cfengine测试

 环境

三台虚拟机:

192.168.60.128(policy hub)  server

192.168.60.129(client)      agent1

192.168.60.130(client)      agent2

 

配置完成了，现在准备测试，有以下需求

1.server、agent1建立test用户，agent2删除test用户

2.配置ssh让test用户不能登录

3.同步脚本目录

4.确保脚本具有执行权限

5.安装lamp环境

6.确保apache、mysql服务运行

 

下面例子是经过测试的，可能需要做一些修改才能使用，这些例子是在server上编写的。

server、agent1建立test用户，agent2删除test用户

1. bundle agent user_add_del  # 文件名是user_add_del.cf
2. { 
3.     vars: 
4.         "users" slist => {"test"}; 
5.     classes: 
6.         "add_$(users)" not => userexists("$(users)"); # 用户不存在则建立相应的class
7.     commands: 
8. # 如果相应classes存在则增加test用户,这里不能使用echo命令
9. # cfengine不能管理简单的命令,最好使用脚本
10. # ifvarclass允许在class expression使用变量
11. # "cfengine::"这种形式不能使用变量
12.         "/bin/bash $(sys.workdir)/inputs/shell/useradd.sh $(users)" 
13.         ifvarclass => "add_$(users)&(192_168_60_128|192_168_60_129)"; 
14. # "192_168_60_130"是hard class,有cfengine自动建立
15.         "/usr/sbin/userdel -rf $(users)" 
16.         ifvarclass => "!add_$(users)&192_168_60_130"; 
17. } 

配置ssh让test用户不能登录

1. bundle agent config_ssh  # 文件名config_ssh.cf
2. { 
3.     vars: 
4.         # ssh config file 
5.         "ssh" string => "/etc/ssh/sshd_config"; 
6.      
7.         # ssh config to set  
8.         "sshd[DenyUsers]" string => "test"; 
9.  
10.     methods:  # methods调用agent bundle,前面说过
11.         "sshd"  usebundle => edit_sshd;  
12. } 
13.  
14. bundle agent edit_sshd 
15. { 
16.     files: 
17.         "$(config_ssh.ssh)" 
18.         handle => "edit_sshd", 
19.         comment => "Set desired sshd_config parameters", 
20.         edit_line => set_config_values("config_ssh.sshd"), 
21.         classes => if_repaired("restart_sshd"); # promises处于repaired状态则建立restart_sshd
22.      
23.     commands: 
24.         restart_sshd.!no_restarts:: 
25.         "/etc/init.d/sshd reload" 
26.         handle => "sshd_restart", 
27.         comment => "Restart sshd if the configuration file was modified"; 
28. } 
29.  
30. # Sets the RHS of variables in the file of the form # LHS RHS
31. bundle edit_line set_config_values(v) 
32. { 
33.     vars: 
34.         "index" slist => getindices("$(v)"); 
35.         "cindex[$(index)]" string => canonify("$(index)"); #canonify除去class非法字符
36.      
37.     replace_patterns: 
38.         "^\s*($(index)\s+(?!$($(v)[$(index)])).*|# ?$(index)\s+.*)$" 
39.         replace_with => value("$(index) $($(v)[$(index)])"), 
40.         classes => always("replace_attempted_$(cindex[$(index)])"); 
41.  
42.     insert_lines: 
43.         "$(index) $($(v)[$(index)])" 
44.         ifvarclass => "replace_attempted_$(cindex[$(index)])"; 
45. } 
46. body classes always(x)
47. {
48. promise_kept => { "$(x)" };
49. promise_repaired => { "$(x)" };
50. repair_failed => { "$(x)" };
51. repair_denied => { "$(x)" };
52. repair_timeout => { "$(x)" };
53. }

同步脚本目录并确保脚本具有执行权限

1. bundle agent copy_shell  # 文件名copy_shell.cf
2. { 
3.     vars: 
4. # 这里同步的是masterfiles/shell目录,权限默认开通
5. # 如果同步/var/ftp/pub/shell,需要在"bundle server access_rules"开通权限
6.         "shell_location" string => "/var/cfengine/masterfiles/shell"; 
7.         "inputs_location" string => "/var/cfengine/inputs"; 
8.     files: 
9.         "$(inputs_location)/shell" 
10.         comment => "copy shell scripts from policy hub", 
11.         handle  => "sync_shell_scripts", 
12.         copy_from => secure_cp("$(shell_location)","$(sys.policy_hub)"), 
13.         depth_search => shell_recurse("inf"), # 无限递归 
14.         file_select  => shell_files; # 选择那种类型的文件同步，有点类似正则表达式
15.  
16.         "$(inputs_location)/shell" 
17.         comment => "ensure shell scripts have execute permissions", 
18.         handle  => "update_shell_files", 
19.         perms   => m("755"), 
20.         depth_search => shell_recurse("inf"); 
21. } 
22.  
23. body file_select shell_files 
24. { 
25.     leaf_name => { ".*.sh" };  # 选择shell脚本同步
26.     file_result => "leaf_name"; # 以leaf_name为标准同步
27. } 
28.  
29. body depth_search shell_recurse(d) 
30. { 
31.     include_basedir => "true"; 
32.     depth => "$(d)"; 
33. } 

安装lamp环境

1. # 安装依赖包
2. bundle agent lamp_pkgs_installed # 文件名是lamp.cf 
3. { 
4.     vars: 
5.         "desired_pkgs" slist => { "gcc", "gcc-c++",  
6.                                   "libtermcap-devel",  
7.                                   "libxml2-devel", 
8.                                 };   
9.      
10.     packages: 
11.         "$(desired_pkgs)" 
12.             package_policy => "add", #没有则安装 
13.             package_method => yum, 
14.             comment => "install desired packages"; 
15. } 
16.  
17. # 删除已经安装的rpm packages
18. bundle agent rpm_pkgs_remove 
19. { 
20.     vars: 
21.         "rpm_lamp" slist => { "httpd", "httpd-devel", 
22.                               "mysql", "mysql-server", "mysql-devel", 
23.                               "php", "php-devel", "php-mysql", "php-common", 
24.                             };   
25.      
26.     packages: 
27.         "$(rpm_lamp)" 
28.             package_policy => "delete", 
29.             package_method => yum, 
30.             comment => "remove rpm version packages"; 
31. } 

1. bundle agent mysql_install  # 文件名是mysql_install.cf
2. { 
3.     vars: 
4.         "install_dir" string => "/usr/local/lamp/mysql"; 
5.         "config_file" string => "/etc/my.cnf"; 
6.         "shell_dir"   string => "/mnt/public/shell"; #安装脚本的位置 
7.     classes: 
8.         "mysql_install_dir_exists" 
9.             expression => fileexists("$(install_dir)"); 
10.         "mysql_config_file_exists" 
11.             expression => fileexists("$(config_file)"); 
12.     reports: 
13.         !mysql_install_dir_exists:: 
14.             "$(install_dir) is not present."; 
15.     commands: 
16. # 安装目录不存在则调用脚本安装,这里一定要注意时间的安排
17. # 因为脚本运行的时间比较长,必须在下次评估前安装完
18. # 脚本运行期间不要运行cf-agent,这样会出错的
19.         !mysql_install_dir_exists.Hr16.Min00_05::  
20.             "$(shell_dir)/install_mysql.sh"; 
21. # 配置文件不存在则拷贝
22.         mysql_install_dir_exists&!mysql_config_file_exists:: 
23.             "/bin/cp $(install_dir)/share/mysql/my-large.cf $(config_file)"; 
24.             "/bin/chown root:root $(config_file)"; 
25.             "/bin/chmod 644 $(config_file)"; 
26. } 

1. # 结构和mysql_install.cf类似
2. bundle agent apache_install # apache_install.cf
3. { 
4.     vars: 
5.         "install_dir" string => "/usr/local/lamp/apache"; 
6.         "config_file" string => "/etc/httpd.conf"; 
7.         "shell_dir"   string => "/mnt/public/shell"; 
8.     classes: 
9.         "apache_install_dir_exists" 
10.             expression => fileexists("$(install_dir)"); 
11.         "apache_config_file_exists" 
12.             expression => fileexists("$(config_file)"); 
13.     reports: 
14.         !apache_install_dir_exists:: 
15.             "$(install_dir) is not present."; 
16.     commands: 
17.         !apache_install_dir_exists.Hr17.Min00_05:: 
18.             "$(shell_dir)/install_apache.sh"; 
19.         apache_install_dir_exists&!apache_config_file_exists:: 
20.             "/bin/ln -s $(install_dir)/conf/httpd.conf /etc/httpd.conf"; 
21. } 

1. # 结构和mysql_install.cf类似
2. bundle agent php_install  # php_install.cf
3. { 
4.     vars: 
5.         "install_dir" string => "/usr/local/lamp/php"; 
6.         "mysql_dir" string => "/usr/local/lamp/mysql"; 
7.         "apache_dir" string => "/usr/local/lamp/apache"; 
8.         "config_file" string => "/etc/php.ini"; 
9.         "shell_dir"   string => "/mnt/public/shell"; 
10.     classes: 
11.         "php_install_dir_exists" 
12.             expression => fileexists("$(install_dir)"); 
13.         "mysql_install_dir_exists" 
14.             expression => fileexists("$(mysql_dir)"); 
15.         "apache_install_dir_exists" 
16.             expression => fileexists("$(apache_dir)"); 
17.         "php_config_file_exists" 
18.             expression => fileexists("$(config_file)"); 
19.     reports: 
20.         !php_install_dir_exists:: 
21.             "$(install_dir) is not present."; 
22.     commands: 
23. # php必须等mysql、apache安装完后才能安装,因为有依赖性
24.         !php_install_dir_exists.mysql_install_dir_exists.apache_install_dir_exists.Hr18.Min00_05:: 
25.             "$(shell_dir)/install_php.sh"; 
26.         php_install_dir_exists&!php_config_file_exists:: 
27.             "/bin/ln -s $(install_dir)/etc/php.ini /etc/php.ini"; 
28. } 

确保apache、mysql服务运行

1. bundle agent start_process 
2. { 
3.     vars: 
4.         "processes" slist => {"httpd", "mysqld"}; 
5.     classes: 
6.         "$(processes)_exist" expression => fileexists("/etc/init.d/$(processes)"); 
7.     processes: 
8.         "$(processes)" restart_class => canonify("start_$(processes)"); 
9.     commands: 
10.         "/etc/init.d/$(processes) start" 
11.         ifvarclass => "start_$(processes)&$(processes)_exist"; 
12.     reports: 
13.         cfengine:: 
14.             "--> apache is not running on $(sys.fqhost)" 
15.             ifvarclass => "!httpd_exist"; 
16.             "--> mysql is not running on $(sys.fqhost)" 
17.             ifvarclass => "!mysqld_exist"; 
18. } 

 把上面的文件都放在masterfiles目录并在masterfiles里修改promises.cf

1. bundlesequence => {  
2.                     "main", "user_add_del", "config_ssh", 
3. "copy_shell",
4.                     "lamp_pkgs_installed", "mysql_install", "apache_install", 
5.                     "php_install",   
6.                     
7.                     };   
8.  
9.  inputs => {  
10.             "cfengine_stdlib.cf",  
11.            "user_add_del.cf", 
12. "config_ssh.cf",
13. "copy_shell.cf",
14.             "lamp/lamp.cf", 
15.             "lamp/mysql_install.cf", 
16.             "lamp/apache_install.cf", 
17.             "lamp/php_install.cf", 
18.            };   

lamp安装脚本在附件中，使用Notepad++打开，把脚本复制到/mnt/public/shell中

转载于:https://blog.51cto.com/liuping0906/1152748