【51CTO.com快译】本文将向您介绍Chef生态系统,如何实现配置管理,以及有关系统合规性的全面基础知识。我们的主要服务对象是那些编码经验有待提升的初学读者。闲言少叙,让我们从最基本的术语开始介绍:
- Chef Cookbooks – Cookbooks(是Chef Code的组织方式。Cookbooks包含了许多非常重要的recipe、配置文件(profile)和子目录。它们定义了将各种应用于被管理系统的配置和合规性控制。
- Chef Server – Chef Infra Server(架构服务器)会存储Cookbook、配置文件、策略文件(policyfile)、以及其他Chef代码,并将它们分享给被管理的目标节点。也就是说,它既包括了那些已分配的cookbook和配置文件的系统的信息,又维护着与目标环境有关的信息搜索索引,因此您可以按需便捷地识别和管理系统中的各个离散子集。
- Chef Automate – 作为Chef的企业级平台,Chef Automate许开发人员、运营和安全工程师通过协作,交付出应用程序和基础架构的更改,以及合规性的状态。Chef Automate提供了横跨多个数据中心和云服务提供商的洞察力。它可以与Chef Infra Server和Habitat Builder一起被安装,以提供完整的Chef体验。您可以通过链接--https://www.youtube.com/watch?v=XlCyd_DH1YU,了解更多有关Automate的设置与运行。
- Chef Client – Chef Client是运行在诸如Linux、Windows或MacOS等管理系统上的代理。它通过与Chef Server通信,以提取策略文件或run_list所需的cookbook、合规性配置文件、以及相关配置,然后执行recipe和合规性的扫描,并将其结果报告发回Chef Server。
- Chef InSpec – 通过提供审计和合规性配置文件,Chef InSpec可用于测试您的Cookbook逻辑,并确保您的系统处于预期的状态。与Chef cookbook类似,其配置文件由Chef Client触发和应用,并通过CLI和Chef Automate仪表板返回输出的结果。那些被成功应用的配置文件,将显示系统是否合规。
- Chef Workstation – Chef Workstation包含了着手编写和使用Chef cookbook所需的一切。其中包括:用于与Chef Server通信的命令行实用程序,以及在更新环境之前,在本地验证cookbook的测试工具。它可以免费地安装在Linux、macOS和Windows系统上,并包含嵌入式的Ruby和其他开箱即用的依赖项。由于该“工具箱”包含了用于创建和构建Chef的所有内容,因此它取代了现已过时的ChefDK。
- Chef Repo – Chef Repo是Workstation或笔记本电脑上存储Chef内容的目录结构。它通常位于根目录下,例如:在Linux的/home/jsmith/chef-repo、macOS的/Users/jsmith/chef-repo、以及Windows的C:\Users\jsmith\chef-repo上。当然,它也可以被创建在系统中的任何位置(只是因为主目录更便于记住和引用)。一种常用的做法是,使用Git或其他版本控制工具,为版本、远程保存和共享代码初始化相应的目录。
- Test Kitchen – Test Kitchen通过驱动程序的插件架构,以方便用户使用Docker、VMware、Hyper-V、VirtualBox、以及其他虚拟机管理程序,在本地测试Chef Cookbook和合规性配置文件。同时,它也能够对来自Amazon EC2、Google Compute Engine和Microsoft Azure等云服务提供商的云实例进行测试。而且,用户还能够使用Test Kitchen实现快速开发、测试和代码排障。
- Chef Supermarket – 目前,Chef社区里有着4000多个由Chef工程师、以及合作伙伴编写的开源式Cookbook。Chef Supermarket为此提供了公开可用的存储库,以满足个人或组织的使用、检查或修改等特定需求。
第 1 部分:Chef Infra Server
虽然我们可以通过在Workstation上使用Chef Zero,实现在不运行完整Chef Infra Server的情况下,体验Chef,但是若要获得完整的使用体验,您最好还是运行本地或基于云端的Chef服务器。毕竟,成熟的Chef Infra Server并不需要太多的资源,单个VM或适当的云实例即可。而且,它可以为您提供在目标节点之间,存储和分发代码的完整体验。
Chef Infra Server的安装并不困难。它可以与Chef Automate和Chef Habitat Builder并行安装,以实现与应用程序的持续集成。实际上,每个Chef产品都可以使用独立的二进制文件--Chef-automate,通过“产品标志(product flag)”在大约15分钟内,对Chef服务器完成快速的安装和配置。
同时,您也可以从Amazon及其云端市场,部署Chef服务器。这些系统都已预先配置好了Chef Automate和Chef Infra Server,您只需创建一个管理员用户和一个组织即可开始使用。下面是其运行的先决条件:
- 至少2颗CPU、8 GB RAM、以及32 GB的磁盘虚拟机,运行诸如Ubuntu 20.04或CentOS 8等操作系统(注意:这是远低于生产环境的最低系统要求)。
- VM拥有静态的IP地址。
- 具有sudo权限的非root用户。
- 允许Chef服务器与Workstation、及Linux、Windows或macOS目标节点(可以是其他VM)通信的子网。
- 子网上的可选DNS条目,允许服务器、节点和Workstation通过FQDN进行通信。如果没有DNS,则需编辑Chef服务器和目标节点上的hosts文件,以便它们可以通过name相互访问。
- 或者已经完成了AWS或Azure Marketplace的部署。
请在一台原始的Linux VM中登录shell,并运行如下命令,或简单地复制deploy-chef-server.sh脚本中的内容(请在运行之前,更新变量):
- $ chmod +x deploy-chef-server.sh
- $ ./deploy-chef-server.sh
您也可以在没有脚本的情况下,通过如下步骤部署Chef服务器:
设置hostnamectl set-hostname hostname文件中的fqdn值与hostname –f的系统值相匹配,毕竟在安装的过程中,我们会使用FQDN去设置证书。
- $ hostnamectl set-hostname automate.chef.lab
通过下载可执行的独立包,去安装Chef-automate工具。
- $ curl https://packages.chef.io/files/current/latest/chef- automate-cli/chef-automate_linux_amd64.zip | gunzip - > chef- automate && chmod +x chef-automate
请按照如下方式调整环境设置:
- $ sudo sysctl -w vm.max_map_count=262144
- $ sudo sysctl -w vm.dirty_expire_centisecs=20000
为了防止重启后发生变化,请确保写入/etc/sysctl.conf。即,通过执行Chef-automate来部署Chef Infra Server:
- $ sudo ./chef-automate deploy --product infra-server
为了能够在服务器和Workstation之间提供安全的访问,并定位Chef内容,请使用Chef服务器来创建管理员用户和组织。我们可以通过chef-server org-create命令,使用--association-user参数来创建用户名admin:
- $ sudo Chef-server-ctl user-create jsmith Jack Smith jsmith@gmail.com "password" --filename jsmith.pem
- $ sudo Chef-server-ctl org-create lab“我的实验室”--association_user jsmith --filename lab-validator.pem
上述命令生成了jsmith.pem和lab-validator.pem两个证书文件。在第 2 部分中,我们将把jsmith.pem文件复制到Workstation上,以实现Chef服务器和笔记本电脑之间的安全通信。
第 2 部分:Chef Workstation
作为一组工具,Chef Workstation包括Chef、knife、inspec、cookstyle、habitat、kitchen、以及嵌入式Ruby等依赖项。您可以通过下载特定于操作系统的安装程序,或使用Chef install.sh脚本,来安装Chef Workstation。
如果使用特定于操作系统的安装程序,请在环境中设置Chef shell-init,并添加嵌入式Chef二进制文件的路径。这可以确保Workstation工具使用嵌入式的Ruby版本。其中,在Linux系统上的语句为:
- $ echo 'eval "$(chef shell-init bash)"' >> /home/$USER/.bash_profile
- $ echo 'export PATH="/opt/chef-workstation/embedded/bin:$PATH"' >> /home/$USER/.configuration_file
我们可以通过在终端上运行如下命令,来确认安装:
- $ chef -v
- Chef Workstation version: 21.10.640
- Chef CLI version: 5.4.2
- Chef Habitat version: 1.6.351
- Test Kitchen version: 3.1.0
- Cookstyle version: 7.25.6
- Chef Infra Client version: 17.6.18
- Chef InSpec version: 4.46.13
我们继续使用Chef生成器,来为所有的Chef Cookbook和其他文件创建Chef存储库,以及包括~/chef-repo/cookbooks在内的多个子目录:
- $ cd ~
- $ chef generate repo chef-repo
为了便于Workstation能够与Chef服务器进行通信和交互,我们需要创建一个凭证文件。它位于主目录中的.chef目录中,例如:/home/jsmith/.chef。该文件夹和凭据文件,可以由另一个生成器所创建:
- $ knife configure init-config
在终端里运行上述命令时,系统会向您提出包括:Chef服务器的URL和设置服务器时创建的用户名等问题。而命令完成后,系统会输出~/.chef/credentials文件,其内容为:
- [default]
- client_name = 'jsmith'
- client_key = '~/.chef/jsmith.pem'
- Chef_server_url = 'https://automate.chef.lab/organizations/lab'
通过编辑凭据文件,我们可以添加默认的cookbook位置,在本例中为~/chef-repo。当然,您也可以添加多个路径,例如:['/path/to/one', '/path/to/two']:
- cookbook_path = ['~/chef-repo/cookbooks']
上述.credentials文件中的client_key条目,会指向user.pem文件。我们可以将此文件从Chef服务器复制到Workstation,并使用scp之类的工具,将其放入~/.chef/目录。当然,您也可以复制Chef服务器上的user.pem文件内容,并粘贴到Workstation上的新文件中:
- $ cd ~ / .chef
- $ scp jsmith@automate.chef.lab:/home/jsmith/jsmith.pem。
接着,Chef Workstation会自动将准备好的证书放入~/.chef/trusted_certs文件夹中,以用于安全通信。
- $ knife ssl fetch
- $ knife ssl check
成功验证了证书后,我们可以使用另一个简单的Knife命令,去测试Workstation和 Chef服务器之间的连接。它将返回我们在设置Chef服务器时,所创建的客户端组织的名称:
- $ knife client list
- lab-validator
在完成了Chef Infra Server和Chef Workstation的设置后,我们可以开始使用Chef来配置和管理各个节点了。值得注意的是,这些配置步骤虽然对于实验室和企业内部环境都是理想的,但是在生产环境中,请务必遵循Chef服务器的系统要求。
接着,请在Workstation上安装VS Code并添加Chef扩展。其自动化完成功能和内置的Chef语言参考,会使您能够轻松地开始编写Chef代码。
第 3 部分:Chef Cookbook
在本节中,我们将创建一个简单的cookbook,以便在系统上运行Chef客户端代理时进行各项操作。
为了让Chef实现系统的自动化和合规性,Chef Infra Client会通过bootstrap进程被安装在每个节点上,并伴随着安装一个能够与Chef服务器进行通信client.rb文件。据此,您可以使用简单的Cookbook来自动化该过程,以实现系统每隔30分钟检查一次Chef服务器。
下面,我们将从近250个内置的Chef资源中,选用windows_task和cron源,通过创建一个recipe,在Linux和Windows系统上实现每隔30分钟运行一次Chef-client。其中,Linux是通过cron完成作业的;而Windows则是通过Windows Task完成的。
创建Cookbook
在Workstation上,请导航到~/chef-repo/cookbooks文件夹,并使用Chef cookbook生成器来创建一个名为run-chef-client的cookbook:
- $ cd ~/chef-repo/cookbooks
- $ Chef generate Cookbookrun-chef-client -k dokken
这将创建一个名为run-chef-client的新目录。其中,-k dokken标志生成一个Test Kitchen的kitchen.yml文件,实现预配置与Docker的协同。
请通过如下命令,切换到新的./run-chef-client目录,并列出其具体内容:
- $ cd ~/chef-repo/cookbooks/run-chef-client
- $ tree
- ├── CHANGELOG.md
- ├── chefignore
- ├── kitchen.yml
- ├── LICENSE
- ├── metadata.rb
- ├── Policyfile.rb
- ├── README.md
- ├── recipes
- │ └── default.rb
- └── test
- └── integration
- └── default
- └── default_test.rb
请使用如下命令创建两个目录,来分别保存属性(使用另一个Chef生成器)与合规性配置文件:
- $ cd ~/chef-repo/cookbooks/run-chef-client
- $ chef generate attribute default $ mkdir -p ./compliance/profiles
我们可以通过编辑metadata.rb文件,来包含维护者的信息。这些信息将被自动传递到Chef生成器,以创建诸如recipes、文件和模板等文件:
- name 'run-chef-client'
- maintainer 'John Tonello'
- maintainer_email 'jtonello@chef.lab'
- license ' Apache-2.0'
- description 'Set chef-client to run every 30 minutes'
- version '0.1.0'
- chef_version '>= 16.0'
您在创建cookbook时,可以通过如下命令,标志maintainer、maintainer_email和license的值。
- $ chef generate cookbook run-chef-client -k dokken -C 'John Tonello' -m 'jtonello@chef.lab' -I 'apachev2'
创建Recipe
请将如下内容输入./cookbooks/run-chef-client/recipes/default.rb文件,并按需更新其标题。注意,用户和密码应匹配您的环境。该recipe包括了在Windows和非Windows系统上工作的逻辑。在更为复杂的Cookbook中,您可能有不同名称的多个Cookbook。注意,请务必将带有路径的include_recipe资源运用到default.rb的recipe上。
- # Cookbook:: client-run
- # Recipe:: default
- #
- # Copyright:: 2021, John Tonello, All Rights Reserved.
- include_profile 'run-chef-client::client-run'
- if platform?('windows')
- windows_task 'run-chef-client' do
- user 'WIN10\jtonello'
- password 'Sup3r!Us3r!'
- command 'chef-client'
- run_level :highest
- frequency :minute
- frequency_modifier 30
- end
- else
- cron 'Run chef-client every 30 minutes' do
- minute '0,30'
- user 'root'
- command '/usr/bin/chef-client'
- action :create
- end
- end
其中,include_profile一行是Chef Infra Client 17.5.22的一项新功能。它允许您定义要在recipe中正确关联到Cookbook的合规性资料。据此,当您在第 5 部分中使用Policyfile工作流时,您的配置文件将被链接和上传。而在Chef中,'run-chef-client::client-run'是指向~/chef-repo/cookbooks/run-chef-client/compliance/profiles/client-run/的。
该recipe中的if...else语句会告知Chef去运行windows_task(如果平台是 Windows)或cron资源(如果平台是Linux和macOS)。而且,Windows Task需要用到用户、密码、以及以该用户的身份去运行的chef-client命令。最终,这两种资源都会将任务设置为每30分钟运行一次。
在保存了recipe后,我们便可以通过运行Chef Cookstyle,来检查其语法是否正确。如果检测到错误,它会使用-a标志来予以自动更正。
- $ cookstyle -a
当结果报告“没有违规”时,Cookbook可被认为在语法上是正确的。
如果您只想将cookbook应用到一个节点,并不想添加合规性的话,则可以将cookbook上传至Chef服务器,引导单个节点,然后应用至cookbook。下面代码展示了该过程,不过,这往往认为是一种比较旧的工作流程:
- $ knife cookbook upload run-chef-client
- $ knife cookbook list
- chef-client 0.1.0
- $ knife bootstrap ubuntuserver01.fakedomain.tld -U ubuntu -i ~/.ssh/id_rsa.pub --sudo -N ubuntuserver01 -r 'recipe[run-chef-client]'
第 4 部分:Chef InSpec Profile
Chef InSpec Profiles提供了对于节点状态、及其合规性的洞察。也就是说,它会告诉您所应用的Cookbook是否处于期望状态。
当您从终端和Chef Automate Compliance仪表板处运行Chef-client命令时,Chef InSpec会执行复杂的任务,并通过CLI报告合规性数据。在完成该任务之后,您需要创建一个cookbook属性文件、以及一个包含有controls的配置文件。
创建属性文件
请在run-chef-clientCookbook文件夹的根目录中,运行如下命令,以在run-chef-clientCookbook文件夹中生成一个属性目录。同时,该文件夹也包含一个名为default.rb的文件:
- $ chef generate attribute default
您可以编辑./attributes/default.rb,并添加如下内容:
- default['audit']['reporter'] = %w(chef-server-automate cli)
默认的['audit']['reporter']条目会输出到Chef自动化和CLI处。
创建配置文件并编辑inspec.yml文件
我们可以使用Chef生成器,生成一个新的配置文件:
- $ inspec init profile [path-to-cookbook-root] [profile-name]
例如:
- $ cd ~/chef-repo/cookbooks/run-chef-client/compliance/profiles/
- $ inspec init profile client-run
上述命令会在新的./compliance/profiles/client-run目录中创建多个文件夹和文件,其中包括一个带有示例内容的controls/example.rb文件和一个inspec.yml文件。通过编辑inspec.yml,您可以按需修改其中的粗体项:
- name: client-run
- title: Run the chef-client every 30 minutes
- maintainer: John Tonello
- copyright: John Tonello
- copyright_email: jtonello@chef.lab
- license: Apache-2.0
- summary: Run the chef-client every 30 minutes
- version: 0.1.0
- supports:
- platform: os
创建InSpec配置文件
InSpec配置文件通过control,不但描述了待执行的每个测试,也向Chef-client表明了系统信息。在如下示例中,名为run-chef-client的control的impact为1.0,即具有最高优先级。接着,control会根据目标节点是否为Windows,来运行不同的测试。此处的describe条目会告知Chef去检查每个系统上的资源。
请将./compliance/profiles/client-run/controls/example.rb重命名为default.rb,并按如下方式进行编辑:
- control 'run-chef-client' do
- impact 0.7
- title 'Run the chef-client every 30 minutes'
- if os.windows?
- describe windows_task('run-chef-client') do
- it { should exist }
- it { should be_enabled }
- end
- else
- describe crontab do
- its('commands') { should include '/usr/bin/chef-client' }
- its('minutes') { should include '0,30' }
- end
- end
- end
第 5 部分:策略文件(Policyfiles)
我们在创建任何Chef cookbook时,都需要重点考虑它是否包含了受信任的代码。通过使用Policyfiles,您可以创建不可变的对象集-Cookbook、recipe、配置文件,并确保代码未以某种方式(意外或恶意)被更改。
我们在使用Chef生成器命令创建run-chef-client cookbook时,会在cookbook文件夹中自动创建一个Policyfile.rb文件。我们可以在编辑器中打开该文件,并按需进行修改(如下代码所示):
- # Policyfile.rb - Describe how you want Chef Infra Client to build your system.
- # A name describes what the system you're building with Chef does.
- name 'run-chef-client'
- # Where to find external cookbooks:
- default_source :chef_repo, "~/chef-repo/cookbooks" do |s|
- s.preferred_for "run-chef-client"
- end
- default_source :supermarket
- default_source :chef_server, 'https://automate.chef.lab/organization/lab
- # run_list: chef-client will run these recipes in the order specified.
- run_list 'run-chef-client::default'
其中的name条目指定了与Cookbook相符的Policyfile名称。而default_source可以是服务器的Chef、Chef Supermarket、或本地Chef repo。通过将:chef_repo与s.preferred_for一起使用,Chef将在Workstation的cookbooks文件夹中查找到内容,而不是Chef Supermarket之类的远程源,或Chef服务器本身。
而run_list条目则描述了Chef的Cookbook和路径。在此,run-chef-client::default指向的是~/chef-repo/cookbooks/run-chef-client/recipes/default.rb。您也可以添加多个run_list项,并通过创建配置文件,将多个不同的cookbook结合到一个不可变的Policyfile中。
完成之后,请继续在run-chef-client的Cookbook目录中运行cookstyle -a,并在下一步之前仔细检查其语法:
- $ cd ~/chef-repo/cookbooks/run-chef-client
- $ cookstyle -a
一次性上传Cookbook和配置文件
使用Policyfiles,您可以捆绑cookbook和合规性配置文件,并将它们上传到Chef服务器上。首先,请安装Policyfile.rb,以创建Policyfile.lock.json文件;然后请将该文件推送到Chef服务器处。
- $ cd ~/chef-repo/cookbooks/run-chef-client
- $ chef install Policyfile.rb
- $ Chef push prod Policyfile.lock.json
该推送命令包含了Policyfile所属的策略组(Policy Group)。使用Chef,您可以为不同的目的创建不同的策略组,例如build、test和prod等。在本示例中,run-chef-client的cookbook和client-run配置文件会被添加到prod(生产环境)策略组。
有了./compliance/profiles/default/default.rb、inspec.yml和Policyfile.rb,你便可以使用Test Kitchen测试Cookbook和合规性控制,或直接跳到第 7 部分,在目标节点上应用run-chef-client的cookbook和配置。
用Knife上传Cookbook
您可以使用简单的Knife命令,将Cookbook上传到Chef服务器处,然后将一到多个Cookbook分配给每个节点。其对应的命令代码如下:
- $ knife upload cookbook run-chef-client
- $ knife node run_list add ubuntu01 'recipe[run-chef-client']
其中,第一个命令是将Cookbook上传到Chef服务器;第二个指定run-chef-client的Cookbook在该节点上运行。
第 6 部分:Test Kitchen
Test Kitchen提供了诸如Docker、VirtualBox、Hyper-V、Amazon以及Azure云等多种方法,在本地测试Chef Cookbook和合规性代码。由于我们在本例中使用的是Docker,因此应当在Workstation上安装docker.io和docker -compose,并以非root的用户身份去运行。
我们在使用-k dokken标志去创建run-chef-clientcookbook时,会自动在cookbookkitchen.yml目录的根目录下创建一个文件。如下代码所示,该文件已经被配置为使用Dokken驱动程序(即为Docker)了。
- ---
- driver:
- name: dokken
- privileged: true # allows systemd services to start
- provisioner:
- name: dokken
- transport:
- name: dokken
- verifier:
- name: inspec
- platforms:
- - name: ubuntu-20.04
- driver:
- image: dokken/ubuntu-20.04
- pid_one_command: /bin/systemd
- intermediate_instructions:
- - RUN /usr/bin/apt-get update
- - name: centos-8
- driver:
- image: dokken/centos-8
- pid_one_command: /usr/lib/systemd/systemd
- suites:
- - name: default
- run_list:
- - recipe[chef-client::default]
- verifier:
- inspec_tests:
- - compliance/profiles/client-run/
- attributes:
- audit:
- compliance_phase: false
- reporter: 'cli'
类似虚拟机,上述kitchen.yml文件中的platform条目会拉取特殊的Docker镜像。而Chef团队已经为各种Linux操作系统准备了基本的容器,以便您为真实的环境开展测试,而无需额外的设置。
如果您想添加除了Ubuntu 20.04和CentOS 8之外的平台,则可以通过https://hub.docker.com/u/dokken,添加来自dokken镜像存储库里的条目。那里有着41个Dokken镜像可供测试。
您也可以编辑suites下的verifier部分,以指向InSpec配置文件的相对路径——compliance/profiles/client-run/。通过有效性验证,它将有助于避免运行时的各种错误:
- attributes:
- audit:
- compliance_phase: false
- reporter: 'cli'
运行Test Kitchen
Test Kitchen的工作原理是:首先根据kitchen.yml平台条目中所描述的镜像,启动容器(如VM或云实例),接着部署Chef-client和Chef配置文件,然后部署Chef代码(被称为converging),并验证您的代码,最后关闭并销毁测试容器或实例。您可以通过导航到run-chef-clientCookbook目录的根目录,运行kitchen test,来一次性完成所有步骤:
- $ cd ~/chef-repo/cookbooks/run-chef-client
- $ kitchen test
上述简单的命令执行了创建、聚合、验证和销毁步骤,并能显示正在使用的Cookbook的终端内结果,以及合规阶段的扫描结果。您可以继续执行如下步骤:
- $ kitchen create
- $ kitchen converge
- $ kitchen verify
- $ kitchen destroy
通过单独运行上述步骤,您可以重新运行kitchen converge和kitchen verify,以快速迭代各种更改。
第 7 部分:引导节点
既然cookbook和配置文件已推送到了Chef服务器并进行了测试,下面,我们将引导(bootstrapping)第一个目标节点并执行如下任务:
- 安装Chef-client
- 创建配置文件--config.rb,并定义Chef Server和身份验证等详细信息
- 按需安装可信任的自签名证书
Knife有一个内置的引导命令,可以一次性完成所有步骤。您可以在首个Chef Workstation的目标节点(应当能够默认支持ssh系统)上,引导如下命令:
- $ knife bootstrap ubuntu01.fakedomain.tld -U ubuntu -i ~/.ssh/id_rsa --sudo -N ubuntu01 --policy-group prod --policy-name run-chef-client
该bootstrap命令允许您使用如下标志来定义各种细节:
- ubuntu01.fakedomain.tld – 没有标志,只有被引导服务器的主机名或IP地址。
- -U(或--connection-user)ubuntu – 连接到远程节点时用到的用户名。
- -i ~/.ssh/id_rsa – ssh的身份验证密钥(而-P可用于密码验证)。
- –-sudo – 以超级用户的权限执行命令。这通常是新软件安装和引导所必需的。
- -N(或 --node-name)ubuntu01 – 向Chef服务器注册时使用的“节点名称”。
- --policy-group prod --policy-name run-chef-client – 它会将run-chef-clientpolicy分配给节点。您可以使用-r 'recipe[run-chef-client]'在引导期间将Cookbook应用于节点上。在本例中,default.rb recipe被应用了上去。
- $ knife bootstrap ssh://10.128.1.25 -U ubuntu -i ~/.ssh/id_rsa -N ubuntu01 -r 'recipe[run-chef-client]'
Windows:
- $ Knife bootstrap winrm://10.128.1.26 -U Administrator -P mypassword -N windows10 -r 'recipe[run-chef-client]'
同时,您也可以引导节点,而不是分配任何recipe或策略:
- $ Knife bootstrap ssh://10.128.1.25 -U ubuntu -i ~/.ssh/id_rsa -N ubuntu01
- $ Knife bootstrap winrm://10.128.1.26 -U Administrator -P mypassword -N windows10
如果您想在没有任何标志的情况下,引导一到多个节点,则可以稍后再设置策略,并分配run_lists或策略:
- $ Knife node policy set ubuntu01 prod run-chef-client
或者:
- $ Knife node run_list add ubuntu01 'recipe[run-chef-client]'
上面只是一些常用的选项。如果您想了解更多有关Knife命令的完整标志列表,只需使用-h标志,即可获得全量选项和用法示例的描述。
通过运行Chef-client来查看系统的状态和合规性
您可以通过knife,在Chef服务器列表中查询到ubuntu01节点:
- $ knife node list
- ubuntu01
如果使用策略或recipe的标志去引导节点,您将在CLI中看到进度显示和结果输出。当然,您也可以通过在该节点上运行的Chef-client,以查看到Chef代码的运行情况。虽然新的run-chef-client cookbook会每隔30分钟运行一次,但您可以通过以下几种方式,来手动执行:
使用knife运行Chef-client
knife工具允许您在任何远程节点上运行ssh和winrm选项。在Linux或macOS节点上,您可以通过如下方式,来运行命令sudo chef-client:
- $ knife ssh 'name:ubuntu01' 'sudo Chef-client'
值得一提的是,如果目标主机是Windows系统,那么请使用winrm选项,并提供管理级别的用户名(-x)和密码(-P):
- $ knife winrm 'name:win10' 'chef-client' -x Administrator -P mypassword
而对于支持ssh的节点,您可以进入shell,并从命令行运行sudo chef-client;在Windows上,则请使用RDP登录,以管理员身份打开PowerShell,然后运行chef-client。
不仅仅是策略即代码(Policy as Code)
由于本例中的ubuntu01节点已经被Chef Infra Client和Chef代码引导启动和运行,因此您可以通过如下命令,快速了解到其相关信息的摘要:
- knife node show ubuntu01
- Node Name: ubuntu01
- Policy Name: run-chef-client
- Policy Group: prod
- FQDN: ubuntu01.fakedomain.tld
- IP: 10.128.1.25
- Run List: recipe[run-chef-client::default]
- Recipes: run-chef-client::default
- Platform: ubuntu 20.04
- Tags:
您还可以使用Chef查询与该节点相关的各种系统信息。例如:
- $ knife search node 'name:ubuntu01' -a shells
- 1 items found
- ubuntu01:
- shells:
- /bin/sh
- /bin/bash
- /bin/rbash
- /bin/dash
上例只是搜索并返回了单个节点。当然,您也可以使用通配符,返回有关所有节点、或具有特定前缀或后缀的节点信息。例如:'name:*'(所有节点)、或'name:web*'(仅以“web”开头的节点)、或'name:*web'(仅以“web”结尾的节点)。除了名称以外,您还可以使用平台、或其他knife选项。例如:
- $ knife search node 'platform:ubuntu' -a shells
这些信息从何而来?
即使您没有使用Chef对节点实施任何配置上的更改,Chef-client的每次运行也都会使用一个名为ohai的工具,来收集系统分析信息,并将它与运行结果一起发送回Chef服务器。这就意味着,您可以开箱即用地了解有关被管理系统的各种信息,并且能够随着更多服务器被引导,而轻松地查询到更多与Chef相关的信息,进而在recipe中使用此类信息,来操控各个节点。
以下便是从Chef中提取更多数据类型的示例:
- $ knife search node 'name:ubuntu01' -a memory.total -a filesystem.by_mountpoint./.percent_used -a ipaddress
- 1 items found
- ubuntu01:
- filesystem.by_mountpoint./.percent_used: 13%
- ipaddress: 10.128.1.133
- memory.total: 524288kB
在此搜索中,您可以查看有关磁盘的使用情况和内存的数据。Ohai允许您通过查询各种节点的信息,来自动检测诸如节点的公共IP地址等AWS的内部信息。对此,您可以将-a ec2.public_ipv4替换上例中的-a ipaddress。值得注意的是,即使您的节点是在没有应用run_list或策略的情况下被引导的,它也能够收集到数据。
关于属性的更多想法
我们在节点上对于Cookbook节点的任何修改,都可以被直接执行,而无需变动任何底层代码的属性。例如,您可以通过在节点上运行一个knife搜索,后跟-l标志,来查看某个节点的所有可用属性:
- $ knife search node 'name:ubuntu01' -l
- 1 items found
- Node Name: ubuntu01
- Policy Name: run-chef-client
- Policy Group: prod
- FQDN: ip-172-31-15-141.ec2.internal
- IP: 3.85.154.118
- Run List: recipe[run-chef-client::default]
- Recipes: run-chef-client::default
- Platform: ubuntu 20.04
- Tags:
- Attributes:
- tags:
- …
- chef_environment: prod
- chef_guid: 4d10ca10-7658-4693-91b6-6ed25d881a1c
- chef_packages:
- chef:
- chef_effortless:
- chef_root: /opt/chef/embedded/lib/ruby/gems/3.0.0/gems/chef-17.5.22/li
- b
- version: 17.5.22
- ohai:
- ohai_root: /opt/chef/embedded/lib/ruby/gems/3.0.0/gems/ohai-17.5.2/lib/ohai
- version: 17.5.2
- cloud:
- local_hostname: ip-172-31-15-141.ec2.internal
- local_ipv4: 172.31.15.141
- local_ipv4_addrs: 172.31.15.141
- provider: ec2
- public_hostname: ec2-3-85-154-118.compute-1.amazonaws.com
- public_ipv4: 3.85.154.118
- public_ipv4_addrs: 3.85.154.118
- command:
- ps: ps -ef
- cookbooks:
- run-chef-client:
- version: 0.1.0
- counters:
- network:
- interfaces:
- eth0:
- rx:
- bytes: 396541197
- drop: 0
- errors: 0
- …
第 8 部分:扩展所学的内容
至此,您已经了解了Chef是如何协同Cookbook工作的。但是在实际应用中,您可能需要诸如:在webserver上打开443端口、或是在其他服务器上安装特定的应用等多种配置。因此,您可以使用多种方式,将多个Cookbook组合在一起,提供可应用于被定义节点组的基本Cookbook或配置文件。例如,Policyfiles就能够简便地将多个Cookbook、recipe和配置文件捆绑在一个对象中。而另一种方法则是将Cookbook依赖项添加到Cookbook的metadata.rb文件中,并在default.rbCookbook中使用include_recipe资源。
在metadata.rb中定义依赖项
每个cookbook都带有一个metadata.rb文件,可用于定义其名称、版本、以及各种依赖项。如下代码展示了,若想添加对另一个cookbook的依赖项,只需告知其您的run-chef-clientcookbook,以及向metadata.rb添加一个depends条目即可:
- name 'base_cookbook'
- maintainer 'Jack Smith'
- maintainer_email 'jsmith@example.com'
- license 'Apache-2.0'
- description 'Installs/Configures base_cookbooks'
- long_description 'Installs/Configures base_cookbooks'
- version '0.1.0'
- chef_version '>= 16.0'
- depends 'run-chef-client'
在recipes/default.rb中定义Cookbook依赖项
在第 3 部分中,我们了解到cookbook包含着一个default.rbrecipe,该recipe定义了在未指定其他特定recipe时,应执行哪些操作。而在该base_cookbook示例中,cookbook定义了与其相关的recipe。那么,如果您有第二个名为closed-ports的cookbook,它会在自己的cookbook和recipe目录中拥有自己的default.rb。而如果要在应用run-chef-clientcookbook时,调用closed-ports这一cookbook,您可以在修改后使用include_recipe资源,并读取cookbooks/run-chef-client/recipes/default.rb。
- #
- # Cookbook:: base_cookbook
- # Recipe:: default
- #
- # Copyright:: 2021, Jack Smith, All Rights Reserved.
- include_recipe 'closed-ports::default'
通过这种方式,您可以创建基本的Cookbook,以包含多个recipe和Cookbook。而且,当您在使用Policyfiles时,它是固定不变的,并能够将一到多个cookbook中的所有内容捆绑到一起(包括已定义的任何InSpec配置文件)。可见,由于不需要旧的Chef技术来上传Cookbook依赖项,因此Policyfile方法应作为开发的首选。
更多资源
如果您在开始动手实践之前,想了解更多相关知识的话,请浏览如下链接:
- Chef的部署知识
- 从基本到高级的Chef技术
- 如何安装Chef automation和Chef Infra Server(视频)
- 如何构建Chef Workstation,创建Cookbook与合规性(视频)
原文标题:Chef 101: Getting Started With Automation,作者: John Tonello
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】