブ -ハッシュ「キー名→タイプと値」が含まれます。 [ ユーザー ]タブ-既存のパラメーターを作成または指定する必要があるユーザーが含まれます。

最後のユーザータブを開き、スクリーンショットのように設定します。


この設定は、ユーザーのホームディレクトリを構成します。 ここでは、 MergeオーバーライドとMergeデフォルトパラメーターを使用しました 。これにより、最終ホストの構成を組み合わせることができます。

次のようにsshキータブを埋めます。


[ デフォルト値]フィールドに、[ アカウント ]タブで使用されるアカウントのすべての公開キーを入力します。 これらは、1つまたは別のサーバーにアクセスするユーザーの公開キーです。 タイプおよびパブリックパラメータの前に2つのスペースのインデントが必要です。

1つの公開鍵がどのように見えるかの例（残りは以下に次々に追加されます）：

 admin: type: ssh-rsa public: AAAAB3NzaC1yc2EAAAADAQABAAABAQDXibuyi2MFzERps7mD2J38mhd4phXQlOEZrmui9rDdcYD0XeEnvdRTZPcsMOw6DRT1ERpzbcFehj+G29YxoiXZ541gVjVvsATAqojN3zEkMz5b0AgBNcKDFi9h/qwlK9YDv2trKEcRHQ4kBN332Z6oqdBFerUMys5dvc3RVlE+x2kVmYNmGIlma5twC9w/wRNoD+nUK+3bk+I+Og40f//uFAKFeY4DMoCrdOsHJrPak5nD9vL6a2m/Fe3jfgmpBCcnV3LS2mr+PdRYbtju7nzfu8WT0ugMAUi+dDMRFh3DmfCzXbOi2TPi+mP//L/A19thXffd/QzW7wmAgxlj+km1 

次のように、上部のタブアカウントに入力します。


このパラメーターから次のようになります： rootはrootアカウントからどこでもアクセスできます（ rootアカウントはsshキータブの要素です）、 dbadminアカウントはデータベースグループからのサーバーのみにrootアクセスを持ち、 adminユーザーはwebグループのみを持ち、 adminアカウントは接続できます管理ユーザーのみ。

[ ユーザー ]タブで、 管理ユーザーをwww-dataグループに追加します。

6.1 sshクラスの構成

アカウントクラスでは、sshキーアクセスを構成しました。 したがって、より完全なセキュリティを実現するには、パスワードアクセスを禁止する必要があります。 これは、 sshクラスを使用して行われます 。 その設定に移動し、[ スマートクラスパラメーター ]タブを開きます。 次に、 クライアントオプションは次のフォームにつながります 。


サーバーオプションタブは次のとおりです。


次のように、 storeconfigs enabledタブを埋めます。


Storeconfigsは顧客に関するすべてのファクトを保存するため、データベースにクエリを実行して、特定の条件を満たすホストのリストを取得できます。 セキュリティを強化するために、無効にしました。

7.結果

このガイドを完了すると、Puppet管理の下に追加されたインフラストラクチャが迅速に構成可能になり、スケーラブルになります。 そして、主な目標-公開sshキーの管理は可能な限り便利になります。

ルート/ Webグループ内のマシンの1つにある管理ユーザーキーのリストのスクリーンショット：


ssh keysパラメーターのアカウントクラスを設定するときに、 MergeオーバーライドとMerge defaultを含めたことを思い出してください。 これは、特定のネットワークノードの最後にsshキーを持つ構造化ファイルが1つ収集されるために必要です。

追加されたキーを使用してユーザー「 admin 」として本当にログインできるかどうかを確認しましょう。


テストも成功した場合、インフラストラクチャの準備が整い、徐々に他のサーバーをpuppet-masterに接続し、Puppetを介して他のサービスを構成できます。

使用リソース： Puppet ドキュメント、Foremanドキュメント 。