Puppet設定ガイドメモ

初回設定の方法が書かれている

下記をサーバ/クライアントの両方で開放する

設定できるパラメータとデフォルト値を見るには、下記のコマンドを実行すると表示される

$ /usr/bin/puppet --genconfig

puppet   IN   CNAME  crabcake.picnic.edu.

CNAMEを指定すれば、いちいちそれぞれのクライアントでサーバを指定しなくても済む

CNAMEレコードの設定は、DNS and Bind本を参考にするといいだろう

DynamicDNSなら、下記のようにコマンドで設定(再起動不要)

$ nsupdate -k <tsig_key_file> -d
> server ns.picnic.edu
> zone picnic.edu
> update add puppet.picnic.edu. 3600 CNAME crabcake.picnic.edu.
> send

For the server:

127.0.0.1 localhost.localdomain localhost puppet

For the clients:

192.168.1.67 crabcake.picnic.edu crabcake puppet

WARNING: もし、puppetに対してpingできても、クライアントからサーバに接続できないというログが出力されていたら、サーバでport 8140が開放されているか確認する

Puppetは、宣言型システム
puppet独自コードで記述されているmanifestを使う
サイト全体の設定を中心に管理するのは、site manifest
- manifestは、複数に分割してもよい
- nodeごとの個々のシステムの差異は取り除かれるべき

Puppetは、Primaryのmanifestとして/etc/puppet/manifests/site.ppを使う
- /etc/puppet/manifestsを作成して、そこにmanifestを追加する
- manifestの変更trackのために、scm(git, svnとか)を使うことを強く推奨

とっかかりとして、sudoersファイルの適切なパーミッションを保持する例

# site.pp
file { "/etc/sudoers":
    owner => root, group => root, mode => 440
}

多くは一つのサーバでいいはず
Puppet Labsが公開しているドキュメントにスケールアウトとフェールオーバーについてのベストプラクティスがあるので、必要に応じて追加すればいい
サーバの決定: puppetmasterが動作
- puppetmasterはinitスクリプトで自動起動した方がよさげ
- 必要に応じて、daemonで使うpuppetユーザとグループを作成する

daemon起動時に作成する場合

# /usr/sbin/puppetmasterd --mkusers

# puppetd --server myserver.domain.com --waitforcert 60 --test

クライアント動作中のメッセージ

info: Requesting certificate
warning: peer certificate won't be verified in this SSL session
notice: Did not receive certificate

# puppetca --list

# puppetca --sign mytestclient.domain.com

※ waitforcertはdefault:5分らしいが、CentOS5.4環境でrpmインストールしたpuppetでは2分になってる