Puppet - 文件服务器

Puppet 遵循客户端-服务器的概念，其中一个机器作为服务器机器运行 Puppet 服务器软件，其余机器作为客户端运行 Puppet 代理软件。文件服务器的这一特性有助于在多台机器之间复制文件。Puppet 中的文件服务功能作为中央 Puppet 守护进程的一部分。puppetmasterd 和客户端功能在获取文件属性（作为文件对象）方面发挥着关键作用。

class { 'java':  
   package               => 'jdk-8u25-linux-x64',  
   java_alternative      => 'jdk1.8.0_25',  
   java_alternative_path => '/usr/java/jdk1.8.0_25/jre/bin/java'  
}

如上代码片段所示，Puppet 的文件服务功能通过支持文件服务模块来抽象本地文件系统拓扑。我们将以以下方式指定文件服务模块。

“puppet://server/modules/module_name/sudoers”

文件格式

在 Puppet 目录结构中，默认情况下，文件服务器配置位于 /etc/puppet/fileserver.config 目录下，如果用户希望更改此默认配置文件路径，可以使用 new config 标志到 puppetmasterd。配置文件类似于 INI 文件，但并不完全相同。

[module] 
path /path/to/files 
allow *.domain.com 
deny *.wireless.domain.com 

如上代码片段所示，所有三个选项都以配置文件的形式表示。模块名称以括号形式出现。路径是唯一必需的选项。默认安全选项是拒绝所有访问，因此如果没有指定 allow 行，则配置的模块将对任何人可用。

路径可以包含 %d、%h 和 %H 中的任何一个或所有这些，它们将被其域名、主机名和完全限定主机名动态替换。所有这些都取自客户端的 SSL 证书（因此如果主机名和证书名称不匹配，请小心）。这在创建模块时很有用，其中每个客户端的文件完全分开保存。例如，用于私有主机密钥。

[private] 
path /data/private/%h 
allow * 

在上例代码片段中，代码尝试从客户端 client1.vipin.com 搜索文件 /private/file.txt。它将在 /data/private/client1/file.txt 中查找它，而对 client2.vipin.com 的相同请求将尝试在文件服务器上检索文件 /data/private/client2/file.txt。

安全性

Puppet 支持在 Puppet 文件服务器上保护文件的两个基本概念。这是通过允许访问特定文件并拒绝访问不需要的文件来实现的。默认情况下，Puppet 不允许访问任何文件。需要明确定义。可在文件中用于允许或拒绝访问的格式是使用 IP 地址、名称或全局允许。

如果客户端没有直接连接到 Puppet 文件服务器，例如使用反向代理和 Mongrel，则文件服务器将看到所有连接都来自代理服务器，而不是 Puppet 客户端。在上述情况下，基于主机名限制主机名是最佳实践。

定义文件结构时需要注意的一点是，所有 deny 语句都在 allow 语句之前解析。因此，如果任何 deny 语句与主机匹配，则该主机将被拒绝，如果在后续文件中没有写入任何 allow 语句，则该主机将被拒绝。此功能有助于设置任何特定站点的优先级。

主机名

在任何文件服务器配置中，文件主机名可以通过两种方式指定：使用完整主机名或使用 * 通配符指定整个域名，如下例所示。

[export] 
path /usr 
allow brcleprod001.brcl.com 
allow *.brcl.com 
deny brcleprod002.brcl.com

IP 地址

在任何文件服务器配置中，文件地址的指定方式与主机名类似，可以使用完整的 IP 地址或通配符地址。还可以使用 CIDR 系统表示法。

[export] 
path /usr 
allow 127.0.0.1 
allow 172.223.30.* 
allow 172.223.30.0/24 

全局允许

当用户希望每个人都可以访问特定模块时，使用全局允许。为此，单个通配符有助于让每个人都可以访问该模块。

[export] 
path /export 
allow *