Puppet nginx＋passenger模式配置

Puppet nginx＋passenger模式配置

一．简述：Puppet 运行在单台服务器上默认启动的是一个puppetmaster进程，当遇到client高并发的请求时，基于ruby的WEBRick HTTP服务便无法高效的处理请求，甚至有的client直接会报400错误。所以在单台服务器上，可以使用nginx＋passenger 来做puppetßßßß多负载配置。

  

二．原理：使用nginx代替ruby的webrick ，并且处理对client的ssl认证进行处理和转发。后台passenger 根据client 请求量的大小，动态的启动puppetmaster进程，从而实现puppet多进程负载

  

三．实现步骤：

  1.使用gem安装rake rack 

gem install rake rack 

  2.安装passenger 

由于线上使用的ruby和puppet版本比较新，所以如果使用默认安装的话会安装passenger－5.0版本，而最新版passenger的语法较之前有很大更新，所以，建议使用4.0.19稳定版

 gem install passenger -v 4.0.19 

  3.安装nginx 

    安装方式有两种，可以自行下载nginx的源码包编译安装，编译的时候需要添加passenger的模块，也可以使用passenger 自动安装，自动选择匹配的版本。下面使用passenger自动安装

执passenger-install-nginx-module 

下面的选项1是自动安装nginx，2是自定义安装（可以自定义编译的模块等等），选择1即可

选择完之后，会自动下载nginx源码包，到下面这一步，选择安装nginx的安装路径即可

nginx安装完成

  

4.配置nginx的主配置文件nginx.conf 

   添加如下参数；

    passenger_root /usr/lib/ruby/gems/1.8/gems/passenger-4.0.19; ＃指定passenger的root目录，可以使用passenger-config –root得到

    passenger_ruby /usr/bin/ruby;  ＃指定ruby命令的执行路径

    passenger_max_pool_size 15;    ＃定义puppetmaster动态调用的最大进程数量

  

为了更好的处理请求，可以视情况修改下面参数

    proxy_buffer_size 4000k; 

    proxy_buffering on; 

    proxy_buffers 32 1280k; 

    proxy_busy_buffers_size 17680k; 

    client_max_body_size 10m; 

    client_body_buffer_size 4096k; 

5.增加vhosts文件puppet.node.kddi.op.xywy.com.conf,内容如下：

  

   server { 

   listen           8140 ssl; ＃由于puppet通信使用的是ssl，所以此处必须定义ssl 

   server_name      puppet.node.kddi.op.xywy.com;  ＃puppet服务器的主机名

   root         /etc/puppet/rack/public;  ＃nginx和passenger的协作目录

   access_log       /data/logs/nginx/proxy.puppet-access.log; 

   error_log        /data/logs/nginx/proxy.puppet-error.log; 

   passenger_enabled on;    ＃启用passenger模式

            passenger_set_cgi_param    HTTP_X_CLIENT_DN $ssl_client_s_dn; ＃标记client 请求时提供的dn和 VERIFY，用于传递到puppet  

   passenger_set_cgi_param    HTTP_X_CLIENT_VERIFY $ssl_client_verify; 

＃ssl 证书的相关配置

  

   ssl_session_timeout  5m; 

   ssl_certificate /var/lib/puppet/ssl/certs/puppet.node.kddi.op.xywy.com.pem; 

  ssl_certificate_key /var/lib/puppet/ssl/private_keys/puppet.node.kddi.op.xywy.com.pem; 

  ssl_client_certificate  /var/lib/puppet/ssl/certs/ca.pem; 

   ssl_crl      /var/lib/puppet/ssl/ca/ca_crl.pem; 

   ssl_ciphers      SSLv2:-LOW:-EXPORT:RC4+RSA; 

   ssl_prefer_server_ciphers on; 

   ssl_verify_depth     1; 

   ssl_session_cache    shared:SSL:128m; 

  ssl_verify_client optional; 

  

} 

6.创建rack和public目录，并修改puppet的配置文件puppet.conf 

   mkdir -pv  /etc/puppet/rack/public 

   cp /usr/share/puppet/ext/rack/config.ru  /etc/puppet/rack/ 

   chown -R puppet.puppet /etc/puppet/rack 

  

在puppet.conf的［master］下增加下面参数

    ssl_client_verify_header = HTTP_X_CLIENT_VERIFY 

    ssl_client_header = HTTP_X_CLIENT_DN 

7.关闭puppetmaster进程，并启动nginx，开始测试

   /etc/init.d/puppetmaster stop 

   /usr/local/xywy/nginx/sbin/nginx 

  

可以使用passenger-status查看现在的状态

同时，nginx也记录了client的请求