用Puppet和Augeas管理Linux配置

 雖然Puppet是一個真正獨特的有用工具，但在有些情況下你可以使用一點不同的方法來用它。比如，你要修改幾個服務(wù)器上已有的配置文件，而且它們彼此稍有不同。Puppet實驗室的人也意識到了這一點，他們在 Puppet 中集成了一個叫做Augeas的偉大的工具，它是專為這種使用情況而設(shè)計的。

Augeas可被認(rèn)為填補了Puppet能力的空白，比如在其中一個指定對象的資源類型(例如用于維護/etc/hosts中的條目的主機資源)還不可用時。在這個文檔中，您將學(xué)習(xí)如何使用Augeas來減輕你管理配置文件的負擔(dān)。

Augeas是什么?

Augeas基本上就是一個配置編輯工具。它以他們原生的格式解析配置文件并且將它們轉(zhuǎn)換成樹。配置的更改可以通過操作樹來完成，并可以以原生配置文件格式保存配置。

這篇教程要達成什么目的?

我們會針對我們之前構(gòu)建的Puppet服務(wù)器安裝并配置Augeas。我們會使用這個工具創(chuàng)建并測試幾個不同的配置文件，并學(xué)習(xí)如何適當(dāng)?shù)厥褂盟鼇砉芾砦覀兊南到y(tǒng)配置。

前置閱讀

我們需要一臺工作的Puppet服務(wù)器和客戶端。如果你還沒有，請先按照我先前的教程來。

Augeas安裝包可以在標(biāo)準(zhǔn)CentOS/RHEL倉庫中找到。不幸的是，Puppet用到的Augeas的ruby封裝只在puppetlabs倉庫中(或者EPEL)中才有。如果你系統(tǒng)中還沒有這個倉庫，請使用下面的命令：

在CentOS/RHEL 6.5上:

# rpm -­ivh https://yum.puppetlabs.com/el/6.5/products/x86_64/puppetlabs­release­6­10.noarch.rpm

在CentOS/RHEL 7上:

# rpm -­ivh https://yum.puppetlabs.com/el/7/products/x86_64/puppetlabs­release­7­10.noarch.rpm

在你成功地安裝了這個倉庫后，在你的系統(tǒng)中安裝Ruby­Augeas：

# yum install ruby­augeas

或者如果你是從我的上一篇教程中繼續(xù)的，使用puppet的方法安裝這個包。在/etc/puppet/manifests/site.pp中修改你的custom_utils類，在packages這行中加入“ruby­augeas”。

class custom_utils {package { ["nmap","telnet","vim­enhanced","traceroute","ruby­augeas"]:ensure => latest,allow_virtual => false,}}

不帶Puppet的Augeas

如我先前所說，最初Augeas并不是來自Puppet實驗室，這意味著即使沒有Puppet本身我們?nèi)匀豢梢允褂盟＿@種方法可在你將它們部署到Puppet環(huán)境之前，驗證你的修改和想法是否是正確的。要做到這一點，你需要在你的系統(tǒng)中安裝一個額外的軟件包。請執(zhí)行以下命令：

# yum install augeas

Puppet Augeas 示例

用于演示，這里有幾個Augeas使用案例。

管理 /etc/sudoers 文件

給wheel組加上sudo權(quán)限。

這個例子會向你展示如何在你的GNU/Linux系統(tǒng)中為%wheel組加上sudo權(quán)限。

# 安裝sudo包package { ‘sudo‘:ensure => installed, # 確保sudo包已安裝} # 允許用戶屬于wheel組來使用sudoaugeas { ‘sudo_wheel‘:context => ‘/files/etc/sudoers‘, # 目標(biāo)文件是 /etc/sudoerschanges => [# 允許wheel用戶使用sudo‘set spec[user = "%wheel"]/user %wheel‘,‘set spec[user = "%wheel"]/host_group/host ALL‘,‘set spec[user = "%wheel"]/host_group/command ALL‘,‘set spec[user = "%wheel"]/host_group/command/runas_user ALL‘,]}

現(xiàn)在來解釋這些代碼做了什么：spec定義了/etc/sudoers中的用戶段，[user]定義了數(shù)組中給定的用戶，所有的定義放在該用戶的斜杠( / ) 后那部分。因此在典型的配置中這個可以這么表達：

user host_group/host host_group/command host_group/command/runas_user

這個將被轉(zhuǎn)換成/etc/sudoers下的這一行：

%wheel ALL = (ALL) ALL

添加命令別稱

下面這部分會向你展示如何定義命令別名，它可以在你的sudoer文件中使用。

# 創(chuàng)建新的SERVICE別名，包含了一些基本的特權(quán)命令。augeas { ‘sudo_cmdalias‘:context => ‘/files/etc/sudoers‘, # 目標(biāo)文件是 /etc/sudoerschanges => ["set Cmnd_Alias[alias/name = ‘SERVICES‘]/alias/name SERVICES","set Cmnd_Alias[alias/name = ‘SERVICES‘]/alias/command[1] /sbin/service","set Cmnd_Alias[alias/name = ‘SERVICES‘]/alias/command[2] /sbin/chkconfig","set Cmnd_Alias[alias/name = ‘SERVICES‘]/alias/command[3] /bin/hostname","set Cmnd_Alias[alias/name = ‘SERVICES‘]/alias/command[4] /sbin/shutdown",]}

sudo命令別名的語法很簡單：Cmnd_Alias定義了命令別名字段，[alias/name]綁定所有給定的別名，/alias/name SERVICES 定義真實的別名，alias/command 是屬于該別名的所有命令的數(shù)組。以上將被轉(zhuǎn)換如下：

Cmnd_Alias SERVICES = /sbin/service , /sbin/chkconfig , /bin/hostname , /sbin/shutdown

關(guān)于/etc/sudoers的更多信息，請訪問官方文檔。

向一個組中加入用戶

要使用Augeas向組中添加用戶，你也許要添加一個新用戶，不管是排在 gid 字段還是最后的用戶 uid 之后。我們在這個例子中使用SVN組。這可以通過下面的命令達成：

在Puppet中:

augeas { ‘a(chǎn)ugeas_mod_group:context => ‘/files/etc/group‘, #目標(biāo)文件是 /etc/groupchanges => ["ins user after svn/*[self::gid or self::user][last()]","set svn/user[last()] john",]}

使用 augtool:

augtool> ins user after /files/etc/group/svn/*[self::gid or self::user][last()] augtool> set /files/etc/group/svn/user[last()] john[!--empirenews.page--]

總結(jié)

目前為止，你應(yīng)該對如何在Puppet項目中使用Augeas有點明白了。隨意地試一下，你肯定需要瀏覽官方的Augeas文檔。這會幫助你了解如何在你的個人項目中正確地使用Augeas，并且它會讓你知道可以用它節(jié)省多少時間。

如有任何問題，歡迎在下面的評論中發(fā)布，我會盡力解答和向你建議。