Puppet-파일 서버
Puppet은 설정의 한 시스템이 Puppet 서버 소프트웨어가 실행중인 서버 시스템으로 작동하고 나머지는 Puppet 에이전트 소프트웨어가 실행중인 클라이언트로 작동하는 클라이언트 및 서버의 개념을 따릅니다. 파일 서버의이 기능은 여러 시스템에서 파일을 복사하는 데 도움이됩니다. Puppet에서 파일 제공 기능의이 기능은 중앙 Puppet 데몬의 일부로 제공됩니다. Puppetmasterd 및 클라이언트 기능은 파일 속성을 파일 객체로 소싱하는 데 중요한 역할을합니다.
class { 'java':
package => 'jdk-8u25-linux-x64',
java_alternative => 'jdk1.8.0_25',
java_alternative_path => '/usr/java/jdk1.8.0_25/jre/bin/java'
}
위 코드 스 니펫에서와 같이 Puppet의 파일 제공 함수는 파일 서비스 모듈을 지원하여 로컬 파일 시스템 토폴로지를 추상화합니다. 다음과 같은 방법으로 파일 제공 모듈을 지정합니다.
“puppet://server/modules/module_name/sudoers”
파일 형식
Puppet 디렉토리 구조에서 기본적으로 파일 서버 구성은 /etc/puppet/fileserver.config 사용자가이 기본 구성 파일 경로를 변경하려는 경우 새 구성 플래그를 사용하여 수행 할 수 있습니다. puppetmasterd. 구성 파일은 INI 파일과 유사하지만 정확히 동일하지는 않습니다.
[module]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
위의 코드 스 니펫에 표시된 것처럼 세 가지 옵션이 모두 구성 파일에 표시됩니다. 모듈 이름은 괄호 안에 있습니다. 경로는 유일한 필수 옵션입니다. 기본 보안 옵션은 모든 액세스를 거부하는 것이므로 허용 라인을 지정하지 않으면 구성 할 모듈을 누구나 사용할 수 있습니다.
경로에는 도메인 이름, 호스트 이름 및 정규화 된 호스트 이름으로 동적으로 대체되는 % d, % h 및 % H의 일부 또는 전부가 포함될 수 있습니다. 모두 클라이언트의 SSL 인증서에서 가져옵니다 (호스트 이름과 인증서 이름이 일치하지 않는 경우주의). 이것은 각 클라이언트의 파일이 완전히 별도로 유지되는 모듈을 만드는 데 유용합니다. 예 : 개인 호스트 키의 경우.
[private]
path /data/private/%h
allow *
위의 코드 조각에서 코드는 클라이언트에서 /private/file.txt 파일을 검색하려고합니다. client1.vipin.com. /data/private/client1/file.txt에서 찾을 것이고 client2.vipin.com에 대한 동일한 요청은 파일 서버에서 /data/private/client2/file.txt 파일을 검색하려고 시도합니다.
보안
Puppet은 Puppet 파일 서버에서 파일을 보호하는 두 가지 기본 개념을 지원합니다. 이는 특정 파일에 대한 액세스를 허용하고 필요하지 않은 파일에 대한 액세스를 거부함으로써 달성됩니다. 기본적으로 Puppet은 파일에 대한 액세스를 허용하지 않습니다. 명시 적으로 정의해야합니다. 액세스를 허용하거나 거부하기 위해 파일에서 사용할 수있는 형식은 IP 주소, 이름 또는 전역 허용을 사용하는 것입니다.
예를 들어 역방향 프록시 및 Mongrel을 사용하여 클라이언트가 Puppet 파일 서버에 직접 연결되지 않은 경우 파일 서버는 모든 연결이 Puppet 클라이언트가 아닌 프록시 서버에서 오는 것으로 간주합니다. 위의 경우 호스트 이름을 기반으로 호스트 이름을 제한하는 것이 가장 좋습니다.
파일 구조를 정의 할 때 주목해야 할 한 가지 요점은 모든 거부 문이 허용 문 이전에 구문 분석된다는 것입니다. 따라서 호스트와 일치하는 거부 문이 있으면 해당 호스트가 거부되고 다음 파일에 허용 문이 기록되지 않으면 호스트가 거부됩니다. 이 기능은 특정 사이트의 우선 순위를 설정하는 데 도움이됩니다.
호스트 이름
모든 파일 서버 구성에서 파일 호스트 이름은 다음 예와 같이 완전한 호스트 이름을 사용하거나 * 와일드 카드를 사용하여 전체 도메인 이름을 지정하는 두 가지 방법으로 지정할 수 있습니다.
[export]
path /usr
allow brcleprod001.brcl.com
allow *.brcl.com
deny brcleprod002.brcl.com
IP 주소
모든 파일 서버 구성에서 전체 IP 주소 또는 와일드 카드 주소를 사용하여 호스트 이름과 유사하게 파일 주소를 지정할 수 있습니다. CIDR 시스템 표기법을 사용할 수도 있습니다.
[export]
path /usr
allow 127.0.0.1
allow 172.223.30.*
allow 172.223.30.0/24
글로벌 허용
전역 허용은 사용자가 모든 사람이 특정 모듈에 액세스 할 수 있기를 원할 때 사용됩니다. 이를 위해 단일 와일드 카드는 모든 사람이 모듈에 액세스 할 수 있도록합니다.
[export]
path /export
allow *