配置 Puppet 的文件服务器

部署配置文件是 Puppet 最常见的用途之一。许多服务都需要一些配置文件, 你可以让 Puppet 使用 file 资源将这些配置文件推送到客户端,如下面的代码所示:

file { "/opt/nginx/conf.d/app_production.conf":
    source => "puppet:///modules/app/app_production.conf",
}

source 参数是这样约定的: puppet:/// 之后的第一部分假定是一个 挂装点(mount point) 名称,其余部份被视为一个文件路径,如下所示:

puppet:///<mount point>/<path>

通常 <mount point> 的值是一个模块名称,如上例所示。在这个例子中, Puppet 将在如下的位置查找文件:

manifests/modules/app/files/app_production.conf

modules 是 Puppet 予以特别对待的一个挂装点:它期望接下来的路径组成是一个模块名, 并在模块的 files 目录下针对路径的其余部分寻找文件。

然而 Puppet 也允许你创建自定义的挂装点,你可以为自定义的挂装点设置个别的访问控制, 并将其映射到 Puppetmaster 的不同文件系统位置。 在本节中,我们将展示如何创建和配置这些自定义的挂载点。

操作步骤

  1. 在 PuppetMaster 的 fileserver.conf 中添加新的一节,将挂装点的名称用方括号括起, path 的值就是 Puppet 将会寻找数据的目录路径,如下所示:

    [san]
        path /mnt/san/mydata/puppet
    
  2. 在你的配置清单里,使用 source 指定你的挂载点名称,如下所示:

    source =&gt; "puppet:///san/admin/users.htpasswd",
    

    Puppet 会将其转换为如下的路径:

    /mnt/san/mydata/puppet/admin/users.htpasswd
    

    像这样创建一个自定义挂载点的主要原因就是提高安全性。 例如,你有个秘密的口令文件只需部署到 web 服务器,而其它机器则不需要。 如果有人能够在任何机器上运行 Puppet,并且有合法的证书访问 Puppetmaster, 那么没有人能阻止他像这样执行下面的配置清单:

    file { "/home/cracker/goodstuff/passwords.txt":
        source =&gt; "puppet:///web/passwords.txt",
    }
    

    他们可以轻而易举地获取秘密数据。事实上,可以导出 Puppet 仓库的任何人以及 在 Puppetmaster 上有账户的任何人都可以访问此文件。 为了避免这种情况发生的方法之一就是将秘密数据放在自定义挂载点并启用访问控制。

  3. 在 fileserver.conf 中添加 allow 和 deny 参数来定义你的挂载点,如下所示:

    [secret]
        /data/secret
        allow web.example.com
        deny *
    

工作原理

在本例中, 仅允许 web.example.com 访问此文件。 默认的策略是拒绝所有的访问, 因此 deny * 这行是可选的,但它确实是个好的习惯,因为看上去更清晰。 之后 web 服务器就可以使用 file 资源了,如下所示:

file { "/etc/passwords.txt":
    source => "puppet:///secret/passwords.txt",
}

如果此配置清单是在 web.example.com 上执行,将会正常工作; 若在其它客户端上执行则执行失败。

更多用法

你也可以将指定的 IP 地址替换为主机名,也可使用 无类型域间路由(CIDR) 或使用通配符(wildcard)来表示一组地址,如下所示:

allow 10.0.55.0/24
allow 192.168.0.*

参见本书