Puppet nginx＋passenger模式配置

王艳玲

　　Puppet nginx＋passenger模式配置
　　一．简述：Puppet 运行在单台服务器上默认启动的是一个puppetmaster进程，当遇到client高并发的请求时，基于ruby的WEBRick HTTP服务便无法高效的处理请求，甚至有的client直接会报400错误。所以在单台服务器上，可以使用nginx＋passenger 来做puppetßßßß多负载配置。
　　二．原理：使用nginx代替ruby的webrick ，并且处理对client的ssl认证进行处理和转发。后台passenger 根据client 请求量的大小，动态的启动puppetmaster进程，从而实现puppet多进程负载
　　三．实现步骤：
　　1.使用gem安装rake rack
　　gem install rake rack
　　2.安装passenger
　　由于线上使用的ruby和puppet版本比较新，所以如果使用默认安装的话会安装passenger－5.0版本，而最新版passenger的语法较之前有很大更新，所以，建议使用4.0.19稳定版
　　gem install passenger -v 4.0.19
　　3.安装nginx
　　安装方式有两种，可以自行下载nginx的源码包编译安装，编译的时候需要添加passenger的模块，也可以使用passenger 自动安装，自动选择匹配的版本。下面使用passenger自动安装
　　执passenger-install-nginx-module
　　下面的选项1是自动安装nginx，2是自定义安装（可以自定义编译的模块等等），选择1即可
　　选择完之后，会自动下载nginx源码包，到下面这一步，选择安装nginx的安装路径即可
　　nginx安装完成
　　4.配置nginx的主配置文件nginx.conf
　　添加如下参数；
　　passenger_root /usr/lib/ruby/gems/1.8/gems/passenger-4.0.19; ＃指定passenger的root目录，可以使用passenger-config –root得到
　　passenger_ruby /usr/bin/ruby;  ＃指定ruby命令的执行路径
　　passenger_max_pool_size 15;    ＃定义puppetmaster动态调用的最大进程数量
　　为了更好的处理请求，可以视情况修改下面参数
　　proxy_buffer_size 4000k;
　　proxy_buffering on;
　　proxy_buffers 32 1280k;
　　proxy_busy_buffers_size 17680k;
　　client_max_body_size 10m;
　　client_body_buffer_size 4096k;
　　5.增加vhosts文件puppet.node.kddi.op.xywy.com.conf,内容如下：
　　server {
　　listen           8140 ssl; ＃由于puppet通信使用的是ssl，所以此处必须定义ssl
　　server_name      puppet.node.kddi.op.xywy.com;  ＃puppet服务器的主机名
　　root         /etc/puppet/rack/public;  ＃nginx和passenger的协作目录
　　access_log       /data/logs/nginx/proxy.puppet-access.log;
　　error_log        /data/logs/nginx/proxy.puppet-error.log;
　　passenger_enabled on;    ＃启用passenger模式
　　passenger_set_cgi_param    HTTP_X_CLIENT_DN $ssl_client_s_dn; ＃标记client 请求时提供的dn和 VERIFY，用于传递到puppet  
　　passenger_set_cgi_param    HTTP_X_CLIENT_VERIFY $ssl_client_verify;
　　＃ssl 证书的相关配置
　　ssl_session_timeout  5m;
　　ssl_certificate /var/lib/puppet/ssl/certs/puppet.node.kddi.op.xywy.com.pem;
　　ssl_certificate_key /var/lib/puppet/ssl/private_keys/puppet.node.kddi.op.xywy.com.pem;
　　ssl_client_certificate  /var/lib/puppet/ssl/certs/ca.pem;
　　ssl_crl      /var/lib/puppet/ssl/ca/ca_crl.pem;
　　ssl_ciphers      SSLv2:-LOW:-EXPORT:RC4+RSA;
　　ssl_prefer_server_ciphers on;
　　ssl_verify_depth     1;
　　ssl_session_cache    shared:SSL:128m;
　　ssl_verify_client optional;
　　}
　　6.创建rack和public目录，并修改puppet的配置文件puppet.conf
　　mkdir -pv  /etc/puppet/rack/public
　　cp /usr/share/puppet/ext/rack/config.ru  /etc/puppet/rack/
　　chown -R puppet.puppet /etc/puppet/rack
　　在puppet.conf的［master］下增加下面参数
　　ssl_client_verify_header = HTTP_X_CLIENT_VERIFY
　　ssl_client_header = HTTP_X_CLIENT_DN
　　7.关闭puppetmaster进程，并启动nginx，开始测试
　　/etc/init.d/puppetmaster stop
　　/usr/local/xywy/nginx/sbin/nginx
　　可以使用passenger-status查看现在的状态
　　同时，nginx也记录了client的请求