Puppet — крос­сплат­фор­мен­ное кли­ент-сер­вер­ное ПО, кото­рое поз­во­ля­ет цен­тра­ли­зо­ван­но управ­лять кон­фи­гу­ра­ци­ей ОС и ути­лит, кото­рые уста­нов­ле­ны на раз­ных сер­ве­рах. Мно­гие боль­шие ком­па­нии исполь­зу­ют puppet для сво­их целей.

Узлы сети, управ­ля­е­мые с помо­щью Puppet, пери­о­ди­че­ски опра­ши­ва­ют сер­вер, полу­ча­ют и при­ме­ня­ют вне­сён­ные адми­ни­стра­то­ром изме­не­ния в кон­фи­гу­ра­цию. Кон­фи­гу­ра­ция опи­сы­ва­ет­ся на спе­ци­аль­ном декла­ра­тив­ном пред­мет­но-ори­ен­ти­ро­ван­ном языке

Паппет терминология.

• Facts: Пап­пет агент на каж­дом узле отправ­ля­ет дан­ные о состо­я­нии ноды ( кото­рые назы­ва­ют­ся фак­та­ми) на сер­вер с puppet-master-ом.
• Catalog: Сер­вер с пап­пет-масте­ром исполь­зу­ет факт что­бы ском­пи­ли­ро­вать подроб­ные дан­ные о том, как дол­жен быть скон­фи­гу­ри­ро­ван узел ( это так зва­ный ката­лог) и отпра­вить его обрат­но на пап­пет-агент. Пап­пет-агент вно­сит любые изме­не­ния в catalog. Puppet-agent может симу­ли­ро­вать дан­ные изме­не­ния (име­ет­ся опция — ‘—noop’) для того, что­бы про­ве­сти тесты.
• Report: Каж­дый пап­пет-агент отправ­ля­ет отчет на пап­пет-масте с ука­за­ни­ем любых изме­не­ний, вне­сен­ных в конфигурацию.
• Report Collection: Откры­тое puppet API кото­ре может быть исполь­зо­ва­но для отправ­ки дан­ных. Таким обра­зом, инфра­струк­ту­ра может исполь­зо­вать­ся сов­мест­но с дру­ги­ми командами.

Особенности Puppet

• Раз­ра­бо­тан таким обра­зом, что он предот­вра­ща­ет дуб­ли­ро­ва­ние выпол­не­ние запу­щен­ных манифестов.
• Гото­вый к исполь­зо­ва­нию инструмент.
• Мощ­ный Framework.
• Упро­ща­е­те выпол­не­ние рутин­ных задач систем­но­го администратора.
• Помо­га­ет в управ­ле­нии физи­че­ски­ми и вир­ту­аль­ны­ми устрой­ства­ми, а так­же облаками.

У меня имеется:

• 192.168.1.150 puppet-server
• 192.168.1.16 puppet-agent

Puppet в репо­зи­то­ри­ях состо­ит из несколь­ких паке­тов, puppet-сер­вер и puppet-кли­ент — это 2 основ­ных паке­та кото­рые потребуются.

Пап­пет под­дер­жи­ва­ет 2 режи­ма использования:

• Standalone Mode — это когда уста­нав­ли­ва­ет­ся на каж­дую из машин puppet-server и puppet-agent и он про­ви­же­нит все дело на одной толь­ко ноде. Все мани­фе­сты, все настрой­ки будет толь­ко на одном сер­ве­ре. Мож­но запус­кать по cron.
• Master-Agent — это когда у вас име­ет­ся puppet-server и уста­нов­лен­ные puppet-agent-ы на дру­гих маши­нах. Puppet-агент пери­о­ди­че­ски отправ­ля­ет фак­ты на puppetmaster и запра­ши­ва­ет ката­лог. Puppetmaster ком­пи­ли­ру­ет и воз­вра­ща­ет ката­лог кон­крет­но­го узла, исполь­зуя источ­ни­ки инфор­ма­ции, к кото­рым он име­ет доступ.

Установка Puppet в Unix/Linux

Мож­но под­клю­чить репо­зи­то­рий EPEL — вклю­чить EPEL репо­зи­то­рий на CentOS и потом, выпол­ним поиск пакетов:

Смот­рим какой тип ОС име­ет­ся в систе­ме, для это­го мож­но выполнить:

# uname -m
x86_64

И потом выби­ра­ем вер­сию ОС….

CentOS 6:

rpm -ivh http://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm

Уста­нав­ли­ва­ем сам puppet-server:

yum -y install puppet-server

/etc/sysconfig/puppet — мик­ро­кон­фиг. Реко­мен­ду­ет­ся рас­ком­мен­ти­ро­вать для полу­че­ния отдель­ных логов строчку

/etc/puppet/environments — может исполь­зо­вать­ся для деле­ния кли­ен­тов на груп­пы, весь­ма неод­но­знач­ная тех­но­ло­гия, нуж­на, если узлов не мень­ше 30 и зача­стую заме­ня­ет­ся экзо­ти­че­ской над­строй­кой R10K.

/etc/puppet/hieradata — исполь­зу­ет­ся для хра­не­ния, доволь­но инте­рес­ная тех­но­ло­гия, тре­бу­ет отдель­ной статьи.

/etc/puppet/manifests/site.pp — основ­ной кон­фиг запус­ка клас­сов из моду­лей настрой­ки клиентов.

/etc/puppet/modules — соб­ствен­но сюда скачиваются/пишутся_свои моду­ли для настрой­ки кли­ен­тов, кото­рые по сути пред­став­ля­ют из себя набор клас­сов (мани­фе­стов), напи­са­ных на DSL, похо­жем на Ruby. При жела­нии мож­но даже делать встав­ки на чистом Ruby.

/var/lib/puppet — пока сюда не лезем, будет нуж­но для сертификатов.

/etc/puppet/puppet.conf — основ­ной кон­фиг настрой­ки сервера.

Добав­ля­ем в /etc/puppet/puppet.conf сек­ция [main]:

dns_alt_names — здесь про­пи­сы­ва­ют­ся узлы, кото­рые могут рабо­тать с сер­ве­ром через сер­ти­фи­ка­ты. Тем у кого сер­ве­ра сидят за прок­сёй и они хотят тянуть моду­ли с forgeapi.puppetlabs.com, полез­но будет знать, что puppet пофиг на ваши систем­ные http_proxy=proxy01.int:8080 и https_proxy=proxy02.int:8080 и при­дёт­ся забить в кон­фиг доп секцию.

Для про­вер­ки всех теку­щих пара­мет­ров сер­ве­ра есть полез­ная команда:

При­чём даже демон пере­за­гру­жать не надо, он всё вре­мя пере­чи­ты­ва­ет свои конфиги.

Выста­вим огра­ни­че­ние по исполь­зо­ва­нию RAM в puppet:

vim /etc/sysconfig/puppetmaster

Затем най­ди­те стро­ку JAVA_ARGS и исполь­зуй­те -Xms и -Xmx пара­мет­ры , что­бы уста­но­вить рас­пре­де­ле­ние памя­ти. Напри­мер, если вы хоти­те исполь­зо­вать 4 ГБ памя­ти, стро­ка долж­на выгля­деть так:

ЭТО НУЖНО ДЛЯ PUPPET 4 (насчет 5-го я не уве­рен), Т.К ИСПОЛЬЗУЕТСЯ JAVA ВНУТРИ PUPPET.

Дан­ный сер­вер, напи­сан на рубене, по это­му — он тоже поста­вит­ся (вме­сте с зависимостями).

Если вы не пред­по­ла­га­е­те исполь­зо­вать DNS, вы може­те доба­вить запи­си в файл на сер­ве­ре и кли­ен­те. Откры­ва­ем файл:

vim /etc/hosts

В фай­ле /etc/hosts добав­ля­ем запись (это важ­но – имя хоста долж­но быть доступ­но и назна­че­но и сер­ве­ру, и клиенту):

Что­бы изме­не­ния всту­пи­ли в силу, выполните:

Так же, мож­но про­гнать тест:

# puppet agent --test --server=`hostname`

Как-то так.

Фай­лы и кли­ен­та и сер­ве­ра хра­нят­ся в ката­ло­ге /etc/puppet:

Фай­лы fileserver.conf и auth.conf исполь­зу­ют­ся для настрой­ки фай­ло­во­го сер­ве­ра и аутен­ти­фи­ка­ции – мы их пока тро­гать не будем.

Ката­лог manifests содер­жит в себе “мани­фе­сты”, кото­рые явля­ют­ся фай­ла­ми настрой­ки для кли­ен­тов. Основ­ной из них – файл site.pp, кото­рый будет счи­ты­вать­ся масте­ром все­гда, и его настрой­ки будут при­ме­нять­ся ко всем кли­ен­там (если дру­гое не ука­за­но в самом манифесте).

Добавляем правило  iptables

Если исполь­зу­е­те iptables, то про­пи­шем правило:

Добав­ля­ем в автозапуск:

Добав­ля­ем пра­ви­ло systemd

Посмот­реть все теку­щие настрой­ки мож­но выпол­нив сле­ду­ю­щую команду

puppet apply --configprint all

Для каж­дой опции, мож­но выво­дить зна­че­ние — это мож­но исполь­зо­вать сле­ду­ю­щим образом:

Установка puppet-agent в CentOS/Fedora/RedHat

Puppet-agent дол­жен быть уста­нов­лен на сер­вер, кото­рым будет управ­лять puppet-master (puppet-server).

Уста­нав­ли­ва­ем puppet-agent:

yum -y install puppet

или

yum -y install puppet-agent

На каж­дом кли­ен­те Puppet добавь­те запись о сер­ве­ре + хост­нейм для нод с клиентом:

Про­ве­ря­ем на puppet-ане­те имя хоста:

Следующий шаг – создание сертификата клиента, выполняем:

Проверим как работает:

Редак­ти­ру­ем файл /etc/puppet/manifests/site.pp на сер­ве­ре и изме­ним права:

на:

Сна­ча­ла посмот­рим на файл на кли­ен­те сейчас:

Теперь – мож­но либо подо­ждать 30 минут, пока агент сам запро­сит изме­не­ния, либо пере­за­пу­стить его, либо настро­ить не мень­ший интер­вал запро­сов изме­не­ний от мастера.

Выбе­рем послед­ний вари­ант – редак­ти­ру­ем файл puppet.conf на кли­ен­те, и уста­нав­ли­ва­ем в бло­ке [agent] опцию:

Где 10 – коли­че­ство секунд меду запросами.

Сохра­ня­ем, выхо­дим, и видим на сер­ве­ре в логе каж­дые 10 секунд сообщение:

Про­ве­ря­ем файл на клиенте:

Всё рабо­та­ет.

Не забы­ва­ем вер­нуть зна­че­ние 644.

------------------------

Теория

-----------------------

puppet.conf

Может содер­жать сле­ду­ю­щие настройки:

• node_name — опре­де­ля­ет, как мастер будет иден­ти­фи­ци­ро­вать кли­ен­та для исполь­зо­ва­ния в мани­фе­стах, а так­же опре­де­ля­ет пере­мен­ные hostname, fqdn и domain. Воз­мож­ные зна­че­ния cert (исполь­зу­ет зна­че­ние certname) и facter (исполь­зу­ет hostname кли­ен­та). По умол­ча­нию : cert.
• manifest — вход­ной мани­фест кото­рый откры­ва­ет puppet. По умол­ча­нию: $manifestdir/site.pp.
• manifestdir — пап­ка, где мастер ищет мани­фе­сты. По умол­ча­нию: $confdir/manifests.
• runinterval — коли­че­ство секунд, через кото­рое кли­ент будет опра­ши­вать масте­ра. По умол­ча­нию: 1800 (30 минут).
• puppetport — порт, по кото­ро­му про­ис­хо­дит обмен. По умол­ча­нию: 8139.
• puppetdlockfile — адрес, по кото­ро­му раз­ме­ща­ет­ся lock — файл, запре­ща­ю­щий запуск несколь­ких копий puppet на кли­ен­те. По умол­ча­нию: $statedir/puppetdlock.
• templatedir — пап­ка, где мастер ищет шаблоны.
• modulepath — пап­ка, где мастер ищет модули.

Консольные команды

• puppet apply --configprint modulepath — выво­дит зна­че­ние кон­крет­ной настрой­ки puppet.conf (в дан­ном слу­чае modulepath), если вве­сти --configprint all мож­но полу­чить пол­ный теку­щий кон­фиг. (И сохра­нить перед тем как начать что-то править…)
• puppet resource <type> <id> — поз­во­ля­ет полу­чить опи­са­ние ресур­са опре­де­лён­но­го типа <type> с иден­ти­фи­ка­то­ром <id> сра­зу на декла­ра­тив­ном язы­ке puppet. Напри­мер puppet resource user root. Тип ресур­са user а его иден­ти­фи­ка­тор (адрес) root
• puppet describe -s <type> — поз­во­ля­ет полу­чить опи­са­ние типа, име­ю­щих­ся для него команд.
• puppet apply <my_test_manifest.pp> — выпол­ня­ет ука­зан­ный манифест.
• puppet apply -e «include undeclaredclass» — выпол­нит неза­де­кла­ри­ро­ван­ный класс undeclaredclass, нахо­дя­щий­ся в одном из напи­сан­ных вами моду­лей (есте­ствен­но, рас­по­ло­жен­ном в пап­ке $modulepath).

Манифесты

Их ино­гда назы­ва­ют рецеп­та­ми, пред­став­ля­ют собой тек­сто­вые фай­лы с рас­ши­ре­ни­ем .pp (По умол­ча­нию выпол­ня­ет­ся $confdir/manifests/site.pp). В мани­фе­сте могут и долж­ны содержаться:

• Клас­сы (class)
• Узлы (node)
• Ресур­сы (то есть типы file, user и др.)
• Ссыл­ки на дру­гие мани­фе­сты (import)

Встроенные переменные

Встро­ен­ные пере­мен­ные ста­но­вят­ся доступ­ны­ми бла­го­да­ря ути­ли­те facter, уста­нав­ли­ва­е­мой вме­сте с puppet, кото­рая берёт инфор­ма­цию из систе­мы. Если набрать в команд­ной стро­ке facter, то мож­но полу­чить пол­ный спи­сок доступ­ных пере­мен­ных. Вот неко­то­рые из них:

• $operatingsystem — опе­ра­ци­он­ная система.
• $fqdn — пол­ное домен­ное имя.
• $hostname — имя хоста.
• $ipaddress — IP адрес.
• $osfamily — семей­ство опе­ра­ци­он­ных систем.
• $is_virtual — запу­ще­на ли ОС в вир­ту­аль­ной машине.

Гид по языку

• Усло­вие

• Пере­чис­ле­ние

• Выбор

• Атри­бу­ты по умолчанию

Классы

• Насле­до­ва­ние классов

При вызо­ве клас­са freebsd для фай­лов атри­бут group изме­нит­ся на wheel, а вот атри­бут owner не будет про­ве­рять­ся вооб­ще. Зна­че­ние атри­бу­тов мож­но не заме­нять а добавлять:

• Зави­си­мо­сти меж­ду классами

Но таких кон­струк­ций луч­ше избе­гать, так как это может при­ве­сти к цик­лам. Сле­ду­ю­щий при­мер поз­во­ля­ет это­го избе­жать и сохра­ня­ет пра­ви­ло, когда один ресурс объ­яв­ля­ет­ся толь­ко один раз:

• Пара­мет­ри­зи­ро­ван­ные классы

Основные типы

Общие атрибуты

• before — опре­де­ля­ет, что дан­ный ресурс дол­жен отра­бо­тать до како­го-то дру­го­го. Зада­ёт­ся в виде мета­па­ра­мет­ра: Type['title']. Мож­но зада­вать мас­сив мета­па­ра­мет­ров [Type1['title1'],Type2['title2']]. В мета­па­ра­мет­рах (или ссыл­ках на ресур­сы) тип ресур­са обя­за­тель­но ука­зы­ва­ет­ся с боль­шой буквы.
• notify — созда­ёт отно­ше­ние, ана­ло­гич­ное before, но опре­де­ля­ет, что сле­ду­ю­щий ресурс отра­бо­та­ет толь­ко после того, как дан­ный изме­нит­ся. Зада­ёт­ся метапараметром.
• require — опре­де­ля­ет, что дан­ный ресурс дол­жен отра­бо­тать толь­ко после дру­го­го. Зада­ёт­ся метапараметром.
• subscribe — созда­ёт отно­ше­ние, ана­ло­гич­ное require, но опре­де­ля­ет, что дан­ный ресурс дол­жен отра­бо­тать толь­ко после того, как ресурс на кото­рый под­пи­са­лись изме­нит­ся. Зада­ёт­ся метапараметром.
• schedule — опре­де­ля­ет рас­пи­са­ние (интер­вал) для запус­ка дан­но­го ресур­са. См. тип shedule.
• noop — опре­де­ля­ет, дол­жен ли отра­бо­тать дан­ный ресурс. Рав­но true (по умол­ча­нию) или false.

notify

Запи­сы­ва­ет опре­де­лён­ное сооб­ще­ние в лог. Не выво­дит ника­кой инфор­ма­ции пользователю.

• name — Тэг на Ваше усмот­ре­ние, зада­ёт имя сообщения.
• message — Текст, кото­рый будет отправ­лен в лог. Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• withpath — Пока­зы­вать или нет пол­ный путь к объ­ек­ту, если вклю­че­но, то в логе будет 2 стро­ки: само сооб­ще­ние и ещё пол­ный путь по вло­же­ни­ям отку­да оно запус­ка­лось. Рав­но true или false (в ману­а­лах пишут что по умол­ча­нию рав­но false, но на прак­ти­ке наблю­да­ет­ся обратное).

file

Поз­во­ля­ет управ­лять фай­ла­ми и директориями.

• ensure — про­вер­ка на суще­ство­ва­ние фай­ла и его тип. Име­ет зна­че­ния present (суще­ству­ет), absent (отсут­ству­ет), file (явля­ет­ся фай­лом), directory (явля­ет­ся дирек­то­ри­ей), link (явля­ет­ся ссылкой).
• path — Пол­ный адрес к фай­лу. Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• source — Отку­да качать файл. Это адрес на масте­ре puppet:/// или локальный.
• mode — Пра­ва на файл (напри­мер, 0740). Долж­ны зада­вать­ся чис­ло­вым зна­че­ни­ем. Рабо­та­ет так же и с директориями.
• target — Сим­воль­ная ссыл­ка (когда зада­но ensure => link).
• recurse — Опре­де­ля­ет, обра­ба­ты­вать дирек­то­рию рекур­сив­но с под­ка­та­ло­га­ми и всем содер­жи­мым (когда зада­но ensure => directory). Рав­но true, false или remote. Remote — ука­зы­ва­ет, что надо пере­брать рекур­сив­но ката­лог на сер­ве­ре и обра­бо­тать на кли­ен­те все най­ден­ные на сер­ве­ре фай­лы. Рекур­сив­но на кли­ен­те ката­лог обра­ба­ты­вать­ся не будет.
• recurselimit — Опре­де­ля­ет, как глу­бо­ко ухо­дить в под­ка­та­ло­ги. Может при­ни­мать зна­че­ния /^[0-9]+$/ (нату­раль­ные числа).
• owner — Поль­зо­ва­тель-вла­де­лец фай­ла, зада­ёт­ся по име­ни или UID.
• group — Груп­па-вла­де­лец фай­ла, зада­ёт­ся по име­ни или GID.
• content — Зада­ёт стро­ку, уста­нав­ли­ва­е­мую в каче­стве содер­жи­мо­го фай­ла. Наи­бо­лее полез­ны в рабо­те с шаб­ло­на­ми, но вы так­же може­те исполь­зо­вать функ­ции фай­ло­во­го выво­да (кон­соль­ные команды).
• purge — Уда­лять ли фай­лы из дирек­то­рии кото­рых нет на масте­ре у кли­ен­та (рабо­та­ет когда recurse => true). Рав­но true (в дирек­то­рии будут толь­ко те фай­лы что есть на масте­ре, осталь­ные уда­лят­ся) или false (син­хро­ни­зи­ру­ют­ся те фай­лы, что есть на сер­ве­ре, осталь­ные оста­нут­ся без изменений).
• mtime — про­вер­ка на вре­мя послед­не­го изме­не­ния файла.
• ctime — про­вер­ка на вре­мя послед­не­го изме­не­ния вла­дель­ца или прав досту­па к файлу.
• backup — Нуж­но ли делать бэкап фай­ла перед его заме­ной. Рав­но false (не надо делать резерв­ной копии), .ваш_текст_начинающийся_с_точки (сде­ла­ет резерв­ную копию в том же месте где и был файл добав­ле­ни­ем к нему суф­фик­са .ваш_текст_начинающийся_с_точки), ваш_текст_без_точки_вначале (сар­хи­ви­ру­ет в filebucket с име­нем ваш_текст_без_точки_вначале).
• force — поз­во­ля­ет выпол­нить опе­ра­цию даже если она уни­что­жит одну или несколь­ко дирек­то­рий. Тре­бу­ет­ся исполь­зо­вать: сов­мест­но с пара­мет­ром purge (будут так­же уда­лять­ся и под­ди­рек­то­рии), когда необ­хо­ди­мо заме­нить дирек­то­рию фай­лом или ссыл­кой, и когда уда­ля­ет­ся дирек­то­рия (ensure => absent). Рав­но true или false.
• checksum — Алго­ритм под­сче­та кон­троль­ной сум­мы при опре­де­ле­нии изме­не­ния содер­жи­мо­го файла.
  Зна­че­ние по умол­ча­нию: md5.
  Воз­мож­ные зна­че­ния: md5, md5lite, mtime, ctime, none.
• ignore — Пара­метр опре­де­ля­ю­щий игно­ри­ру­е­мые фай­лы при рекур­сив­ной обра­бот­ке каталога.
  Исполь­зу­ет­ся стан­дарт­ный встро­ен­ный дви­жок ruby. К при­ме­ру пол­но­стью под­дер­жи­ва­ют­ся мета­сим­во­лы вро­де [a-z]*.
  Сов­па­де­ния испол­зу­ю­щие вхож­де­ние в под­ка­та­ло­ги, вро­де */*, игно­ри­ру­ют­ся (**в ори­ги­на­ле: Matches that would descend into the directory structure are ignored, e.g., */*).
• links — Как обра­ба­ты­вать сим­во­ли­че­ские ссыл­ки во вре­мя обра­бот­ки файлов.
  Воз­мож­ные значения:
  • follow — будет ско­пи­ро­ван ука­зан­ный по ссыл­ке файл
  • manage — будет ско­пи­ро­ва­на сама ссылка
  • ignore — ссыл­ка будет проигнорирована
• provider — Кон­крет­ный бэкенд исполь­зу­е­мый этим ресур­сом. Ско­рее все­го вам не при­дет­ся исполь­зо­вать этот пара­метр, т.к. puppet опре­де­лит этот пара­метр в соот­вет­ствии с платформой
  Воз­мож­ные зна­че­ния: posix, windows
• replace — Заме­нить ли файл или сим­во­ли­че­скую ссыл­ку, кото­рая уже суще­ству­ет в локаль­ной систе­ме, но содер­жа­ние кото­ро­го не соот­вет­ству­ет тому, что источ­ник или содер­жа­ние атри­бут определяет.
  Уста­нов­ка это­го зна­че­ния в false поз­во­ля­ет ини­ци­а­ли­зи­ро­вать фай­ло­вые ресур­сы без пере­за­пи­си при изме­не­ни­ях в будущем.
  Обра­ти­те вни­ма­ние, что это вли­я­ет толь­ко на содер­жи­мое; Puppet будет по-преж­не­му управ­лять вла­дель­ца и права.
  Зна­че­ние по умол­ча­нию true.
  Воз­мож­ные зна­че­ния true, false, yes, no.
• selinux_ignore_defaults — If this is set then Puppet will not ask SELinux (via matchpathcon) to supply defaults for the SELinux attributes (seluser, selrole, seltype, and selrange). In general, you should leave this set at its default and only set it to true when you need Puppet to not try to fix SELinux labels automatically. Valid values are true, false.
• selrange — (Property: This attribute represents concrete state on the target system.) What the SELinux range component of the context of the file should be. Any valid SELinux range component is accepted. For example s0 or SystemHigh. If not specified it defaults to the value returned by matchpathcon for the file, if any exists. Only valid on systems with SELinux support enabled and that have support for MCS (Multi-Category Security).
• selrole — (Property: This attribute represents concrete state on the target system.) What the SELinux role component of the context of the file should be. Any valid SELinux role component is accepted. For example role_r. If not specified it defaults to the value returned by matchpathcon for the file, if any exists. Only valid on systems with SELinux support enabled.
• seltype — (Property: This attribute represents concrete state on the target system.) What the SELinux type component of the context of the file should be. Any valid SELinux type component is accepted. For example tmp_t. If not specified it defaults to the value returned by matchpathcon for the file, if any exists. Only valid on systems with SELinux support enabled.
• seluser — (Property: This attribute represents concrete state on the target system.) What the SELinux user component of the context of the file should be. Any valid SELinux user component is accepted. For example user_u. If not specified it defaults to the value returned by matchpathcon for the file, if any exists. Only valid on systems with SELinux support enabled.
• show_diff — Отоб­ра­жать ли раз­ли­чия при изме­не­нии фай­ла. Зна­че­ние по умол­ча­нию true. Этот пара­метр поле­зен для фай­лов вклю­ча­ю­щих паро­ли, и дру­гие сек­рет­ные дан­ные, кото­рые в про­тив­ном слу­чае были бы вклю­че­ны в логи Puppet, и дру­гие небез­опас­ные выводы.
  Если гло­баль­ный пара­метр `show_diff` равен false, то раз­ли­чия не будут отоб­ра­жать­ся даже если далее он будет объ­яв­лен как true.
  Воз­мож­ные зна­че­ния true, false, yes, no.
• source — Источ­ник, из кото­ро­го будут копи­ро­вать­ся дан­ные в локаль­ную систе­му. Зна­че­ни­ем могут быть как URI к уда­лен­ным фай­лам, так и пол­ные пути в локаль­ной систе­ме (в т.ч. и в под­клю­чен­ных NFS и Samba шарах)
  Этот атри­бут явля­ет­ся вза­и­мо­ис­клю­ча­ю­щим с content и target.
  Доступ­ные URI могут быть puppet and file.
  Puppet URI будут брать фай­лы из встро­ен­но­го в puppet фай­ло­во­го сер­ве­ра, и как пра­ви­ло име­ют формат:
  puppet:///modules/name_of_module/filename
  При этом будут взя­ты фай­лы из моду­ля на puppet-master-е(или локаль­но­го моду­ля, при исполь­зо­ва­нии pupper apply).
  Пред­по­ло­жив, что modulepath ссы­ла­ет­ся на /etc/puppetlabs/puppet/modules, в при­ве­ден­ном выше при­ме­ре полу­чим пол­ный адрес
  /etc/puppetlabs/puppet/modules/name_of_module/files/filename.
  В отли­чие от content, атри­бут source может быть исполь­зо­ван для рекур­сив­но­го копи­ро­ва­ния дирек­то­рии, если атри­бут recurse выстав­лен как true или remote.
  Если дирек­то­рия-источ­ник сдер­жит сим­во­ли­че­скую ссыл­ку, исполь­зуй­те атри­бут links чтоб ука­зать - нуж­но ли вос­со­здать ссыл­ку, или сле­до­вать за ней.
  Воз­мож­но ука­зать несколь­ко источ­ни­ков в виде мас­си­ва. В этом слу­чае puppet будет исполь­зо­вать пер­вый суще­ству­ю­щий источ­ник. Подоб­ное может пона­до­бить­ся для исполь­зо­ва­ния раз­лич­ных фай­лов на раз­ных системах :

• source_permissions — Как puppet дол­жен ско­пи­ро­вать пра­ва, вла­дель­ца и груп­пу, ори­ги­наль­но­го source целе­во­му file, когда эти зна­че­ния явно не ука­за­ны соот­вет­ству­ю­щи­ми атри­бу­та­ми. (Во всех слу­ча­ях явные раз­ре­ше­ния будут иметь приоритет.)
  Воз­мож­ные значения:
  • use (the default) застав­ля­ет Puppet при­ме­нять вла­дель­ца, груп­пу и раз­ре­ше­ния source на все обра­ба­ты­ва­е­мые файлы.
  • use_when_creating зада­вать раз­ре­ше­ния в соот­вет­ствии с sourceтоль­ко при созда­нии фай­лов; пра­ва уже суще­ству­ю­щих фай­лов изме­нять­ся не будут.
  • ignore не насле­до­вать пра­ва от source при обра­бот­ке фай­лов. При созда­нии новых фай­лов без явных раз­ре­ше­ний, пове­де­ние при полу­че­нии раз­ре­ше­ний будут зави­сеть от кон­крет­ной плат­фор­мы. На POSIX, Puppet будет исполь­зо­вать зна­че­ние umask поль­зо­ва­те­ля, от кото­ро­го он запус­ка­ет­ся. На Windows, Puppet будет исполь­зо­вать DACL по умол­ча­нию ассо­ци­и­ро­ван­ный с поль­зо­ва­те­лем от кото­ро­го он запускается.
• sourceselect — Зна­че­ние по умол­ча­нию - first.
  При рекур­сив­ном копи­ро­ва­нии дирек­то­рий, в слу­чае если источ­ни­ков несколь­ко - по умол­ча­нию копи­ру­ют­ся фай­ли из пер­во­го доступ­но­го источ­ни­ка. Если это­му пара­мет­ру задать зна­че­ние all, то копи­ро­вать­ся будут фай­лы из всех доступ­ных источников.
  Если ука­зан­ный файл суще­ству­ет в более чем одно­го источ­ни­ка, будет исполь­зо­вать­ся вер­сия из само­го ран­не­го источ­ни­ка в списке.
  Доступ­ные зна­че­ния first, all.
• type — (Property: This attribute represents concrete state on the target system.)
  A read-only state to check the file type.

package

В зави­си­мо­сти от систе­мы кли­ен­та, уста­нов­щик паке­тов выби­ра­ет­ся авто­ма­ти­че­ски и име­ет опре­де­лён­ные свой­ства, пол­ное опи­са­ние на сай­те docs.puppetlabs.com(англ.).

• name — имя паке­та. Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• ensure — состо­я­ние дан­но­го паке­та, рав­но present (или installed, то есть пакет уста­нов­лен), absent (отсут­ству­ет), latest (уста­нов­лен и явля­ет­ся послед­ней вер­си­ей), purged, held (толь­ко для неко­то­рых уста­нов­щи­ков пакетов).
• provider — мож­но вруч­ную ука­зать уста­нов­щи­ка паке­тов из воз­мож­ных aix, appdmg, apple, apt, aptitude, aptrpm, blastwave, dpkg, fink, freebsd, gem, hpux, macports, msi, nim, openbsd, pacman, pip, pkg, pkgdmg, pkgutil, portage, ports, portupgrade, rpm, rug, sun, sunfreeware, up2date, urpmi, yum (по умол­ча­нию для operatingsystem == fedora, centos, redhat), zypper.
• source — допол­ни­тель­но мож­но ука­зать где взять пакет, это может быть URL или как в управ­ле­нии фай­ла­ми адрес puppet:///.

yumrepo

Поз­во­ля­ет управ­лять под­клю­чен­ны­ми репо­зи­то­ри­я­ми, посред­ством изме­не­ния /etc/yum.conf. Боль­шин­ство пара­мет­ров ана­ло­гич­ны man yum.conf.

• baseurl — URL дан­но­го репо­зи­то­рия. Зна­че­ние absent уда­лит дан­ные репо­зи­то­рий из фай­ла пол­но­стью. Воз­мож­ные зна­че­ния absent и по мас­ке /.*/.
• cost — cто­и­мость дан­но­го репо­зи­то­рия. Зна­че­ние absent уда­лит дан­ные репо­зи­то­рий из фай­ла пол­но­стью. Воз­мож­ные зна­че­ния absent и по мас­ке /\d+/.
• descr
• enabled
• enablegroups
• exclude
• failovermethod
• gpgcheck
• gpgkey
• http_caching
• include
• includepkgs
• keepalive
• metadata_expire
• mirrorlist
• name
• priority
• protect
• proxy
• proxy_password
• proxy_username
• timeout

service

Поз­во­ля­ет управ­лять систем­ны­ми службами.

• enable — вклю­че­на ли служ­ба на авто­за­груз­ку, рав­но true, false, manual.
• ensure — теку­щее состо­я­ние, рав­но stopped (или false), running (или true).
• start, stop, restart, status — поз­во­ля­ет задать соот­вет­ствен­но коман­ды на старт, оста­нов­ку, пере­за­пуск и про­вер­ку ста­ту­са вруч­ную. Задан­ные коман­ды будут исполь­зо­вать­ся при изме­не­нии ста­ту­са с помо­щью коман­ды ensure. Для атри­бу­та statusкоман­да долж­на воз­вра­щать 0 если служ­ба запу­ще­на и рабо­та­ет без оши­бок, и воз­вра­щать нену­ле­вое зна­че­ние в осталь­ных случаях.
• binary — путь к служ­бе (демо­ну). Исполь­зу­ет­ся толь­ко в систе­мах, кото­рые не под­дер­жи­ва­ют init скрипт.

exec

Поз­во­ля­ет выпол­нять кон­соль­ные коман­ды, скрип­ты непо­сред­ствен­но при запус­ке puppet.

• command — коман­да для запус­ка. Если опу­ще­на, рав­на заго­лов­ку. Адрес команд дол­жен быть задан пол­но­стью, если не про­пи­са­ны пути для поис­ка в атри­бу­те path.
• path — пути для поис­ка команд. Мож­но задать сра­зу несколь­ко раз­де­ляя их двое­то­чи­ем ':'. Что­бы не ука­зы­вать этот пара­метр у каж­до­го ресур­са exec, мож­но задать этот пара­метр по умол­ча­нию в самом нача­ле мани­фе­ста, напри­мер, так: Exec { path => '/usr/bin:/bin:/usr/sbin:/sbin' }.
• cwd — теку­щая дирек­то­рия (пере­мен­ная окру­же­ния $PWD в bash). Если дирек­то­рия не суще­ству­ет, коман­да не запустится.
• creates — файл, кото­рый созда­ёт коман­да. Если атри­бут задан, то коман­да не запу­стит­ся, если файл существует.
• environment — любые дру­гие пере­мен­ные окру­же­ния, кото­рые необ­хо­ди­мя для запус­ка коман­ды. Име­ет пре­иму­ще­ство над ари­бу­том path, то есть дан­ную пере­мен­ную мож­но переопределить.
• group, user — груп­па и поль­зо­ва­тель с пра­ва­ми кото­рых выпол­нять дан­ную команду.
• logoutput — вклю­чать ли вывод коман­ды в лог, рав­но true, false и on_failure (толь­ко в слу­чае выхо­да с ошибкой).
• onlyif — зада­ёт про­ве­роч­ную коман­ду. Основ­ная коман­да (атри­бут command) будет выпол­не­на, толь­ко если эта коман­да выпол­нит­ся без оши­бок (код выхо­да будет 0), например:

При этом onlyif может про­ве­рять мас­сив команд и выпол­нить основ­ную коман­ду толь­ко тогда, когда все коман­ды мас­си­ва выполнятся:

cron

Поз­во­ля­ет управ­лять пла­ни­ров­щи­ком cron в Linux. К сожа­ле­нию, уда­лить или изме­нить создан­ные вами вруч­ную зада­ния не смо­жет, так как опре­де­ля­ет свои зада­ния по встав­ля­е­мо­му перед ними комментарию.

• command — коман­да, кото­рую будет выпол­нять cron.
• ensure — управ­ля­ет нали­чи­ем зада­ния, рав­но present или absent.
• hour — час, рав­но от 0 до 23. Вре­мя здесь и далее в типе cron может быть зада­но как '2', ['2-4'], ['2,4'], '*/2' (послед­нее если толь­ко ваш cron под­дер­жи­ва­ет подоб­ное ука­за­ние). По умол­ча­нию рав­но *.
• minute — мину­та, рав­но от 0 до 59.
• month — месяц, рав­но от 1 до 12 или от january до december.
• weekday — день неде­ли, рав­но от 0 до 7 (0 и 7 — это вос­кре­се­нье) или от monday до sunday.
• name — имя зада­ния. Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• user — поль­зо­ва­тель, в зада­ния кото­ро­го оно будет включено.

schedule

Опре­де­ля­ет рас­пи­са­ния отра­бот­ки ресур­сов. К ресур­су рас­пи­са­ние может быть при­сво­е­но с помо­щью одно­имен­но­го пара­мет­ра (schedule) В насто­я­щее вре­мя, рас­пи­са­ния могут исполь­зо­вать­ся толь­ко для того, что­бы предот­вра­тить при­ме­не­ние ресур­са. Они не поз­во­ля­ют выпол­нять­ся ресур­су вне задан­ных рамок и не могут назна­чить вре­мя когда ресурс будет запу­щен (для это­го необ­хо­ди­мо иполь­зо­вать scheduled_task или cron).
Каж­дый раз, когда puppet отра­ба­ты­ва­ет мани­фе­сты, она про­ве­ря­ет, попа­да­ет ли теку­щий момент вре­ме­ни в ука­зан­ное рас­пи­са­ние. Если попа­да­ет, то ресурс отра­бо­та­ет, ина­че будет про­сто про­пу­щен. При этом puppet НЕ создаст себе ника­ко­го зада­ния отра­бо­тать ресурс в буду­щем. То есть если создать рас­пи­са­ние «Х» ска­жем еже­днев­но с 12:20 до 12:30, а по умол­ча­нию puppet при­ме­ня­ет кон­фи­гу­ра­цию раз в 30 минут, а ком­пью­тер был вклю­чен в 12:10… то сле­ду­ю­щий раз puppet отра­бо­та­ет в 12:40 и все ресур­сы, кото­рым было назна­че­но рас­пи­са­ние «Х», про­сто не сра­бо­та­ют. Или puppet будет отра­ба­ты­вать какой-нибудь ресурс про­дол­жи­тель­ное вре­мя (загру­жать фай­лы или т. п.) с 12:15 по 12:35, и дан­ное рас­пи­са­ние тоже «выпа­дет» и может вооб­ще нико­гда не сработает.
Поэто­му, луч­ше исполь­зо­вать широ­кие рас­пи­са­ния… (с интер­ва­лом в несколь­ко часов). Напри­мер, что­бы запус­кать зада­ние 1 раз в сут­ки меж­ду 2 и 4 часа­ми утра надо задать сле­ду­ю­щее расписание:

• period — Пери­од повто­ре­ния. Рав­но hourly, daily, weekly, monthly, never (нико­гда, то есть пара­метр repeat задаст сколь­ко все­го раз выпол­нит­ся дан­ный ресурс).
• periodmatch — Кон­кре­ти­зи­ру­ет пара­метр period. Рав­но number (когда учи­ты­ва­ют­ся коли­че­ство сра­ба­ты­ва­ний в тече­ние опре­де­лён­но­го пери­од, напри­мер, в час) или distance (когда учи­ты­ва­ет­ся сра­ба­ты­ва­ние через опре­де­лён­ный период).
• range — Интер­вал вре­ме­ни суток, в кото­рый дей­ству­ет рас­пи­са­ние. Зада­ёт­ся как «HH:MM:SS — HH:MM:SS» (кавыч­ки тоже нуж­ны), мину­ты и секун­ды могут быть опущены.
• repeat — Как часто сра­ба­ты­вать в ука­зан­ный пери­од. Долж­но зада­вать­ся целым чис­лом. По умол­ча­нию: 1.

user

Поз­во­ля­ет управ­лять пользователями.

• name — Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• uid — UID поль­зо­ва­те­ля. Дол­жен зада­вать­ся циф­рой, если опу­ще­но, то зада­ёт­ся авто­ма­ти­че­ски (или оста­ёт­ся без изме­не­ний, если поль­зо­ва­тель уже существует).
• ensure — про­вер­ка ста­ту­са поль­зо­ва­те­ля, рав­но present (суще­ству­ет), absent (отсут­ству­ет), role.
• gid — Основ­ная груп­па поль­зо­ва­те­ля. Зада­ёт­ся по име­ни или GID.
• groups — Мас­сив допол­ни­тель­ных групп поль­зо­ва­те­ля, через запя­тую. !!!Не надо вклю­чать груп­пу, задан­ную как gid.
• home — Домаш­няя дирек­то­рия пользователя.
• shell — Обо­лоч­ка поль­зо­ва­те­ля (напри­мер, /bin/bash)
• managehome — Созда­вать ли домаш­нюю дирек­то­рию при созда­нии поль­зо­ва­те­ля; Если не ука­за­но true - вам при­дет­ся созда­вать ее вруч­ную. true или false

group

Поз­во­ля­ет управ­лять груп­па­ми пользователей.

• name — Если не задан, puppet по умол­ча­нию счи­ты­ва­ет из заго­лов­ка ресурса.
• gid — GID груп­пы. Дол­жен зада­вать­ся циф­рой, если опу­ще­но, то зада­ёт­ся авто­ма­ти­че­ски (или оста­ёт­ся без изме­не­ний, если груп­па уже существует).
• ensure — про­вер­ка ста­ту­са груп­пы, рав­но present (суще­ству­ет), absent (отсут­ству­ет).

Модули

Моду­ли — это воз­мож­ность исполь­зо­вать клас­сы и функ­ции в puppet. Модуль — это все­го лишь дирек­то­рия с пред­опре­де­нён­ной струк­ту­рой ката­ло­гов и фай­лов. Выгля­дит струк­ту­ра моду­ля при­мер­но так: {имя_модуля}/

Обра­ще­ние в коде puppet к клас­сам будет выгля­деть как:

Для того, что­бы модуль вооб­ще зара­бо­тал доста­точ­но иметь пап­ку с име­нем моду­ля, пап­ку с мани­фе­ста­ми и началь­ным мани­фе­стом init.pp.
По ана­ло­гии выстра­и­ва­ем под_под_классы и под_под_…под_классы, пока не надоест.
Тре­бу­ет­ся, что­бы в каж­дом из фай­лов «класс1» … «под_класс1» был один и толь­ко один класс с соот­вет­ству­ю­щим име­нем: «имя_модуля::класс1» … «имя_модуля::класс1::под_класс1». При этом файл init.pp дол­жен содер­жать класс с име­нем «имя_модуля».
Полу­чить доступ к фай­лам моду­ля мож­но, напри­мер, по адре­су puppet:///modules/имя_модуля/.
Из дирек­то­рии lib мож­но запус­кать испол­ня­е­мые фай­лы с Ruby-кодом, что­бы рас­ши­рить воз­мож­но­сти Puppet и Facter (постав­щи­ка переменных).

Environments

Окру­же­ния (environments) нуж­ны для пол­но­го раз­де­ле­ния кон­фи­гу­ра­ций. У каж­до­го окру­же­ния свои моду­ли и мани­фе­сты. Это мож­но срав­нить с исполь­зо­ва­ни­ем раз­ных сер­ве­ров puppet master.

История

• До вер­сии 3.5 для ука­за­ния окру­же­ний исполь­зо­ва­лись толь­ко пере­мен­ные manifest и modulepath («config file environments», в про­ти­во­по­лож­ность «directory environments», кото­рые появи­лись в вер­сии 3.5) 
• С вер­сии 3.6 «config file environments» устарели 
• В вер­сии 3.7 «directory environments» вклю­че­ны по умол­ча­нию в Puppet Enterprise, но не в Open Source
• С вер­сии 4.0 в слу­чае неис­поль­зо­ва­ния окру­же­ний будет выда­вать­ся предупреждение.

Если не ука­за­но, с вер­сии 4.0 будет исполь­зо­вать­ся окру­же­ние production.

Именование

Имя окру­же­ния долж­но состо­ять из строч­ных букв, цифр и под­чёр­ки­ва­ния, начи­нать­ся с бук­вы. Нель­зя исполь­зо­вать main, master, agent, user . При­мер имён окру­же­ний: production и testing.

Подключение

В вер­си­ях 3.5, 3.6, 3.7 Open Source, 3.8 для исполь­зо­ва­ния «directory environments» про­пи­сы­ва­ем в сек­цию [main] или [master] фай­ла /etc/puppet/puppet.conf:

В более новых вер­си­ях ука­зы­вать ниче­го не нужно.

В кон­фи­гу­ра­ции аген­та (сек­ция [agent] в фай­ле /etc/puppet/puppet.conf) надо ука­зать, какое окру­же­ние он будет исполь­зо­вать, например:

Использование

После под­клю­че­ния, исполь­зу­ют­ся мани­фе­сты из ката­ло­га окру­же­ния, напри­мер, /etc/puppet/environments/production/manifests/.

В мани­фе­стах мож­но исполь­зо­вать пере­мен­ную $environment с име­нем теку­ще­го окружения.

___________________________________________________________

-----------------------------------------------------------------------------------------------------

Вы може­те изме­нить зна­че­ние runinterval в зави­си­мо­сти от тре­бо­ва­ния, вы може­те уста­но­вить зна­че­ние в секун­дах; Это опре­де­ля­ет, как дол­го агент дол­жен ждать меж­ду дву­мя catalog запросами.

Пере­за­пус­ка­ем клиент:

Мож­но посмот­реть неко­то­рые пути к кон­фи­гам сле­ду­ю­щим образом:

Настройка hiera на puppet-server-е

Преж­де все­го, я бы реко­мен­до­вал, — настро­ить хиеру (нуж­на что­бы опре­де­лять пере­мен­ные), для это­го, — открываем:

Созда­ем сим­во­ли­че­скую ссылку:

Работа с Puppet в Unix/Linux

Для нача­ла, мож­но создать про­стой мани­фест, для это­го созда­ем файл (на сто­роне сер­ве­ра с паппет):

Теперь сохра­ни­те и вый­ди­те.  Вы може­те либо дождать­ся, когда агент авто­ма­ти­че­ски про­ве­дет про­вер­ку с масте­ром, либо вы може­те запу­стить коман­ду (на сто­роне клиента):

Видим что пап­пет-агент отра­бо­тал мани­фест кото­рый создали.

PS: Для деба­га, исполь­зуй­те «--debug» опцию:

И вывод у меня будет следующим:

Если вы хоти­те запус­кать мани­фест толь­ко для неко­то­рых нод, то сто­ит опре­де­лить узел в мани­фе­сте. Открываем:

vim /etc/puppetlabs/code/environments/production/manifests/site.pp

и про­пи­сы­ва­ем:

Так же, мож­но выпол­нить мани­фест рука­ми, для это­го слу­жит команда:

Добавление модулей

ПРИМЕР 1 — Добав­ле­ние огра­ни­чен­но­го пользователя 

Мож­но огра­ни­чить исполь­зо­ва­ния puppet по поль­зо­ва­те­лю, для это­го на puppetmaster-е (пап­пет сер­ве­ре), созда­дим пап­ку для моду­ля и перей­дем в нее:

Создай­те сле­ду­ю­щие ката­ло­ги, кото­рые необ­хо­ди­мы для функ­ци­о­ни­ро­ва­ния модуля:

Где:

• examples — Дирек­то­рия для тести­ро­ва­ния моду­ля локально.
• files — Пап­ка, кото­рая содер­жит любые ста­ти­че­ские фай­лы, кото­рые могут потре­бо­вать­ся для отре­дак­ти­ро­ва­ния или добавления.
• manifests — Фол­дер, в кото­ром содер­жит­ся фак­ти­че­ский puppet код для моду­ля (т.е мани­фест действий).
• templates — Содер­жит любые не ста­ти­че­ские фай­лы, кото­рые могут потребоваться.

Перей­ди­те в ката­лог manifests и создай­те свой пер­вый класс под назва­ни­ем init.pp. Все моду­ли тре­бу­ют, что­бы файл init.pp исполь­зо­вал­ся в каче­стве основ­но­го фай­ла опре­де­ле­ния модуля:

И встав­ля­ем в него:

При­ми­те во вни­ма­ние, vagrant — это поль­зо­ва­тель на puppet-server-е, кото­рый уже име­ет­ся в систе­ме. И, password — это хеш от паро­ля (для поль­зо­ва­те­ля vagrant) и его мож­но полу­чить, выполнив:

Созда­ем еще один файл:

ПРИМЕР 3 — Добав­ле­ние и настрой­ка IPTABLES ===-

В этом раз­де­ле я пока­жу как мож­но настра­и­вать пра­ви­ла бранд­мау­э­ра с помо­щью iptables. Одна­ко по умол­ча­нию эти пра­ви­ла не будут сохра­нять­ся при пере­за­груз­ке. Что­бы это­го избе­жать, перед тем, как про­дол­жить, уста­но­ви­те соот­вет­ству­ю­щий пакет на каж­дом узле (puppetmaster- е, puppet-агенте):

Для Debian/Ubuntu:

Идем даль­ше, нуж­но уста­но­вить модуль на puppetmaster-е, для это­го слу­жит сле­ду­ю­щая команда:

Вывод гово­рит что модуль уста­но­вил­ся в /etc/puppetlabs/code/environments/production/modules/firewall дирек­то­рию, давай­те перей­дем в нее:

После это­го, созда­ем файл:

И встав­ля­ем в него:

В этой дирек­то­рии, созда­ем еще один файл:

И про­пи­сы­ва­ем в него:

Дан­ные пра­ви­ла будут при­ме­нять­ся в фаэрволе.

Про­ве­рим валидность:

Созда­ем еще файл для тестирования:

Про­пи­сы­ва­ем в него:

Вали­ди­ру­ем: