Какие существуют решения, позволяющие использовать контроль версий для файлов конфигурации сервера?
В среде с несколькими системными администраторами я вижу несколько преимуществ добавления файлов конфигурации сервера в систему контроля версий. Наиболее примечательным является способность отслеживать изменения, кто их внес, и, конечно, возможность отката к известным рабочим настройкам.
Я в основном интересуюсь решениями для Unix/Linux, но мне было бы любопытно также реализовать Windows.
12 ответов
Я проверял это дома (~ 3 хоста) в течение некоторого времени, пробуя разные scms (RCS, Subversion, git). Настройка, которая отлично работает для меня прямо сейчас, это мерзавец с setgitperms
крюк.
Что нужно учитывать:
Обработка прав доступа к файлам и владения
- RCS: делает это изначально
- Subversion: последний раз, когда я пытался
svn
сделать это - мерзавец
setgitperms
Hook обрабатывает это прозрачно (нужна довольно свежая версия git с поддержкойpost-checkout
крючки, правда)
Кроме того, если вы не хотите, чтобы все ваши /etc
под управлением версией, но только те файлы, которые вы действительно изменили (как я), вам понадобится scm, который поддерживает этот вид использования.
- RCS: все равно работает только с отдельными файлами.
- Subversion: я обнаружил, что это сложно.
- мерзавец: нет пробем, положи
*
"на высшем уровне.gitignore
файл и добавьте только те файлы, которые вы хотите использоватьgit add --force
Наконец, есть несколько проблемных каталогов под /etc
где пакеты могут отбрасывать фрагменты конфигурации, которые затем читаются какой-либо программой или демоном (/etc/cron.d
, /etc/modprobe.d
, так далее.). Некоторые из этих программ достаточно умны, чтобы игнорировать файлы RCS (например, cron), некоторые - нет (например, modprobe). То же самое с .svn
каталоги. Опять большой плюс для мерзавца (создает только один верхний уровень .git
каталог).
Другой вариант - использовать инструмент автоматической настройки сервера, такой как Puppet или Cfengine, для создания сценариев конфигурации вашего сервера на декларативном языке.
Это дополнительная работа с интерфейсом, но использование такой утилиты, как Puppet, позволяет автоматически перестраивать и настраивать сервер с минимальным вмешательством человека.
Я экспериментировал с etckeeper, который, кажется, работает довольно хорошо. Мне не требуется централизованный сервер, что может быть важно в некоторых ситуациях. Вы можете использовать несколько разных бэкэндов DVCS, так что вы можете выбрать тот, который вам наиболее знаком. Кажется, это работает очень хорошо для меня, но я еще не пытался найти других техников, где я работаю, чтобы начать использовать его.
Я в последнее время смотрю на шеф-повара. Он не только сохраняет временные ( .erb) конфиги в управлении версиями, но и позволяет выполнять действия (например, перезапуск службы после загрузки конфигов на узел). Chef помогает в управлении пакетами, поэтому вы можете проверять зависимости с любым узлом, с которым вы взаимодействуете (т.е. должен иметь установленный пакет sudo). Кажется, что Chef легко расширяется в Ruby, поэтому, если у вас есть какие-то пользовательские процессы, вы можете просто написать его в предоставленной среде.
Но все еще не пробовал, и вам нужно установить Ruby на клиент и сервер с соответствующими гемами (это действительно не так сложно). В целом выглядит действительно легко управлять несколькими серверами одновременно.
Я нахожусь в процессе внедрения Puppet во всей нашей инфраструктуре, и это очень способствует сохранению данных в контроле версий.
Я предпочитаю Mercurial, так как это просто набор файлов с некоторыми метаданными, которые хранятся в скрытых каталогах (легко управлять, легко понять, легко использовать).
Мои файлы Puppet находятся в /usr/local/etc/puppet/ (FreeBSD 7.1). Все, что нужно, чтобы добавить Mercurial к нему:
> cd /usr/local/etc/puppet
> hg init
Все изменения фиксируются с помощью простого "hg commit". Если изменение что-то скрывает, я могу откатить каждый сервер до заданной версии файла (скажем, sudoers) с помощью одной команды.
Я использую Subversion на серверах, которыми я управляю. Работает отлично. Я также настроил экземпляр Trac, поэтому у нас есть представление временной шкалы, система тикетов, просмотр и т. Д.
Используя символические ссылки, cron и subversion, я также настроил автоматическое распространение конфигурации на основе хранилища subversion, где каждый сервер Linux обновляет хранилище, используя svn update
с помощью сценариев (например, сценарии брандмауэра).
Вот реальный пример использования: Используется Subversion для управления файлами конфигурации на 4 разных серверах. Я бы порекомендовал использовать контроль версий для файлов конфигурации по той же причине, по которой вы использовали бы их с кодом - это резервная копия и кнопка отмены все в одном. Если бы я управлял гораздо большим количеством серверов, а их конфигурация была намного ближе, я бы использовал что-то вроде Puppet, как подробно описано в ответе Бербериха.
Идея состоит в том, что у вас может быть один репозиторий, в котором вы можете извлекать определенные папки на серверах (например, /var/named/), поэтому у меня есть история и резервная копия файлов конфигурации (резервная копия является бонусом, если вы допустили ошибку использования приложения для настройки графического интерфейса, которое стирает ваши руки отредактированные дополнения кашля администратора сервера в Mac OS X кашля сервера). Затем его легко протестировать на тестовом сервере и впоследствии обновить рабочий сервер файлами, которые работают без копирования файлов вручную.
Я создал проект несколько лет назад, чтобы сделать именно это: Савон
Он использует Subversion для хранения файлов и имеет некоторые дополнительные функции, такие как отслеживание владения, разрешения и контекст SELinux. Это также позволяет вам логически разделять изменения файловой системы по слоям, так что вы можете, например, отслеживать изменения, которые должны поступать на все ваши веб-серверы отдельно.
Большая часть наших изменений управляется с помощью нашей системы Help Desk, даже для рутинных видов обслуживания. Мы постепенно перемещаем нашу документацию в вики для собственного использования и того, что публикуем для конечных пользователей. Публикация изменений конфигурации и обсуждение, стоящее за ней, приятно видеть в нашей интрасети.
В течение многих лет я использовал rcs для файлов, которые я начал изменять, но пару лет назад я начал ставить весь /etc под контроль git. Требуется некоторая работа, чтобы проверить файлы в виде гранулированных групп (иногда я прибегаю к огромной проверке "различных обновлений"), и я написал несколько сценариев, чтобы помочь с этим, но упомянутое etckeeper кажется очень интересным, я попробую немедленно.
Subversion очень прост в настройке и использовании и имеет множество ресурсов: