Questions tagged «configuration-management»

我们已经为小型关联设置了运行基础结构的服务器。到目前为止，我们已经尝试使用Ansible管理配置，但这并没有取得很大的成功。也许我们做错了。 原则上，这个想法是大多数时间该服务器将保持不动，人们会在一个蓝色的月亮中添加或更改事物。这使得至关重要的一点是，服务器上进行了任何配置和运行的文件都必须有据可查且清晰明了，因为不经常管理系统的人肯定会丢失概述（更不用说记住细节了）。此外，随着时间的推移，将管理此服务器的人员组的组成发生变化（当人们离开并加入“委员会”时）。 我们从全新安装开始，每当我们想要设置某些内容（nginx，phpfpm，postfix，防火墙，sftp，munin等）时，都会在ansible中添加角色。也许由于我们的经验不足，我们当然永远无法完全按照我们想要的方式来输入一组烦人的任务，这也是因为配置过程是一个反复试验的过程。这意味着实际上，我们通常会先配置要在服务器上运行的任何服务，然后转换为可完成的任务。您可以看到前进的方向。人们忘记了测试然后再测试任务，或者害怕这样做会破坏事物，甚至更糟：我们忘记或忽略将事情添加到ansible中。 如今，我们对Ansible配置实际上反映了服务器上配置的内容几乎没有信心。 目前，我看到三个主要问题： 很难（阅读：我们没有很好的方法）测试烦人的任务而又不会冒险破坏事情。 它首先要弄清楚所需的配置，然后弄清楚如何将其转换为可完成的任务，因此需要付出额外的工作。 （理想情况下）我们没有足够频繁地使用它来建立熟悉度和例行程序。 这里一个重要的考虑因素是，无论我们最终要做什么，新手都应该容易地学习绳索而无需大量实践。 是否有可行的替代方案仍然可以提供一些保证和检查（类似于将Ansible文件合并到某些文件master），而这些保证和检查却无法提供“配置事物并写下您所做的事情”？ 编辑：我们已经考虑过提交/etc到git。有没有一种合理的方式来保护机密（私钥等），但是仍然可以以某种方式在服务器外部使用配置存储库？

9 ansible  configuration-management 

在当前环境中，我只能通过启用了MFA的堡垒主机访问所有Linux服务器。 我设法使Ansible通过堡垒成功地与服务器通信，唯一的问题是它为每个主机建立了到堡垒的新连接，这意味着我必须输入与服务器数量一样多的MFA密钥。艰难时期。:( 我已经尝试在ssh配置中弄乱这样的东西，以尝试使多路复用工作： Host bastion ControlMaster auto ControlPath ~/.ssh/ansible-%r@%h:%p ControlPersist 5m 不幸的是它似乎没有做到。任何人都获得了一些提示，说明如何阻止Ansible通过我的堡垒主机为它碰到的每个主机重新建立其连接？ 谢谢！

9 ansible  configuration-management  two-factor  bastion 

我正在学习一般的配置管理方式，尤其是使用puppet来实现它。我已经进行了一些一般性研究（也在SF上），现在我正在考虑Apache VirtualHosts。 我们在两个系统上托管了许多LAMP网站（目前在数百个范围内）：一个Apache2 / mod_php一个和一个MySQL系统 -基本上与SF上的另一个问题相反，他在该问题上管理着很多服务器，每个服务器只有很少的虚拟主机（如果实际上不是一个，我不知道）。我还没有在puppet中整理一个有效的配置，但这应该不是问题，那里有很多 示例和食谱。 除了显而易见的apache配置文件（我想这里没有问题）之外，每个虚拟主机还需要创建一些目录并检查权限（例如，每个虚拟主机的根目录都包含documentroot，专用的tmp目录，专用的网页服务器上的php会话文件目录（可能是SSL证书等），以及MySQL服务器上的用户+一个或多个数据库。 添加一个新的虚拟主机将要求puppet创建虚拟主机，删除一个虚拟主机则需要puppet运行一些脚本来备份用户数据，然后从两台服务器中删除实时数据，而且每一个运行的puppet代理都将检查是否存在目录，数据库，权限等。 当每次运行木偶时都要运行数百个虚拟主机时，特别是在文件系统中（在Web服务器上）运行虚拟主机时，尤其是将来将来会加载更多系统时，我是否会遇到麻烦？（假设我们将1000-2000个网站范围定位为每个服务器的合理上限）。 有没有在网上进行此操作的经验？我用谷歌搜索，但一无所获，也因为搜索“木偶”和“ apache”时信噪比低。

9 apache-2.2  virtualhost  puppet  configuration-management 

我花了大量时间在HP ProLiant系统和Linux安装上。由于我从事的业务的性质，我无法同时部署大量相同的系统。另外，我的系统分布在多个位置。我的许多服务器都是相似的，但是安装突如其来，其间只有足够的时间来查看系统配置，处理器步进，固件版本和其他功能的变化。因此，即使我安装了一个相当快速的kickstart系统，它需要5到10分钟的时间，但我还是花费了多达45分钟的时间来配置服务器硬件。 1）。假设我在需要磁盘和物理组件的地方，我开始安装固件DVD和/或SmartStart来配置SmartArray逻辑驱动器和控制器设置。根据应用程序的不同，我需要对SmartArray的控制要比BIOS实用程序所允许的更好。固件更新很有用，因为服务器可能随附了较早的修订版。有时，我会在安装操作系统后运行固件更新。 2）。国际劳工组织的设置。需要设置ILO参数。更改管理员密码，安装ILO密钥，修改SNMP参数...我通常会在控制台上执行此操作，或者在DHCP列表中找到ILO并进行远程连接。 3）。我需要在管理的系统上进行特定的BIOS更改。例如，关闭超线程，设置电源配置文件，进入高级BIOS菜单以启用低延迟设置，减少ASR超时，设置时间... 鉴于上述注意事项，我如何简化此过程？所有这些东西都可以编写脚本吗？大型无头安装环境中的工程师如何做到这一点？更何况，您如何跟踪这些参数或强制进行某些更改？

9 hardware  hp  hp-proliant  configuration-management  bios 

我是第一次设置Foreman，但不确定如何将所有配置置于版本控制下。我知道我可以对在Puppet主机上安装的每个模块使用Git，但希望使用更全面的解决方案，该解决方案不仅包含模块，还包含与每个主机关联的类以及主机上设置的任何变量。任何建议以及相关的工作流程将不胜感激。如果相关的话，我确实将GitLab设置为站点上的中央Git服务器，并计划尽快设置诸如Jenkins的CI服务器。

8 puppet  git  configuration-management  puppetmaster  foreman 

我想列出目录内容并在其他地方使用结果： bundle agent test { commands: "ls /tmp/test/"; reports: ubuntu:: "print output here for example"; # or add it to a variable which is how I really want to use it. }

8 configuration-management  cfengine 

我们一直在使用SCCM的应用程序目录，并且遇到了一个有趣的怪癖。我的经理指示我实施该目录，以便将属于“一次性安装”和“整个工作组需要”之间的某个软件的要点指向应将其发布到应用程序目录的人数。我们的技术支持人员可以使用App Catalog部署此类软件，以根据情况选择需要它的用户。 我们练习帐户分离，例如，我们的服务台摇滚明星Emmet Brickowski有两个Active Directory用户帐户。他经常非特权帐户，CONTOSO\ebrickowski他应该使用他的所有日常工作，当UAC提示抚养它丑恶的头，他有一个特权帐户（CONTOSO\ebrickowski-adm）是BUILTIN \管理员对我们的所有工作站的成员。 当Joe User致电服务台时，Emmet远程进入或实际帮助用户（我们的文化在面对面的客户时间上很重要），以他的特权登录到App Catalog，CONTOSO\ebrickowski-adm并看到大量他可以使用的软件为我们的用户安装标准化方法。 除了Emmet按下安装按钮时，他都会得到以下信息： 现在，我无法在客户端日志中找到所发生的一切。在没有什么AppIntentEval.log，AppDiscovery.log，AppEnforce.log日志和ConfigMgrSoftwareCatalog.log它应该记录应用程序目录的动作不存在。 如果我们将应用程序部署到包含普通用户的用户集合中，并且他们使用的帐户相同，则他们登录Windows的方式与以前安装失败的应用程序登录到应用程序目录的方式相同。这使我相信您不能将App Catalog的单独帐户用作当前Windows会话。真是个无赖。 任何人都可以验证您是否需要使用与Windows会话中当前使用的帐户相同的帐户来访问应用程序目录？ 我应该调查什么日志以进行进一步调查？ 有没有其他更好的方法来实现我们期望的目标，即将应用程序目录用作技术人员访问的软件商店？

3 windows-7  configuration-management  sccm  sccm-2012-r2