版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、.:.;在日常系統(tǒng)管理任務(wù)中,管理上千臺效力器,需求暫時的改動其一個配置,例如刪掉某個帳號停掉某個效力 普通我們只能不厭其煩的登到每一臺機器上反復(fù)的完成這些動作,或者寫腳本循環(huán)登錄及其執(zhí)行操作 假設(shè)有了cfengine,一個命令就可以搞定了.是不是很看效率,請看如下實際之領(lǐng)會.以下的所提到的cfengine是2.2版本的.1. cfengine 概述cfengine是一個功能強大的自動化系統(tǒng)管理工具.援用其官網(wǎng)的說法cfengine是一種 UNIX 管理工具,其目的是使簡單的管理的義務(wù)自動化,使困難的義務(wù)變得較容易.它的目的是使系統(tǒng)從任何形狀收斂到一種理想形狀.運用cfengine,它可以保證
2、他的系統(tǒng)總是維持他所希望的那個形狀. 假設(shè)說有黑客進來了修正了某個重要的配置文件的內(nèi)容或者權(quán)限,也會被cfengine自動修復(fù)!1.1. cfengine 功能概述檢查和配置網(wǎng)絡(luò)接口編輯系統(tǒng)和用戶的文本文件維護符號鏈接檢查和設(shè)置文件的權(quán)限刪除渣滓文件檢查重要文件和文件系統(tǒng)的存在控制用戶腳本和shell命令的執(zhí)行基于類的斷定構(gòu)造進程管理其他細節(jié)功能,大家可以訪問它的官方網(wǎng)站,里面的文檔非常豐富 HYPERLINK / /1.2. 運用cfengine的益處當(dāng)他切換運用cfengine來管理系統(tǒng)配置時,他可以得到以下益處:可以保證一切被管理效力器運用一致規(guī)范化的系統(tǒng)配置可以針對不同的系統(tǒng)進展配置的
3、變卦(如linux,freebsd.可以記錄系統(tǒng)變卦,假設(shè)需求還可以在執(zhí)行一次,將系統(tǒng)堅持在正確的形狀1.3. cfengine 組件闡明Cfengine是一個用于設(shè)置和維護計算機系統(tǒng)的工具,包含了以下幾個組件:cfagent 自動配置代理,其配置文件為update.conf 和 cfagent.confcfservd文件效力和遠程激活效力,其配置文件為cfservd.confcfexecd 方案執(zhí)行 cfagent 命令cfenvd 異常檢測效力cfrun 遠程經(jīng)過cfservd調(diào)用cfagent的方法,其配置文件為cfrun.hostscfshow 檢查有協(xié)助 的數(shù)據(jù)庫的內(nèi)容的方法(輔助)
4、cfenvgraph 異常檢測效力cfenvd的附屬工具(輔助)cfkey 密匙生成工具(每臺效力器運轉(zhuǎn)一次)。1.4. cfengine 配置文件每個系統(tǒng)必需求有最少的配置文件.默許情況下,他需求將配置文件放到/var/cfengine/inputs 目錄中.可以集中化管理配置文件,經(jīng)過拉的方式更新到一切客戶端系統(tǒng)update.conf此配置文件要堅持簡單,cfengine每次更新,它總是被首先解析和執(zhí)行,此配置的主要義務(wù)就是從效力端拷貝一組配置文件. 假設(shè)其他配置文件有誤,此配置文件也可以繼續(xù)更新配置文件,在下次運轉(zhuǎn)的時,就可以運轉(zhuǎn)勝利. 對大部分網(wǎng)站來說,這個文件在cfengine系統(tǒng)初
5、初始運轉(zhuǎn)后,不需求去變變卦的.cfagent.conf此配置文件是cfengine的中心文件,它包含了一切功能操作配置.可以運用文件導(dǎo)入功能(import功能),使配置文件易讀,參考上圖cfservd.conf此配置文件是 cfservd 守護進程的配置文件.文件定義了那些主機可以遠程執(zhí)行cfagent和那些主機可以傳輸特定的文件.cfengine運用到配置文件,我們需求集中化版本控制(比如Subversion).這樣就可以記錄一切變卦,以便在需求時,可以會滾到某個特定的版本配置.2. 運用Classes(與group一樣)標(biāo)識系統(tǒng)cfengine中最重要的概念就是Classes. 每種系統(tǒng)都
6、屬于一個或者多個 classes. cfagent每次運轉(zhuǎn)的時,會根據(jù)很多各種不同信息來定義classes.可以在特定的classes執(zhí)行特定的操作. 因此,任何操作都可以在一臺主機上執(zhí)行,也可以在運轉(zhuǎn)特定操作系統(tǒng)的主機上運轉(zhuǎn),也可以在一切的主機上運轉(zhuǎn). Cfengine 運用內(nèi)置的和用戶定義的classes.2.1. 預(yù)定義Classes的分類主機本生根據(jù)其架構(gòu)決議很多classes 比如主機稱號,主機ip,操作系統(tǒng)等. 很多classes 根據(jù)當(dāng)前的日期和時間定義的.為了確定在給定系統(tǒng)上定義了那些規(guī)范classes,可以運轉(zhuǎn)如下命令: rootlinux# /var/cfengine/bi
7、n/cfagent -p -v | grep Defined Defined Classes = ( 172_22_5 172_22_5_90 172_22_5_91 64_bit Day17 Hr11 Hr11_Q1 March Min10_15 Min11 Q1 Redhat_AS5 Wednesday Yr2021 addr_ alidc_net alidc_net_hzidc_com any cfengine_01 cfengine_01_hst_xyi_cn_alidc_net cfengine_01_hst_xyi_cn_alidc_net_hzidc_com cfengine_2
8、 cfengine_2_2 cfengine_2_2_3 cfengine_server cn_alidc_net cn_alidc_net_hzidc_com com compiled_on_linux_gnu fe80_216_3eff_fe16_55b hst_xyi_cn_alidc_net hst_xyi_cn_alidc_net_hzidc_comhzidc_com ipv4_172 ipv4_172_22 ipv4_172_22_5 ipv4_172_22_5_90 ipv4_172_22_5_91 linux linux_2_6_18_131_el5_customxen lin
9、ux_x86_64 linux_x86_64_2_6_18_131_el5_customxen linux_x86_64_2_6_18_131_el5_customxen_1_SMP_Tue_Sep_15_15_46_11_CST_2021 lsb_compliant net net_hzidc_com net_iface_bond0 net_iface_lo redhat redhat_s redhat_s_5 redhat_s_5_3 redhatenterpriseserver redhatenterpriseserver_5 redhatenterpriseserver_5_3 red
10、hatenterpriseserver_tikanga x86_64 xyi_cn_alidc_net xyi_cn_alidc_net_hzidc_com )正如他所看到的,這個系統(tǒng)中包含了很多預(yù)定義classes,他們屬于幾個分類:Operating System: redhat redhat_s redhat_s_5 redhat_s_5_3 redhatenterpriseserver redhatenterpriseserver_5 redhatenterpriseserver_5_3Kernel: linux linux_2_6_18_131_el5_customxen linux
11、_x86_64 linux_x86_64_2_6_18_131_el5_customxenArchitecture: 64_bit linux_x86_64 x86_64Hostname: cfengine_01 cfengine_01_hst_xyi_cn_alidc_net cfengine_01_hst_xyi_cn_alidc_net_hzidc_comIP Address: 172_22_5 172_22_5_90 172_22_5_91 ipv4_172 ipv4_172_22 ipv4_172_22_5 ipv4_172_22_5_90 ipv4_172_22_5_91Date/
12、Time: Day17 Hr11 Hr11_Q1 March Min10_15 Min11 Q1每個系統(tǒng)都屬于 any 這個 class,當(dāng)他需求對 未定義或者不能運用classes標(biāo)識的系統(tǒng)進展操作時候,可以運用 any 這個 class.2.2. 自定義Classes自定義classes 配置都是在cfagent.conf 中的groups區(qū)域中,請看如下例子: groups: web_app1 = ( IPRange(-250) IPRange(-250) IPRange(-250) ) web_app1 = ( IPRange(-250) IPRange(-250) IPRange(-
13、250) ) ntp_server= ( nagios1 nagios2 nagios3 monitor_xy7 monitor_xy8 monitor_xy9 ) # 經(jīng)過配置文件 判別能否屬于某一類型的主機 dns = ( /usr/bin/test -f /etc/named.conf ) web_normal = ( /usr/bin/test -f /etc/httpd/conf/httpd.conf ) # 經(jīng)過cfengine內(nèi)部命令來判別 first_ten_server = ( RegCmp(webserver0-9i,$host) ) # all server all_se
14、rver= ( dns web_app1 ) copy: any: # 根據(jù)拷貝結(jié)果,定義新的classes $(clientconf)/syslog.confdest=$(etcdir)/syslog.conf owner=$(fowner) group=$(fgroup) mode=644 server=$(cfserver) trustkey=true define=new_syslog shellcommands: new_syslog: /etc/init.d/syslog restart /dev/null 2&1以上配置只是cfagent.conf 中的一段而已,從上面可以看出:
15、可以根據(jù)執(zhí)行命令程序的前往結(jié)果來定義class,假設(shè)命令前往結(jié)果為0,此系統(tǒng)屬于此定義的class.class 的定義可以是包含已有或者已定義的class可以根據(jù)執(zhí)行操作的結(jié)果來定義新的classes.比如上面的配置例子,當(dāng)syslog.conf配置改動了,當(dāng)拷貝完成時,會定義一個new_syslog的class. 在shellcommands的操作中,會根據(jù)new_syslog class 來重啟syslog效力.3. cfengine系統(tǒng)的搭建與運用3.1. cfengine 配置文件管理方式普通來說,cfengine 的配置文件,都是集中化方式管理,配置文件都經(jīng)過版本控制軟件進展修正和更
16、新.系統(tǒng)管理更新配置文件后,提交到svn后,cfengine server 更新配置文件,推送到客戶端.3.2. cfengine 運轉(zhuǎn)方式管理員登錄主效力器更新配置文件(svn),經(jīng)過運轉(zhuǎn)cfrun命令通知客戶端進展更新.cfrun在cfrun.hosts 文件中查找客戶端的列表.請留意,主效力器可以自行充任客戶端。此圖中有兩個客戶端:主效力器和遠程客戶端.cfrun與每個客戶端上的 cfservd 進展通訊,cfservd 然后運轉(zhuǎn)cfagent.cfagent銜接主效力器,首先檢查update.conf能否有新版本,假設(shè)有更新,將它傳輸?shù)娇蛻舳?cfagent 先評價 update.co
17、nf 的內(nèi)容,并獲取戰(zhàn)略文件cfagent.conf 和相關(guān)文件的最新版本.隨后評價 cfagent.conf以確定客戶端能否處于所需形狀。假設(shè)有偏向,cfagent 將執(zhí)行已定義的操作來更正客戶端配置.留意:沒有絕對的效力端和客戶端,在需求的情況下,客戶端也可以作效力器端.3.3. cfengine 更新觸發(fā)機制3.3.1. 效力器集中通知更新方式效力器上運轉(zhuǎn)cfrun,cfrun會根據(jù)cfrun.hosts中的主機列表來銜接到某個客戶機的cfservd程序客戶機上cfservd調(diào)用本機的cfagent程序客戶機上cfagent程序執(zhí)行update.conf,銜接到效力器的cfservd,下
18、載戰(zhàn)略文件cafagent.conf客戶機下載勝利后執(zhí)行最新版本的戰(zhàn)略文件,不勝利就執(zhí)行舊版本的.留意:update.conf的內(nèi)容要簡單,普通來說就是下載cfagent.conf戰(zhàn)略文件,根本上這個文件創(chuàng)建好了之后就不會更改了.3.3.2. 客戶端自主激活方式客戶機自動執(zhí)行cfagent程序執(zhí)行update.conf,銜接到效力器的cfservd,下載戰(zhàn)略文件cafagent.conf客戶機下載勝利后執(zhí)行最新版本的戰(zhàn)略文件,不勝利就執(zhí)行舊版本的.留意:客戶端定期執(zhí)行cfagent,可以經(jīng)過添加到crontab 或者 cfexecd定期調(diào)用.這樣的情況下,客戶端就不需求運轉(zhuǎn)cfservd程序.
19、3.4. cfengine 效力器端設(shè)置安裝cfengine軟件包,可以運用源碼或者rpm包,請參考互聯(lián)網(wǎng).cfengine效力端目錄構(gòu)造 /var/cfengine/ |- backup |- bin |- clientconf#客戶端從此目錄下載和更新配置文件 |- inputs#效力端本身的配置文件 |- lib |- modules |- outputs |- ppkeys |- rpc_in |- rpc_out |- share - state設(shè)置cfservd.conf配置文件,文件內(nèi)容如下 #cat /var/cfengine/clientconf/cfservd.conf (
20、為了簡化一點,效力端和客戶端運用同樣的cfservd.conf配置) # # Who and what we allow access to, and who we trust # Master Server conf and Client cfservd conf # control: domain = ( hzidc ) cfrunCommand = ( /var/cfengine/bin/cfagent ) MaxConnections = ( 100 ) MultipleConnections = ( true ) IfElapsed = ( 1 ) DenyBadClocks = (
21、 false ) AllowConnectionsFrom = ( /8 ) TrustKeysFrom = ( /8 )#自動交換key,不需求拷貝key LogAllConnections = ( true ) AllowUsers = ( root admin ) HostnameKeys = ( off ) ChecksumDatabase = ( /var/cfengine/cfdb ) grant: $(cfrunCommand)/8#允許ip在/8范圍內(nèi)的主機,可以cfrun方式遠程執(zhí)行cfagent /var/cfengine/8#允許ip在/8范圍內(nèi)的主機,經(jīng)過cfagent
22、訪問拷貝此目錄下的文件留意:此cfservd.conf配置文件比較寬松,可以根據(jù)需求進展權(quán)限的限制設(shè)置update.conf配置文件(cfagent運轉(zhuǎn)時,第一解析的配置文件) #cat /var/cfengine/clientconf/update.conf # # update.conf - ensure that the inputs and binaries in /var/cfengine are # synced to those on the server. # control: actionsequence = ( copy ) # sequence of actions to
23、 perform domain = ( hzidc ) # our domain DefaultCopyType = ( checksum ) # Copy based on checksum, not mtime HostnameKeys = ( off ) cfserver = ( 00 ) # host running cfservd workdir = ( /var/cfengine ) # the workdir clientconf = ( /var/cfengine/clientconf ) input_mode = ( 700 ) # mode for input files
24、bin_mode = ( 755 ) # mode for binaries fowner = ( root ) # file owner ogroup = ( root ) # file group any: # the class to match SplayTime = ( 1 ) # max number of minutes over # which cfengine will share # its load on the server # copy: $(clientconf)/cfagent.conf dest=$(workdir)/inputs/cfagent.conf ow
25、ner=$(fowner) group=$(ogroup) mode=700 server=$(cfserver) trustkey=true encrypt=true留意:要盡能夠堅持update.conf文件簡單,只讓它更新必要的cfagent.conf配置文件,其他的詳細功能操作都在cfagent.conf文件中定義.設(shè)置cfagent.conf配置文件(cfengine的中心配置文件,一切的功能操作都在此配置文件中定義) #cat /var/cfengine/clientconf/cfagent.conf # # cfagent.conf for client # # group區(qū)塊定
26、義群組(classes),可以在后續(xù)的配置中指定特定的組群執(zhí)行特定的操作,這樣就可以將不同類的配置文件都寫在同一個cfagent.conf文件中. groups: Redhat_AS3 = ( redhat_as_3 ) Redhat_AS4 = ( redhat_as_4 ) Redhat_2u1 = ( redhat_as_2_1 ) Redhat_7u3 = ( redhat_7_3 ) Redhat_AS5 = ( redhat_s_5 ) control: any: # Basic Cfengine configurations access = ( root ) editfiles
27、ize = ( 0 ) # 0 turns off the editfilesize limit. netmask = ( ) # Sets the netmask if you use netconfig. timezone = ( CST ) # How and Where do we output stuff? sysadmin = ( adminadmin ) smtpserver = ( smtp.admin ) EmailMaxLines = ( n ) # No maximum lines Syslog = ( on ) # How many cfengines can run,
28、 what do we do when the servers busy SplayTime = ( 45 ) # Run everything immediately MaxCfengines = ( 20 ) Repository = ( /var/cfengine/backup ) # 假設(shè)運用cfexecd定時運轉(zhuǎn)cfagent,它會讀取 下面 schedule 中定義時間來運轉(zhuǎn)cfagent schedule = ( Monday.Hr10 Tuesday.Hr10 Wednesday.Hr10 Thursday.Hr10 Friday.Hr10 Monday.Hr15 ) # Se
29、t some defaults DefaultCopyType = ( checksum ) # Copy based on checksum, not mtime DeleteNonUserFiles = ( false ) # Do not delete unowned files Exclamation = ( on ) # Inform us of problems. ExpireAfter = ( 30 ) # Dont let cfengine run longer then 60 minutes. HostnameKeys = ( off ) # Store keys based
30、 on hostname, not IP Inform = ( on ) # Show diagnostic output ShowActions = ( off ) # Do not show verbose diagnostic output domain = ( hzidc ) # Obtain our domain name automatically # 可以自定義一些變量,方便后面援用,援用方式 $(cfserver) cfserver = ( 00 ) clientconf = ( /var/cfengine/clientconf ) workdir = ( /var/cfeng
31、ine ) etcdir = ( /etc ) optdir = ( /opt ) bin_mode = ( 755 ) # mode for binaries fowner = ( root ) # file owner fgroup = ( root ) # file group actionsequence = ( copy editfiles shellcommands processes ) # # copy 區(qū)塊: 從效力器拷貝配置文件,也可以遞歸拷貝目錄 copy: any: $(clientconf)/cfservd.conf dest=$(workdir)/inputs/cf
32、servd.conf owner=$(fowner) group=$(fgroup) mode=700 server=$(cfserver) trustkey=true $(clientconf)/update.conf dest=$(workdir)/inputs/update.conf owner=$(fowner) group=$(fgroup) mode=700 server=$(cfserver) trustkey=true # 援用前面自定義個group(classes),屬于Redhat_AS4這個組的拷貝以下配置文件 Redhat_AS4: $(clientconf)/sysc
33、tl.conf dest=/etc/sysctl.conf owner=$(fowner) group=$(fgroup) mode=777 server=$(cfserver) trustkey=true $(clientconf)/limits.conf dest=/etc/security/limits.conf owner=$(fowner) group=$(fgroup) mode=777 server=$(cfserver) trustkey=true # # editfiles 區(qū)塊: 此塊操作是自動編輯系統(tǒng)配置文件 editfiles: any: /root/.bashrc A
34、utoCreate DeleteLinesContaining export PS1 AppendIfNoSuchLine export PS1=ne1;37meme1;32mueme1;33meme1;35mhem e4mpwdeme1;37meme1;36memn$ # # processes 區(qū)塊: 定義檢查系統(tǒng)進程,假設(shè)沒有在ps里發(fā)現(xiàn)相應(yīng)進程,cfagent將根據(jù)指定的命令啟動該進程 processes: any: # Make sure these processes are always running cfservd restart /var/cfengine/bin/cfse
35、rvd # # shellcommands 區(qū)塊: 定義了需求運轉(zhuǎn)的系統(tǒng)命令,可以是腳本,也可以是命令 shellcommands: any: # restart apache /etc/init.d/httpd restart # execute cmd /bin/echo client no do ser with domain # # files區(qū)塊: 定義了檢查系統(tǒng)文件屬性,如有不符將自動修正 files: any: /etc/passwd mode=644 # make sure the file permissions are right owner=root # make sur
36、e its owned by root action=fixall # if anything is wrong, fix it immediately! checksum=md5 # keep a tripwire checksum to tell us /etc/ssh/sshd_config m=644 o=root g=0 act=fixall設(shè)置cfrun.hosts配置文件(在效力端運用cfrun命令推配置到客戶端,文件定義要推的客戶端主機名列表,存放于Server端的/var/cfengine/inputs目錄) # #list of hosts youre going to m
37、anage (remote client must run cfservd) # domain = hzidc access = root admin hostnamekeys = off outputdir= /var/cfengine/output #-host list-# test_name1 test_name2 test_name3 test_name4 test_name5 test_name6 test_name7 test_name8 test_name9 test_name10留意:此配置文件中的主機名要能解析(經(jīng)過/etc/hosts 或者dns),否那么運轉(zhuǎn)會找不到客戶端ip,效力端需求配置hosts
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 語文工作計劃
- 電商工作計劃范文
- 十一國慶節(jié)七天假期安全教案
- 工作前安全分析管理規(guī)定
- 2025年AE活性酯市場調(diào)查報告
- 買賣合同五篇
- 七年級班務(wù)工作計劃
- 制定班級德育個人工作計劃
- 企業(yè)培訓(xùn)心得體會
- 九年級上學(xué)期語文期末考試試卷
- 期末測試卷(一)(試題)2023-2024學(xué)年二年級上冊數(shù)學(xué)蘇教版
- 2024中國華電集團限公司校招+社招高頻難、易錯點500題模擬試題附帶答案詳解
- 國家開放大學(xué)電大《會計信息系統(tǒng)》期末終考題庫及標(biāo)準(zhǔn)參考答案
- 【飛科電器公司基于杜邦分析法的財務(wù)分析案例(7700字論文)】
- 多器官功能障礙綜合征MODS診療及護理試題
- 兒童呼吸道合胞病毒感染臨床診治試題
- 2021-2022學(xué)年廣東省廣州市花都區(qū)六年級(上)期末英語試卷
- 2024年人教版八年級生物(上冊)期末試卷及答案(各版本)
- A股上市與借殼上市詳細流程圖
- 2024年美國家用WiFi路由器市場現(xiàn)狀及上下游分析報告
- 《橡皮障的應(yīng)用方法》幻燈片課件
評論
0/150
提交評論