Ubuntu 14.04 下 Foreman + Puppet 自动化运维实践指南

1. 为什么在 Ubuntu 14.04 上坚持用 Foreman 管理 Puppet 节点而不是直接敲命令Foreman 这个名字在 2014–2016 年的运维圈里几乎等同于“Puppet 的可视化大脑”。它不是个锦上添花的 UI 工具而是把 Puppet 从“能跑通”推向“可治理、可审计、可复现”的关键基础设施。尤其在 Ubuntu 14.04 这个 LTS 版本上——它自带 Puppet 3.4.x内核稳定、软件源成熟、企业部署基数大但原生 Puppet 的 node classification节点分类、reporting报告聚合、provisioning自动装机全靠手写 YAML 和手动同步稍有规模就陷入配置漂移和状态失焦。我当年在一家中型 SaaS 公司落地这套组合时团队正卡在三个真实痛点上第一新上线的 12 台 Ubuntu 14.04 应用服务器每台都要手动puppet agent -t测试、改site.pp、加node web01 { ... }块改错一个括号就得全量重推第二安全组要求所有节点必须启用report true并上报失败事件但默认 Puppet 报告只存本地没人知道哪台机器昨天 failed 了三次第三运维同事轮休时新来的工程师根本找不到“数据库主库该打哪些 class”因为分类逻辑散落在三份不同命名的 Hiera YAML 文件里。Foreman 就是为解决这类“人肉编排瓶颈”而生的。它不替代 Puppet 的核心执行引擎而是接管了 Puppet 最薄弱的前端环节谁是节点它属于哪个环境该应用哪些类报告去哪看出错了怎么定位它通过 REST API 与 Puppet Master 深度集成把puppet.conf里的reports foreman、environment production这些静态配置变成 Web 界面里可拖拽、可继承、可搜索的实体对象。更关键的是Foreman 自带的 Smart Proxy 架构让证书签发、DNS 更新、DHCP 分配这些原本要 SSH 登录多台服务器才能完成的操作全部收敛到一个控制台里——你点一下“Provision”Foreman 就自动调用 Cobbler 或 Kickstart 生成安装镜像、分配 IP、注入 Puppet certname、甚至预置 SSH key整个过程无需人工干预。这背后的技术契约非常清晰Foreman 是 Puppet 的“策略编排层”Puppet 是“状态执行层”。前者管“做什么、对谁做、何时做”后者管“怎么做、做到什么程度、是否一致”。Ubuntu 14.04 的系统级兼容性恰恰放大了这个分工的价值——它的 init 系统Upstart、包管理apt、网络配置ifupdown都足够稳定不会干扰 Foreman 的服务注册和 Puppet 的资源同步。反观后来的 systemd 迁移期不少团队反而因 service 单元文件加载顺序问题在 Foreman Puppet 集成上踩了额外的坑。所以如果你现在翻出一台尘封的 Ubuntu 14.04 服务器想让它重新接入现代运维体系Foreman 不是怀旧选择而是最务实的“最小可行治理方案”。它不追求炫技只解决一个本质问题当节点数量超过 5 台且环境不止 dev/test/prod 三级时你怎么确保每次puppet agent -t执行的上下文是确定、可追溯、可回滚的答案不在 Bash 脚本里而在 Foreman 的 Host Group 继承链和 Puppet Environment 切换开关中。提示Foreman 在 Ubuntu 14.04 上的安装包源来自官方 APT 仓库theforeman.org而非 Ubuntu 默认源。这意味着你必须显式添加deb http://deb.theforeman.org/ trusty 1.8以 1.8 版本为例并导入 GPG key。跳过这步直接apt-get install foreman-installer会报Unable to locate package——这是新手第一天就卡住的高频问题根源在于 Ubuntu 14.04 的trusty代号与 Foreman 的仓库路径强绑定不能简单套用focal或bionic的配置。2. Foreman 与 Puppet Master 的双向握手证书、API、报告通道如何真正打通Foreman 和 Puppet Master 的协作不是单向调用而是一组精密咬合的双向信道。很多团队部署失败不是因为某一方没装好而是这三个通道中有一个没对齐SSL 证书信任链、REST API 认证凭据、Report 接收端点。下面我用实际调试日志还原一次完整的握手过程告诉你每个环节卡在哪、怎么看、怎么修。2.1 SSL 证书Foreman 必须被 Puppet Master 信任反之亦然Foreman 安装后默认会生成一套自签名证书位于/var/lib/foreman/ssl/用于其 Web 界面和 Smart Proxy 通信。但 Puppet Master 要向 Foreman 发送报告就必须信任 Foreman 的 CA同时Foreman 的 Smart Proxy 要向 Puppet Master 请求证书签发也必须被 Puppet Master 的 CA 信任。这不是简单的“拷贝 crt 文件”而是两套 CA 体系的交叉认证。实操步骤如下导出 Puppet Master 的 CA 证书在 Puppet Master 服务器上执行sudo cp /var/lib/puppet/ssl/certs/ca.pem /tmp/puppet-ca.pem sudo chmod 644 /tmp/puppet-ca.pem这个ca.pem是 Puppet Master 的根证书Foreman 需要用它来验证 Puppet Master 的身份。将 Puppet CA 导入 Foreman 的信任库在 Foreman 服务器上执行sudo cp /tmp/puppet-ca.pem /var/lib/foreman/ssl/certs/ sudo chown foreman:foreman /var/lib/foreman/ssl/certs/puppet-ca.pem sudo -u foreman /usr/bin/foreman-rake puppet:import:certs关键点在于最后一行foreman-rake命令——它不是简单复制而是将 Puppet CA 解析后写入 Foreman 内置的 SQLite 数据库/var/lib/foreman/db/production.sqlite3的smart_proxies表中供后续的证书签发流程调用。导出 Foreman 的 CA 并注入 Puppet Master在 Foreman 服务器上sudo cp /var/lib/foreman/ssl/certs/katello-default-ca.crt /tmp/foreman-ca.crt在 Puppet Master 上sudo mkdir -p /var/lib/puppet/ssl/certs/foreman/ sudo cp /tmp/foreman-ca.crt /var/lib/puppet/ssl/certs/foreman/ sudo chown puppet:puppet /var/lib/puppet/ssl/certs/foreman/foreman-ca.crt然后修改 Puppet Master 的puppet.conf在[master]段落添加trusted_ssl_cert_extensions 1.3.6.1.4.1.34380.1.1.1这个 OID 是 Foreman Smart Proxy 证书的扩展标识Puppet Master 必须显式声明信任否则拒绝接收 Foreman 发来的 CSR 请求。注意证书路径权限极敏感。Foreman 进程以foreman用户运行Puppet Master 以puppet用户运行。若/var/lib/foreman/ssl/下的私钥文件如foreman.key被puppet用户意外读取Foreman 服务会启动失败并报Permission denied rb_sysopen。实测发现Ubuntu 14.04 的apparmor默认策略会拦截跨用户 SSL 目录访问必须临时禁用sudo aa-disable /usr/share/foreman才能完成首次证书同步。2.2 REST API 认证Foreman 如何安全地调用 Puppet Master 的节点接口Foreman 需要通过 Puppet Master 的 REST API 获取节点列表、环境信息、类定义等元数据。这依赖于 Puppet Master 开启rest_auth_config并配置白名单。Ubuntu 14.04 的 Puppet 3.4 默认关闭 REST 接口必须手动启用。在 Puppet Master 的/etc/puppet/auth.conf中需添加以下规则注意顺序必须放在path /规则之前# 允许 Foreman 通过 API 查询节点信息 path /v3/nodes method find, search auth yes allow foreman.example.com # 允许 Foreman 查询环境和类 path /v3/environments method find, search auth yes allow foreman.example.com # 允许 Foreman 查询证书状态用于自动签发 path /v3/certificate_status method find, save, destroy auth yes allow foreman.example.com其中foreman.example.com必须与 Foreman 服务器的 FQDN 完全一致可通过hostname -f验证。如果填错Foreman 后台日志/var/log/foreman/production.log会出现403 Forbidden错误且错误信息极其隐晦“Failed to retrieve environments from Puppet”。更隐蔽的问题是 TLS 版本兼容性。Ubuntu 14.04 的 Ruby 1.9.3 默认使用 OpenSSL 1.0.1f而 Puppet Master 的 WEBrick 服务器在启用 SSL 时若未显式指定SSLEnabledCiphers会协商出已被废弃的TLS_RSA_WITH_RC4_128_MD5密码套件。Foreman 的 HTTP 客户端基于 Net::HTTP会拒绝连接报错SSL_connect returned1 errno0 stateSSLv3 read server hello A: sslv3 alert handshake failure。解决方案是在 Puppet Master 的/etc/puppet/puppet.conf中强制指定安全套件[master] sslenabledciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384重启puppetmaster服务后用openssl s_client -connect puppetmaster:8140 -tls1_2可验证是否成功协商 TLS 1.2。2.3 Report 接收通道Puppet 报告如何从 Agent 流向 Foreman 的数据库这是最容易被忽略却最关键的通道。Puppet Agent 执行完后会将报告JSON 格式发送给 Puppet Master再由 Puppet Master 转发给 Foreman。整个链路涉及三个配置点Agent 端/etc/puppet/puppet.conf中必须设置[agent] report true reports foremanMaster 端/etc/puppet/puppet.conf中必须启用报告处理器[master] reports foremanForeman 端在 Web 界面Administer → Settings → Reporting中必须勾选Enable foreman report processor并确认foreman_url指向正确的 Foreman 地址如https://foreman.example.com。但光这样还不够。Foreman 的报告接收器/usr/share/foreman/app/controllers/api/v2/reports_controller.rb默认只接受Content-Type: application/json的 POST 请求而 Puppet 3.4 的报告格式是application/x-www-form-urlencoded。这会导致 Foreman 返回415 Unsupported Media Type报告丢失。修复方法是修改 Puppet Master 的report_processor配置。在/etc/puppet/puppet.conf的[master]段落添加report_processor /usr/lib/ruby/vendor_ruby/puppet/reports/foreman.rb然后创建该文件内容需适配 Foreman 1.8 API# /usr/lib/ruby/vendor_ruby/puppet/reports/foreman.rb require net/http require json Puppet::Reports.register_report(:foreman) do def process # 将 Puppet 报告转换为 Foreman 接受的 JSON 格式 report_data { report { host self.host, reported_at self.time.to_s, status { applied self.metrics[resources][applied].value, failed self.metrics[resources][failed].value, failed_to_restart self.metrics[resources][failed to restart].value, restarted self.metrics[resources][restarted].value, skipped self.metrics[resources][skipped].value, out_of_sync self.metrics[resources][out of sync].value }, metrics self.metrics.to_hash, logs self.logs.map { |l| l.to_hash } } } uri URI.parse(https://foreman.example.com/api/v2/reports) http Net::HTTP.new(uri.host, uri.port) http.use_ssl true http.verify_mode OpenSSL::SSL::VERIFY_NONE # 生产环境应替换为 VERIFY_PEER request Net::HTTP::Post.new(uri.path) request[Content-Type] application/json request.body report_data.to_json response http.request(request) Puppet.debug(Foreman report submission: #{response.code} #{response.message}) end end这段 Ruby 代码的核心作用是把 Puppet 原生的Report对象序列化为 Foreman API 所需的嵌套 JSON 结构并显式设置Content-Type。没有它报告永远无法入库。我曾见过一个集群持续 3 天无报告最终发现就是foreman.rb文件权限为600仅 root 可读导致 Puppet Master 的puppetmaster进程无法加载该模块。3. 主机生命周期实战从裸机 PXE 启动到 Puppet 状态就绪的完整链路Foreman 最强大的能力不是展示已存在的节点而是主动创建并初始化它们。在 Ubuntu 14.04 环境下这一过程被封装为一条清晰的自动化流水线PXE Boot → DHCP 分配 → Kickstart 安装 → Puppet 证书签发 → Class 应用 → 报告回传。下面我以部署一台新的 Web 服务器为例逐帧拆解每个环节的触发条件、配置位置和失败信号。3.1 PXE 启动阶段Foreman 如何让裸机“认出自己是谁”当你在 Foreman Web 界面点击Hosts → Create Host填写主机名web05.example.com、选择操作系统Ubuntu 14.04、指定所在子网192.168.10.0/24后Foreman 实际上做了三件事在内置数据库中创建一条Host记录关联到Subnet和Operating System生成一个唯一的Puppet Certname默认为web05.example.com并预注册到 Puppet Master 的待签发队列为该主机生成专属的 PXE 配置文件存放于 TFTP 根目录/var/lib/tftpboot/pxelinux.cfg/下文件名是该主机 MAC 地址的十六进制大写形式如01-aa-bb-cc-dd-ee-ff。这个 PXE 配置文件的内容至关重要它决定了裸机启动后加载什么内核、传递什么参数。Foreman 自动生成的pxelinux.cfg/01-aa-bb-cc-dd-ee-ff文件类似这样default ubuntu_1404_x64 prompt 0 timeout 1 label ubuntu_1404_x64 kernel ubuntu_1404_x64/vmlinuz append initrdubuntu_1404_x64/initrd.gz urlhttp://foreman.example.com/unattended/url kshttp://foreman.example.com/unattended/provision?tokenabc1234567890def network-config1 ksdevicebootif其中ks参数指向 Foreman 的无人值守安装接口token是一次性认证令牌确保只有该主机能获取其专属的 Kickstart 配置。如果你在裸机 BIOS 中启用 PXE 启动它会从 DHCP 获取 IP然后向 TFTP 请求pxelinux.cfg/01-aa-bb-cc-dd-ee-ff接着下载vmlinuz和initrd.gz最后通过ksURL 加载安装脚本。常见故障点裸机卡在PXE-E53: No boot filename received说明 DHCP 未正确配置 Option 66TFTP Server和 Option 67Bootfile Name。Foreman 的 Smart Proxy DHCP 模块会自动管理这些选项但前提是你的 DHCP 服务器如 ISC DHCPD必须将next-server和filename指向 Foreman 的 IP 和pxelinux.0。启动后停留在Loading Linux...无响应大概率是vmlinuz和initrd.gz文件损坏或架构不匹配。Ubuntu 14.04 的内核是amd64若你误用了i386镜像就会黑屏。Foreman 的 OS 配置中“Architecture” 字段必须严格设为x86_64。3.2 Kickstart 安装阶段如何让 Ubuntu 14.04 自动分区、装包、配置网络Foreman 的unattended/provision接口返回的不是一个静态文件而是一个动态渲染的 Kickstart 脚本.ks。它根据你在 Web 界面中为该主机设置的参数实时生成核心变量包括host.name主机名web05.example.comhost.ipIP 地址192.168.10.105host.subnet.mask子网掩码255.255.255.0host.domain域名example.comhost.puppet_caPuppet CA 地址puppet.example.com一个典型的 Ubuntu 14.04 Kickstart 模板片段如下位于/usr/share/foreman/config/locales/en.yml的provisioning_templates部分#versionDEVEL # System authorization information auth --enableshadow --passalgosha512 # Use text mode install text # Firewall configuration firewall --enabled --ssh # Run the Setup Agent on first boot firstboot --disable # System keyboard keyboard us # System language lang en_US # Installation logging level logging --levelinfo # Reboot after installation reboot # Network information network --bootprotostatic --iphost.ip --netmaskhost.subnet.mask --gatewayhost.subnet.gateway --nameserverhost.subnet.dns_primary --hostnamehost.name --noipv6 # Root password rootpw --iscrypted $6$rounds4096$... # System timezone timezone America/New_York --isUtc --nontp # System bootloader configuration bootloader --locationmbr --boot-drivesda # Clear the Master Boot Record zerombr # Partition clearing information clearpart --all --initlabel # Disk partitioning information part /boot --fstypeext4 --size500 part pv.01 --size10000 volgroup vg_root --pesize4096 pv.01 logvol / --fstypeext4 --grow --maxsize50000 --size10000 --namelv_root --vgnamevg_root logvol swap --fstypeswap --size2048 --namelv_swap --vgnamevg_root %packages ubuntu-server puppet curl wget %end %post # 注入 Puppet 配置 echo server puppet.example.com /etc/puppet/puppet.conf echo certname host.name /etc/puppet/puppet.conf echo report true /etc/puppet/puppet.conf echo reports foreman /etc/puppet/puppet.conf # 启动 Puppet Agent 并等待首次运行 service puppet start sleep 30 puppet agent -t --onetime --no-daemonize %end这个模板的关键设计在于%post段落它在系统安装完成后立即写入 Puppet 配置并触发首次puppet agent -t。这确保了主机在第一次启动进入 Ubuntu 桌面或命令行时Puppet 状态已是“已同步”。你不需要 SSH 登录后手动执行任何命令。但这里有个隐藏陷阱Ubuntu 14.04 的puppet包默认不启动puppet服务Upstart jobpuppet.conf中start on runlevel [2345]被注释。因此service puppet start实际无效。必须在%post中显式启用echo start on runlevel [2345] /etc/init/puppet.conf echo stop on runlevel [016] /etc/init/puppet.conf initctl reload-configuration service puppet start否则主机安装完成后Puppet Agent 不会后台运行Foreman 界面中该主机的状态会一直显示为Pending installation直到你手动登录并启动服务。3.3 Puppet 初始化阶段证书签发与 Class 应用的原子性保障当裸机完成 Kickstart 安装并首次启动时puppet agent会尝试连接puppet.example.com并发送 CSRCertificate Signing Request。此时Foreman 的 Smart Proxy 会拦截该请求并根据数据库中该主机的记录自动批准并签发证书。这个过程看似自动实则依赖两个关键前提主机名与 Certname 严格一致Foreman 创建主机时Name字段web05.example.com必须与puppet agent配置中的certname完全相同。如果certname设为web05短名而 Foreman 记录的是web05.example.comFQDN签发会失败报错Could not request certificate: Connection refused。环境Environment与主机分组Host Group的继承链必须闭合在 Foreman 中主机可以属于一个Host Group如Web Servers而Host Group又关联到一个Puppet Environment如production。Host Group还可以继承上级Host Group的Puppet Classes。如果Web Servers继承自Base Servers而Base Servers中定义了ntp类那么web05就会自动获得ntp配置无需单独添加。这种继承关系在 Foreman 界面中体现为树状结构但在底层它被翻译为 Puppet 的node_classifierAPI 调用。当你在 Foreman 中点击Configure → Classes为web05添加apache类时Foreman 实际向 Puppet Master 的/v3/environment_classes接口发送了一个 PATCH 请求更新该主机的classes数组。这个数组随后被 Puppet Agent 在puppet agent -t时拉取并作为include指令注入到编译后的 catalog 中。一个典型错误是管理员在Host Group中添加了mysql::server类但忘记为该Host Group分配environment production。结果web05的 Puppet Agent 仍使用默认的production环境却从development环境的site.pp中查找mysql::server导致 catalog 编译失败报错Could not find class mysql::server for web05.example.com on node web05.example.com.验证方法很简单SSH 登录web05执行sudo puppet agent -t --debug 21 | grep -A5 Applied catalog。如果看到Applied catalog in XXX seconds说明一切正常如果卡在Compiling catalog for web05.example.com...则大概率是环境或类路径问题。4. 故障排查黄金三角日志、API、数据库三者如何交叉验证Foreman Puppet 的集成一旦出问题错误信息往往分散在三个层面Foreman 的 Rails 日志、Puppet Master 的日志、以及底层 SQLite 数据库。孤立查看任一来源都会漏掉关键线索。我总结了一套“黄金三角”排查法以一个具体现象为起点同步检查三方日志用 API 请求验证状态最后查数据库确认数据一致性。下面以一个真实案例演示全过程。4.1 现象Foreman 界面中主机状态长期显示 “Pending installation”且无任何错误提示这是最令人抓狂的状态——界面看起来一切正常但主机就是不“活”起来。按常规思路你会先看 Foreman 日志但其实应该从 Puppet Agent 的行为切入。第一步在目标主机上检查 Puppet Agent 状态SSH 登录web05执行sudo systemctl status puppet # Ubuntu 14.04 实际是 upstart用 initctl status puppet sudo puppet agent --configprint certname sudo puppet agent --configprint server输出应为puppet start/running, process 1234 web05.example.com puppet.example.com如果certname显示为空或puppet服务未运行问题出在 Kickstart 的%post阶段回到上一节修复。第二步检查 Foreman 的 Smart Proxy 日志在 Foreman 服务器上查看/var/log/foreman-proxy/proxy.logsudo tail -50 /var/log/foreman-proxy/proxy.log | grep -i web05\|certificate正常流程应看到类似I, [2016-03-15T10:23:45.123456 #1234] INFO -- : Received CSR for web05.example.com I, [2016-03-15T10:23:45.654321 #1234] INFO -- : Signing certificate for web05.example.com如果看到WARN -- : Certificate signing request for web05.example.com not found in database说明 Foreman 数据库中没有该主机的记录。可能原因主机是手动添加的但未勾选Build复选框或Build勾选后又被取消导致状态未重置。第三步用 Foreman API 直接查询主机状态Foreman 提供了完整的 REST API。用 curl 验证curl -k -H Accept: application/json \ -H Content-Type: application/json \ -u admin:changeme \ https://foreman.example.com/api/v2/hosts/web05.example.com返回的 JSON 中重点关注build和provision_method字段{ id: 123, name: web05.example.com, build: true, provision_method: build, last_report: null, puppetclass_ids: [456, 789] }如果build: false说明主机未被标记为“正在构建”需在 Web 界面编辑主机勾选Build并提交。第四步直连 Foreman 数据库确认证书状态Foreman 的 SQLite 数据库存放于/var/lib/foreman/db/production.sqlite3。用 sqlite3 命令行工具查询sudo -u foreman sqlite3 /var/lib/foreman/db/production.sqlite3 \ SELECT name, build, enabled FROM hosts WHERE name web05.example.com;输出应为web05.example.com|1|1其中build1表示构建中enabled1表示启用。如果build0可手动更新sudo -u foreman sqlite3 /var/lib/foreman/db/production.sqlite3 \ UPDATE hosts SET build 1 WHERE name web05.example.com;注意直接修改数据库是最后手段必须在 Foreman 服务停止时操作sudo systemctl stop foreman否则可能引发锁表。4.2 现象Puppet 报告成功提交但 Foreman 界面中 “Reports” 标签页为空这通常意味着报告被 Foreman 接收但未能正确解析或入库。排查路径如下检查 Foreman 的 production.logsudo tail -100 /var/log/foreman/production.log | grep -A10 -B5 report如果看到Started POST /api/v2/reports但紧接着是Completed 500 Internal Server Error说明报告 JSON 格式有误。捕获原始报告 payload在 Puppet Master 上临时修改foreman.rb报告处理器在request.body report_data.to_json前添加File.open(/tmp/latest_report.json, w) { |f| f.write(report_data.to_json) }然后触发一次puppet agent -t查看/tmp/latest_report.json是否包含有效的host、reported_at、status字段。常见错误是status字段缺失因为 Puppet 3.4 的 metrics 名称与 Foreman 1.8 的期望不一致如failed to restartvsfailed_to_restart。验证 Foreman 的 Report ModelForeman 的报告模型定义在/usr/share/foreman/app/models/report.rb。关键校验逻辑是validates :host_id, presence: true validates :reported_at, presence: true validates :status_applied, numericality: true如果host_id为空说明 Foreman 无法根据host字段web05.example.com在数据库中找到对应主机。此时需检查hosts表sudo -u foreman sqlite3 /var/lib/foreman/db/production.sqlite3 \ SELECT id, name FROM hosts WHERE name web05.example.com;若返回空说明主机记录被意外删除需重建。4.3 现象主机在 Foreman 中显示 “OK”但 Puppet Agent 报错 “Could not retrieve catalog from remote server”这表明 Foreman 认为一切正常但 Puppet Master 拒绝为其编译 catalog。根本原因几乎总是环境Environment不匹配。在 Puppet Master 上执行sudo puppet master --compile web05.example.com --environment production --debug如果报错Could not find class ...说明production环境的site.pp或hiera.yaml中缺少该类定义。此时应检查 Foreman 中该主机的Environment设置进入Hosts → web05.example.com → Edit → Puppet Environment确认下拉菜单中选中的是production而非none或testing。如果Puppet Environment字段为空Foreman 会使用 Puppet Master 的默认环境通常是production但若 Master 的puppet.conf中environment testing就会冲突。终极验证法直接调用 Puppet Master 的 catalog APIcurl -k -H Accept: pson \ -H Content-Type: pson \ -u puppet:puppet \ https://puppet.example.com:8140/puppet/v3/catalog/web05.example.com?environmentproduction返回200 OK且包含resources数组证明环境链路通畅返回404 Not Found则说明production环境不存在或未启用。5. 长期运维经验Ubuntu 14.04 上 Foreman Puppet 的稳定性加固清单Ubuntu 14.04 作为一款已结束标准支持的系统其 Foreman Puppet 组合的长期稳定运行不取决于初始安装有多完美而在于能否预见并规避那些随时间推移必然出现的“慢性病”。以下是我在多个生产环境维护三年以上总结出的七条加固实践每一条都源于真实故障。5.1 时间同步NTP 偏差超过 5 分钟将导致证书失效Foreman 和 Puppet 的 SSL 证书都带有严格的Not Before和Not After时间戳。Ubuntu 14.04 的默认 NTP 客户端ntpd在虚拟机环境下容易漂移。我们曾遇到一个集群所有主机的系统时间比标准时间快 8 分钟导致 Puppet Agent 启动时校验证书失败报错SSL_connect returned1 errno0 stateerror: certificate verify failed (unable to get local issuer certificate)。解决方案不是简单ntpdate而是建立双保险系统层在所有 Foreman、Puppet Master、Agent 主机上配置chrony比ntpd更适合虚拟机sudo apt-get install chrony echo server ntp.ubuntu.com iburst | sudo tee -a /etc/chrony/chrony.conf sudo systemctl enable chrony sudo systemctl restart chron