Apakah Wayang (atau sejenisnya) merupakan teknologi yang cocok untuk menjaga perubahan massa dasar tetapi kritis?
Ya, bisa digunakan dengan cara ini. Saya menggunakannya untuk mendukung sistem klien eksternal.
Saya tidak ingin server dapat melihat konfigurasi apa pun yang seharusnya tidak terjadi
Jika Anda menggunakan boneka, Anda tidak boleh mengaktifkan tanda tangan kemudian. Autosign memungkinkan host untuk secara otomatis meminta sertifikat. Konfigurasi dan izin Anda hampir pasti akan diikat langsung ke CN dalam sertifikat. Anda tidak ingin komputer acak online dan dapat mengklaim bahwa mereka sebenarnya adalah sistem dengan semua rahasia keamanan tinggi.
Jika Anda benar-benar paranoid, Anda dapat menyesuaikan pengaturan server file boneka untuk membuat share yang hanya dapat diakses oleh beberapa sistem. Akses server file didasarkan pada sertifikat.
Saya tidak ingin Wayang melakukan perubahan yang seharusnya tidak terjadi, atau mengembalikan perubahan manual yang dilakukan di server.
Ada beberapa pendekatan berbeda untuk mengizinkan perubahan lokal.
Salah satu metode yang sering saya gunakan adalah di bawah ini. Pada dasarnya jika Anda meneruskan daftar ke source
, maka boneka tersebut mencoba setiap item dalam daftar. Jadi saya menambahkan item pertama dalam daftar untuk menunjuk pada file lokal.
file { '/etc/ssh/sshd_config':
ensure => present,
source => ["/etc/ssh/sshd_config_local",
"puppet:///modules/ssh/$ssh_config_file"],
...
}
Pilihan lain adalah memanfaatkan symlink. Jika seseorang ingin menggunakan versi boneka, mereka terhubung ke versi boneka dari sebuah file. Jika mereka ingin mempertahankan konfigurasi mereka secara lokal, maka mereka tidak membuat symlink.
file { '/etc/ssh/sshd_config_puppet':
ensure => present,
source => "puppet:///modules/ssh/$ssh_config_file",
...
}
Kemungkinan lainnya adalah menggunakan augeas untuk membuat perubahan level-garis alih-alih mengubah seluruh file. Jadilah sangat konservatif tentang apa yang Anda ubah.