用Puppet和Augeas管理Linux配置

雖然Puppet是一個(gè)真正獨(dú)特的有用工具，但在有些情況下你可以使用一點(diǎn)不同的方法來用它。比如，你要修改幾個(gè)服務(wù)器上已有的配置文件，而且它們彼此稍有不同。Puppet實(shí)驗(yàn)室的人也意識(shí)到了這一點(diǎn)，他們?cè)? Puppet 中集成了一個(gè)叫做Augeas的偉大的工具，它是專為這種使用情況而設(shè)計(jì)的。

Augeas可被認(rèn)為填補(bǔ)了Puppet能力的空白，比如在其中一個(gè)指定對(duì)象的資源類型(例如用于維護(hù)/etc/hosts中的條目的主機(jī)資源)還不可用時(shí)。在這個(gè)文檔中，您將學(xué)習(xí)如何使用Augeas來減輕你管理配置文件的負(fù)擔(dān)。

Augeas是什么?

Augeas基本上就是一個(gè)配置編輯工具。它以他們?cè)母袷浇馕雠渲梦募⑶覍⑺鼈冝D(zhuǎn)換成樹。配置的更改可以通過操作樹來完成，并可以以原生配置文件格式保存配置。

這篇教程要達(dá)成什么目的?

我們會(huì)針對(duì)我們之前構(gòu)建的Puppet服務(wù)器安裝并配置Augeas。我們會(huì)使用這個(gè)工具創(chuàng)建并測(cè)試幾個(gè)不同的配置文件，并學(xué)習(xí)如何適當(dāng)?shù)厥褂盟鼇砉芾砦覀兊南到y(tǒng)配置。

前置閱讀

我們需要一臺(tái)工作的Puppet服務(wù)器和客戶端。如果你還沒有，請(qǐng)先按照我先前的教程來。

Augeas安裝包可以在標(biāo)準(zhǔn)CentOS/RHEL倉(cāng)庫(kù)中找到。不幸的是，Puppet用到的Augeas的ruby封裝只在puppetlabs倉(cāng)庫(kù)中(或者EPEL)中才有。如果你系統(tǒng)中還沒有這個(gè)倉(cāng)庫(kù)，請(qǐng)使用下面的命令：

在CentOS/RHEL 6.5上:

# rpm -­ivh https://yum.puppetlabs.com/el/6.5/products/x86_64/puppetlabs­release­6­10.noarch.rpm

在CentOS/RHEL 7上:

# rpm -­ivh https://yum.puppetlabs.com/el/7/products/x86_64/puppetlabs­release­7­10.noarch.rpm

在你成功地安裝了這個(gè)倉(cāng)庫(kù)后，在你的系統(tǒng)中安裝Ruby­Augeas：

# yum install ruby­augeas

或者如果你是從我的上一篇教程中繼續(xù)的，使用puppet的方法安裝這個(gè)包。在/etc/puppet/manifests/site.pp中修改你的custom_utils類，在packages這行中加入“ruby­augeas”。

class custom_utils {package { [nmap,telnet,vim­enhanced,traceroute,ruby­augeas]:ensure => latest,allow_virtual => false,}}

不帶Puppet的Augeas

如我先前所說，最初Augeas并不是來自Puppet實(shí)驗(yàn)室，這意味著即使沒有Puppet本身我們?nèi)匀豢梢允褂盟?。這種方法可在你將它們部署到Puppet環(huán)境之前，驗(yàn)證你的修改和想法是否是正確的。要做到這一點(diǎn)，你需要在你的系統(tǒng)中安裝一個(gè)額外的軟件包。請(qǐng)執(zhí)行以下命令：

# yum install augeas

Puppet Augeas 示例

用于演示，這里有幾個(gè)Augeas使用案例。

管理 /etc/sudoers 文件

給wheel組加上sudo權(quán)限。

這個(gè)例子會(huì)向你展示如何在你的GNU/Linux系統(tǒng)中為%wheel組加上sudo權(quán)限。

# 安裝sudo包package { 'sudo':ensure => installed, # 確保sudo包已安裝} # 允許用戶屬于wheel組來使用sudoaugeas { 'sudo_wheel':context => '/files/etc/sudoers', # 目標(biāo)文件是 /etc/sudoerschanges => [# 允許wheel用戶使用sudo'set spec[user = %wheel]/user %wheel','set spec[user = %wheel]/host_group/host ALL','set spec[user = %wheel]/host_group/command ALL','set spec[user = %wheel]/host_group/command/runas_user ALL',]}

現(xiàn)在來解釋這些代碼做了什么：spec定義了/etc/sudoers中的用戶段，[user]定義了數(shù)組中給定的用戶，所有的定義放在該用戶的斜杠( / ) 后那部分。因此在典型的配置中這個(gè)可以這么表達(dá)：

user host_group/host host_group/command host_group/command/runas_user

這個(gè)將被轉(zhuǎn)換成/etc/sudoers下的這一行：

%wheel ALL = (ALL) ALL

添加命令別稱

下面這部分會(huì)向你展示如何定義命令別名，它可以在你的sudoer文件中使用。

# 創(chuàng)建新的SERVICE別名，包含了一些基本的特權(quán)命令。augeas { 'sudo_cmdalias':context => '/files/etc/sudoers', # 目標(biāo)文件是 /etc/sudoerschanges => [set Cmnd_Alias[alias/name = 'SERVICES']/alias/name SERVICES,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[1] /sbin/service,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[2] /sbin/chkconfig,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[3] /bin/hostname,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[4] /sbin/shutdown,]}

sudo命令別名的語法很簡(jiǎn)單：Cmnd_Alias定義了命令別名字段，[alias/name]綁定所有給定的別名，/alias/name SERVICES 定義真實(shí)的別名，alias/command 是屬于該別名的所有命令的數(shù)組。以上將被轉(zhuǎn)換如下：

Cmnd_Alias SERVICES = /sbin/service , /sbin/chkconfig , /bin/hostname , /sbin/shutdown

關(guān)于/etc/sudoers的更多信息，請(qǐng)?jiān)L問官方文檔。

向一個(gè)組中加入用戶

要使用Augeas向組中添加用戶，你也許要添加一個(gè)新用戶，不管是排在 gid 字段還是最后的用戶 uid 之后。我們?cè)谶@個(gè)例子中使用SVN組。這可以通過下面的命令達(dá)成：

在Puppet中:

augeas { 'augeas_mod_group:context => '/files/etc/group', #目標(biāo)文件是 /etc/groupchanges => [ins user after svn/*[self::gid or self::user][last()],set svn/user[last()] john,]}

使用 augtool:

augtool> ins user after /files/etc/group/svn/*[self::gid or self::user][last()] augtool> set /files/etc/group/svn/user[last()] john