Установка и настройка Rudder на Debian/Ubuntu

Rudder — это open‑source веб‑платформа для управления конфигурациями и автоматизации IT‑инфраструктуры. Она помогает централизованно описывать, проверять и применять конфигурации на множестве узлов, сохраняя требования безопасности.

Ключевые понятия в одну строку:

• Root‑сервер: центральный сервер, где хранятся политики и инвентарные данные.
• Узел (node): управляемая система с установленным агентом Rudder.

Что вы получите по итогу

• Централизованное хранение политик и инвентаря.
• Автоматическое распространение конфигураций на узлы.
• Простой веб‑интерфейс для приёма и управления узлами.

Предварительные требования и примечания

• Поддерживаемые ОС: Debian/Ubuntu (инструкция ориентирована на эти дистрибутивы).
• Требуется Java Runtime Environment на root‑сервере.
• Открытые TCP‑порты по умолчанию: 443 (HTTPS) и 5309 (Rudder RPC).
• Путь установки и локальные каталоги: /opt/rudder и /var/rudder.

Установка Rudder root‑сервера на Debian/Ubuntu

Rudder предоставляет официальный APT‑репозиторий. На root‑сервере сначала установите Java:

sudo apt install default-jre

Добавьте ключ репозитория Rudder:

sudo wget --quiet -O /etc/apt/trusted.gpg.d/rudder_apt_key.gpg https://repository.rudder.io/apt/rudder_apt_key.gpg

Добавьте репозиторий в систему:

echo "deb http://repository.rudder.io/apt/7.2/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/rudder.list

Обновите индекс пакетов и установите сервер:

sudo apt update
sudo apt install rudder-server

Базовая настройка root‑сервера

Создайте учётную запись для входа в веб‑интерфейс Rudder:

sudo rudder server create-user -u 

Задайте пароль для пользователя через интерактивный запрос.

Откройте в брандмауэре TCP‑порты 443 и 5309:

sudo ufw allow 443/tcp
sudo ufw allow 5309/tcp

Доступ к веб‑интерфейсу:

https:///rudder

Войдите в интерфейс и перейдите в Администрирование > Настройки > Общие настройки > Разрешённые сети. Здесь укажите сети, с которых узлы могут подключаться, в формате network/mask (например, чтобы разрешить узлы 192.168.42.0/24 — добавьте 192.168.42.0/24).

Если требуется перезапустить сервис Rudder:

sudo systemctl restart rudder-server

Установка Rudder‑агента на узле (Debian/Ubuntu)

На управляемом узле тоже добавьте тот же ключ репозитория:

sudo wget --quiet -O /etc/apt/trusted.gpg.d/rudder_apt_key.gpg "https://repository.rudder.io/apt/rudder_apt_key.gpg"

Добавьте репозиторий и установите агент:

echo "deb http://repository.rudder.io/apt/7.2/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/rudder.list
sudo apt update
sudo apt install rudder-agent

Настройка связи агента с root‑сервером

Укажите адрес root‑сервера либо редактируя файл:

echo sudo tee /var/rudder/cfengine-community/policy_server.dat

либо командой (замените на адрес сервера):

sudo rudder agent policy-server 

Перезапуск агента:

sudo rudder agent restart

Добавление узла в Rudder

После установки агент отправит инвентарь на root‑сервер, и узел появится в списке ожидающих. В веб‑интерфейсе перейдите в Управление узлами > Ожидающие узлы, отметьте чекбокс и нажмите Принять.

Подтвердите добавление в следующем окне:

Просмотреть все управляемые узлы: Управление узлами > Узлы.

Если узел не появился в «Ожидающих», вручную инициируйте отправку инвентаря:

sudo rudder agent inventory

Или выполните полный прогон агента:

sudo rudder agent run

Удаление агента с узла

Удаление пакета и проверка процессов:

sudo apt remove rudder-agent
ps aux | grep rudder

Удалите каталоги Rudder:

sudo rm -rf /opt/rudder
sudo rm -rf /var/rudder

Затем в веб‑интерфейсе выберите Управление узлами > Узлы, выберите узел и на странице Сводка нажмите Удалить.

Удаление root‑сервера на Debian/Ubuntu

sudo apt remove rudder-server
ps aux | grep rudder
sudo rm -rf /opt/rudder
sudo rm -rf /var/rudder

Практические рекомендации по безопасности

• Минимизируйте список разрешённых сетей в настройках. Разрешайте только доверенные подсети.
• Веб‑интерфейс должен работать через HTTPS с валидным сертификатом.
• Ограничьте доступ к веб‑интерфейсу через VPN или IP‑фильтрацию.
• Резервируйте каталоги /var/rudder и /opt/rudder по расписанию.
• Следите за правами доступа к учётным записям Rudder и используйте уникальные пароли.

Отладка и наиболее частые проблемы

Проблема: узел не появляется в «Ожидающих» — шаги отладки:

1. Убедитесь, что агент установлен и запущен: systemctl status rudder-agent.
2. Спринт инвентаризации: sudo rudder agent inventory; проверьте вывод.
3. Проверьте сетевое соединение к root‑серверу (tcp/5309 и 443).
4. Посмотрите логи в /var/rudder для детальной информации.

Проблема: сервер не стартует — шаги:

1. Проверить наличие Java и версию: java -version.
2. Просмотреть журнал systemd: sudo journalctl -u rudder-server –no-pager.
3. Проверить свободное место и права на /opt/rudder и /var/rudder.

Критерии приёмки

• Root‑сервер доступен по HTTPS, статус сервиса — active.
• Агент установлен на тестовом узле и успешно отправляет инвентарь.
• Узел отображается в интерфейсе и может быть принят вручную.
• Политики успешно применяются и сохраняют состояние конфигурации.

Ролями: чек‑листы для внедрения

Администратор root‑сервера:

• Установить Java и rudder-server.
• Настроить брандмауэр и SSL.
• Создать учётную запись администратора.
• Настроить Allowed Networks.

Оператор/инженер узлов:

• Установить rudder-agent на узел.
• Настроить policy‑server или использовать команду rudder agent policy-server.
• Проверить отправку инвентаря и состояние.

DevOps/безопасность:

• Настроить бекапы каталогов Rudder.
• Контролировать доступ к веб‑интерфейсу.

Плейбук: шаги для подключения нового узла

1. На узле: добавить ключ репозитория, установить rudder-agent.
2. На узле: задать адрес root‑сервера: sudo rudder agent policy-server
3. На root‑сервере: перейти в Управление узлами > Ожидающие узлы.
4. Принять новый узел и проверить первичную инвентаризацию.
5. Назначить профиль/роли и применить политики.
6. Проверить отчет выполнения и состояние.

Альтернативы и когда Rudder не подходит

• Ansible — предпочтителен для ad‑hoc задач или когда не нужен постоянный агент.
• Puppet/Chef — подходят для крупных инфраструктур с сложными экосистемами и готовыми модулями.

Когда Rudder может не подойти:

• Требуется полное управление без установки агентов (agentless). В таком случае рассматривайте Ansible.
• Требуется специфическая интеграция с продуктами, отсутствующими в экосистеме Rudder.

Сравнение с Ansible (кратко)

• Rudder — модель с постоянным агентом, хорош для контроля состояния и проверки соответствия.
• Ansible — agentless, хорошо подходит для одноразовых запусков и гибкости.
• Выберите платформу по критериям: требование к агентам, частота применения политик, операционная зрелость команды.

Совместимость и миграция

• Следите за версиями репозитория (в примерах используется путь /apt/7.2/). При обновлении версии Rudder обновите ссылку репозитория.
• Перед миграцией снимите бекап /var/rudder и /opt/rudder.
• При обновлении агентов проверяйте совместимость версии сервера и агента в официальной документации Rudder.

Мини‑методология внедрения (портфельный подход)

1. Пилот: развёртывание на 3–5 тестовых узлах.
2. Валидация: проверка инвентаризации и применения простых политик.
3. Расширение: постепенное подключение отделов/кластеров.
4. Операция: автоматизация и регулярные проверки соответствия.

Небольшая галерея крайних случаев

• Узел за NAT: убедитесь, что маршрутизация и правила NAT позволяют соединяться на порт 5309/443.
• Изолированная сеть: используйте VPN туннель между узлами и root‑сервером.

Decision flow: добавить узел (Mermaid)

flowchart TD
  A[Начало] --> B{Установлен агент?}
  B -- Нет --> C[Установить rudder-agent]
  C --> D{Указан адрес сервера?}
  B -- Да --> D
  D -- Нет --> E[Выполнить rudder agent policy-server ]
  D -- Да --> F[Отправить inventory]
  F --> G{Появился в Ожидающих?}
  G -- Да --> H[Принять узел в интерфейсе]
  G -- Нет --> I[Проверить логи и сеть]
  I --> C
  H --> J[Назначить политики]
  J --> K[Контроль состояния]
  K --> L[Готово]

Краткий словарь

• Rudder: платформа управления конфигурациями.
• Root‑сервер: центральный управляемый сервер.
• Агент: клиент на узле, выполняющий политики.
• Инвентарь: набор данных об оборудовании и ПО узла.

Плейбук удаления и отката

1. На узле: sudo apt remove rudder-agent; проверить процессы и удалить каталоги.
2. На root‑сервере: удалить запись узла через веб‑интерфейс (Управление узлами > Узлы > Удалить).
3. При массовом удалении: подготовьте список узлов и выполните удаление пакетно.

Пример тест‑кейса для приёмки узла

• Установить агент на чистую систему.
• Настроить policy‑server и инициировать inventory.
• Узел появляется в Ожидающих и принимается.
• Применить простую политику (например, создать файл) и проверить её наличие.

Советы локализации для среды (Россия/Европа)

• При развёртывании в корпоративной сети согласуйте использование внешних репозиториев и ключей.
• При необходимости разместите mirror репозитория внутри сети для ускорения установки.

Резюме

Rudder предоставляет удобную модель управления через постоянный агент и веб‑интерфейс. Следуя инструкции, вы сможете быстро развернуть root‑сервер и присоединить узлы, обеспечить базовую безопасность и организовать процесс приёма и удаления узлов.

В качестве альтернативы для сценариев без агентов рассмотрите Ansible.