### 配置 Puppet 的文件服務器 部署配置文件是 Puppet 最常見的用途之一。許多服務都需要一些配置文件， 你可以讓 Puppet 使用 file 資源將這些配置文件推送到客戶端，如下面的代碼所示： ``` file { "/opt/nginx/conf.d/app_production.conf": source => "puppet:///modules/app/app_production.conf", } ``` source 參數是這樣約定的： puppet:/// 之后的第一部分假定是一個 **掛裝點（mount point）** 名稱，其余部份被視為一個文件路徑，如下所示： ``` puppet:///<mount point>/<path> ``` 通常 &lt;mount point&gt; 的值是一個模塊名稱，如上例所示。在這個例子中， Puppet 將在如下的位置查找文件： ``` manifests/modules/app/files/app_production.conf ``` modules 是 Puppet 予以特別對待的一個掛裝點：它期望接下來的路徑組成是一個模塊名， 并在模塊的 files 目錄下針對路徑的其余部分尋找文件。 然而 Puppet 也允許你創建自定義的掛裝點，你可以為自定義的掛裝點設置個別的訪問控制， 并將其映射到 Puppetmaster 的不同文件系統位置。 在本節中，我們將展示如何創建和配置這些自定義的掛載點。 #### 操作步驟 1. 在 PuppetMaster 的 fileserver.conf 中添加新的一節，將掛裝點的名稱用方括號括起， path 的值就是 Puppet 將會尋找數據的目錄路徑，如下所示： ``` [san] path /mnt/san/mydata/puppet ``` 2. 在你的配置清單里，使用 source 指定你的掛載點名稱，如下所示： ``` source =&gt; "puppet:///san/admin/users.htpasswd", ``` Puppet 會將其轉換為如下的路徑： ``` /mnt/san/mydata/puppet/admin/users.htpasswd ``` 像這樣創建一個自定義掛載點的主要原因就是提高安全性。 例如，你有個秘密的口令文件只需部署到 web 服務器，而其它機器則不需要。 如果有人能夠在任何機器上運行 Puppet，并且有合法的證書訪問 Puppetmaster， 那么沒有人能阻止他像這樣執行下面的配置清單： ``` file { "/home/cracker/goodstuff/passwords.txt": source =&gt; "puppet:///web/passwords.txt", } ``` 他們可以輕而易舉地獲取秘密數據。事實上，可以導出 Puppet 倉庫的任何人以及 在 Puppetmaster 上有賬戶的任何人都可以訪問此文件。 為了避免這種情況發生的方法之一就是將秘密數據放在自定義掛載點并啟用訪問控制。 3. 在 fileserver.conf 中添加 allow 和 deny 參數來定義你的掛載點，如下所示： ``` [secret] /data/secret allow web.example.com deny * ``` #### 工作原理 在本例中, 僅允許 web.example.com 訪問此文件。 默認的策略是拒絕所有的訪問， 因此 deny * 這行是可選的，但它確實是個好的習慣，因為看上去更清晰。 之后 web 服務器就可以使用 file 資源了，如下所示： ``` file { "/etc/passwords.txt": source => "puppet:///secret/passwords.txt", } ``` 如果此配置清單是在 web.example.com 上執行，將會正常工作； 若在其它客戶端上執行則執行失敗。 #### 更多用法 你也可以將指定的 IP 地址替換為主機名，也可使用 **無類型域間路由(CIDR)** 或使用通配符（wildcard）來表示一組地址，如下所示： ``` allow 10.0.55.0/24 allow 192.168.0.* ``` #### 參見本書 * 第 3 章的 [使用模塊](#ch03sec02) 一節 * 第 6 章的 [使用文件資源遞歸地分發整個目錄樹](#ch06sec09) 一節 * 第 6 章的 [為文件資源指定多個源](#ch06sec08) 一節