[[144999]]

Chef是面對IT專業(yè)人員的一款配置管理和自動化工具，它可以配置和管理你的基礎設施（設備），無論它在本地還是在云上。它可以用于加速應用部署并協(xié)調(diào)多個系統(tǒng)管理員和開發(fā)人員的工作，這包括可支持大量的客戶群的成百上千的服務器和程序。chef最有用的是讓基礎設施變成代碼。一旦你掌握了Chef，你可以獲得自動化管理你的云端基礎設施或者終端用戶的一流的網(wǎng)絡IT支持。

下面是我們將要在本篇中要設置和配置Chef的主要組件。

安裝Chef的要求和版本

我們將在下面的基礎環(huán)境下設置Chef配置管理系統(tǒng)。

Chef服務端的安裝和配置

Chef服務端是核心組件，它存儲配置以及其他和工作站交互的配置數(shù)據(jù)。讓我們在他們的官網(wǎng)https://www.chef.io下載最新的安裝文件。

我使用下面的命令來下載和安裝它。

(1) 下載Chef服務端

root@ubuntu-14-chef:/tmp# wget https://web-dl.packagecloud.io/chef/stable/packages/ubuntu/trusty/chef-server-core_12.1.0-1_amd64.deb

(2) 安裝Chef服務端

root@ubuntu-14-chef:/tmp# dpkg -i chef-server-core_12.1.0-1_amd64.deb

(3) 重新配置Chef服務端

現(xiàn)在運行下面的命令來啟動所有的chef服務端服務，這一步也許會花費一些時間，因為它需要由許多不同一起工作的服務組成一個可正常運作的系統(tǒng)。

root@ubuntu-14-chef:/tmp# chef-server-ctl reconfigure

chef服務端啟動命令'chef-server-ctl reconfigure'需要運行兩次，這樣就會在安裝后看到這樣的輸出。

Chef Client finished, 342/350 resources updated in 113.71139964 seconds
opscode Reconfigured!

(4) 重啟系統(tǒng)

安裝完成后重啟系統(tǒng)使系統(tǒng)能最好的工作，不然我們或許會在創(chuàng)建用戶的時候看到下面的SSL連接錯誤。

ERROR: Errno::ECONNRESET: Connection reset by peer - SSL_connect

(5) 創(chuàng)建新的管理員

運行下面的命令來創(chuàng)建一個新的管理員賬戶及其配置。創(chuàng)建過程中，用戶的RSA私鑰會自動生成，它需要保存到一個安全的地方。--file選項會保存RSA私鑰到指定的路徑下。

root@ubuntu-14-chef:/tmp# chef-server-ctl user-create kashi kashi kashi kashif.fareedi@gmail.com kashi123 --filename /root/kashi.pem

Chef服務端的管理設置

Chef Manage是一個針對企業(yè)級Chef用戶的管理控制臺，它提供了可視化的web用戶界面，可以管理節(jié)點、數(shù)據(jù)包、規(guī)則、環(huán)境、Cookbook 和基于角色的訪問控制（RBAC）。

(1) 下載Chef Manage

從官網(wǎng)復制鏈接并下載chef manage的安裝包。

root@ubuntu-14-chef:~# wget https://web-dl.packagecloud.io/chef/stable/packages/ubuntu/trusty/opscode-manage_1.17.0-1_amd64.deb

(2) 安裝Chef Manage

使用下面的命令在root的家目錄下安裝它。

root@ubuntu-14-chef:~# chef-server-ctl install opscode-manage --path /root

(3) 重啟Chef Manage和服務端

安裝完成后我們需要運行下面的命令來重啟chef manage和服務端。

root@ubuntu-14-chef:~# opscode-manage-ctl reconfigure
root@ubuntu-14-chef:~# chef-server-ctl reconfigure

#p#

Chef Manage網(wǎng)頁控制臺

我們可以使用localhost或它的域名來訪問網(wǎng)頁控制臺，并用已經(jīng)創(chuàng)建的管理員登錄。

chef amanage

(1) Chef Manage創(chuàng)建新的組織

你或許被要求創(chuàng)建新的組織，或者也可以接受其他組織的邀請。如下所示，使用縮寫和全名來創(chuàng)建一個新的組織。

[[145002]]

Create Org

(2) 用命令行創(chuàng)建新的組織

我們同樣也可以運行下面的命令來創(chuàng)建新的組織。

root@ubuntu-14-chef:~# chef-server-ctl org-create linux Linoxide Linux Org. --association_user kashi --filename linux.pem

設置工作站

我們已經(jīng)完成安裝chef服務端，現(xiàn)在我們可以開始創(chuàng)建任何recipes（基礎配置元素）、cookbooks（基礎配置集）、attributes（節(jié)點屬性），以及做一些其他修改。

(1) 在Chef服務端上創(chuàng)建新的用戶和組織

為了設置工作站，我們需要用命令行創(chuàng)建一個新的用戶和組織。

root@ubuntu-14-chef:~# chef-server-ctl user-create bloger Bloger Kashif bloger.kashif@gmail.com bloger123 --filename bloger.pem
 
root@ubuntu-14-chef:~# chef-server-ctl org-create blogs Linoxide Blogs Inc. --association_user bloger --filename blogs.pem

(2) 下載工作站入門套件

在工作站的網(wǎng)頁控制臺中下載并保存入門套件，它用于與服務端協(xié)同工作。

Starter Kit

(3) 下載套件后，點擊"Proceed"

[[145003]]

starter kit

用于工作站的Chef開發(fā)套件設置

Chef開發(fā)套件是一款包含開發(fā)chef所需的所有工具的軟件包。它捆綁了由Chef開發(fā)的帶Chef客戶端的工具。

(1) 下載 Chef  DK

我們可以從它的官網(wǎng)鏈接中下載開發(fā)包，并選擇操作系統(tǒng)來下載chef開發(fā)包。

Chef DK

復制鏈接并用wget下載

root@ubuntu-15-WKS:~# wget https://opscode-omnibus-packages.s3.amazonaws.com/ubuntu/12.04/x86_64/chefdk_0.6.2-1_amd64.deb

#p#

(2) Chef開發(fā)套件安裝

使用dpkg命令安裝開發(fā)套件

root@ubuntu-15-WKS:~# dpkg -i chefdk_0.6.2-1_amd64.deb

(3) Chef DK 驗證

使用下面的命令驗證客戶端是否已經(jīng)正確安裝。

root@ubuntu-15-WKS:~# chef verify

Running verification for component 'berkshelf'
Running verification for component 'test-kitchen'
Running verification for component 'chef-client'
Running verification for component 'chef-dk'
Running verification for component 'chefspec'
Running verification for component 'rubocop'
Running verification for component 'fauxhai'
Running verification for component 'knife-spork'
Running verification for component 'kitchen-vagrant'
Running verification for component 'package installation'
Running verification for component 'openssl'
..............
---------------------------------------------
Verification of component 'rubocop' succeeded.
Verification of component 'knife-spork' succeeded.
Verification of component 'openssl' succeeded.
Verification of component 'berkshelf' succeeded.
Verification of component 'chef-dk' succeeded.
Verification of component 'fauxhai' succeeded.
Verification of component 'test-kitchen' succeeded.
Verification of component 'kitchen-vagrant' succeeded.
Verification of component 'chef-client' succeeded.
Verification of component 'chefspec' succeeded.
Verification of component 'package installation' succeeded.

(4) 連接Chef服務端

我們將創(chuàng)建 ~/.chef目錄，并從chef服務端復制兩個用戶和組織的pem文件到該目錄下。

root@ubuntu-14-chef:~# scp bloger.pem blogs.pem kashi.pem linux.pem root@172.25.10.172:/.chef/

root@172.25.10.172's password:
bloger.pem 100% 1674 1.6KB/s 00:00
blogs.pem 100% 1674 1.6KB/s 00:00
kashi.pem 100% 1678 1.6KB/s 00:00
linux.pem 100% 1678 1.6KB/s 00:00

(5) 編輯配置來管理chef環(huán)境 **

現(xiàn)在使用下面的內(nèi)容創(chuàng)建"~/.chef/knife.rb"。

root@ubuntu-15-WKS:/.chef# vim knife.rb
current_dir = File.dirname(__FILE__)
 
log_level :info
log_location STDOUT
node_name "kashi"
client_key "#{current_dir}/kashi.pem"
validation_client_name "kashi-linux"
validation_key "#{current_dir}/linux.pem"
chef_server_url "https://172.25.10.173/organizations/linux"
cache_type 'BasicFile'
cache_options( :path => "#{ENV['HOME']}/.chef/checksums" )
cookbook_path ["#{current_dir}/../cookbooks"]

創(chuàng)建knife.rb中指定的“~/cookbooks”文件夾。

root@ubuntu-15-WKS:/# mkdir cookbooks

(6) 測試Knife配置

運行“knife user list”和“knife client list”來驗證knife是否工作。

root@ubuntu-15-WKS:/.chef# knife user list

第一次運行的時候可能會看到下面的錯誤，這是因為工作站上還沒有chef服務端的SSL證書。

ERROR: SSL Validation failure connecting to host: 172.25.10.173 - SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
ERROR: Could not establish a secure connection to the server.
Use `knife ssl check` to troubleshoot your SSL configuration.
If your Chef Server uses a self-signed certificate, you can use
`knife ssl fetch` to make knife trust the server's certificates.

要解決上面的命令的錯誤，運行下面的命令來獲取ssl證書，并重新運行knife user和client list，這時候應該就可以了。

root@ubuntu-15-WKS:/.chef# knife ssl fetch
WARNING: Certificates from 172.25.10.173 will be fetched and placed in your trusted_cert
directory (/.chef/trusted_certs).

knife沒有辦法驗證這些是否是有效的證書。你應該在下載時驗證這些證書的真實性。

在/.chef/trusted_certs/ubuntu-14-chef_test_com.crt下面添加ubuntu-14-chef.test.com的證書。

在上面的命令取得ssl證書后，接著運行下面的命令。

root@ubuntu-15-WKS:/.chef#knife client list
kashi-linux

配置與chef服務端交互的新節(jié)點

節(jié)點是執(zhí)行所有基礎設施自動化的chef客戶端。因此，在配置完chef-server和knife工作站后，通過配置與chef-server交互的新節(jié)點，來將新的服務端添加到我們的chef環(huán)境下。

我們使用下面的命令來添加與chef服務端協(xié)同工作的新節(jié)點。

root@ubuntu-15-WKS:~# knife bootstrap 172.25.10.170 --ssh-user root --ssh-password kashi123 --node-name mydns

Doing old-style registration with the validation key at /.chef/linux.pem...
Delete your validation key in order to use your user credentials instead
 
Connecting to 172.25.10.170
172.25.10.170 Installing Chef Client...
172.25.10.170 --2015-07-04 22:21:16-- https://www.opscode.com/chef/install.sh
172.25.10.170 Resolving www.opscode.com (www.opscode.com)... 184.106.28.91
172.25.10.170 Connecting to www.opscode.com (www.opscode.com)|184.106.28.91|:443... connected.
172.25.10.170 HTTP request sent, awaiting response... 200 OK
172.25.10.170 Length: 18736 (18K) [application/x-sh]
172.25.10.170 Saving to: ‘STDOUT’
172.25.10.170
100%[======================================>] 18,736 --.-K/s in 0s
172.25.10.170
172.25.10.170 2015-07-04 22:21:17 (200 MB/s) - written to stdout [18736/18736]
172.25.10.170
172.25.10.170 Downloading Chef 12 for ubuntu...
172.25.10.170 downloading https://www.opscode.com/chef/metadata?v=12&prerelease=false&nightlies=false&p=ubuntu&pv=14.04&m=x86_64
172.25.10.170 to file /tmp/install.sh.26024/metadata.txt
172.25.10.170 trying wget...

之后我們可以在knife節(jié)點列表下看到創(chuàng)建的新節(jié)點，它也會在新節(jié)點下創(chuàng)建新的客戶端。

root@ubuntu-15-WKS:~# knife node list
mydns

類似地我們只要通過給上面的knife命令提供ssh證書，就可以在chef設施上創(chuàng)建多個節(jié)點。

總結

本篇我們學習了chef管理工具，并通過安裝和配置設置基本了解了它的組件。我希望你在學習安裝和配置Chef服務端以及它的工作站和客戶端節(jié)點中獲得樂趣。