用Puppet和Augeas管理Linux配置

雖然Puppet是一個(gè)真正獨特的有用工具，但在有些情況下你可以使用一點(diǎn)不同的方法來(lái)用它。比如，你要修改幾個(gè)服務(wù)器上已有的配置文件，而且它們彼此稍有不同。Puppet實(shí)驗室的人也意識到了這一點(diǎn)，他們在 Puppet 中集成了一個(gè)叫做Augeas的偉大的工具，它是專(zhuān)為這種使用情況而設計的。

Augeas可被認為填補了Puppet能力的空白，比如在其中一個(gè)指定對象的資源類(lèi)型(例如用于維護/etc/hosts中的條目的主機資源)還不可用時(shí)。在這個(gè)文檔中，您將學(xué)習如何使用Augeas來(lái)減輕你管理配置文件的負擔。

Augeas是什么?

Augeas基本上就是一個(gè)配置編輯工具。它以他們原生的格式解析配置文件并且將它們轉換成樹(shù)。配置的更改可以通過(guò)操作樹(shù)來(lái)完成，并可以以原生配置文件格式保存配置。

這篇教程要達成什么目的?

我們會(huì )針對我們之前構建的Puppet服務(wù)器安裝并配置Augeas。我們會(huì )使用這個(gè)工具創(chuàng )建并測試幾個(gè)不同的配置文件，并學(xué)習如何適當地使用它來(lái)管理我們的系統配置。

前置閱讀

我們需要一臺工作的Puppet服務(wù)器和客戶(hù)端。如果你還沒(méi)有，請先按照我先前的教程來(lái)。

Augeas安裝包可以在標準CentOS/RHEL倉庫中找到。不幸的是，Puppet用到的Augeas的ruby封裝只在puppetlabs倉庫中(或者EPEL)中才有。如果你系統中還沒(méi)有這個(gè)倉庫，請使用下面的命令：

在CentOS/RHEL 6.5上:

# rpm -­ivh https://yum.puppetlabs.com/el/6.5/products/x86_64/puppetlabs­release­6­10.noarch.rpm

在CentOS/RHEL 7上:

# rpm -­ivh https://yum.puppetlabs.com/el/7/products/x86_64/puppetlabs­release­7­10.noarch.rpm

在你成功地安裝了這個(gè)倉庫后，在你的系統中安裝Ruby­Augeas：

# yum install ruby­augeas

或者如果你是從我的上一篇教程中繼續的，使用puppet的方法安裝這個(gè)包。在/etc/puppet/manifests/site.pp中修改你的custom_utils類(lèi)，在packages這行中加入“ruby­augeas”。

class custom_utils {package { [nmap,telnet,vim­enhanced,traceroute,ruby­augeas]:ensure => latest,allow_virtual => false,}}

不帶Puppet的Augeas

如我先前所說(shuō)，最初Augeas并不是來(lái)自Puppet實(shí)驗室，這意味著(zhù)即使沒(méi)有Puppet本身我們仍然可以使用它。這種方法可在你將它們部署到Puppet環(huán)境之前，驗證你的修改和想法是否是正確的。要做到這一點(diǎn)，你需要在你的系統中安裝一個(gè)額外的軟件包。請執行以下命令：

# yum install augeas

Puppet Augeas 示例

用于演示，這里有幾個(gè)Augeas使用案例。

管理 /etc/sudoers 文件

給wheel組加上sudo權限。

這個(gè)例子會(huì )向你展示如何在你的GNU/Linux系統中為%wheel組加上sudo權限。

# 安裝sudo包package { 'sudo':ensure => installed, # 確保sudo包已安裝} # 允許用戶(hù)屬于wheel組來(lái)使用sudoaugeas { 'sudo_wheel':context => '/files/etc/sudoers', # 目標文件是 /etc/sudoerschanges => [# 允許wheel用戶(hù)使用sudo'set spec[user = %wheel]/user %wheel','set spec[user = %wheel]/host_group/host ALL','set spec[user = %wheel]/host_group/command ALL','set spec[user = %wheel]/host_group/command/runas_user ALL',]}

現在來(lái)解釋這些代碼做了什么：spec定義了/etc/sudoers中的用戶(hù)段，[user]定義了數組中給定的用戶(hù)，所有的定義放在該用戶(hù)的斜杠( / ) 后那部分。因此在典型的配置中這個(gè)可以這么表達：

user host_group/host host_group/command host_group/command/runas_user

這個(gè)將被轉換成/etc/sudoers下的這一行：

%wheel ALL = (ALL) ALL

添加命令別稱(chēng)

下面這部分會(huì )向你展示如何定義命令別名，它可以在你的sudoer文件中使用。

# 創(chuàng )建新的SERVICE別名，包含了一些基本的特權命令。augeas { 'sudo_cmdalias':context => '/files/etc/sudoers', # 目標文件是 /etc/sudoerschanges => [set Cmnd_Alias[alias/name = 'SERVICES']/alias/name SERVICES,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[1] /sbin/service,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[2] /sbin/chkconfig,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[3] /bin/hostname,set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[4] /sbin/shutdown,]}

sudo命令別名的語(yǔ)法很簡(jiǎn)單：Cmnd_Alias定義了命令別名字段，[alias/name]綁定所有給定的別名，/alias/name SERVICES 定義真實(shí)的別名，alias/command 是屬于該別名的所有命令的數組。以上將被轉換如下：

Cmnd_Alias SERVICES = /sbin/service , /sbin/chkconfig , /bin/hostname , /sbin/shutdown

關(guān)于/etc/sudoers的更多信息，請訪(fǎng)問(wèn)官方文檔。

向一個(gè)組中加入用戶(hù)

要使用Augeas向組中添加用戶(hù)，你也許要添加一個(gè)新用戶(hù)，不管是排在 gid 字段還是最后的用戶(hù) uid 之后。我們在這個(gè)例子中使用SVN組。這可以通過(guò)下面的命令達成：

在Puppet中:

augeas { 'augeas_mod_group:context => '/files/etc/group', #目標文件是 /etc/groupchanges => [ins user after svn/*[self::gid or self::user][last()],set svn/user[last()] john,]}

使用 augtool:

augtool> ins user after /files/etc/group/svn/*[self::gid or self::user][last()] augtool> set /files/etc/group/svn/user[last()] john