转载自 

云计算时代系统管理员会经常陷入一系列的重复任务中，创建虚拟机，安装或重装系统，升级软件包，管理配置文件，添加、管理和配置系统服务等。这些任务低效而且无聊，我们需要把他们自动化，于是就出现了系统管理员自己写的脚本，用定制脚本实现自动化，但是自己写的脚本要保证能顺利运行在不同的平台上不是一件轻松的工作，每次操作系统更新都需要重新测试定制脚本，耗费大量时间和精力，灵活性和功能也很难保证。而且脚本语言虽然简单，但是自己写的脚本不一定别的管理员就能马上看懂，有时候自己看别人写的脚本或代码不是一件愉快的事情。所以出现了类似 Puppet, Chef 这样的自动化配置管理工具。为啥 就能应付上千服务器上万用户，这就是自动化带来的好处。

Puppet 是一个客户端/服务器（C/S）架构的配置管理工具，在中央服务器上安装 puppet-server 服务器（puppet master），在需要被管理的目标服务器上安装 puppet 客户端软件（puppet client）。当客户端连接上服务器后，定义在服务器上的配置文件会被编译，然后在客户端上运行。客户端每隔半小时主动会和服务器通信一次，确认配置信息的更新情况，如果有新的配置信息（或者配置有变化），配置文件将会被重新编译并分发到客户端执行。当然，也可以在服务器上主动触发更新指令来强制各客户端进行配置更新。

以下安装采用两台服务器，一台是 master.vpsee.com 用来安装 puppet-server 服务；一台是 client.vpsee.com 用来安装 puppet 客户端。

Puppet 要求所有机器有完整的域名（FQDN），如果没有 DNS 服务器提供域名的话，可以在两台机器上设置主机名（注意要先设置主机名再安装 Puppet，因为安装 Puppet 时会把主机名写入证书，客户端和服务端通信需要这个证书）：

# vi /etc/hosts192.168.2.10    master master.vpsee.com192.168.2.11    client client.vpsee.com

Puppet 要求所有机器上的时钟保持同步，所以需要安装和启用 ntp 服务（如果采用 CentOS-6.2-x86_64-minimal.iso 最小化安装，需要额外安装这个软件包）。

# yum install ntp# chkconfig ntpd on# ntpdate pool.ntp.org29 Feb 15:22:47 ntpdate[15867]: step time server 196.25.1.1 offset 98.750417 sec# service ntpd startStarting ntpd:                                             [  OK  ]

安装 puppet 服务

Puppet 需要 Ruby 的支持，如果要查看命令行帮助的话需要额外 ruby-rdoc 这个软件包：

# yum install ruby ruby-lib ruby-rdoc

Puppet 不在 CentOS 的基本源中，需要加入 PuppetLabs 提供的官方源：

# yum -y install wget# wget http://yum.puppetlabs.com/el/6/products/x86_64/puppetlabs-release-6-1.noarch.rpm# yum install puppetlabs-release-6-1.noarch.rpm# yum update

在 master 上安装和启用 puppet 服务：

# yum install puppet-server# chkconfig puppet on# service puppetmaster startStarting puppetmaster:                                     [  OK  ]

关闭 iptables：

# /etc/init.d/iptables stopiptables: Flushing firewall rules:                         [  OK  ]iptables: Setting chains to policy ACCEPT: filter          [  OK  ]iptables: Unloading modules:                               [  OK  ]

安装 puppet 客户端

在 client 上安装 puppet 客户端：

# yum install puppet

Puppet 客户端使用 HTTPS 和服务端（master）通信，为了和服务器端通信必须有合法的 SSL 认证，第一次运行 puppet 客户端的时候会生成一个 SSL 证书并指定发给 Puppet 服务端。

# puppet agent --no-daemonize --onetime --verbose --debug --server=master.vpsee.com

Puppet 服务端接受到客户端的证书后必须签字（sign）才能允许客户端接入，sign 后用 puppet cert list –all 查看会发现 client.vpsee.com 前面多了一个 + 后，表示 “加入” 成功：

# puppet cert list --all  client.vpsee.com (65:3C:20:82:AE:F6:23:A8:0A:0B:09:EF:05:64:1D:BB)+ master.vpsee.com   (AF:A0:32:78:D4:EB:D3:EE:02:1C:62:1C:83:3C:46:EC) (alt names: DNS:master, DNS:master.vpsee.com)# puppet cert --sign client.vpsee.comnotice: Signed certificate request for client.vpsee.comnotice: Removing file Puppet::SSL::CertificateRequest client.vpsee.com at '/var/lib/puppet/ssl/ca/requests/client.vpsee.com.pem'# puppet cert list --all+ client.vpsee.com (65:3C:20:82:AE:F6:23:A8:0A:0B:09:EF:05:64:1D:BB)+ master.vpsee.com   (AF:A0:32:78:D4:EB:D3:EE:02:1C:62:1C:83:3C:46:EC) (alt names: DNS:master, DNS:master.vpsee.com)

这样，客户端和服务端就配置好了，双方可以通信了。

Hello, world

现在可以在服务端写个小例子来测试一下。这个例子作用很简单，用来在客户端的 /tmp 目录下新建一个 helloworld.txt 文件，内容为 hello, world. 在服务端编写代码：

# vi /etc/puppet/manifests/site.ppnode default {        file {                "/tmp/helloworld.txt": content => "hello, world";        }}

在客户端上执行 puppet，运行成功后会在 /tmp 看到新生成的 helloworld.txt：

$ puppet agent --test --server=master.vpsee.comwarning: peer certificate won't be verified in this SSL sessioninfo: Caching certificate for client.vpsee.cominfo: Caching certificate_revocation_list for cainfo: Caching catalog for client.vpsee.cominfo: Applying configuration version '1330668451'notice: /Stage[main]//Node[default]/File[/tmp/helloworld.txt]/ensure: defined content as '{md5}e4d7f1b4ed2e42d15898f4b27b019da4'info: Creating state file /home/vpsee/.puppet/var/state/state.yamlnotice: Finished catalog run in 0.03 seconds$ cat /tmp/helloworld.txt hello, world