Puppet — нструмент управления конфигурацией, позволяющий системным администраторам автоматизировать предоставление, настройку и управление серверной инфраструктурой. Требует установки агентского ПО на управляемые компьютеры. Puppet позволяет описывать желаемое состояние систем в виде кода и применяет этот код для настройки серверов, рабочих станций и т.д. Puppet функционирует по принципу взаимодействия двух компонентов: Puppet Server и Puppet Agent. Puppet Server выступает в роли центрального узла, который хранит конфигурации и управляет их распространением. Puppet Agent работает на управляемых узлах и отвечает за применение конфигураций, полученных от сервера. 

Основные термины

• Агент (Agent) — компонент Puppet, работающий на управляемых узлах. Агент периодически отправляет запросы на сервер для получения обновлений и отправляет отчеты о состоянии системы после применения изменений.
• Сервер (Server) — центральный компонент Puppet, который хранит и распространяет конфигурации по запросу агентов.
• Манифест (Manifest) — файл с расширением .pp, содержащий описание желаемого состояния системы на декларативном языке Puppet DSL.
• Модуль (Module) — структурированный набор манифестов, файлов и шаблонов для решения конкретной задачи. Существуют готовые модули Puppet.
• Ресурс (Resource) — единица конфигурации в Puppet (например, файл, пакет, служба). Puppet Agent проверяет состояние каждого ресурса перед выполнением действий из манифеста.

Принцип работы Puppet

1. Описание состояния. Администратор описывает желаемое состояние системы в манифесте.
2. Распространение конфигурации. После запроса агентов Puppet Server распространяет на них манифесты, содержащие программную конфигурацию операционной системы.
3. Применение изменений. Puppet Agent применяет изменения для достижения желаемого состояния операционной системы.
4. Проверка соответствия. Puppet Agent периодически проверяет соответствие текущего состояния системы заданному. Если Puppet Agent не может получить обновления от сервера то, по умолчанию, система остаётся в состоянии, актуализированном на момент последнего успешного запроса.

Взаимодействие между сервером и агентами осуществляется через HTTPS (порт 8140) с использованием SSL/TLS. Puppet Server выполняет роль центра сертификации, управляя подписью сертификатов агентов для аутентификации. 

На стенде отсутствует настроенный DNS-сервер, поэтому для разрешения IP-адресов используются файлы /etc/hosts на сервере и на клиенте.

Для правильной работы служб Puppet Server и Puppet Agent необходимо настроить разрешение имён одним из способов:

• либо в службе DNS;
• либо указать адреса хостов в файлах /etc/hosts на всех узлах (этот вариант используется в данной статье):
  
  

127.0.0.1 localhost
10.0.2.120 master.astra.lan master puppet
10.0.2.121 agent1.astra.lan agent1
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Далее необходимо присвоить имена узлам выполнив на сервере:

и на агенте:

Если включен межсетевой экран, то необходимо разрешить коммуникации через порт 8140. Для сетевого экрана ufw:

Установка Puppet Server

1. Для установки выполнить на сервере следующие команды:
   

   Command
   sudo apt update sudo apt install default-jre-headless puppetserver

   Указание пакета в команде установки пакета openjdk-jre-headless необходимо для того, чтобы он обновился из расширенного репозитория если был установлен ранее.

2. Разрешить автоматический запуск Puppet Server и запусть его:
   

   Command
   sudo systemctl enable puppetserver sudo systemctl start puppetserver

3. Проверить статус службы:
   

   Command
   Title systemctl is-active puppetserver
   active

   
   
   После запуска Puppet Server самостоятельно выпустит собственный сертификат и подпишет его.
4. Проверить наличие сертификата сервера:
   

   Command
   Signed Certificates: master.astra.lan       (SHA256)  D0:9D:AC:79:E4:C0:23:D2:42:EC:B0:1E:A0:5B:BB:EC:D9:B0:14:90:2A:8B:E3:E1:E4:76:E6:6A:BA:9B:86:4B

   Информация
   Сертификат сервера может появиться не сразу, а в течении одной минуты.

Установка Puppet Agent

1. Указать имя сервера в конфигурационном файле:
   

1. Command

1. Title etc/puppet/puppet.conf

   server

1. =

1. master.astra.lan

1. show_diff

1. =

1. true

1. Где show_diff — параметр, указывающий инструменту выводить подробную информацию об изменениях в конфигурации клиента в ходе выполнения манифестов. Параметр применяется при настройке и отладке.

2. Добавить службу Puppet Agent в автозагрузку и запустить её:
   

   Command
   sudo systemctl enable puppet sudo systemctl start puppet

3. Проверить статус службы:
   

   Command
   Title systemctl is-active puppet
   active

Подписание

сертификата агента

При первом запуске клиентская служба Puppet Agent отправит на Puppet Server запрос на подпись сертификата. Для  Для просмотра списка запросов на подпись сертификата выполнить на сервере следующую команду:

В примере выше сервер сообщает, что у него имеется один запрос на подпись сертификата от клиента с именем agent1.astra.lan.

Подписать сертификат:

Чтобы вручную отправить запрос выполнить при первом запуске на агенте:

Где --test однократный запрос конфигурации с сервера,  --waitforcert 60 ожидание подписания сертификата агента сервером в течении 60 секунд.

После отправленного вручную запроса сертификат так же необходимо подписать на сервере.

Повторно проверить перечень сертификатов на сервере:

Для проверки правильности работы агента  на клиентской машине после подписания сертификата можно выполнить следующие команды:

1. Остановить службу

   Command
   sudo systemctl stop puppet

2. Выполнить тестирование работы службы, в процессе которого служба запросит и получит сертификат:

   Command
   Title sudo /opt/puppetlabs/bin/puppet agent --test
   Info: csr_attributes file loading from /etc/puppetlabs/puppet/csr_attributes.yaml Info: Creating a new SSL certificate request for agent1.astra.lan Info: Certificate Request fingerprint (SHA256): F79A:D5FD:E5EA:AB3D:AA2E:8641:7FA5:EF11:19A1:3DF7:D961:B96B:E32E:E9E5:6395:DCBD:AE81:3163:175A:5766:670D:3D93:2BD2:D7E0:A54A:1CD9:7181:E3:4673:E08F:A70B:1E6C Info: Downloaded certificate for agent1.astra.lan from puppet Info: Using configured environment 'production' Info: Retrieving pluginfacts Info: Retrieving plugin Info: Retrieving locales Info: Caching catalog for agent1.astra.lan Info: Applying configuration version '1568370748' Info: Creating state file /opt/puppetlabs/puppet/cache/state/state.yaml Notice: Applied catalog in 0.02 seconds

3. Повторно запустить службу:

   Command
   sudo systemctl start puppet

Перевыпуск сертификата агента

1. Удалить текущие сертификаты: 
   
   1. на агенте:
      

      Command
      sudo rm -rf /etc/puppetlabs/puppet/ssl/*

   2. на сервере:
      

      Command
      sudo puppetserver ca clean --certname <имя_узла>

      
      

      • Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:
        

        Command
        sudo /opt/puppetlabs/bin/puppetserver ca clean --certname <имя_узла>

        для удаления всех сертификатов применить опцию --all вместо указания имени узла.
        
        
2. Повторно запросить подпись сертификата на агенте:
   

   Command
   sudo puppet agent -tv

   • Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:
     

     Command
     sudo /opt/puppetlabs/bin/puppet agent -tv

     Где  -tv это одноразовый запрос (test) и подробный вывод (verbose) соответственно.

Назначение каталогов Puppet

Для организации модулей, манифестов и других необходимых для работы файлов Puppet использует систему каталогов. Ниже приведено описание основных каталогов сервера:

• /etc/puppet — основной каталог для конфигурации Puppet. Каталог содержит puppet.conf — главный конфигурационный файл Puppet, где задаются параметры работы агента и сервера;
• /etc/puppet/ssl — сертификаты, ключи и запросы на сертификаты для всех узлов;
• /etc/puppet/code/environments/manifests/ — содержит основные манифесты. Каталог /environments позволяет группировать и независимо выполнять разные наборы манифестов, т.е. определить окружение конфигураций. 

Окружение (environment)  — это логическая группа конфигураций Puppet, которая определяет набор манифестов, модулей и данных, применяемых к определенной группе узлов (клиентов).

Каждое окружение работает независимо от других. По умолчанию определено окружение на основе содержимого каталога /production . Чтобы определить новое окружение нужно:

1. Cоздать новый каталог в  /environments (например /testing или /development) :
   

   Command
   sudo mkdir /etc/puppet/code/environments/manifests//testing

   
   

2. Указать параметр, определяющий окружение для клиентов в основном конфигурационном файле Puppet на клиентах, которым требуется отличное от основного окружение:
   

   Блок кода
   title sudo nano /etc/puppet/puppet.conf
   [agent] environment = production

   
   
   • Альтернативный способ определить параметр через указание его для клиентов с определенными именами узлов в основном манифесте :
     

     Блок кода
     title sudo nano /etc/puppet/code/environments/manifests/production/site.pp
     node 'agent1.astra.lan' { environment = 'testing' }

Выполнение манифестов

Манифест Puppet по умолчанию — /etc/puppet/manifests/site.pp. Файл отсутствует сразу при установке и создается пользователем при настройке Puppet Server. Каталог /etc/puppet/manifests может содержать несколько файлов .pp которые определяются инструментом как единое пространство с инструкциями. 

По умолчанию синхронизация Puppet-агентов с Puppet-сервером происходит каждые 30 минут. При отклонении состояния агетов от заданного в манифестах состояния происходит выполнение заданных в них инструкций.

Чтобы изменить период обновления, нужно указать его в файле /etc/puppetlabs/puppet.conf, добавив параметр runinterval=<время> в секундах (900), минутах (15m) или часах (1h).

Для того, чтобы вручную обновить перечень манифестов на Puppet-агенте выполнить: 

• Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:
  

  Command
  sudo /opt/puppetlabs/bin/puppet agent -tv

Для выполнения отдельного манифеста в целях тестирования выполнить на Puppet-сервере:

Манифесты Puppet имеют расширение .pp и по умолчанию создаются в каталоге /etc/puppetlabs/code/environments/production/manifests:


• Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:
  

  Command
  sudo nano /etc/puppetlabs/code/environments/production/manifests/test.pp

Дополнительно в инструкциях манифеста могут указываться ссылки на сценарии .sh из каталога по умолчанию /etc/puppetlabs/puppet/files. При отсутствии каталога files он создается вручную:

• Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:
  

  Command
  sudo mkdir /etc/puppetlabs/puppet/files

Пример создания тестового манифеста

На клиенте:

1. Проверить отсутствие ранее не созданного текстового файла:
   

   Command
   Title test -f /tmp/hello_puppet.txt && echo "Файл существует" || echo "Файл не существует"
   Файл не существует

2. Проверить отсутствие ранее не установленного инструмента, например tree:
   

   Command
   Title tree
   bash: tree: команда не найдена

На сервере:

Создать основной файл манифеста с содержимым:

# 1. Установка инструмента tree
package { 'tree':
  ensure => installed, # Убедиться, что пакет установлен
}
# 2. Создание файла /tmp/hello_puppet.txt с содержимым
file { '/tmp/hello_puppet.txt':
  ensure  => file,            # Убедиться, что это файл
  content => "Hello, Puppet!\n", # Содержимое файла
  mode    => '0644',          # Права доступа к файлу
  owner   => 'root',          # Владелец файла
  group   => 'root',          # Группа файла
}

На клиенте:

Применить тестовый манифест:

 или:

Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и более ранних обновлений:

 или:

Далее повторно проверить наличие текстового файла и установленного инструмента на клиенте.