Как скопировать файл всем клиентам с помощью марионетки?
Как копировать файлы всем клиентам с помощью марионетки? Я установил марионеточный сервер и клиентов, и я проверил соединение, которое работает нормально. Я не эксперт по марионетке, я просто новичок, и я просто хочу знать, как копировать файлы всем клиентам с кукольного сервера? Я также хочу знать, как удалить файлы?
9 ответов
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
[Ф1]всех кукол файлового сервера URI будут структурированы следующим образом:
[Ф2]если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются [ф12] или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера [ф14] каталог, следующих кукол: Ури... [Ф3] ...будет решать следующие абсолютный путь: [Ф4] если [ф15] был установлен на [ф16], один и тот же URI вместо этого решают: [ф5]хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера [ф18]; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла [ф20] почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[ф6]следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из [ф22], [ф23], и [ф24], которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[ф7]запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл [ф26], в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в [ф28] Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [ф30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[ф8]имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[ф9]глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54] [ф10]отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
-
1Привет @Rinzwind это будет хорошо, если вы добавите точный ответ, что я хочу. – karthick87 13 September 2011 в 12:30
-
2ну, ссылка от Хорхе / этот ответ - это начало сделать это, и он отвечает на вопрос «Как копировать файлы всем клиентам с помощью кукольного?» включая безопасность, которую вы должны принять во внимание. Все, что у него отсутствует, - это метод удаления файлов. Я буду включать, что (последний бит этого ответа больше о том, чтобы сделать это безопасно, возможно, лучше удалить его, возможно). – Rinzwind 13 September 2011 в 14:42
-
3Нужно ли редактировать файл манифеста? И введите указанные строки? – karthick87 13 September 2011 в 19:27
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.
Кукольный файловых серверов
в этом руководстве рассматривается использование обслуживающих возможности кукольного файл.
кукловод услуга включает в себя файл-сервер для передачи статических файлов. Если объявление файл ресурсов содержит марионетка: URI в атрибуте Source, узлы восстанови этот файл из мастер-файла сервера:
# copy a remote file to /etc/sudoers file { "/etc/sudoers": mode => 440, owner => root, group => root, source => "puppet:///modules/module_name/sudoers" }всех кукол файлового сервера URI будут структурированы следующим образом:
puppet://{server hostname (optional)}/{mount point}/{remainder of path}
если имя хоста сервера опущен (т. е. на [F11]; обратите внимание на тройной слеш), то URI будет решать задачи любой сервер, узел оценки считает своим хозяином. Как это делает манифеста код более портативный и многоразовые, Хостов должно быть опущено, когда это возможно.
остальная часть кукол: карты URI для файловой системы сервера в одном из двух способов, в зависимости от того, файлы предоставляются module или с помощью [от f13].
Кукольный файловых серверов
так как подавляющее большинство файлов должно быть сделано через модули, Кукольный файлового сервера обеспечивает специальные и полу-магической точки подключения называются модулями, который доступен по умолчанию. Если точкой Ури крепление модулей, марионетка будет:
интерпретировать следующий отрезок пути, как имя модуля... ... найти модуль сервера modulepath (как описано здесь в разделе “модуль поиска”... ... и устранения оставшейся части пути, начинающегося в этом модуле файлов/ каталогов. То есть, если модуль с именем test_module установлен в Центральном сервера /etc/puppet/modules каталог, следующих кукол: Ури...puppet:///modules/test_module/testfile.txt
...будет решать следующие абсолютный путь: /etc/puppet/modules/test_module/files/testfile.txt
если test_module был установлен на /usr/share/puppet/modules, один и тот же URI вместо этого решают: /usr/share/puppet/modules/test_module/files/testfile.txt
хотя никакой дополнительной настройки не требуется, чтобы использовать модули точку монтирования, некоторые контроль доступа может быть задан в конфигурационном файле сервера путем добавления [f17 в] конфигурация блока; см. в разделе безопасность.
файлы из пользовательских точек монтирования
марионетка может также служить файлы из произвольных точек подключения, указанных в конфигурационном файле сервера Server (см. ниже). При обслуживании файлов с пользовательской точки монтирования, кукол не выполняет дополнительные абстракции URI, используемый в модулях горе, и разрешите путь после монтирования имя, как простая структура каталога.
файлы из пользовательских точек монтирования
местоположение по умолчанию для данных конфигурации файл-сервера /etc/puppet/fileserver.conf; это может быть изменено путем передачи [зг19] флаг кукловод.
Формат файла fileserver.conf почти в точности как [клавиши f21], и грубо напоминает ini-файл:
[mount_point]
path /path/to/files
allow *.domain.com
deny *.wireless.domain.com
следующие опции могут в настоящее время быть определен для заданной точки монтирования:
интерпретировать следующий отрезок пути, как имя модуля... любое количество директивы allow ... найти, что модуль в modulepath сервера (как описано здесь в разделе “поиск модуль”...путь является единственным обязательным параметром, но так как настройки безопасности по умолчанию блокирует весь доступ, точку подключения без директивы allow не будет доступен для любых узлов.
путь может содержать любые или все из %h, %H, и %d, которые динамически заменяются клиента имя, полное доменное имя и его доменное имя, соответственно. Все взяты из сертификата клиента SSL (протокол, поэтому будьте осторожны, если у вас есть имя/несоответствия certname). Это полезно в создании модулей, где файлы для каждого клиента совершенно отдельно, например, для частного хозяина ключей SSH. Например, с конфигурацией
[private]
path /data/private/%h
allow *
запрос на файл [f25 привод датчика] от клиента client1.example.com будет искать файл /data/private/client1/file.txt, в то время как тот же запрос от client2.example.com попытаемся извлечь файл /data/private/client2/file.txt на файловый сервер.
в настоящее время пути не могут содержать конечные слеши или ошибку приведет. Также позаботьтесь, чтобы в puppet.conf Вы не указываете каталоги, которые имеют конечные слеши.
безопасность
Защита кукол файлового сервера состоит из разрешая и запрещая доступ (на различных уровнях специфичности) в точке монтирования. Группы узлов могут быть определены для разрешения или отказа в тремя способами: по IP-адресу, по названию или по единой глобальной подстановки (*). Пользовательские точки монтирования по умолчанию запрещает доступ к интернету.
[и D40]в дополнение к пользовательской точки подключения, есть два особых точек монтирования, которыми можно управлять с fileserver.conf: [f30 и ф31]. Ни одна из этих точек монтирования должен иметь возможность указать путь. Поведение модуля точки подключения описана выше в разделе файлы от пользовательских точек подключения. Плагинов гора не является истинной точкой монтирования, но это скорее крючок, чтобы файловый сервер.conf, чтобы указать, какие узлы являются разрешенными для синхронизации плагинов от кукловода. Обе эти точки монтирования существует по умолчанию, и по умолчанию, чтобы предоставить всем доступ; если разрешающие или запрещающие директивы установить на один из этих специальных креплений, его параметры безопасности будет вести себя как обычный Маунт (т. е. он по умолчанию запрещает доступ к интернету). Обратите внимание, что это единственные точки подключения к которым отказать * не лишними.[!и D40] [dрайвер d41]если узлы не подключается к Кукольному файлового сервера напрямую, например, с помощью обратного прокси-сервера и шавки (см. используя шавки), то файл-сервер будет видеть все соединения с прокси-сервером IP-адрес, а не Кукольный агента узла. В этом случае, лучше ограничить доступ на основе имени хоста. Кроме того, машина(ы), действующий в качестве обратного прокси-сервера (как правило, 127.0.0.0/8) должен быть разрешен доступ к действующим точкам монтирования.[!dрайвер d41]безопасность
более конкретно запретить и разрешить отчетности имеют преимущество перед менее конкретными заявлениями, т. е. разрешить заявление по node.domain.com позволит подключить, несмотря на запрещающее заявление на *.domain.com. На данном уровне конкретики, отрицают заявления имеют приоритет над разрешающими заявления.
непредсказуемое поведение может быть результатом смешения директивы IP-адрес С именем хоста и указания доменного имени, поэтому постарайтесь, чтобы избежать этого. (В настоящее время, если node.domain.com’IP-адрес вместо настоящего 192.168.1.80 и файлового сервера.conf содержит позволяют 192.168.1.80 и отрицать node.domain.com, ИС-на основе директивы фактически имеют приоритет. Это поведение может быть изменено в будущем, и не следует полагаться.)
имена узлов
имена узлов могут быть определены, используя либо полное имя, или указать весь домен, используя подстановочный знак"*":
[export]
path /export
allow host.domain1.com
allow *.domain2.com
deny badhost.domain2.com
имена узлов
IP-адрес может быть задан аналогично для имен Хостов, используя либо полными IP-адресами или символов подстановки адресов. Вы также можете использовать поле cidr-нотацию:
[export]
path /export
allow 127.0.0.1
allow 192.168.0.*
allow 192.168.1.0/24
глобальные позволит
[о d54]указание одной маской позволит любому узлу доступа точка монтирования:[!о d54][export]
path /export
allow *
отметим, что поведение по умолчанию для пользовательских точек подключения равносильно запретить *.