Linux cfengine服务器与客户端的配置

一、cfengine 的概述

cfengine(配置引擎)是一种 UNIX 管理工具,其目的是使简单的管理的任务自动化,使困难的任务变得较容易。它的目标是使系统从任何状态收敛到一种理想状态。依照它的作者 Mark Burgess 所说,cfengine 总是使您的系统更接近于您所定义的配置; 它决不会使系统变得更糟。 

(一)、cfengine 的要点

cfengine 将改变您的系统管理方法。 您将运行一个命令并观察系统将收敛到一种稳定状态。我保证这看起来象在变魔术。在您喝茶的时候,cfengine 将编辑文件、运行命令并创建符号链接。

然而,cfengine 并不能代替您思考。在将配置文件放入产品之前,您仍需要编写它并对它进行测试。而另一方面,cfengine 所做的事情几乎很少会造成损害。 

cfengine 使系统收敛成为可能。收敛可以帮助管理员达到稳定性、可靠性和可预测性。 虽然它不是达到那些目标的唯一方法。 

稳定性可定义为防止无意的更改。当 cfengine 实现收敛时,它通过规则集做到这一点。 良好设计的规则(请放心,cfengine 使良好的设计变得容易)只是使系统达到一种理想状态(如在 cfengine 规则中定义的那样理想)。例如,每次运行 cfengine 时,都可以重新创建关键的系统符号链接。 或者,只要修改了本地副本,都可以从可信资源库复制 init.d 启动脚本。 如果 cfengine 没有发觉进程在运行,那么可以重新启动它们。

可靠性是使机器幸免于问题的能力。网络出故障或磁盘出故障是主要的可靠性考验。 您的系统能幸免于那些问题吗?通过收敛到一种理想状态,您可以期望系统处于或接近那一理想状态。虽然可靠性不单由 cfengine 完成,但收敛可使之更加容易。 因为稳定的系统不太可能受问题影响,所以稳定性也是可靠性的主要资产。最后,cfengine 的收敛使获得“空白”系统并使它达到期望的状态成为可能, 并能够对关键系统进行快速临时替换。

这 里,有必要说明期望和理想的状态。目前为止,我们假设仅有一种理想状态,它就是那个期望的状态。事实上,对于所有机器来说并没有理想状态。 机器按任务、位置、连通性、用户、操作系统类型和版本等分类。 每个系统管理员都用某些方法来对他的机器分类。 虽然对于所有机器来说没有一种理想状态,但对于给定的机器类有一个要达到的理想状态。这是 cfengine 的设计目标。cfengine 使寻找理想状态变得可行,并且易于收敛到该状态。

可 预测性是机器按照期望的那样来运转的能力。 收敛通过使系统变得稳定且可靠来达到可预测性。而且,一旦新机器收敛到一种理想状态,就可以期望它象它所替换的旧机器那样工作。 当机器将很快收敛到一个已知状态时,就可以很容易地估计添加系统或替换它们的调度成本。最后,为您系统编写的软件可以期望系统处于一种接近理想的状态。 然后,系统资源处于一种可预测的状态,这样,软件就可以更多地集中在功能上, 而更少地将每个系统作为怀有敌意的未知领域对待。

(二)、cfengine 的功能

检查和配置网络接口

编辑系统和用户的文本文件

维护符号链接

检查和设置文件的权限

删除垃圾文件

检查重要文件和文件系统的存在

控制用户脚本和shell命令的执行

基于类的判定结构

进程管理

cfengine 是一种独特的系统管理工具。即使您没有决定使用它,但其概念和执行将对您的工作产生帮助。如果您决定使用它, 您将发现 cfengine 无限的灵活性和惊人的用处。 

(三)、cfengine配置引擎的组件

Cfengine是一个用于设置和维护计算机系统的工具,包含了以下几个组件:

cfagent 自动配置代理(必须),框架的核心,可手工执行,或者cfexecd带起,或者远程cfrun触发cfservd拉起。

cfservd 文件服务和远程激活服务(可选)

cfexecd 计划和报告服务(建议)

cfenvd 异常检测服务(强烈建议)

cfrun 远程激活cfagent的方法(需要的时候用这个)

cfshow 检查有帮助的数据库的内容的方法(辅助)

cfenvgraph  异常检测服务cfenvd的附属工具(辅助)

cfkey 密匙生成工具(每台主机运行一次).,

所有命令的帮助-h,-v详细信息,-d2打开调试开关。 

配置引擎组合了perl和shell等语言,但要比perl和shell要高级:一个简单的描述能导致在多个主机上执行成百上千的操作,也能够自己建立非常有深度的脚本。一旦采用了配置引擎,就可以代替手工配置,从而节约出大量的时间去做其它的事情 

配置引擎的主要目的是建立一个单一的中心配置文件,它定义了网络中的每个主机是怎么配置的,并且用一个直观的方式去执行。每个主机上都运行着一个解释程序来解析主文件,每个主机依靠这个文件进行配置检查,如果系统背离了配置文件的定义,就会自动进行修复。 

在服务器系统的部署维护中采用配置引擎有以下好处:

1加速系统部署过程

2消除部署过程中的人为技术原因、操作方法等造成的各类配置文件的差错

3配置文件集中存储、备份,方便了管理

4对由于硬件造成的重新部署维护,可以快速实施

5结合perl,sh等系统维护脚本,完成更为复杂的任务 

(四)、cfengine工作原理说明

由cfrun执行远端主机的配置工作

1、在中心配置服务器上执行cfrun后,按cfrun.hosts里的主机列表调用远端服务器的cfservd进程

2、远端服务器的cfservd调用本机的cfagent,执行update.conf中的内容,从中心配置服务器的主目录下载更新配置文件cfagent.conf等,然后执行cfagent.conf中的内容

3、cfagent执行完后返回给cfservd,并由cfservd返回运行结果给中心配置服务器的cfrun,显示。然后执行cfrun.hosts中的下一个主机。 

计划执行配置任务

cfexecd按照cfagent.conf中设定的时间或周期执行cfagent,并按指定邮箱给管理员发送信息。

二、cfengine的安装

(一)、安装环境(服务器端和客户端)

1、制作yum源

    mkdir -p /mnt/cdrom

    mount -o loop /usr/local/rhel-server-6.4-i386-dvd.iso  /mnt/cdrom/(或者将镜像光盘挂载上去,通过df  -m 找到挂载的光盘如/dev/sr1,然后执行mount -o loop /dev/sr1  /mnt/cdrom)

    cd /etc/yum.repos.d

    mkdir -p bak

    mv *.repo bak/

vi /etc/yum.repos.d/redhat.repo

(将

[RHEL]

name=RHEL6.4

baseurl=file:///mnt/cdrom

gpgcheck=0

gpgkey=file:///mnt/cdrom/RPM-GPG-KEY-redhat-release

enabled=1

复制进去,保存退出)

    yum clean all

yum update

2、通过yum安装环境

    yum install gcc-c++.i686 flex.i686 bison.i686 pcre* db4* openssl*   -y

(二)、安装配置cfengine(服务器端)

1、将安装包cfengine-2.2.10.tar.gz下载到/root中,然后在/root路径下依次执行下列命令

tar -zxvf cfengine-2.2.10.tar.gz 

 cd cfengine-2.2.10

 ./configure 

make

make install

2、创建配置文件

mkdir -p /var/cfengine/masterfile/inputs

mkdir /var/cfengine/inputs

mkdir /var/cfengine/outputs 

mkdir /var/cfengine/bin

cp /usr/local/sbin/cf*  /var/cfengine/bin/

在/var/cfengine/inputs中创建配置cfservd.conf、update.conf、cfagent.conf、cfrun.hosts,并将cfagent.conf及需要客户端下载的文件复制到/var/cfengine/masterfile/inputs中,

然后依次运行如下命令

/var/cfengine/bin/cfkey 

/var/cfengine/bin/cfexecd (可以不运行)

/var/cfengine/bin/cfservd

/var/cfengine/bin/cfenvd

查看cfengine进程及5308端口是否启动

ps -e |grep cf

netstat -an |grep 5308


在/var/cfengine/inputs中编辑cfrun.hosts,内容为

access = root

192.168.70.129


在/var/cfengine/inputs中编辑cfagent.conf

# cat cfagent.conf

 

control:

 

   actionsequence = ( files shellcommands copy processes )

 domain         = ( test.com )

   timezone       = ( CST )

#   smtpserver     = ( smtphost.mysite.org )  # used by cfexecd

#   sysadm         = ( neil@mysite.com )     # where to mail output

 

######################################################################

#resolve:

   #

   # Add these name servers to the /etc/resolv.conf file

   #

#    10.50.20.100    # local nameserver

######################################################################

 

copy:

 

 #  Get a file from some trusted server, e.g. password sync

 #  To do this, you need to use cfkey to install keys

 

 #  /etc/shadow mode=0600 server=passwordserver

 

######################################################################

 

files:

   /etc/named.conf

        mode=744        # make sure the file permissions are right

        owner=root      # make sure it's owned by root

         action=fixall   # if anything is wrong, fix it immediately!

         checksum=md5    # keep a "tripwire" checksum to tell us

                         # if any changes occur here

   /etc/ntp.conf mode=700 owner=root action=fixall

######################################################################

 

shellcommands:

                "/bin/rm -rf /tmp/meil*"

                "/bin/echo hello zhangqing > /tmp/meil_`date +%y-%m-%d--%H-%M-%S`"

"/bin/echo hello zhangqingXU > /root/Desktop/x_`date +%y-%m-%d--%H-%M-%S`"

"/bin/sh /var/cfengine/inputs/x.sh"


######################################################################

 processes:

   new_cfservd::

    "cfservd" signal=term restart /var/cfengine/bin/cfservd

   new_cfenvd::

"cfenvd" signal=kill restart "/var/cfengine/bin/cfenvd -H"


在/var/cfengine/inputs中编辑cfservd.conf


# cat cfservd.conf

#########################################################

# This is a cfd config file

# The access control here follows after any tcpd

# control in /etc/hosts.allow and /etc/hosts.deny

#########################################################

 # Could import cf.groups here and use a structure like

 # in cfengine.conf, cf.main, cf.groups

control:

        domain = ( test.com )

     cfrunCommand  = ( "/usr/local/sbin/cfagent" )

 

 any::

     AllowConnectionsFrom = ( 192.168.70.0/24 )

     TrustKeysFrom  = ( 192.168.70.0/24 )

     AllowUsers = ( root )

 #  HostnameKeys = ( on )

 # IfElapsed = ( 1 )

 # ExpireAfter = ( 15 )

  MaxConnections = ( 150 )

  MultipleConnections = ( true )

   LogAllConnections = ( true )

   ExpireAfeter = ( 15 ) #

 #     AutoExecInterval = ( 60 )

 #     AutoExecCommand  = ( "/iu/nexus/local/gnu/lib/cfengine/bin/cfwrap /iu/nexus/local/gnu/lib/cfengine/bin/cfhourly")

 

 

#########################################################

 

admit:   # or grant:

 

 #  /masterfile/inputs  *.caixun.com

   /masterfile/inputs  *.test.com

 #  /usr/local/sbin   *.caixun.com

   /usr/local/sbin   *.test.com

 #  /var/cfengine/bin/cfagent  *.caixun.com

 #  /var/cfengine     *.caixun.com

   /var/cfengine     *.test.com

        /usr/local/sbin/cfagent *.test.com



在/var/cfengine/inputs中编辑update.conf

# cat update.conf

control:

 

   actionsequence  = ( copy processes tidy )  # Keep this simple and constant

  domain          = ( test.com )  # Needed for remote copy

#   policyhost      = ( cfserver.mysite.com )

    policyhost      = ( 192.168.70.132 )

    master_cfinput  = ( /var/cfengine/masterfile/inputs )

    AddInstallable = ( new_cfenvd new_cfservd )

 

   # Some convenient variables

   workdir         = ( /var/cfengine )

   cf_install_dir  = ( /usr/local/sbin )

 

  !AllBinaryServers::

 

     SplayTime = ( 1 )

 

copy:

 

     $(master_cfinput)            dest=$(workdir)/inputs

                                  r=inf

                                  mode=700

                                  type=binary

                                  exclude=*.lst

                                  exclude=*~

                                  exclude=#*

                                  server=$(policyhost)

                                  trustkey=true

# Copy local exec file to bin

 !quetzalcoatal::

 

     $(cf_install_dir)/cfagent    dest=$(workdir)/bin/cfagent

                                  mode=755 

                                  backup=false

                                  type=checksum

 

     $(cf_install_dir)/cfservd    dest=$(workdir)/bin/cfservd

                                  mode=755

                                  backup=false

                                  type=checksum

                                  define=new_cfservd

 

     $(cf_install_dir)/cfexecd    dest=$(workdir)/bin/cfexecd

                                  mode=755 

                                  backup=false

                                  type=checksum

 

     $(cf_install_dir)/cfenvd     dest=$(workdir)/bin/cfenvd

                                  mode=755 

                                  backup=false

                                  type=checksum

                                  define=new_cfenvd

 

#####################################################################

tidy:

     # Cfexecd stores output in this directory.

     # Make sure we don't build up files and choke on our own words!

 

     $(workdir)/outputs pattern=* age=7

 

#####################################################################

processes:

  new_cfservd::

 

    "cfservd" signal=term restart /var/cfengine/bin/cfservd

  new_cfenvd::

"cfenvd" signal=kill restart "/var/cfengine/bin/cfenvd -H"


(三)、安装配置cfengine(客户端)

1、cfengine-2.2.10.tar.gz安装同服务器端相同,但不需要创建masterfile

2、将服务器端cfservd.conf、update.conf、cfagent.conf复制到客户端/var/cfengine/inputs中

3、依次运行如下命令

/var/cfengine/bin/cfkey 

/var/cfengine/bin/cfservd


(四)、关于DNS的设置

假如服务器主机名为service,ip 为192.168.70.132,客户机主机名为web1,ip 为192.168.70.129,则在服务器和客户机上编辑/etc/hosts,在其中添加

192.168.70.132  service.test.com

192.168.70.129  web1.test.com

其中test.com为cfservd.conf、update.conf、cfagent.conf中的域名,客户端也可以不解析服务器端的IP

(五)、测试执行方法

1、在服务器和客户端上关掉防火墙或者让防火墙放行5308端口

2、在服务器上运行cfrun  -v 或者在客户端执行cfagent –v (加上-v可以看到执行过程),若执行成功,则服务器端/var/cfengine/masterfile/inputs中的内容会被下载到客户端/var/cfengine/ inputs中,并按照cfagent.conf中的命令进行在客户端的各种操作。

例如在客户端安装apache服务,则在服务器/var/cfengine/masterfile/inputs/x.sh中编辑如下


#!/bin/bash


#tar -zxvf /var/cfengine/inputs/flex-2.5.4a.tar.gz -C /var/cfengine/inputs/flex/


echo "nihaoA_`date +%y-%m-%d--%H-%M-%S`" >> /root/Desktop/qq.txt


cd /var/cfengine/inputs/

tar zxvf  httpd-2.2.31.tar.gz 

mkdir -p /usr/local/web/apache/

cd httpd-2.2.31

./configure  --prefix=/usr/local/web/apache   --enable-shared=max  --enable-module=rewirte  --enable-module=so 

make   

make install  


chmod -R 555 /usr/local/web

cd /usr/local/web/apache/bin 

echo '<html><body bgcolor=pink><h1>It works!</h1></body></html>'>/usr/local/web/apache/htdocs/index.html

./apachectl start



#将httpd-2.2.31.tar.gz放在/var/cfengine/masterfile/inputs/中在命令行中执行cfrun -v |tee httpinstall.txt即可