代替puppet自帶低性能web服務(wù)webrick

1、Apache+Passenger 代替 puppet 自帶低性能 web服務(wù) WEBRick描述：puppet 使用 SSL(https)協(xié)議來進行通訊，默認(rèn)情況下，puppet server 端使用基于Ruby 的WEBRick HTTP 服務(wù)器。由于WEBRick HTTP 服務(wù)器在處理agent 端的性能方面并不是很強勁，因此需要擴展 puppet，搭建 Apache 或者其他強勁的web 服務(wù)器來處理客戶的 https 請求。需要解決：擴展傳輸方式：提高性能并增加 Master 和 agent 之間的并發(fā)連接數(shù)量。擴展SSL：采用良好的 SSL管理方法來加密 Master 和 agen

2、t 之間的通訊。/projects/1/wiki/Using Passenger參考：1 使用 Ruby Gem 安裝 Passenger2 整合 Apache 和 Passengerrootpuppetserver rpms# yum install gcc-c+ gcc openssl-devel #源碼包編譯安裝（安裝需要 apache gcc gcc-c+ openssl-devel 開發(fā)包的支持）rootpuppetserver etc# passenger-install-apache2-module #按照相關(guān)提示解決依賴關(guān)系，安裝完成之后會顯示The Apache 2 modu

3、le wacsfully installed.Please edit your Apache configuration file, and add these lines: LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-4.0.19/buildout/apache2/mod_passenger.soPassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-4.0.19 PassengerDefaultRuby /usr/bin/rubyAfter you res

4、tart Apache, you are ready to deploy any number of Ruby on Railsrootpuppetserver etc# yum install ruby-devel ruby-libs rubygems libcurl-devel rootpuppetserver etc# yum install httpd httpd-devel apr-util-devel apr-devel mod_sslrootpuppetserver re# gem install -local passenger-4.0.19.gem #自動解決依賴關(guān)系，進入

5、gem 包目錄進行安裝Building native extens. This could take a while. Sucsfully installed rake-10.0.1Sucsfully installed daemon_controller-1.1.5 Sucsfully installed rack-1.5.2Sucsfully installed passenger-4.0.193 配置 Apache 和 Passenger創(chuàng)建虛擬主機并加載 passenger 相關(guān)模塊，注意路徑要和 puppet 實際路徑對應(yīng)。虛擬主機配置Apache 以在 8140 端口，并且使用 S

6、SL 和Puppet Master 生成的對所有通訊進行加密。同時還將配置 Passenger 來使系統(tǒng)的 Ruby 解釋器并且提供Rack 配置文件 config.ru 的路徑rootpuppetserver conf.d# vim passenger.confLoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger- 4.0.19/buildout/apache2/mod_passenger.soPassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-4.0.19 Pa

7、ssengerRuby /usr/bin/rubyPassengerHighPerformance on PassengerMaxPoolSize 12PassengoolIdleTime 1500PassengerSThrottleRate 120 # RailsAutoDetect OnListen 8140 #TCP 8140 端口，這是 PuppetMaster 服務(wù)器的標(biāo)準(zhǔn)端口SSLEngine on #開始 ssl 加密SSLProtocol -ALL +SSLv3 +TLSv1SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-

8、SSLv2:-EXP #開啟 ssl 加密SSLFile/var/lib/puppet/ssl/certs/puppetser.pem SSLKeyFile/var/lib/puppet/ssl/private_keys/puppetser.pem SSLChainFile /var/lib/puppet/ssl/ca/ca_crt.pem SSLCAFile /var/lib/puppet/ssl/ca/ca_crt.pemSSLCARevocationFile /var/lib/puppet/ssl/ca/ca_crt.pem #打開 撤銷功能，當(dāng) 頒發(fā)或撤銷 Puppet agent 的

9、 時，Puppet cert 命令會自動更關(guān)心 ca_crl.pem 文件SSLVerifyC nt optional SSLVerifyDepth 1SSLOptions +StdEnvVars #配置 Apache 來驗證 Puppet agent 的真實性。驗證的結(jié)果會被保存在這個環(huán)境變量中，運行在 Passenger 中的 Puppet master 進程會使用這個變量來認(rèn)證 Puppet agent。#Puppet agent驗證的結(jié)果會以客戶端請求頭的形式存放在標(biāo)準(zhǔn)環(huán)境中。applications on Apache, without any further Ruby on Rai

10、ls-specific configuration!備注：有關(guān) puppet 虛擬主機配置可參考默認(rèn)配置4 準(zhǔn)備 config.ru 配置文件 HYPERLINK mailto:root root# service httpd configtest #檢查 apache 配置語法是否正確 Warning:Root /etc/puppet/rack/puppetmastublic/ does not exist Syntax OKRequestHeader unset X-Forwarded-ForRequestHeader set X-SSL-Subject %SSL_CNT_S_DNe Re

11、questHeader set X-Cnt-DN %SSL_CNT_S_DNe RequestHeader set X-Cnt-Verify %SSL_CNT_VERIFYeRoot /etc/puppet/rack/puppetmastublic/ RackBaseURI /#Rack 為 Web 服務(wù)器提供了用來和 Puppet 這樣的 Ruby HTTP 服務(wù)交換請求和響應(yīng)的一些常用 API。Rack 經(jīng)常被用于在多臺 Web 服務(wù)器上部署如 Puppet Dashboad 這樣的 web 程序。 #虛擬主機部分 Options NoneAllowOverride None Order

12、allow,deny allow from allrootpuppetserver rack# mkdir -p /etc/puppet/rack/puppetmaster/public,tmp #為 Rack 和 Puppet master 的 rack 程序?qū)嵗齽?chuàng)建框架目錄。rootpuppetserver rack# cp /usr/share/puppet/ext/rack/files/config.ru/etc/puppet/rack/puppetmaster/rootpuppetserver rack# vim /etc/puppet/rack/puppetmaster/confi

13、g.ru #默認(rèn)即可# a config.ru, for use with everypatible webserver. # SSL needs to be handled outside this, though.# if puppet is not in your RUBYLIB: # $:.unshift(/opt/puppet/lib)$0 = master# if you want debugging:/usr/share/puppet/ext/rack/files/apache2.conf備注： 如果需要的Rack 配置文件，可以在Puppet版的ext 目錄找到。也可以在 /p

14、uppetlabs/puppet/tree/master/ext/rack/files 找到。5 在 Apache 中測試 PuppetMaster測試一：通過瀏覽器（IE 版本9）明配置正確，出現(xiàn)以下信息，說測試二：在節(jié)點上運行 puppet 程序，在服務(wù)器端通過 apache日志查看是否有puppet 的請求，如果返回狀態(tài)嗎“200”表明這次請求時成功的。 rootpuppetserver conf.d# tailf /var/log/httpd/acs_log 01 - - 22/Jul/2013:10:30:34 GET/production/file_metadata/modulef

15、? HTTP/1.1 200 298 - -01 - - 22/Jul/2013:10:30:34 GET/production/file_metadata/modules/motd/etc/motd? HTTP/1.1 200 295 - - 01 - - 22/Jul/2013:10:30:35 PUT/production/report/ageHTTP/1.1 200 14 - - 01 - - 22/Jul/2013:10:30:40 T/production/catalog/ageHTTP/1.1 200 8346 - -rootpuppetserver # /etc/rc.d/in

16、it.d/puppetmaster stop #停止 puppetmaster 進程 rootpuppetserver # chkconfig puppetmaster off #防止開機自動啟動 rootpuppetserver # /etc/rc.d/init.d/httpd start #啟動 apache 服務(wù) rootpuppetserver # chkconfig httpd off #設(shè)置開機自動啟動rootpuppetserver # nets-nlp | grep 8140 #8140 端口tcp00 :8140:*LISTEN4162/httpdrootpuppetserv

17、er rack#n puppet. /etc/puppet/rack/puppetmaster/config.ru #Rack 配置文件 config.ru 的用戶和組應(yīng)該是 puppet。當(dāng) Apache 啟動時，Passenger 會檢查這個文件的所有者，并將其使用的賬號從 root 切換到權(quán)限較低的 puppet 賬戶。# ARGV -debugARGV -rackrequire puppet/application/master# were usually running inside a Rack:Builder.new block, # therefore we need to call run *here*.run Puppet:Application