使用cfengine来实现服务器的自动化配置

本文涉及的产品
.cn 域名,1个 12个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
日志服务 SLS,月写入数据量 50GB 1个月
简介:
使用 cfengine 来实现服务器的自动化配置
 
目录
一、概述 
二、工作环境 
三、理论知识 
(一)cfengine的程序结构及配置文件 
(二)cfengine的工作方式 
四、配置过程 
(一)下载安装 
(二) 准备工作 
(三)工作方式二 
1.对服务器端进行配置 
2.对客户端进行配置 
3.设为开机启动 
4.排错: 
5.新加入一台客户机 
(四)工作方式一 
1.配置客户机上的cfservd.conf 
2.编辑服务器上的cfrun.hosts客户端列表 
3.在服务器上运行cfrun 
4.注意: 
五、小结
 
之前我写了一篇nagios监控软件的文章,得到大家的关注,能够将自己的知识分享给大家确实十分高兴。这篇文章是我最近使用的一个软件cfengine,如果说nagios主要是监控的监(监视)的话,那么cfengine则着重于控。很遗憾国内相关的文章很少,我就自己尝试写了这篇,希望得到大家的建议。

一、概述

cfengine是一个功能强大的自动化系统管理工具.引用其官网的说法cfengine是一种 UNIX 管理工具,其目的是使简单的管理的任务自动化,使困难的任务变得较容易。它的目标是使系统从任何状态收敛到一种理想状态。依照它的作者 Mark Burgess 所说,cfengine 总是使您的系统更接近于您所定义的配置; 它决不会使系统变得更糟。确实十分的拗口,也难以理解.简单的跟大家说说我的理解,很简单,就是你想你的系统应该是十分样子,你就可以使用cfengine来实现,它可以保证你的系统总是维持你所希望的那个状态.也就是说有黑客进来了修改了某个重要的配置文件的内容或者权限,也会被cfengine自动修复!!还有一种经常遇到的情况,有少则几台多则成千上万台机器,现在需要临时的改变其一个配置,例如删掉某个帐号,停掉某个服务,一般我们只能不厌其烦的登到每一台机器上重复的完成这些动作,但是有了cfengine,一个命令就可以搞定了.是不是很诱人?
cfengine大概的功能有:
检查和配置网络接口 
编辑系统和用户的文本文件 
维护符号链接 
检查和设置文件的权限 
删除垃圾文件 
检查重要文件和文件系统的存在 
控制用户脚本和shell命令的执行 
基于类的判定结构 
进程管理
为了节省篇幅,我这里就不一一介绍了,大家可以访问它的官方网站,里面的文档十分丰富
而且它还十分的人性化,给出了中文主页
 

二、工作环境

主机名
操作系统
ip 地址
centos1
centos 5
192.168.0.114
centos2
centos 5
192.168.0.115
centos3
centos 5
192.168.0.116
:centos5 redhat enterprise 5的重编译开源版本.功能使用与企业版几乎一样.
 

三、理论知识

(一)cfengine的程序结构及配置文件

Cfengine是一个用于设置和维护计算机系统的工具,包含了以下几个组件:
cfagent 自动配置代理(必须),其配置文件为cfupdate.conf cfagent.conf
cfservd 文件服务和远程激活服务(推荐),其配置文件为cfservd.conf
cfexecd 计划和报告服务(建议)
cfenvd 异常检测服务(强烈建议)
cfrun 远程激活cfagent的方法(需要的时候用这个),其配置文件为cfrun.hosts
cfshow 检查有帮助的数据库的内容的方法(辅助)
cfenvgraph  异常检测服务cfenvd的附属工具(辅助)
cfkey 密匙生成工具(每台主机运行一次).
在下一节分析cfengine的工作方式的时候会解释几个关键程序及其配置文件的作用

(二)cfengine的工作方式

cfengine有两种工作方式:
服务器激活方式:这是一种集中控制的方式,上图详细给出了整个流程.
1.服务器上运行cfrun,cfrun会根据cfrun.hosts中的主机列表来连接到某个客户机的cfservd程序
2.客户机上cfservd调用本机的cfagent程序
3.客户机上cfagent程序执行update.conf,连接到中央机的cfservd复制下载策略文件cafagent.conf
4.客户机下载成功后执行最新版本的策略文件,不成功就执行旧版本的.
:update.conf的内容一般为一些非常简单的固定操作:下载策略文件,清理日志,重启服务,基本上这个文件创建好了之后就不会更改了.在下载策略文件的时候如果下载成功,会将原策略文件改名,加上.cfsaved后缀
客户端自主激活方式:相比上一种要简单一些,客户机独立执行cfagent(可以是定期执行,例如加入cron).在这样的情况下,客户机就不需要有cfservd程序了,整个流程也简化为图中的第3,4.
 

四、配置过程

(一)下载安装

cfengine的文档里面都是采用源码安装的,经本人测试后发现源码安装经常会出现莫名奇妙的错误,而使用rpm包则是省时省力的方式.
cfengine需要opensslBerkely DB这两个依赖性的包,所以在正式安装cfengine,必须确认你的系统已经安装了db4, db4-devel,一般来说都是系统自带安装好的.然后就可以下载cfengine下载地址[url]http://dag.wieers.com/rpm/packages/cfengine/cfengine-2.2.2-1.el5.rf.i386.rpm[/url]
安装也很简单,rpm –ivh cfengine-2.2.2-1.el5.rf.i386.rpm即可,接下来我们就要着手配置了
 

(二) 准备工作

在服务器和客户端将cfengine安装完成后,要做下面一些准备工作:
为了完全使用源码方便控制,将服务都禁用掉.
[root@centos1 inputs]# chkconfig cfservd off
[root@centos1 inputs]# chkconfig cfenvd off
[root@centos1 inputs]# chkconfig cfexecd off
然后查看会看到所有cfengine的相关服务都禁用了
[root@centos1 inputs]# chkconfig --list|grep cf
 
cfengine的程序复制到bin目录下
mv /var/cfengine/bin/cfagent /var/cfengine/bin/cfagent.link(将原来的链接文件重命名)
cp  /usr/sbin/cfagent  /var/cfengine/bin
cp  /usr/sbin/cfenvd  /var/cfengine/bin
cp  /usr/sbin/cfexecd  /var/cfengine/bin
cp  /usr/sbin/cfservd  /var/cfengine/bin
 

(三)工作方式二

我这里先说工作方式二的原因是它的过程简单,而且很能体现cfengine的本质工作流程.
此时需要的条件是:
服务器运行cfservd (这里当然是需要有cfservd.conf配置文件).然后还有一个正确的策略文件cfagent.conf供客户机下载
客户机使用cfagent运行update.conf的配置,连接到服务器的cfservd进程,下载cfagent.conf来运行.
所以我们接下来要在服务器和客户端上创建所需的配置文件:
服务器上:cfservd.conf  cfagent.conf
客户端上:update.conf
我们这里将centos1作为服务器(192.168.0.114,为了简洁,文中会简称为114),centos2作为客户端,文中简称为115
 

1对服务器端进行配置

1)创建配置文件cfservd.conf
/var/cfengine/inputs下创建cfservd.conf
# cfservd.conf
# yahoon 2007.11.1
control:
    domain = ( yahoon.org )
    AllowConnectionsFrom = ( 192.168.0.0/24 )
    TrustKeysFrom = ( 192.168.0.0/24 )
    AllowUsers = ( root )
    MaxConnections = ( 150 )
    MultipleConnections = ( true )
    #AllowMultipleConnectionsFrom = ( 192.168.0 )
############################################
admit:
#/var/cfengine/rpc_out *.$(domain) 128.39.73
#/file *.$(domain) 128.39.73
    /masterfile/inputs    192.168.0.
    /var/cfengine         192.168.0.
然后我们就可以启动cfservd服务,执行
/var/cfengine/bin/cfservd  –v
同样带上-v参数来查看详细的输出,利于排错
…( 部分略 )…
Listening for connections ...
cfservd: cfservd starting Fri Nov  2 18:54:49 2007
显示是成功的,进一步查看fservd监听的tcp 5308端口
[root@centos1 inputs]# netstat -an|grep 5308
tcp        0      0 :::5308                     :::*                        LISTEN
 
2)创建策略文件cfagent.conf
这就是我们即将要发布给客户机运行的策略文件,路径同样是在/var/cfengine/inputs下创建,内容如下
control:
actionsequence = ( shellcommands )
shellcommands:
"/bin/echo Danger, Will Robison!"
 
3)测试
执行cfagent –v (如果不需要真正执行,可以加上-n参数)
…( 部分略 )..
cfengine:centos1:
Executing script /bin/echo Danger, Will Robison!...(timeout=0,uid=-1,gid=-1)
(Setting umask to 77)
cfengine:centos1:/bin/echo Dange: Danger, Will Robison!
cfengine:centos1: Finished script /bin/echo Danger, Will Robison!
Performance(Exec(/bin/echo Danger, Will Robison!)): time=0.0529 secs, av=0.0536 +/- 0.0231
---------------------------------------------------------------------
Alerts
---------------------------------------------------------------------
++++++++++++++++++++++++++++++++++++++++
Summary of objects involved
++++++++++++++++++++++++++++++++++++++++
    global
    update
    main
cfengine:centos1: Outcome of version (not specified): Promises still kept 0%, Promises repaired 100%, Promises not kept 0%
运行完全正常,那么就可以将其复制到要发布的目录里面/masterfile/inputs
 
4DNS解析
cfservd在做文件传输的时候需要对连接上来的客户机做DNS解析,所以必需要有域名,如果是内部网没有dns服务,就利用/etc/hosts,将客户端加入进来.这里我们选用的域名为yahoon.org,
编辑/etc/hosts文件
[root@centos1 inputs]# vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1               centos1 localhost.localdomain localhost
::1             localhost6.localdomain6 localhost6
192.168.0.115   centos2.yahoon.org
粗体的部分即为加上的对客户机115的解析,要测试是否成功解析了centos2.yahoon.org十分简单,服务器上ping这个域名就可以了..
[root@centos1 inputs]# ping centos2.yahoon.org
PING  centos2.yahoon.org (192.168.0.115) 56(84) bytes of data.
64 bytes from centos2.yahoon.org (192.168.0.115): icmp_seq=1 ttl=64 time=3.74 ms
64 bytes from centos2.yahoon.org (192.168.0.115): icmp_seq=2 ttl=64 time=1.61 ms
 

2.对客户端进行配置

1)创建配置文件update.conf
/var/cfengine/inputs下创建 update.conf
# update.conf
# yahoon 2007.11.1
control:
    actionsequence = ( copy processes tidy )
    domain = ( yahoon.org )
    #policyhost = ( my_policy_host )
    policyhost = ( 192.168.0.114 )
    master_cfinput = ( /masterfile/inputs )
    workdir = ( /var/cfengine )
copy:
    $(master_cfinput) dest=$(workdir)/inputs
                      r=inf
                      mode=700
                      type=binary
                      server=$(policyhost)
                      trustkey=true
processes:
#    "cfservd" restart /var/cfengine/bin/cfservd
#    "cfenvd" restart "/var/cfengine/bin/cfenvd"
    "cfservd" signal=term restart /var/cfengine/bin/cfservd
    "cfenvd" signal=kill restart "/var/cfengine/bin/cfenvd -H"
tidy:
    $(workdir)/outputs pattern=* age=7
# End
 
2)测试运行
为了安全我们一般使用cfagent -v –n ,带上了-n参数的意思是只是测试,而不会真的执行.
…( 部分略 )…
Looking for an input file /var/cfengine/inputs/update.conf
Cfengine input file had no explicit version string
Finished with update.conf
---------------------------------------------------------------------
Looking for remote method collaborations
---------------------------------------------------------------------
Finished with RPC
Accepted domain name: yahoon.org
cfagent -n: Running in ``All talk and no action'' mode
LogDirectory = /var/cfengine
Loaded /var/cfengine/ppkeys/localhost.priv
Loaded /var/cfengine/ppkeys/localhost.pub
Checksum database is /var/cfengine/checksum_digests.db
Default binary server seems to be centos2
*********************************************************************
 Update Sched: copy pass 1 @ Fri Nov  2 00:58:17 2007
*********************************************************************
Checking copy from 192.168.0.114:/masterfile/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
Loaded /var/cfengine/ppkeys/root-192.168.0.114.pub
...............................................................
cfengine:centos2: Strong authentication of server=192.168.0.114 connection confirmed
Need this: /var/cfengine/inputs/cfagent.conf wasn't at destination (copying)
Performance(Copy(192.168.0.114:/masterfile/inputs > /var/cfengine/inputs)): time=0.2393 secs, av=0.2927 +/- 0.1537
*********************************************************************
 Update Sched: processes pass 1 @ Fri Nov  2 00:58:17 2007
*********************************************************************
cfengine:centos2: Running process command /bin/ps auxw
Defining classes
DoSignals(cfservd)
Existing restart sequence found (/var/cfengine/bin/cfservd)
cfengine:centos2: Executing shell command: /var/cfengine/bin/cfservd
Defining classes
DoSignals(cfenvd)
Existing restart sequence found (/var/cfengine/bin/cfenvd -H)
cfengine:centos2: Executing shell command: /var/cfengine/bin/cfenvd -H
*********************************************************************
 Update Sched: tidy pass 1 @ Fri Nov  2 00:58:17 2007
*********************************************************************
…( 部分略 )…
说明整个的执行过程是没问题的.粗体部分是连接服务器复制文件的过程.
 
上面是测试 我们现在不带-n来执行cfagent –v
…( 部分略 )…
Accepted domain name: yahoon.org
LogDirectory = /var/cfengine
Loaded /var/cfengine/ppkeys/localhost.priv
Loaded /var/cfengine/ppkeys/localhost.pub
Checksum database is /var/cfengine/checksum_digests.db
Default binary server seems to be centos2
*********************************************************************
 Update Sched: copy pass 1 @ Fri Nov  2 01:03:31 2007
*********************************************************************
Checking copy from 192.168.0.114:/masterfile/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
Loaded /var/cfengine/ppkeys/root-192.168.0.114.pub
...............................................................
cfengine:centos2: Strong authentication of server=192.168.0.114 connection confirmed
Performance(Copy(192.168.0.114:/masterfile/inputs > /var/cfengine/inputs)): time=0.2774 secs, av=0.2847 +/- 0.1080
Saving the setuid log in /var/cfengine/cfagent.centos2.log
…( 部分略 )…
*********************************************************************
 Main Tree Sched: shellcommands pass 1 @ Fri Nov  2 01:03:33 2007
*********************************************************************
cfengine:centos2:
Executing script /bin/echo Danger,Will Robison!...(timeout=0,uid=-1,gid=-1)
(Setting umask to 77)
cfengine:centos2:/bin/echo Dange: Danger,Will Robison!
cfengine:centos2: Finished script /bin/echo Danger, Will Robison!
Performance(Exec(/bin/echo Danger,Will Robison!)): time=0.0434 secs, av=0.0472 +/- 0.0217
---------------------------------------------------------------------
可以看到已经成功的下载了cfagent.conf文件,并成功运行了
查看这个目录ls /var/cfengine/inputs 确实已经有了cfagent.conf
 
如果我们立刻再执行一次cfagent –v ,会发现输出有这么一句
cfengine:centos2: Nothing promised for [shellcommand./bin/echo Danger, Will Robison!] (0/1 minutes elapsed)
这句话的意思是这个配置没超过1分钟就执行过,执行的频率太快,cfengine这次是不会执行的.
 
如果对服务器上的配置文件做了修改,例如
shellcommands:
"/bin/echo Danger, ======Will Robison!"  我只是在这个地方加了几个等号输出 .
然后在客户机上执行cfagent –v输出确实是多了===,不过细心的你会发现inputs目录下多了个文件
cfagent.conf.cfsaved
也就是说当cfagent成功下载了最新版本的配置文件后,会将原来的做个备份.
 

3.设为开机启动

最后我们需要做的就是将cfengine的程序设为自动启动.在客户机和服务器上
vi  /etc/rc.d/rc.local加上下面这两行
/var/cfengine/bin/cfservd
/var/cfengine/bin/cfenvd –H
然后让cfagent定期执行,也就是定期到服务器上去下载最新的配置文件来执行
运行crontab -e加上下面这句话
0,15,30,45 * * * * /var/cfengine/bin/cfexecd -F
 
 

4.排错:

1.原来我想的是本地子网没有域名,以为用ip就够了,就没有给出domain,在客户端运行cfagent –v输出如下
*********************************************************************
 Update Sched: copy pass 1 @ Thu Nov  1 21:52:20 2007
*********************************************************************
Checking copy from 192.168.0.114:/masterfiles/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
cfengine:centos2: Undefined domain name
cfengine:centos2: Id-authentication for centos2.undefined.domain failed
cfengine:centos2: Unable to establish connection with 192.168.0.114 (failover)
Saving the setuid log in /var/cfengine/cfagent.centos2.log
可以看到连接是失败的.因为cfservd要求连接上来的机器必须有DNS记录.
 
2.如果设置了domain,但是在/etc/hosts中没有连接的客户机的记录的话(也就是说只是在配置文件里面定义了域,而实际查不到dns记录)那么会有下面的错误
*********************************************************************
 Update Sched: copy pass 1 @ Thu Nov  1 22:49:42 2007
*********************************************************************
Checking copy from 192.168.0.114:/masterfiles/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
Loaded /var/cfengine/ppkeys/root-192.168.0.114.pub
...............................................................
cfengine:centos2: Strong authentication of server=192.168.0.114 connection confirmed
cfengine:centos2: Server returned error:  Host authentication failed. Did you forget the domain name or IP/DNS address registration (for ipv4 or ipv6)?
cfengine:centos2: Can't stat /masterfiles/inputs in copy
Saving the setuid log in /var/cfengine/cfagent.centos2.log
另外在cfservd.confupdate.conf,服务器上用于拷贝的目录路径必须正确,否则也会报这个错误的我这里是:/masterfiles/inputs.
 

5.新加入一台客户机

现在新加入一台客户端机器名centos3  ip地址 192.168.0.116
在它上面安装好cfengine,做好准备工作:禁用服务,拷贝程序
要让它能连上服务器的cfservd,那么必须在服务器上添加它的dns记录
在服务器上, vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1               centos1 localhost.localdomain localhost
::1             localhost6.localdomain6 localhost6
192.168.0.115   centos2.yahoon.org
192.168.0.116   centos3.yahoon.org  加上粗体的这行 .
然后从centos2上拷贝update.conf到新客户端上,当然是使用sftp是最快的
先切换到inputs目录下
cd /var/cfengine/inputs
运行sftp(过程如下:粗体部分是输入的命令)
sftp 192.168.0.115
Connecting to 192.168.0.115...
The authenticity of host '192.168.0.115 (192.168.0.115)' can't be established.
RSA key fingerprint is 62:ef:31:0b:ee:89:74:f8:94:4d:ec:11:ee:fa:18:79.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.115' (RSA) to the list of known hosts.
root@192.168.0.115's password:  输入115 的密码
sftp> cd /var/cfengine/inputs
sftp> dir
cfagent.conf             cfagent.conf.cfsaved     cfservd.conf             update.conf             
sftp> get update.conf
Fetching /var/cfengine/inputs/update.conf to update.conf
/var/cfengine/inputs/update.conf                      100%  774     0.8KB/s   00:00   
sftp> bye
现在就可以测试运行了
[root@centos3 inputs]# cfagent -v -n
输出报错
Checking copy from 192.168.0.114:/masterfile/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
cfengine:centos3: BAD: keys did not match
cfengine:centos3: Authentication dialogue with 192.168.0.114 failed
cfengine:centos3: Unable to establish connection with 192.168.0.114 (failover)
看来是key的问题从服务器和客户端上删掉相关的公钥文件(/var/cfengine/ppkeys目录下)
服务器上删掉root-192.168.0.116.pub
客户端上删掉root-192.168.0.114.pub
 
重新执行cfagent –v –n
Checking copy from 192.168.0.114:/masterfile/inputs to /var/cfengine/inputs
Connect to 192.168.0.114 = 192.168.0.114 on port 5308
cfengine:centos3: Trusting server identity and willing to accept key from 192.168.0.114=192.168.0.114
Saving public key /var/cfengine/ppkeys/root-192.168.0.114.pub
cfengine:centos3: /var/cfengine/inputs/cfagent.conf wasn't at destination (copying)
cfengine:centos3: Copying from 192.168.0.114:/masterfile/inputs/cfagent.conf
cfengine:centos3: Object /var/cfengine/inputs/cfagent.conf had permission 600, changed it to 700
cfengine:centos3: Object /var/cfengine/inputs had permission 755, changed it to 700
Performance(Copy(192.168.0.114:/masterfile/inputs > /var/cfengine/inputs)): time=0.4462 secs, av=0.4462 +/- 0.0316
Saving the setuid log in /var/cfengine/cfagent.centos3.log
运行成功!
接下来的工作就又很简单了,加入启动项,加入crontab.
从加入第二台机器的排错过程,我们可以看到,cfservd建立连接的时候,有一个交换key的过程
一般在安装好了后在/var/ppkey的目录下已经有了localhost.privlocalhost.pub
上面所说的客户端115连到服务器114的过程就是:
115将自己的localhost.pub114,114将其改名为root-192.168.0.115.pub;同样:114将自己的localhost.pub115,115将其改名为root-192.168.0.114.pub
不信的话可以查看115上的localhost.pub114上的root-192.168.0.115.pub,内容是一样的.
小结:
要跟cfservd建立连接需要两个过程:首先是交换和验证公钥(如果是第一次连接没有对方的公钥就要交换,以后的连接就只需要验证就可以了),然后是服务器对客户机做DNS反向查询(文档里面说的是两次)
 

(四)工作方式一

在完成了对工作方式二的配置之后,在它的基础上我们来配置工作方式一,这种工作方式是由服务器运行cfrun连接远程客户端的cfservd,激活远程主机的cfagent程序.相比第二种方式而言,这种做法实现了集中控制.例如现在有个配置需要立刻更改,而现在还没到客户端定时运行的时间,如果我们一台台的登录到客户机来执行cfagent,显然是十分麻烦的,而且很费时间.有了cfrun就可以在中央机上对所有的客户发出指令让他们立即运行cfagent.

1.配置客户机上的cfservd.conf

在之前的update.conf里面,我们可以看到我们已经在远程客户端上开启了cfservd进程.只是并没有为它们写配置文件,要做也其实很简单,将服务器的cfservd.conf复制过来,然后做适当修改就可以了
# cfservd.conf
# yahoon 2007.11.1
control:
    cfrunCommand = ( "/var/cfengine/bin/cfagent" )   只需要加入这一句就可以了
    domain = ( yahoon.org )
    AllowConnectionsFrom = ( 192.168.0.0/24 )
    TrustKeysFrom = ( 192.168.0.0/24 )
    AllowUsers = ( root )
    MaxConnections = ( 150 )
    MultipleConnections = ( true )
    #AllowMultipleConnectionsFrom = ( 192.168.0 )
############################################
admit:
#/var/cfengine/rpc_out *.$(domain) 128.39.73
#/file *.$(domain) 128.39.73
    /masterfile/inputs    192.168.0.
    /var/cfengine         192.168.0.
然后重启客户机的cfservd进程
 

2.编辑服务器上的cfrun.hosts客户端列表

在服务器上写配置文件cfrun.host,只需要把客户机的ip加进去,这里我们先只把115加进去
# This is the host list for cfrun
192.168.0.115
 

3.在服务器上运行cfrun

现在就可以在服务器上运行cfrun –v
…( 部分略 )…
Loaded /var/cfengine/ppkeys/localhost.priv
Loaded /var/cfengine/ppkeys/localhost.pub
Looking for a source of entropy in /var/cfengine/randseed
cfrun(0):         .......... [ Hailing 192.168.0.115 ] ..........
Connecting to server 192.168.0.115 to port 0 with options 
Loaded /var/cfengine/ppkeys/root-192.168.0.115.pub
Connect to 192.168.0.115 = 192.168.0.115 on port 5308
Loaded /var/cfengine/ppkeys/root-192.168.0.115.pub
...............................................................
cfrun:yahoon.org: Strong authentication of server=192.168.0.115 connection confirmed
192.168.0.115 replies..
Connection with 192.168.0.115 completed
到客户机115上查看cfagent的日志文件cfengine.centos2.runlog
Sat Nov  3 07:06:37 2007:Lock removed normally :pid=24784:lock.cfagent_conf.centos2.copy._masterfile_inputs__var_cfengine_inp
uts_192_168_0_114_4831:
Sat Nov  3 07:06:39 2007:Lock removed normally :pid=24784:lock.cfagent_conf.centos2.processes.proc_cfservd__var_cfengine_bin_
cfservd_1704:
Sat Nov  3 07:06:39 2007:Lock removed normally :pid=24784:lock.cfagent_conf.centos2.processes.proc_cfenvd__var_cfengine_bin_c
fenvd__H_4223:
Sat Nov  3 07:06:39 2007:Lock removed normally :pid=24784:lock.cfagent_conf.centos2.tidy._var_cfengine_outputs_3686:
Sat Nov  3 07:06:39 2007:Lock removed normally :pid=24784:lock.cfagent_conf.centos2.shellcommand._bin_echo_Danger__Will_hello
_____Robison______2889:
Sat Nov  3 07:06:39 2007:Lock removed normally :pid=24784:no_active_lock:
按照115的方法将另外一台客户机116也配置好,并加入到cfrun.hosts文件里面,同样执行cfrun –v就可以看到两台主机都运行了.
 

4.注意:

1.cfrun是读取cfrun.hosts里面的主机列表,一个主机完成之后再连接下一台主机
2.如果现在有多台主机,我现在有紧急情况要运行其中一台的cfagent,例如115这台机,当然你可以ssh到这台主机上直接执行cfagent –v,但是有了cfrun,你只需要在服务器上执行cfrun 192.168.0.115 –v,注意输出的第一行显示Skipping host 192.168.0.116,很明显,它会跳过116来执行.
3.如果客户机的cfservd.conf从服务器拷贝过来后未增加cfrunCommand = ( "/var/cfengine/bin/cfagent" ),那么在服务器执行cfrun –v的时候会报错,同样以115为例,那么cfrun –v的输出会有:
Loaded /var/cfengine/ppkeys/root-192.168.0.115.pub
...............................................................
cfrun:yahoon.org: Strong authentication of server=192.168.0.115 connection confirmed
192.168.0.115 replies..
 Host authentication failed. Did you forget the domain name or IP/DNS address registration (for ipv4 or ipv6)?cfrun:yahoon.org: Couldn't recv
cfrun:yahoon.org: recv
Connection with 192.168.0.115 completed
 

五、小结

1.通过客户机本身的cfexecd  服务器的cfrun如果是同时执行cfagent会不会出现冲突?答案是不会,cfengine有很好的锁的机制来避免这种情况的发生.通常来说,客户机定时执行cfexecd来单独激活自己的cfagent和服务器执行cfrun集中激活客户机这两种方式在实际中都会使用,只是场合不同:
定时执行:作为客户机的一种例行的工作安排进行设置,属于日常任务.
集中执行:一般用于特殊情况,要临时激活某些或者所有的客户机执行cfagent,例如临时更改某个主机的配置等.
2.cfengine本身并没有客户机服务器的严格区分,每一台主机同时可以是服务器,也可以当作客户机.这与windows域的概念有些相似,只要客户端上安装了域管理工具,就可以进行域管理的工作.cfengine也是这种概念.当然,一般来讲方便于集中控制,我们会选定一台机作为服务器,例如本文的centos1,其余的机都用作客户机.
3.cfengine的日志系统:cfengine的日志是相当丰富的,例如在centos1,/var/cfengine目录里面cfengine.centos1.runlog,这是cfagent进程的运行日志, cfengine.localhost.runlog这是cfenvd进程的日志.特别注意的是outputs这个目录下面,有很多文件,每次cfexecd运行一次,就会写入一个文件,文件的内容就是cfagent执行的结果.outputs这个目录包括下面的文件都是由cfexecd程序所产生的.
4. inputs outputs目录,这两个目录十分容易搞混,上面已经说了outputs目录的作用,inputs相对而言就重要得多,它是cfengine默认的当前有效配置文件所在的目录.我们之前创建的*.conf之类的文件都是在这个目录下.
5.cfengine的所有程序都带有-v参数,用于详细的输出,这对我们排错调试带来了很大方便.而且对于cfagent程序,-n参数是十分有用的.对于一个刚刚建立的策略文件直接执行是十分危险的,-n参数是模拟执行,所以带上它来运行cfagent就给我们带来很大的安全性,特别是调试的时候.所以首先应该使用cfagent –n –v
6.cfengine的文档是十分丰富的,我这里也只是仅仅安装上去,告诉大家基本的使用方法,更详细的使用说明可以查阅其官方网站的文档。
 


本文转自yahoon 51CTO博客,原文链接:http://blog.51cto.com/yahoon/52409,如需转载请自行联系原作者
相关文章
|
1天前
|
运维 应用服务中间件 网络安全
自动化运维的新篇章:使用Ansible进行服务器配置管理
【10月更文挑战第34天】在现代IT基础设施的快速迭代中,自动化运维成为提升效率、确保一致性的关键手段。本文将通过介绍Ansible工具的使用,展示如何实现高效的服务器配置管理。从基础安装到高级应用,我们将一步步揭开自动化运维的神秘面纱,让你轻松掌握这一技术,为你的运维工作带来革命性的变化。
|
1天前
|
存储 缓存 固态存储
阿里云服务器2核8G、4核16G、8核32G配置租用收费标准与活动价格参考
2核8G、8核32G、4核16G配置的云服务器处理器与内存比为1:4,这种配比的云服务器一般适用于中小型数据库系统、缓存、搜索集群和企业办公类应用等通用型场景,因此,多为企业级用户选择。本文介绍这些配置的最新租用收费标准与活动价格情况,以供参考。
|
2天前
|
存储 编解码 安全
阿里云服务器2核4G、4核8G、8核16G配置租用收费标准与活动价格参考
通常情况下,个人和一般企业用户在购买阿里云服务器时比较喜欢购买2核4G、4核8G、8核16G等配置,这些配置既能满足各种图文类中小型网站和应用又能满足企业网站应用、批量计算、中小型数据库系统等场景,2核4G配置适合新手入门或初创企业,4核8G与8核16G兼具成本与性能优势,适合通用场景,本文介绍这些配置的最新购买价格,包含原价收费标准和最新活动价格。
|
7天前
|
PHP 数据库 数据安全/隐私保护
布谷直播源码部署服务器关于数据库配置的详细说明
布谷直播系统源码搭建部署时数据库配置明细!
|
9天前
|
运维 应用服务中间件 调度
自动化运维:使用Ansible实现服务器批量管理
【10月更文挑战第26天】在当今快速发展的IT领域,自动化运维已成为提升效率、降低人为错误的关键技术手段。本文通过介绍如何使用Ansible这一强大的自动化工具,来简化和加速服务器的批量管理工作,旨在帮助读者理解自动化运维的核心概念和实践方法。文章将围绕Ansible的基础使用、配置管理、任务调度等方面展开,通过实际案例引导读者深入理解自动化运维的实现过程,最终达到提高运维效率和质量的目的。
|
16天前
|
NoSQL Linux PHP
|
20天前
|
运维 负载均衡 安全
自动化运维:使用Ansible进行服务器配置管理
【10月更文挑战第15天】在本文中,我们将探讨如何利用Ansible这一强大的自动化工具来简化和加速服务器的配置管理工作。通过实际案例和代码示例,我们将展示Ansible如何帮助运维人员高效地进行软件部署、系统更新和日常维护任务,从而提升工作效率并减少人为错误。
|
6天前
|
弹性计算
阿里云2核16G服务器多少钱一年?亲测价格查询1个月和1小时收费标准
阿里云2核16G服务器提供多种ECS实例规格,内存型r8i实例1年6折优惠价为1901元,按月收费334.19元,按小时收费0.696221元。更多规格及详细报价请访问阿里云ECS页面。
39 9
|
3天前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
6天前
|
弹性计算 异构计算
2024年阿里云GPU服务器多少钱1小时?亲测价格查询方法
2024年阿里云GPU服务器每小时收费因实例规格不同而异。可通过阿里云GPU服务器页面选择“按量付费”查看具体价格。例如,NVIDIA A100的gn7e实例为34.742元/小时,NVIDIA A10的gn7i实例为12.710156元/小时。更多详情请访问阿里云官网。
39 2