puppet-apache

  1. 先睹为快
  2. 代码讲解-如何管理apache服务
  3. 推荐阅读
  4. 动手练习

Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大多数电脑操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。

puppet-apache模块是由Puppet公司维护的官方模块,提供了完善的Apache管理能力。

puppet-apache项目地址:https://github.com/puppetlabs/puppetlabs-apache

在开始介puppet-apache模块前,读者需特别留意以下:

WARNING: Configurations not managed by Puppet will be purged.

对于已存在的Apache服务,如果尝试使用puppet-apache模块进行管理,请额外小心在默认情况下该模块会清除所有未被Puppet管理的配置文件!

1.先睹为快

不想看下面大段的代码说明,已经跃跃欲试了?

Ok,我们开始吧!

打开虚拟机终端并输入以下命令:

$ puppet apply -ve "include ::apache"

或者创建一个manifest文件test.pp,并输入以下代码:

class { 'apache': }

在终端下执行puppet apply命令:

   puppet apply -v test.pp

约1分钟之后(取决于网速和虚拟机的性能),Puppet已经完成了Apache服务的安装,配置和启动了。

这是如何做到的呢?我们打开puppet-apache模块下manifests/init.pp文件,看看是如何做的?

2.代码讲解

puppet-apache模块当前支持的主要功能如下:

  • Apache配置文件和目录
  • Apache软件包/服务/配置文件
  • Apache的module
  • 虚拟主机(Virtual hosts)
  • 监听端口(Listened-to ports)

2.1 class apache

class apache中有大量的判断逻辑,这些并不是核心,对于一个init类,其核心是调用了哪些资源(class,define等):

用于安装Apache软件包

    package { 'httpd':
      ensure => $package_ensure,
      name   => $apache_name,
      notify => Class['Apache::Service'],
    }

用于管理conf.d目录,注意这个$purge_confd参数,默认为true,会清理掉一切未被管理的配置文件。

  file { $confd_dir:
    ensure  => directory,
    recurse => true,
    purge   => $purge_confd,
    notify  => Class['Apache::Service'],
    require => Package['httpd'],
  }

用于启用所有默认的mods

class { '::apache::default_mods':
  all => $default_mods,
}

这里有两个apache::vhost define,分别用于生成默认的80端口和443端口的vhost文件。

   ::apache::vhost { 'default':
      ensure          => $default_vhost_ensure,
      port            => 80,
      docroot         => $docroot,
      scriptalias     => $scriptalias,
      serveradmin     => $serveradmin,
      access_log_file => $access_log_file,
      priority        => '15',
      ip              => $ip,
      logroot_mode    => $logroot_mode,
      manage_docroot  => $default_vhost,
    }
    $ssl_access_log_file = $::osfamily ? {
      'freebsd' => $access_log_file,
      default   => "ssl_${access_log_file}",
    }
    ::apache::vhost { 'default-ssl':
      ensure          => $default_ssl_vhost_ensure,
      port            => 443,
      ssl             => true,
      docroot         => $docroot,
      scriptalias     => $scriptalias,
      serveradmin     => $serveradmin,
      access_log_file => $ssl_access_log_file,
      priority        => '15',
      ip              => $ip,
      logroot_mode    => $logroot_mode,
      manage_docroot  => $default_ssl_vhost,
    }
  }

以上代码示例用于简单的测试验证,若在生产环境中,请关闭默认生成的vhost文件:

class { 'apache':
  default_vhost => false,
}

2.2 配置Apache mod

puppet-apache支持使用两种方式来安装mod软件包和管理mod配置文件:

  • class apache::mod::<MODEULE_NAME>方式
  • define apache::mod方式

其中apache::mod::<MODULE NAME>支持众多已预先定义的Apache mod的管理,而define apache::mod方式则可以灵活地支持未在define apache::mod中的mod。

2.2.1 class apache::mod::ssl

下面以mod_ssl为例进行说明:

为了确保通讯安全,会使用HTTPS来加密通讯,因此需在Apache启用mod_ssl。

  • class apache::mod::<MODEULE_NAME>方式:
#开启ssl compression
class { 'apache::mod::ssl':
  ssl_compression => true,
}
  • define apache::mod方式:
    apache::mod { 'mod_ssl': }
    

在通常情况下,使用默认参数apache::mod::ssl就可以完成mod_ssl的管理工作,同时也提供了10个可配置的参数:

  • $ssl_compression = false
  • $ssl_cryptodevice = 'builtin'
  • $ssl_options = [ 'StdEnvVars' ]
  • $ssl_openssl_conf_cmd = undef
  • $ssl_cipher = 'HIGH:MEDIUM:!aNULL:!MD5:!RC4'
  • $ssl_honorcipherorder = 'On'
  • $ssl_protocol = [ 'all', '-SSLv2', '-SSLv3' ]
  • $ssl_pass_phrase_dialog = 'builtin'
  • $ssl_random_seed_bytes = '512'
  • $ssl_sessioncachetimeout = '300'

需要注意的是,在使用define apache::mod方式下,Puppet仅会安装指定名称的mod软件包,用户需要手动完成对于mod配置文件的设置。

2.2.2 class apache::mod::wsgi

OpenStack服务的所有提供API接口的组件使用Python语言编写,Python原生的Web服务器性能较弱,只适合用于非线上环境。为了提高API服务的性能,需将Python Web程序运行在Apache上,将使用到mod_wsgi

在通常情况下,声明apache::mod::wsgi时使用默认参数就可以完成mod_wsgi的安装和配置工作:

class { 'apache::mod::wsgi':}

apache::mod::wsgi也提供了5个可配置的参数,其中$wsgi_socket_prefix有默认值:

  • $wsgi_socket_prefix = $::apache::params::wsgi_socket_prefix
  • $wsgi_python_path
  • $wsgi_python_home
  • $package_name
  • $mod_path

2.3 define apache::vhost

在配置Apache时,最常见的操作之一就是添加和修改虚拟主机。

因此,在puppet-apache模块中apache::vhost是使用最频繁的define,用于管理Apache服务的vhost配置文件。

2.3.1 配置一个vhost

最简单的调用方式是在声明一个apache::vhost时,只对参数port和docroot传值,例如:

apache::vhost { 'vhost.example.com':
  port    => '80',
  docroot => '/var/www/vhost',
}

2.3.2 配置开启SSL的vhost

在线上配置vhost时,经常会使用HTTPS来确保Web访问的安全性,这在puppet中配置起来也非常容易。在声明一个apache::vhost时,开启$ssl参数即可:

apache::vhost { 'ssl.example.com':
  port    => '443',
  docroot => '/var/www/ssl',
  ssl     => true,
}

如果要对开启SSL的vhost指定证书路径,则在声明时引入参数ssl_certssl_key

apache::vhost { 'cert.example.com':
  port     => '443',
  docroot  => '/var/www/cert',
  ssl      => true,
  ssl_cert => '/etc/ssl/cert.example.com.cert',
  ssl_key  => '/etc/ssl/cert.example.com.key',
}

2.3.3 配置一个WSGI的vhost

下面代码示例说明了如何为vhost配置WSGI mod,用于运行Python Web服务:

apache::vhost { 'wsgi.example.com':
  port                        => '80',
  docroot                     => '/var/www/pythonapp',
  wsgi_application_group      => '%{GLOBAL}',
  wsgi_daemon_process         => 'wsgi',
  wsgi_daemon_process_options => {
    processes    => '4',
    threads      => '24',
    display-name => '%{GROUP}',
  },
  wsgi_import_script          => '/var/www/wsgi.example.com',
  wsgi_import_script_options  => {
    process-group     => 'wsgi',
    application-group => '%{GLOBAL}',
  },
  wsgi_process_group          => 'wsgi',
  wsgi_script_aliases         => { '/' => '/var/www/wsgi.example.com' },
}

推荐阅读

动手练习

  1. 使用Puppet搭建一套LAMP环境(注:需和puppet-mysql结合使用)
  2. 使用Certbotpuppet-apache配置并管理一个HTTPS站点(注:Certbot的说明见https://certbot.eff.org/)