Schlagwort-Archive: puppet

[puppet] Benutzer anlegen

Wird ein Benutzer auf einem node benötigt, müssen nur folgende Zeilen in der Konfiguration hinterlegt werden:

user { 'stefan':
ensure => present,
comment => 'Entwickler Projekt 1',
home => '/home/stefan',
managehome => true,
shell => '/bin/bash',
}
ssh_authorized_key { 'stefan_ssh':
user => 'stefan',
type => 'rsa',
key => 'djdjdjdjdj',
}

Da der Benutzer und vermutlich auch die Benutzer der Kollegen auf verschiedenen Servern benötigt werden, wurde hierfür ein Modul /etc/puppetlabs/code/environments/production/modules/ewl_gruppe1/manifests/init.pp erstellt in dem die Mitglieder aufgeführt sind:
class ewl_gruppe1 {

group {'ewl_gruppe1':
ensure => 'present',
}

user { 'stefan':
ensure => present,
comment => 'Entwickler Projekt 1',
home => '/home/stefan',
managehome => true,
shell => '/bin/bash',
gid => 'ewl_gruppe1',
}
ssh_authorized_key { 'stefan_ssh':
user => 'stefan',
type => 'rsa',
key => 'djdjdjdjdj',
}

user { 'heino':
ensure => present,
comment => 'Entwickler Projekt 1',
home => '/home/heino',
managehome => true,
shell => '/bin/bash',
gid => 'ewl_gruppe1',
}
ssh_authorized_key { 'heino_ssh':
user => 'heino',
type => 'rsa',
key => 'dlwfjwdcweiufwiecniwefn',
}

}

Damit die weitere Verwaltung bzw Berechtigung über eine Gruppe erfolgen kann, wurde die Gruppe ewl_gruppe1 erstellt. Die Benutzer wurden über den Eintrag gid => ‚ewl_gruppe1‘ hinzugefügt.

Die Application auf dem Node läuft unter dem Benutzer application1, es ist nun für die Mitglieder der ewl_gruppe1 notwendig mittels su in den Benutzer zu wechseln.

Für die Anpassung der /etc/sudoers wurde das folgende Modul installiert:
puppet module install saz-sudo --version 5.0.0

In der Konfiguration des Nodes wird für die sudoers Anpassung folgendes hinterlegt:

sudo::conf { 'ewl_grupp1':
priority => 10,
content => "%ewl_gruppe1 ALL= NOPASSWD:/bin/su - application1",
}

Damit das Modul genutzt werden kann muss zunächst auf dem Puppet Master die folgende Zeile ausgeführt werden:
puppet apply /etc/puppetlabs/code/environments/production/manifests/site.pp --modulepath=/etc/puppetlabs/code/environments/production/modules/ $*
Auf dem Node reicht ein puppet agent --test und die Mitglieder der Gruppe ewl_gruppe1 können über sudo su – application1 zum entsprechenden Applicationsbenutzer wechseln.

[puppet] installation Apache web Server

Möchte man eine Anwendung oder ein Programm wie zum Beispiel den Apache auf mehreren Server installieren, empfiehlt es sich hierfür ein Modul zu erstellen. In dem Modul können dann diverse Standardangaben hinterlegt werden.

Für Puppet gibt es bereits mehrere Module die installiert werden können.
Ein Modul für Apache kann über puppet module install puppetlabs-apache installiert werden.

Das Modul wird dann in der nodes Konfiguration hinterlegt
node 'pmagent2' {
include apache
}

Durch das Modul wurde der Apache installiert und ein default vhost angelegt.
Um zu erfahren was alles automatisiert erstellt wird muss man sich die entsprechenden Dateien unter dem Modulpfad /etc/puppetlabs/code/environments/production/modules/apache/ näher anschauen.

Anlegen eines neuen Vhosts
apache::vhost { 'sub1.itbasic.de':
port => '80',
docroot => '/var/www/vhost/sub1.itbasic.de',
docroot_owner => 'apache',
docroot_group => 'apache',
}

Über das Modul werden die Access und die Error Log Dateien des Apache unter /var/log/httpd/vhostname abgelegt.

[puppet] Test Datei erstellen

Um die Konfiguration zu testen, kann auf dem node puppet agent --test eingegeben werden. Wenn es hier keine Fehler gibt, kann auf dem puppetmaster eine Testdatei angelegt werden.

Die Datei mit dem Namen test.pp wurde in dem Verzeichniss /etc/puppetlabs/code/environments/production/manifests/ erstellt und hat folgenden Inhalt:
node 'pmagent2' {
file {'/tmp/testdatei':
ensure => present,
mode => '0644',
content => "testdatei erstellt durch puppetn",
}
}
node default {}

 

Nach dem auf dem node puppet –agent test ausgeführt wurde, wird auch die Datei angelegt.

Damit die Datei über Puppet wieder entfernt wird, muss ensure von present auf absent geändert werden.

Installation Puppetmaster unter Centos 7

Damit die spätere Kommunikation zwischen den Nodes und dem Master funktioniert, müssen alle Server die gleiche Uhrzeit haben und die korrekte Namensauflösung muss sichergestellt sein. Für die korrekte Zeit empfiehlt es sich den NTP zu verwenden. Da ich nur eine kleine Testumgebung nutze, habe ich für die Namensauflösung die Hostnamen und Ip Adressen auf den Testservern in der /etc/hosts hinterlegt.

Zunächst muss unter dem root Benutzer das Repository von Puppetlabs installiert werden.
rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el-7.noarch.rpm

Im Anschluss kann der Puppetmaster installiert werden yum -y install puppetserver.

Der Puppetserver wird über systemctl start puppetserver gestartet, mit der Zeile systemctl enable puppetserver wird der puppetserver bei jedem Start der VM gestartet.

Damit die Nodes mit dem Master kommunizieren können, muss der Port 8140 geöffnet werden.
firewall-cmd --zone=public --permanent --add-port=8140/tcp

Installation Agent

Auf dem Node muss ebenfalls das Repository hinzugefügt und dann der Agent installiert werden.

rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-pc1-el-7.noarch.rpm
yum -y install puppet-agent

Damit der Agent weiß welchen Master er ansprechen muss, wird dieser in der Datei /etc/puppetlabs/puppet/puppet.conf wie folgt hinterlegt:
server = FQDN.

Gestartet wird der Agent über /opt/puppetlabs/bin/puppet resource service puppet ensure=running enable=true.

Kommunikation

Für die Kommunikation mit dem Master wird auf dem Node ein Zertifikat erstellt. Das Zertifikat wird dem Master vorgelegt und muss dort freigeschaltet werden.

Mit puppet cert list erhält man auf dem Master eine Übersicht der Node Zertifikate, welche noch nicht freigegeben wurden.
Ein einzelnes Zertifikat kann mit puppet cert sign hostname freigegeben werden, alle ausstehenden Zertifikate über puppet cert sign --all

Eine Liste aller freigeschalteten Zertifikate (Nodes) erhält man über puppet cert list --all.