Boneka - Server File
Puppet mengikuti konsep klien dan server di mana satu mesin dalam satu pengaturan bekerja sebagai mesin server dengan perangkat lunak server Puppet yang berjalan di atasnya dan sisanya bekerja sebagai klien dengan perangkat lunak agen Boneka yang berjalan di atasnya. Fitur file server ini membantu dalam menyalin file di sekitar beberapa mesin. Fitur fungsi penyajian file dalam Puppet hadir sebagai bagian dari daemon Puppet pusat. Puppetmasterd dan fungsi klien memainkan peran kunci dalam atribut file sumber sebagai objek file.
class { 'java':
package => 'jdk-8u25-linux-x64',
java_alternative => 'jdk1.8.0_25',
java_alternative_path => '/usr/java/jdk1.8.0_25/jre/bin/java'
}
Seperti pada potongan kode di atas, file Puppet yang melayani fungsi mengabstraksi topologi sistem file lokal dengan mendukung modul layanan file. Kami akan menentukan modul penyajian file dengan cara berikut.
“puppet://server/modules/module_name/sudoers”
Format File
Dalam struktur direktori Puppet, secara default konfigurasi server file berada di bawah /etc/puppet/fileserver.config direktori, jika pengguna ingin mengubah jalur file konfigurasi default ini, itu dapat dilakukan dengan menggunakan flag config baru ke puppetmasterd. File konfigurasi menyerupai file INI tetapi tidak persis sama.
[module]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
Seperti yang ditunjukkan pada potongan kode di atas, ketiga opsi tersebut diwakili dalam file konfigurasi. Nama modul agak masuk dalam tanda kurung. Jalan adalah satu-satunya pilihan yang diperlukan. Opsi keamanan default adalah menolak semua akses, jadi jika tidak ada baris yang diizinkan, modul yang akan dikonfigurasi akan tersedia untuk siapa saja.
Path dapat berisi salah satu atau semua% d,% h dan% H yang secara dinamis diganti dengan nama domainnya, nama hostnya, dan nama host yang memenuhi syarat. Semua diambil dari sertifikat SSL klien (jadi berhati-hatilah jika ada yang tidak cocok dalam nama host dan nama sertifikat). Ini berguna untuk membuat modul di mana file dari setiap klien disimpan sepenuhnya secara terpisah. Contoh, untuk kunci host pribadi.
[private]
path /data/private/%h
allow *
Pada potongan kode di atas, kode mencoba mencari file /private/file.txt dari klien client1.vipin.com. Ini akan mencarinya di /data/private/client1/file.txt, sedangkan permintaan yang sama untuk client2.vipin.com akan mencoba untuk mengambil file /data/private/client2/file.txt pada file server.
Keamanan
Puppet mendukung dua konsep dasar untuk mengamankan file di server file Puppet. Ini dicapai dengan mengizinkan akses ke file tertentu dan menolak akses ke file yang tidak diperlukan. Secara default, Puppet tidak mengizinkan akses ke file mana pun. Ini perlu didefinisikan secara eksplisit. Format yang dapat digunakan dalam file untuk memperbolehkan atau menolak akses adalah dengan menggunakan alamat IP, nama, atau izin global.
Jika klien tidak terhubung ke server file Puppet secara langsung, misalnya menggunakan reverse proxy dan Mongrel, maka file server akan melihat semua koneksi berasal dari server proxy dan bukan klien Puppet. Dalam kasus di atas, membatasi nama host di dasar nama host adalah praktik terbaik.
Satu hal penting yang perlu diperhatikan saat mendefinisikan struktur file adalah, semua pernyataan deny diurai sebelum pernyataan allow. Karenanya, jika ada pernyataan deny yang cocok dengan sebuah host, maka host tersebut akan ditolak dan jika tidak ada pernyataan allow ditulis dalam file yang akan datang, maka host tersebut akan ditolak. Fitur ini membantu dalam menetapkan prioritas situs tertentu.
Nama Host
Dalam konfigurasi server file apa pun, nama host file dapat ditentukan dalam dua cara baik dengan menggunakan nama host lengkap atau menentukan seluruh nama domain menggunakan * wildcard seperti yang ditunjukkan dalam contoh berikut.
[export]
path /usr
allow brcleprod001.brcl.com
allow *.brcl.com
deny brcleprod002.brcl.com
Alamat IP
Dalam konfigurasi server file apa pun, alamat file dapat ditentukan serupa dengan nama host, menggunakan alamat IP lengkap atau alamat karakter pengganti. Seseorang juga dapat menggunakan notasi sistem CIDR.
[export]
path /usr
allow 127.0.0.1
allow 172.223.30.*
allow 172.223.30.0/24
Izinkan Global
Izinkan global digunakan ketika pengguna ingin setiap orang dapat mengakses modul tertentu. Untuk melakukan ini, satu karakter pengganti membantu mengizinkan semua orang mengakses modul.
[export]
path /export
allow *