Konfigurationsmanagement mit Puppet

Transkript

1 Konfigurationsmanagement mit Puppet Alexander Weidinger, BSc FH Sankt Pölten 19E0381F pool.keyserver.eu A2CA 2B54 22AE B D F E 19E0 381F

2 Wozu Konfigurationsmanagement? Zeitersparnis, Reduktion monotoner Arbeiten Systeme aktuell halten --> Security! Flexibilität, Fähigkeit schnell zu reagieren Gewissheit, dass alle Systeme entsprechend meinen Vorgaben konfiguriert sind. Dokumentation, Versionierung Segregation of Duties (Funktionstrennung)

3 Wieso Puppet? deskriptive Programmiersprache [4] relativ simpel --> einfach zu erlernen, einfach zu debuggen Textdateien --> einfache Versionskontrolle! Der gewünschte Systemzustand wird beschrieben, Puppet findet (in den meisten Fällen) den Weg allein. Explicit Dependency Management [1] Änderung in apache.conf --> Restart von apache2 Erzwingt Don't-Repeat-Yourself Idempotenz [16] Egal wie oft Puppet am Zielsystem ausgeführt wird, es kommt sofern kein Fehler auftritt - immer zum gewünschten/beschriebenen Systemzustand.

4 Vorgriff: Puppet Dashboard

5 Wieso Puppet? / Taugt es für die breite Anwendung? große User- und Entwickler-Basis Google, Red Hat, Siemens, Stanford and Harvard Law School, etc. [1] kommerzieller Einsatz seit Jahren große Installationen (5000+ Nodes [1]) --> Performance/Skalierbarkeit Wahrscheinlich existiert Puppet auch noch in fünf Jahren. ausführliche, gut gegliederte Dokumentation [3] läuft auf (fast) jedem *x, und (derzeit noch) eingeschränkt auf Window$ Lizenz: Apache 2.0 [2]

6 Die Schaffer von Puppet HQ: Portland, Oregon [11] Training, Consulting, Support docs.puppetlabs.com Puppet Enterprise Fix-Fertig-Paket für (große) Unternehmen Security Policy: Responsible Disclosure [12]

7 Architektur / Server-Client [8] git (or whatever) Puppetmaster (Webserver + Ruby + CA) Storeconfig Exported Ressources MySQL (or whatever) Packet Filter 1. Facts Node HTTP 2. Config 3. Reports XMLRPC over HTTPS Node SMTP IMAP public networks? Node Node HTTP HTTP + eigene CA am Puppetmaster + Client authentifiziert sich [18] + Client sieht nur die eigenen Daten (Need-to-Know) [17] + Storeconfig, Exported Ressources --> Kommunikation zwischen den Nodes über die Bande - Flaschenhals: Puppetmaster - Puppetmaster ist SPoF (Keys to the Kingdom)

8 Architektur / Masterless git (or whatever) Packet Filter MySQL (or whatever) Storeconfig Exported Ressources kein Puppetmaster --> Standalone Execution [9] Konfiguration per verteiltem Versionskontrollsystem bevorzugt: Nodeless Configuration --> node 'node1.yy.zz' { standalone Node HTTP standalone Node SMTP IMAP HTTP - Node hat Zugriff auf die komplette Konfiguration Storeconfig und Exported Ressources funktionieren weiterhin. [9] public networks? + skaliert besser in großen Installationen

9 Sprachelemente / Core Types / Dependencies package { 'openssh-server': ensure => installed, } file { '/etc/ssh/sshd_config': source => 'puppet:///modules/sshd/sshd_config', owner => 'root', group => 'root', } mode => '640', notify => Service['sshd'], require => Package['openssh-server'], service { 'sshd': ensure => running, enable => true, hasstatus => true, hasrestart => true, }

10 Sprachelemente / Basic Facts Fakten/Werte, die das Zielsystem selbst liefert [15] Fakten bilden die Entscheidungsgrundlage für die individuelle Konfiguration einer Maschine. $domain $hostname, $fqdn $operatingsystem Templates ERB-Vorlagen für (Konfigurations-)Dateien unterstützen Ruby!

11 Sprachelemente / Advanced Extlookup [5] Auslesen von Werten aus CSV-Dateien $extlookup_datadir = "/etc/puppet/manifests/extdata" $extlookup_precedence = ["%{fqdn}", "domain_%{domain}", "common"] Hiera Hierarchical datastore Ermöglicht die (leichtere) Umsetzung von (Unternehmens-)Hierarchien. And this is the really huge win. You can create Hiera plugins to get this data from anywhere you like that magically override your in-manifest data. [6] Beide entwickelt von R.I.Pienaar

12 weitere Sicherheitsüberlegungen Private Schlüssel nur verschlüsselt am Puppetmaster speichern Key Pair am Node generieren und den Public Key exportieren Wenn sich nur einzelne Parameter von Ressourcen ändern, tauchen deren Werte in den Logs auf. Vorsicht bei der Übergabe von Shared Secrets als Parameter!

13 Frontends Anzeige aktueller und historischer Daten External Node Classifier (Opt-in) Zuweisen von Klassen zu Nodes Eyecandy Beispiele: The Foreman (free) Puppet-Dashboard (free)

14 The Foreman (v0.3) The Foreman is aimed to be a single address for all machines life cycle management. [13] SPoF Web-Applikation RBAC / LDAP-Auth / Audit Log (High-Level-)Administration auch durch weniger hoch qualifiziertes Personal bietet Funktionen auch über Puppet hinaus Server-Installation per WebUI

15 Puppet-Dashboard Stop! Demo Time!

16 Quellen [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18]

17 Danke für Ihre Aufmerksamkeit! Konfigurationsmanagement mit Puppet Alexander Weidinger, BSc FH Sankt Pölten 19E0381F pool.keyserver.eu A2CA 2B54 22AE B D F E 19E0 381F