Introduction à Rudder
Mise à jour :
Dans ce premier tutoriel, nous verrons comment installer un serveur rudder localement sur votre machine en utilisant une stack Vagrant. Nous verrons aussi comment configurer plusieurs nodes.
Présentation de Rudder
Rudder est un logiciel open source de gestion de configuration. Il se veut simple d’utilisation en proposant une interface utilisateur écrite en scala. Rudder, contrairement à Ansible, s’appuie sur des agents légers installés sur chacun des nodes pour déployer les configurations.
Le serveur RUDDER est appelé le master et les clients les nodes. Sur le
master les configuration sont déclarées et ce sont les agents tournant sur les
nodes qui se charge de les appliquer. Dans le cas où la configuration décrite
n’est pas celle présente sur le node, l’agent appliquera les changements
nécessaires pour la respecter en utilisant CFEngine.
Rudder prend en charge des nodes provisionnés avec la plupart des distributions Linux. Windows Server, Solaris et AIX sont également supportés via une souscription.
Les configurations permettent :
- d’installer des packages en utilisant les gestionnaires de packages des OS cibles.
- de configurer les paramètres et services tournant sur les nodes.
- de créer et maintenir des comptes et les groupes d’utilisateurs.
- de construire un système durci en configurant puis en contrôlant que les règles de sécurité sont toujours appliquées.
- d’appliquer des configurations aux middlewares en utilisant des templates.
- …
Rudder peut être étendu via des plugins ↗. On retrouve :
- Un système de gestion d’application de patchs OS.
- Des systèmes de contrôle de compliance ISO 27001, PCI-DSS, NIST
- Openscap, que je vous ai déjà présenté avec son utilisation pour développer des rôles Ansible proposant des options pour durcir les systèmes d’exploitation
- CIS, un autre système d’audit de sécurité
- Gestion des bastions Wallix
- Gestion de Vault pour le stockage des secrets
- Authentification
- Zabbix, Centreon
- …
Certains de ces plugins sont gratuits et d’autres sont propriétaires et nécessitent une licence.
Notions importantes
Avant de commencer à utiliser Rudder, il est important de mettre en place son vocabulaire technique.
Techniques
Les Techniques sont les squelettes de configuration, adapté à une fonction ou à un service particulier (par ex. Configuration du DNS). Ce squelette comprend la logique de configuration pour cette fonction ou ce service et peut être défini selon une liste de variables (dans le même exemple: adresses IP des serveurs DNS, la zone de recherche par défaut, etc)
La bibliothèque standard de Rudder ne fournit que les techniques les plus courantes. Vous pouvez créer de nouvelles techniques avec l’Éditeur de Technique.
Directives
Les directives sont les instances d’une technique qui permet de définir des valeurs aux paramètres de cette technique. Chaque directive peut avoir un nom unique. Une directive doit être complétée par une description et les valeurs pour les paramètres définies dans la technique.
Groupe de nodes
Il est possible de créer un groupe de nœuds basé sur des critères de recherche pour faciliter l’attribution Règles de gestion de la configuration. Par exemple : un groupe par version de système d’exploitation, un groupe par environnement, un groupe par fonction, etc
Rules
Les rules permettent de définir l’application d’une ou plusieurs directives à un groupe de nœuds.
Installation de Rudder
Comme dit précédemment, je vais l’installer sur ma machine de développement en utilisant Vagrant et le provider libvirt. Vous pouvez utiliser le Vagrantfile ↗ fourni par l’éditeur qui lui utilise le provider Virtualbox.
Mon vagrantfile :
# -*- mode: ruby -*-# vi: set ft=ruby :ENV['VAGRANT_NO_PARALLEL'] = 'yes'
nb_nodes = 3
Vagrant.configure("2") do |config| config.vm.synced_folder '.', '/vagrant', disabled: true config.hostmanager.enabled = true config.hostmanager.manage_host = true
config.vm.define "server" do |server| server.vm.box = "generic/ubuntu2204" server.vm.provider :libvirt do |lv| lv.memory = 2048 lv.cpus = 2 lv.management_network_name = 'my_network' lv.management_network_address = '192.168.3.0/24' end server.vm.provision :shell, :inline => "apt update" server.vm.provision :shell, :path => "https://repository.rudder.io/tools/rudder-setup", :args => ["setup-server", "latest"], :env => {"ADMIN_USER" => "admin", "ADMIN_PASSWORD" => "admin"} server.vm.hostname = "server.rudder.local" server.vm.network :forwarded_port, guest: 443, host: 8081 end for i in 1..nb_nodes do config.vm.define "node#{i}" do |node| node.vm.box = "generic/ubuntu2204" node.vm.provider :libvirt do |lv| lv.memory = 1024 lv.management_network_name = 'my_network' lv.management_network_address = '192.168.3.0/24' end node.vm.provision :shell, :inline => "apt update" node.vm.provision :shell, :path => "https://repository.rudder.io/tools/rudder-setup", :args => ["setup-agent", "latest", "server.rudder.local"] node.vm.provision :shell, :inline => "echo 'SUCCESS: You can now access the Rudder web interface on https://localhost:8081/ with admin/admin credentials'" node.vm.hostname = "node#{i}.rudder.local" end endendCe vagrantfile provisionne un master et 3 nodes. Si vous voulez moins ou plus de
nodes, il suffit de changer la variable nb_nodes.
Allez, on provisionne :
vagrant upAu bout de 2-3 minutes l’application est disponible à l’adresse https://localhost:8081 ↗
Utilisation de Rudder
Nous allons voir comment prendre en main rapidement Rudder.
Ligne de commande rudder.
Sur les nodes et le master, vous avez à votre disposition une CLI
(utilitaire de ligne de commande) qui permet de lancer un certain nombre
d’actions comme :
- mettre à jour l’inventaire des
nodes, récupère l’ensemble des informations des nodes : caractéristiques techniques, disques, packages, services, OS, etc - d’obtenir des informations sur un
node - …
L’utilisation de la CLI permet de lancer plus rapidement des actions que via
l’interface. Cette CLI doit être lancé avec le compte root.
root@node1:~# rudder agent info
General Hostname: node1.rudder.local UUID: c3b662fb-5a63-4733-b142-7dcd62c76bb0 Policy server: server.rudder.local Role: node Version: 7.2.4
Policies Status: enabled Report mode: full-compliance Run interval: 5 min Forced audit mode: no Configuration id: 20230212-125729-9aa773d3 Policy updated: 2023-02-12 13:22:51 Inventory sent: 2023-02-11 13:30:59
Key/Certificate Key hash: MD5=3fbcf20c30626b76a3baadbda65e28f7 Key hash: sha256//Gwq1jftVAVu5+94nohYNAHjdMiTBNKo38/3vHtMYP+0= Cert. fingerprint: 14:9E:9A:51:40:38:5A:0A:F3:AA:79:C0:94:E7:4A:B0:35:30:DA:79 Key pinning: full Cert. creation: 2023-02-11 Cert. expiration: 2033-02-08Vous pouvez obtenir plus d’infos en utilisant l’option help.
rudder help
Usage: rudder help rudder agent <command> [parameters ...] rudder directive <command> [parameters ...] rudder relay <command> [parameters ...] rudder remote <command> [parameters ...] rudder server <command> [parameters ...]
This is rudder generic command line interface.
help: this help agent: rudder agent related commands directive: rudder directive related commands relay: rudder relay related commands remote: rudder remote related commands server: rudder server related commandsPrise en main de l’interface de Rudder
L’interface est vraiment bien faite et une fois les concepts compris (voir ci-dessus) vous devriez vous en sortir.
Ajout d’un node
Dans notre cas nos nodes sont déjà déctectés puisque vagrant s’est chargé de
les déclarer via l’outil setup. Mais il faut les accepter et pour cela, il faut
se rendre dans le menu pending nodes.
Cochez-les nodes et acceptez-les.
Création d’un groupe
Nous allons créer un groupe dynamique Ubuntu 22.04. Allez dans le menu groups
et cliquez sur [Create].
Saisissez les informations de nom et une description, puis cliquez sur [Create]. On peut ensuite ajouter des critères pour qu’il n’accepte que les nodes tournant sous Ubuntu 22.04.
Rentrez les critères comme dans l’image ci-dessus. Cliquez sur [Search], vous
devriez voir apparaître nos 3 nodes.
Création d’une directive
Nous allons créer une directive package installant openscap sur les nodes
ubuntu 22.04. Allez dans le menu directives et cliquez package dans la liste
des techniques cliquez packages puis [Create]
Dans les parmètres, complétez nom avec openscap et dans les packages entrez
libopenscap8 python3-openscap. Finissez par [Save].
Création d’une rules
Nous allons créer une | qui installe le package openscap sur le group
ubuntu 22.04. Allez dans le menu rules, puis cliquez sur [Create] et dans
la partie directive sélection package OpenScap et dans group Ubuntu 22.04
et saisissez le nom Ubuntu 22.04 OpenScap. Finissez par [Save]
Application des rules
Il existe deux méthodes :
- par la CLI depuis le node server :
rudder remote run node2.rudder.local.
Start execution with config [20230212-142437-25657aa8]
Hostname M| State Technique Component Key Message192.168.3.75 E| compliant Common ncf Initialization Configuration library initialization was correct192.168.3.75 E| repaired Common Update Policy or configuration library were updated192.168.3.75 E| compliant Common Security parameters The internal environment security is acceptable192.168.3.75 E| compliant Common CRON Daemon CRON is correctly running192.168.3.75 E| compliant Common Log system for reports Reports forwarding to policy server was correct192.168.3.75 E| compliant Inventory Inventory Next inventory scheduled between 00:00 and 06:00192.168.3.75 E| repaired packageManagement Package python3-openscap Presence of package python3-openscap in any version was repaired192.168.3.75 E| compliant packageManagement Package libopenscap8 Presence of package libopenscap8 in any version was correct192.168.3.75 E| n/a packageManagement Post-modification script python3-openscap No post-modification script was defined192.168.3.75 E| n/a packageManagement Post-modification script libopenscap8 No post-modification script was defined192.168.3.75 E| n/a Common Monitoring No Rudder monitoring information to share with the server
## Summary #####################################################################11 components verified in 5 directives => 11 components in Enforce mode -> 6 compliant -> 2 repaired -> 3 not-applicableExecution time: 22.22s################################################################################- par l’interface en allant dans nodes / Compliance reports et cliquez sur
Trigger Agent.
Normalement les packages vont s’installer et dans le rapport de compliance, vous devriez voir que tout s’est passé comme attendu.
Conclusion
Rudder est un outil de gestion de configuration plutôt convivial une
fois les concepts compris. Il est clair que cela prend un peu plus de temps que
via l’utilisation d’un DSL comme avec puppet ou ansible. Mais ne
connaissant pas encore totalement le produit, il existe peut-être des moyens
plus rapides pour créer tous les objets de l’interface.
Rudder est un système ouvert et par exemple, il fournit une collection Ansible permettant de le piloter et de récupérer l’inventaire.
Plus d’infos
- Site Officiel : Rudder.io ↗
- Documentation: Docs.rudder.io ↗