Puppet (puppetizace)

Z DCEwiki
Verze z 5. 11. 2014, 15:08, kterou vytvořil Keny (diskuse | příspěvky) (Založena nová stránka: <noinclude>{{ Přejít na | Puppet (obsah) | Puppet (environment) | Puppet (manifest) | }}</noinclude> U Puppetu platí, že '''co není specifikováno v ma…)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Skočit na navigaci Skočit na vyhledávání
Obsah

U Puppetu platí, že co není specifikováno v manifestem, na to agent nehrabe, ovšem bez specifikace nodu by agent skončil chybou, takže proces puppetizace započneme vždy tím, že na stroji, který slouží jako master, vytvoříme v souboru /etc/puppet/manifests/site.pp, který je výchozím bodem při sestavení manifestu, prázdný záznam:

Poznámka 
node 'puppet' {
}

Až pak bychom měli pokračovat vygenerováním SSL certifikátu a jeho podepsáním. Také je žádoucí, aby před vystavením a podepsáním certifikátu agent neběžel jako démon. Mohlo by se totiž stát, že by se po podepsání certifikátu agent "chytnul" na manifest náležející jinému stroji a na jeho základě provedl nežádoucí změny.

Upozornění Jelikož chceme puppetizovat stroj, který ještě nemusí mít platný doménový záznam, musí být ještě před vydáním žádosti o certifikát pro aktuální hostname vytvořem záznam v souboru /etc/hosts, kterým bude přiřazeno hostname stroje na localhostovou adresu 
127.0.0.1    localhost puppet

Certifikát

Ověřený SSL certifikát Puppet používá k šifrování síťové komunikace serverem, který poskytuje manifesty a klientem, který vygenerovaný manifest zpracovává.

Žádost klienta o certifikát

Vystavení žádosti o podepsání certifikátu provedeme jednoduše tím, že spustíme na příkazové řádce agenta.

Poznámka 
root@stroj:/etc# puppet agent --noop --test --verbose --server master.felk.cvut.cz

Pokud si necháváme vystavit certifikát z jiného stroje, než kde běží master a v DNS, ani v /etc/hosts, ani v hlavním konfiguračním souboru /etc/puppet/puppet.conf v proměnné $server pro něj není záznam, můžeme uvést IP adresu serveru jako hodnotu atributu přímo na příkazové řádce. Stejným způsobem můžeme "předhodit" prostřednictvím parametru atributu --fqdn jméno, pod kterým se má agent hlásit při generování manifestu.

Poznámka 
root@stroj:/etc# puppet agent --noop --test --verbose --server master.felk.cvut.cz --fqdn puppet.example.net

Vystavenný SSL certifikát se pak musí na stroji master podepsat. Pak se jím bude šifrovat vzájemná komunikace.

Občas se vyskytne situace, kdy potřebujeme, aby příkaz hostname v chrootovaném prostředí vracel jméno, které je nastaveno v něm. Ač je řešení triviální, není obecně známé 
root@stroj:/# cat /etc/hostname
stroj-v-chroot
root@stroj:/# hostname
stroj
root@stroj:/# hostname $(cat /etc/hostname)
root@stroj:/# hostname
stroj-v-chroot
Na tento problém narazíte především v situaci, kdy budete chtít přes puppet udržovat systém, který sám o sobě nikdy neběží - typicky systém disklessové stanice, který je za normální situace překrytý readonly diskem. Tzn. že veškeré změny a úpravy se při restartu zahodí.


Podepsání certifikátu na straně serveru

Výpis seznamu žádostí, čekajících na podepsání na stroji master:

Poznámka 
 master (KVM) :~# puppet cert list
   "stroj.felk.cvut.cz" (93:44:BC:C1:9F:1D:7E:6D:83:BD:24:E7:9A:0A:B3:82)

Podepsání čekající žádosti na stroji master:

Poznámka 
  
 master (KVM) :~# puppet cert sign stroj.felk.cvut.cz
 notice: Signed certificate request for stroj.felk.cvut.cz
 notice: Removing file Puppet::SSL::CertificateRequest stroj.felk.cvut.cz at '/etc/puppet/ssl/ca/requests/stroj.felk.cvut.cz.pem'

Není-li v tomto okamžiku ještě nod nakonfigurován v manifestu, skončí vzájemná komunikace chybou.

Poznámka Pokud se v síti může objevit více nodů se stejným hostname, které se liší pouze doménou, je třeba k tomu aby se manifest neaplikoval na všechny, uvést jméno nodu plným doménovým jménem.

Ověření zda agent komunikuje se strojem master

Je-li u stroje, na kterém běží server pro Puppet v souboru /etc/hosts uveden alias puppet, nebo je-li tento server nastaven v konfiguraci agenta, pak na příkazové řádce nemusí být uváděn parametr --server.

Poznámka 
 root@stroj:/etc# puppet agent --noop --test --verbose --server master.felk.cvut.cz
 info: Caching catalog for stroj.felk.cvut.cz
 info: Applying configuration version '1353687981'

Pokud proběhlo podepsání certifikátu v pořádku, tak proběhne komunikace bez chybových zpráv.

Upozornění Ve výchozí konfiguraci je automatické spouštění agenta v souboru /etc/default/puppet zakázáno (v proměnné START). Povolte ho, až když budete mít připravený použitelný manifest.

Zavržení (revokace) certifikátu

Se aplikuje tehdy, pokud chceme zcela zamezit agentu ze stroje pro který byl certifikát původně vydán přístup ke stroji master.

Při revokaci totiž zůstává informace o původním certifikátu zachována a master případnou novou žádost ze stroje se stejným jménem na jejím základě odmítne přijmout.

Při revokaci nestačí uvést pouze jméno nodu, jak ho vrací operace list, ale musí být uvedeno i pořadové číslo certifikátu který chceme odvolat. To však lze zjistit pouze přes operaci print

Poznámka 
 master (KVM) :~# puppet cert list stroj.felk.cvut.cz
 + "stroj.felk.cvut.cz" (3A:66:50:B1:3D:C2:56:CB:8B:6E:AA:2F:BB:A1:C3:A2)
 master (KVM) :~# puppet cert print stroj.felk.cvut.cz | grep 'Serial Number'
         Serial Number: 7 (0x7)
 master (KVM) :~# puppet cert revoke stroj.felk.cvut.cz 0x7
 notice: Revoked certificate with serial 7
 ...
 master (KVM) :~# puppet cert list stroj.felk.cvut.cz
 - "stroj.felk.cvut.cz" (3A:66:50:B1:3D:C2:56:CB:8B:6E:AA:2F:BB:A1:C3:A2) (certificate revoked)

U zavrženého certifikátu se pak bude při výpisu místo znaménka plus zobrazovat mínus.

Upozornění Pro to, aby master přestal se zavrženým strojem komunikovat, se musí démon restartovat.
Poznámka Pokud by se vám omylem povedlo revokovat (tak jako mě) všechny certifikáty, tak pokud máte udržován přes git také adresář s Puppetími SSL certifikáty, tak si vytáhněte původní obsah souboru /etc/puppet/ssl/ca/ca_crl.pem a nahraďte stávající obsah tím původním.

Odstranění certifikátu

Odstranění certifikátu je operace, která používá pro..

  • Odstranění čekajících a dosud nepodepsaných žádostí strojů, které nechceme spravovat přes Puppet.
  • Zneplatnění a zrušení již podepsaných certifikátů strojů, které prošly reinstalací, nebo byly zrušeny. Podepsaný certifikát se nejprve zneplatní a následně se neplatný klíč odstraní z úložiště.
Poznámka 
 master (KVM) :~# puppet cert clean stroj.felk.cvut.cz
 notice: Revoked certificate with serial 6
 notice: Removing file Puppet::SSL::Certificate linus.felk.cvut.cz at '/etc/puppet/ssl/ca/signed/stroj.felk.cvut.cz.pem'
 notice: Removing file Puppet::SSL::Certificate linus.felk.cvut.cz at '/etc/puppet/ssl/certs/stroj.felk.cvut.cz.pem

Vydání nového certifikátu

Pokud chceme z nějakého důvodu vydat certifikát nový - kupř. když u stávajícímu certifikátu vypršela platnost, nebo došlo k diskreditaci klienta, musí se nejprve na stroji master odstranit původní podepsaný certifikát a pak, na klientském stroji kde běží agent odstranit z úložiště SSL certifikátů původní podepsaná žádost o certifikát, která se nalézá v adresáři ./puppet/ssl/certificate_requests i vydaný klíč (v adresáři ./puppet/ssl/certs )

Teprve poté je možné vygenerovat novou žádost o certifikát, kterou bude možné na stroji master podepsat.

Než spustíme démona...

Je vhodné nejprve vyzkoušet zpracování manifestu "nasucho", spuštěním v testovacím módu[1] s atributem --noop, který zabrání tomu aby došlo k jeho realizaci:

Poznámka 
root@client~# puppet agent --noop --test --verbose
...

Z výpisu tak budeme moci zjistit jaké změny se budou realizovat a především odhalit ještě před spuštěním démona chyby, na kterých by selhalo zpracování manifestu. A ty ošetřit buď na straně manifestu (na stroji master), nebo v systému klienta, tak aby zpracování manifestu démonem proběhlo bez problémů.

Upozornění Pokud spravujeme přes agenta také stroj co na něm běží master ale klientský certifikát chceme mít uložen v jinde, než jsou certifikáty s nimiž pracuje master, je třeba vygenerované soubory zkopírovat do lokace SSL certifikátů agenta (u Debianu adresář /var/lib/puppet/ssl

Automatické spouštění agenta

Pokud nechceme aby se změny realizovaly automaticky, můžeme init skript, přes který se agent spouští jako démon deaktivovat a pak agenta spouštět na příkazové řádce ručně. Jméno testovacího prostředí mu pak lze předávat jako hodnotu parametru --environment :

Poznámka 
root@stroj~# puppet agent --environment jmeno_prostredi
Poznámka Při použití testovacího prostředí Puppet využívá již existujícího SSL certifikátu, tudíž není nutné proces s vydáním certifikátu opakovat.
Je-li agent spuštěn jako démon, pak v pravidelném půhodinovém intervalu (1800 sekund) stahuje ze stroje master aktuální verzi manifestu. Pokud tato verze obsahuje oproti předchozí nějakou změnu, tak se ji po půlhodinové prodlevě pokusí realizovat. Výsledek zpracování se zapisuje do souboru /var/log/daemon.log


Změna intervalu

Výchozí půlhodinový interval pro běžnou správu bohatě stačí, pokud však ladíme nastavení manifestu a potřebujeme aby agent kontroloval master v kratším intervalu, pak jej lze zkrátit nastavením číselné hodnoty proměnné runinterval v sekci [main] konfiguračního soubor /etc/puppet/puppet.conf. Ta má ve výchozím stavu hodnotu 1800 (sekund).

Je-li hodnota 0, tak bude agent kontaktovat master ihned jakmile skončí ověření staženého manifestu, které se pohybuje v řádech sekund.

Prodleva

  1. V testovacím módu se agent nespouští jako démon, nýbrž zpracuje manifest pouze jednou a na popředí - podobně, jako by byly uvedeny atributy --no-daemonize a --onetime.



Citováno z „https://wiki.control.fel.cvut.cz/mediawiki/index.php?title=Puppet_(puppetizace)&oldid=28402