Schwieriges Comeback

von Martin Gerhard Loschwitz

Puppet hat gegenüber anderen Produkten wie Ansible Marktanteile verloren, da es mit seinem regelbasiertem Ansatz als komplex und für Devices am Edge oder in der Cloud als unflexibel erscheint. Mit Puppet Edge will Hersteller Perforce gegensteuern und Edge-Geräte automatisiert und komfortabel verwalten sowie mit der passenden Konfiguration ausstatten. Doch die neue Automations- und Managementplattform hinterlässt einen fahlen Nachgeschmack, was die Lizenzierung angeht und kann technisch nur überzeugen, wenn Unternehmen bereits in der Breite mit Puppet automatisieren.

Puppet gehörte über Jahre hinweg zu den prägenden Werkzeugen der Infrastrukturautomatisierung, insbesondere in Europa. Die Software passte gut zu den dominierenden Betriebsmodellen: Langlebige Systeme, klar getrennte Umgebungen und ein stark regelbasierter Ansatz, der Konfiguration als dauerhaft gültigen Sollzustand verstand, waren die Regel. Mit dem Aufkommen von Ansible verschob sich dieses Bild jedoch deutlich. Ansible traf einen Nerv, weil es einfacher aufzusetzen war, schneller Ergebnisse lieferte und weniger Einstiegshürden implizierte. Insbesondere fehlt bei Ansible ein Gegenstück zu Puppets komplizierter deklarativer Syntaxsprache (DSL). Während Puppet auf einem vergleichsweise komplexen Client-Server-Modell und eben jener DSL beruhte, setzte Ansible auf SSH und YAML. Hier funktioniert Automation nicht deklarativ sondern imperativ. Puppet geriet zunehmend in die Defensive, galt zwischenzeitlich gar als überholt und schwergewichtig – obwohl es technisch durchaus leistungsfähig blieb.

In jüngerer Vergangenheit unternimmt Hersteller Perforce emsig den Versuch, diesen Trend zu korrigieren. Puppet will sich wieder klarer positionieren, nicht als Konkurrenz zu leichtgewichtigen Automationswerkzeugen, sondern als Plattform für strukturierte, langfristige Systemverwaltung. Der Fokus liegt dabei stärker auf Sicherheit, Compliance, Lifecycle-Management und der Frage, wie sich große, heterogene Umgebungen konsistent betreiben lassen – auch jenseits klassischer Rechenzentren.

Hier kommt Puppet Edge ins Spiel. Das Produkt ist kein radikaler Neuanfang, sondern eine Erweiterung von Puppet Enterprise, die auf Szenarien abzielt, in denen klassische Automationsmodelle an ihre Grenzen stoßen. Netzwerk- und Firewallhardware, Edge-Umgebungen, verteilte Geräte, eingeschränkte Konnektivität und erhöhte Sicherheitsanforderungen stellen andere Anforderungen an die Automation als zentrale Serverlandschaften.

Reicht über den Edge hinaus

Puppet Edge als Erweiterung von Puppet Enterprise soll gleich mehrere Aspekte abdecken, bei denen das Produkt bisher keine Schnitte machen konnte. Denn während die Enterprise-Variante traditionell für zentral betriebene Server- und VM-Landschaften konzipiert ist, adressiert Puppet Edge Umgebungen, die räumlich verteilt arbeiten, nur eingeschränkt erreichbar sind oder unter besonderen betrieblichen Rahmenbedingungen laufen. Der Begriff Edge ist dabei bewusst weit gefasst und umfasst nicht nur klassische IoT-Geräte, sondern auch Filialserver, industrielle Systeme, Appliances oder abgelegene Rechenzentrumsstandorte und die Infrastruktur darin.

Die Motivation hinter Puppet Edge ergibt sich zudem auch aus den Grenzen von Puppets bisherigem Funktionsmodell. Puppet Enterprise setzt voraus, dass verwaltete Systeme mit einem Betriebssystem ausgestattet und zuverlässig erreichbar sind, regelmäßig mit dem Puppet-Server kommunizieren und sich in den Grenzen von durch externe Instanzen klar definierter Lebenszyklen bewegen. In Edge-Szenarien treffen all diese Aspekte aber häufig nicht zu und Systeme sind zeitweise offline, Verbindungen instabil, und Updates lassen sich nicht beliebig planen oder einspielen. Gleichzeitig steigen die Anforderungen an Sicherheit und Nachvollziehbarkeit, weil Edge-Systeme physisch oft weniger geschützt sind und trotzdem mit sensiblen Daten arbeiten.

Puppet Edge erweitert sein Enterprise-Pendant um zusätzliche Steuerungs-, Verteil- und Kontrollmechanismen, die speziell für dezentrale Umgebungen gedacht sind. Puppet bleibt dabei Puppet: Deklarative Zustandsbeschreibung, Agenten auf den Zielsystemen und eine zentrale Instanz, die den gewünschten Zustand vorgibt, sind auch bei Verwendung von Puppet Edge weiterhin fester Bestandteil der Installation. Diese Funktionen liefert weiter Puppet Enterprise, ohne das Puppet Edge sich nicht verwenden lässt. Letzteres ergänzt dieses Modell dann aber um Faktoren wie Lifecycle-Management von Geräten verschiedenster Art. Das Werkzeug will also sicherstellen, dass Puppet ein System auch dann schon unter seine Fittiche nehmen kann, wenn dieses noch nicht mit einem Betriebssystem ausgestattet ist – oder ein solches auch gar nicht nutzen kann, was etwa bei Appliances wie Switches oder Routern der Fall ist.

Features abhängig von unterliegender Lizenz

Für unseren Test von Puppet Edge benötigten wir als Basis Puppet Core, Puppet Enterprise oder Puppet Enterprise Advanced. Doch kostenlos, wie in der früheren Open-Source-Versionen von Puppet, steht keines der genannten Werkzeuge zur Verfügung. Und fast noch nerviger ist, dass sich der Funktionsumfang von Puppet Edge in Abhängigkeit der genutzten Puppet-Subskription in sich unterscheidet. So erhalten IT-Verantwortliche mit Puppet Enterprise Advanced mehr Features als mit Core oder Enterprise als Basis.

Stets enthalten ist im Paket das "Playbook Runner"- sowie das "EdgeOps"-Modul. Beide Module bezeichnet der Hersteller übrigens noch als "Premium" – das ist allerdings Teil des Produktnamens. Eine "normale", also eine Variante ohne "Premium"-Stempel, gibt es von den Modulen nicht. Die Enterprise-Advanced-Subskription enthält zusätzlich ein Workflow-Modul für die Puppet-Enterprise-Console sowie einen Aufsatz, der Code für Puppet Edge unter Verwendung von Werkzeugen wie VisualStudio und KI automatisiert erstellen soll. Diesem Feature vertraut der Hersteller selbst aber dem Vernehmen nach noch nicht so richtig, denn selbst mit passender Subskription ist es ab Werk nicht aktiviert. Das mussten wir im Test selbst erledigen.

Das Runner-Modul holt Ansible an Bord

Hinter dem Playbook-Runner-Modul versteckt sich ein Werkezeug mittels dessen sich aus Puppet Bolt und mithin auch aus Puppet Enterprise imperative Automationstools wie Ansible nutzen lassen. Das ist zwar in Puppet keine ganz neue Erfindung mehr, denn Puppet Bolt kann seit einer ganzen Weile externe Werkzeuge wie Ansible einbinden. Für Puppet Edge aber hat der Anbieter die kommerzielle Variante von Puppet Bolt so erweitert, dass sie spezifisch auf die Funktionen von Ansible-Playbooks ausgerichtet ist.

Das geschieht, weil Ansible einen Kommunikationsmechanismus auf SSH-Basis nutzt. Daher ist es nicht notwendig, auf einem Zielsystem einen Puppet-Agenten zu betreiben, der dort eine Konfigurationsanweisung umsetzt. Und andererseits folgt Ansible einer anderen Idempotenzlogik als Puppet. Während Puppet darauf ausgelegt ist, ein System dauerhaft zu überwachen und durch regelmäßige Agentenläufe Compliance zu erzwingen, ist der Akt, Ansible auf ein System oder eine Appliance anzuwenden, ein Aufruf, der sich beliebig oft wiederholen lässt. Davon profitieren Systeme am Edge, die möglicherweise nicht immer unmittelbar erreichbar sind.

Dass Puppet IT-Verantwortliche, die auf Ansible setzen, für sich vereinnahmen will, wird an dieser Stelle zudem besonders deutlich. Denn das Runner-Modul lässt sich mit bestehenden Ansible-Playbooks nutzen. Firmen müssen also nicht an ihrem Ansible-Code schrauben, damit er aus Puppet Bolt heraus nutzbar wird, sondern rufen ihn direkt über Bolt auf. Das reduziert den Aufwand für eine eventuelle Migration hin zu Puppet Edge. Und das Playbook-Runner-Modul unterstützt nicht nur Ansible-Code, sondern auch den Code anderer YAML-basierter Automatisierungswerkzeuge.

Solchen Code verpackt und ummantelt das Playbook-Runner-Modul auf verschiedene Weise: So etwa bot sich uns die Möglichkeit, Reihenfolge und Tracking von Ansible-Aufrufen per Konfiguration im Runner festzulegen. Auch waren wir in der Lage, Tasks in Bolt für den Aufruf von Ansible-Playbooks zu gruppieren und in Abhängigkeit zueinander zu setzen. Fehler, die Ansible ausgibt, leitet das Runner-Modul nicht ungefiltert an den Admin weiter, sondern dedupliziert die Einträge, bereitet sie optisch und im Hinblick auf ihr Format auf und zeigt sie schließlich strukturiert in der Puppet-Konsole an.

EdgeOps-Modul verteilt zuverlässig Konfigurationen

Das EdgeOps-Modul versetzte uns in die Lage, Netzwerkgeräte aus der Ferne automatisiert zu administrieren. Der Hersteller setzt dabei auf zwei bestehende Standards, nämlich NETCONF und YANG. NETCONF ist ein in den 2000er-Jahren veröffentlichter Standard zur Automation von Netzwerkgeräten, der das schon damals unflexible und veraltete SNMP-Protokoll ersetzen sollte und eine neue Generation von Automatisierung versprach. YANG ("Yet Another Next Generation") ist seinerseits der NETCONF-Nachfolger und bietet weitere Zusatzfunktionen.

Perforce profitiert hier vor allem vom Umstand, dass die großen Hersteller wie Cisco oder Juniper in ihren Geräten heute üblicherweise sowohl NETCONF als auch YANG unterstützen, obwohl sich diese unter der Haube teils in ihrer Funktionsweise deutlich unterscheiden. So setzt NETCONF etwa verstärkt auf RPC-Befehle, um Änderungen auf den Zielgeräten durchzuführen. Teil des EdgeOps-Moduls ist zudem das Management der Konfigurationsdateien der Zielgeräte über eine eigene Schnittstelle. Ebenso bietet es eine automatische Diensteerkennung, die im Test zufriedenstellend funktionierte: Waren im lokalen Netz Geräte per NETCONF oder YANG zu konfigurieren, erkannte das Modul diese in den meisten Fällen. Laut Hersteller funktioniert dieser Mechanismus auch über geroutete Netze oder VPN-Verbindungen.

Besonders betont der Hersteller zudem die Skalierbarkeit der Software. In unserem Testlabor ließen sich nachvollziehbarerweise nicht hunderte oder gar tausende Geräte für einen entsprechenden Test einrichten, doch Admins berichten vertrauenswürdig im Netz, dass sie mit Puppet Bolt – also der Grundlage von EdgeOps – Tausende Geräte parallel an verschiedenen Standorten verwalten. Das ist im Edge-Kontext eine zentrale Anforderung, weil die Zahl der potenziellen Zielknoten hier viel größer sein kann als im durchschnittlichen Rechenzentrum.

Hilfreiche Workflows und KI nur mit größter Lizenz

Wie erwähnt kommen mit einer Puppet-Enterprise-Advanced-Subskription zusätzliche Komponenten als Bestandteil von Puppet Edge, nämlich Edge Workflows und der "Infra Assistant". Bei der Workflows-Komponente ist der Name Programm: Das Werkzeug bietet Administratoren die Option, für die Geräte unter der Fuchtel von Puppet Edge Abläufe aufeinander folgender Aufgaben zu definieren, ablaufen zu lassen und die Ergebnisse zu tracken und zu verwalten. Der Hersteller beschreibt das als "imperative Orchestrierung" – auch hier kommt also kein deklarativer Ansatz zum Tragen. Stattdessen nutzt Workflows eine eigene, YAML-basierte Syntax, um Aufgaben und Aufgabenpakete zu definieren und zu verwalten. Diese lassen sich konsequent auch in Git oder einer anderen Versionsverwaltung nachvollziehbar ablegen.

Im Hinblick auf ihre Funktionen zeigte sich die Workflow-Engine mächtig: Sie ermöglichte uns, komplexe Abläufe aus einzelnen Anweisungen oder aus statisch definierbaren Codeblöcken im Sinne einer Funktionsbibliothek zu erstellen. Diese Anweisungsblöcke konnten wir dann auf einzelne Geräte oder Gruppen anwenden. Die Codeblöcke lassen sich über die Workflow-Engine auch per RBAC steuern und an Nutzer delegieren. So kann beispielweise das Personal an einem Edge-Standort bestimmte Aktionen auslösen, ohne sich selbst mit den Details der Workflow-Engine oder von Puppet auseinander zu setzen. Gerade in verteilten Strukturen kann das ein echter Vorteil sein.

Dazu zwei Beispiele aus dem Admin-Alltag: Denkbar wäre ein durch den Admin definierter Workflow, der für einen neuen Anwender Accounts in einer Zielplattform anlegt. Der Verantwortliche vor Ort am Edge hat auf dieser Grundlage die Möglichkeit, neue Zugänge für einen neuen Mitarbeiter zu automatisieren, ohne sich in Workflows einzuarbeiten. Ein anderes Beispiel ist ein typischer Patch-Day in einer entfernten Umgebung.

Die sind oft eine haarige Angelegenheit, weil sie das Abwickeln verschiedener Aufgaben in einer zuvor festgelegten Reihenfolge bedingen. Bevor sich ein Webserver aktualisieren lässt, ist etwa darauf zu achten, dass dieser als Backend in einem laufenden Loadbalancer deaktiviert ist, damit Clients nicht während des Updates auf diesem Backend landen. Der gesamte Ablauf inklusive aller nötigen Aufgaben lässt sich als Codeblock in Workflows definieren, und zwar so, dass ihn nicht zwingend der Administrator starten muss. Auf Wunsch lässt sich die Ausführung durch Puppet selbst auch automatisieren.

Die letzte Ingredienz in Sachen Funktionalität von Puppet Edge im Zusammenspiel mit Enterprise Advanced ist ein KI-basierter Assistent, der dabei helfen soll, Puppet-Code in Visual Studio zu verfassen. Wie schon angesprochen war das Plug-in ab Werk nicht aktiviert und wir mussten es stattdessen händisch laden. Im Test funktionierte der KI-Assistent zufriedenstellend: Puppet-Code generierte das Werkzeug ebenso automatisch wie Anweisungen für die verschiedenen Puppet-Edge-Module. Das ist zumindest teilweise eine Erleichterung gerade für Neulinge in Sachen Puppet und Puppet Edge.

Fazit

So ganz erschließt sich die Idee hinter Puppet Edge in Summe nicht: Im Kern steckt hinter dem Buzzword-Feuerwerk des Herstellers nämlich ein Produkt, das aus vier Features besteht. Enthalten ist in der Standardversion ein Werkzeug, um aus Puppet heraus Ansible aufzurufen, das Infrastrukturkomponenten am Edge konfiguriert, eines zum Definieren von Automationsworkflows und ein KI-Assistent für Puppet-Code. Bahnbrechende Technik ist das eher nicht. Ergänzt um die Tatsache, dass für die beiden letztgenannten Funktionen noch mehr Geld fällig wird als für die Edge-Kernfunktionen Runner und Edge-Ops ohnehin schon, bleibt ein schaler Beigeschmack.

Zumal das Puppet-Edge-Featureset per se in Sachen Innovation und Funktionsvielfalt nicht gerade die Speerspitze ist. Dass Puppet per se bis dato kein Lifecycle-Management von Infrastrukturkomponenten hatte und wegen seiner deklarativen Arbeitsweise für Workloads am Edge nicht geeignet ist, ist selbstevident. Das ist allerdings vor allem Puppets Problem. Die Konkurrenz ist hier zum Teil viel weiter, etwa in Form von Red Hats Ansible Automation Platform (RHAAP) im Gespann mit Red Hat Satellite. Diese lassen sich nutzen, um Netzwerkgeräte automatisiert mit einer Konfiguration zu betanken, und weil bei RHAAP Ansible unter der Haube steckt, ist die Möglichkeit, Ansible-Workloads aufzurufen, ein Kernbestandteil des Produkts. Perforce will IT-Verantwortlichen in Form von Puppet Edge nun ein Zusatzprodukt verkaufen, das Puppets Defizite ausbügelt.

Wer also nicht Puppet fest in seiner Infrastruktur verankert hat, findet am Markt deutlich mächtigere Konkurrenzprodukte. Dasselbe gilt übrigens auch für die Workflow-Komponente und der KI-Assistent muss vor diesem Hintergrund fast schon als nutzlose Spielerei gelten. Denn beispielsweise leistet GitHubs KI vergleichbar gute Arbeit. Um Puppet um Workflows und Lifecycle-Management für Netzwerkgeräte zu erweitern, ist Puppet Edge ein geeignetes Tool.

Produkt	Software zur automatisierten Konfiguration von Edge-Umgebungen.
Hersteller	Perforce https://www.puppet.com
Preis	Benötigt eine Subskription für Puppet zuzüglich eines Aufschlags für Puppet Edge. Dieser beginnt bei circa 20 US-Dollar pro verwaltetem Gerät. Eine Lizenz von Puppet liegt bei rund 7400 US-Dollar pro Jahr.
Systemanforderungen	Puppet Core, Puppet Enterprise oder Puppet Enterprise Advanced. Deren Mindestanforderungen für den zentralen Server betragen vier physische Kerne und 8 GByte RAM unter RHEL/CentOS, Ubuntu oder Windows Server.
Technische Daten	https://www.it-administrator.de/downloads/datenblaetter

Automatisierung	5
Ausrollen von Konfigurationen	5
Arbeit mit Workflows	5
KI-Assistent	5
Integration in Puppet	8
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik

Perforce Puppet Edge