这涉及多租户环境,例如小型托管公司。
Puppet(或类似产品)是否适合用于处理基本但重要的质量变化?例如:
我担心的是安全性和入侵性:
我应该警告我,我从未在生产中使用过Puppet,只是在测试实验室中快速玩过游戏,所以我可能会以错误的方式来考虑!
Answers:
是的,这肯定是可能的。不过,由您决定是否应该这样做。
关于您的查询:
1)足够公平。流量基于ssl,因此证书管理非常重要。也不要相信客户提供的与其身份有关的任何“事实”,因为客户可以更改这些事实。您要依赖客户端的ssl证书来提供服务器身份的身份验证。老实说,如果您正确使用了hiera之类的东西,并且避免在代码中使用大型的基于主机名的if块(您应该这样做),那么您会很好的。
2)不应该这样,假设您对其进行了修补。正确配置后,puppetmaster只会受到客户端攻击的一个很小的威胁。就是说,如果确实受到损害,后果会很大,因此请小心将其锁定。
3)这实际上是一个测试和部署问题。如果您有可靠的p代码,则不会破坏您的文件。进行排序确实需要一些时间,但对于基础知识(如您所需要的)来说,时间并不长。
Puppet(或类似产品)是否适合用于处理基本但重要的质量变化?
是的,可以通过这种方式使用。我用它来支持外部客户端系统。
我不希望任何服务器都能看到它不应该看到的任何配置
如果您使用的是人偶,则一定不能启用自动签名。自动签名允许主机自动请求证书。您的配置和权限几乎可以肯定直接与证书中的CN绑定。您不希望随机计算机联机并能够声称它们实际上是具有所有秘密高安全性内容的系统。
如果您真的很偏执,可以调整人偶文件服务器设置以创建仅某些系统可以访问的共享。文件服务器访问基于证书。
我不希望Puppet进行不应做的任何更改,也不希望还原服务器上所做的任何手动更改。
有两种允许本地更改的方法。
我经常使用的一种方法如下。基本上,如果您将列表传递给source,则人偶会尝试列表中的每个项目。因此,我在列表中添加了第一项以指向本地文件。
file { '/etc/ssh/sshd_config':
ensure => present,
source => ["/etc/ssh/sshd_config_local",
"puppet:///modules/ssh/$ssh_config_file"],
...
}
另一种选择是利用符号链接。如果有人要使用人偶版本,他们会符号链接到文件的人偶版本。如果他们想在本地维护其配置,则不会创建符号链接。
file { '/etc/ssh/sshd_config_puppet':
ensure => present,
source => "puppet:///modules/ssh/$ssh_config_file",
...
}
另一种可能性是使用augeas进行行级更改,而不是更改整个文件。对您所做的更改要非常保守。
3> Puppet或任何此类工具都没有自动撤消功能。您必须编写明确的代码才能撤消。此外,您可以研究puppet的环境功能,拥有一个测试新代码(可能是VM)的测试实验室,并使用代码查看。
/var/lib/chef默认情况下更改的任何文件进行备份(除非将资源配置为不保留任何备份,例如敏感数据),并且使用doc格式化程序,您会在终端输出上看到差异。
Puppet最适合配置相同的许多服务器。例如,编写公司提供的共享Web服务器的所有配置,然后创建该服务器的N个实例。之后立即对所有实例进行更改(例如,您发现需要为所有apache虚拟主机更改AllowOverride)将非常容易。您还可以将所有配置信息存储在一个地方,并在版本控制下进行管理。在完美的情况下,您将能够通过丢弃损坏的主机,用新主机替换,设置相同的主机名并签署所需的证书来处理硬件故障。其他所有事情都可以由Puppet完成。
但是,如果最终在两台主机之间几乎没有配置共享,那么使用puppet可能会比手动配置工作效率低。同时使用puppet管理服务器配置的一半,而手动管理另一半可能没有多大意义。
摘要:如果您可以为要管理的主机创建统一的结构化配置,Puppet是您最好的朋友,但是如果您必须处理每个服务(主机,虚拟主机,数据库),则Puppet不会添加很大的价值。