はじめに
インフラを担当しています。
一人が管理できるホストには限りがあるなと思っていて、補助ツールがなければ10台ぐらいが精一杯かと思っています。
補助ツールを使うことで100台ぐらいまでは行けるんじゃないかと思っていて、そのためのツールを探していました。
普段のサーバ管理でやっていることを書いてみます。
- チューニングなどでconfの調整
- 過去に他のホストで導入した設定の適用
- バックアップと復元、移設
これらはetcを管理することで実現できそうですね。
過去にはSubversionを使って手作業で管理していましたが、この辺りを(半)自動化してくれるetckeeperというツールがあるということで試してみました。
インストールと初期設定
yumにもaptにもあります。
CentOSの場合にはepelを入れておきます。
$ sudo yum update && sudo yum install epel-release
$ sudo yum install -y etckeeper
$ sudo apt-get install -y etckeeper
設定ファイルはデフォルトで /etc/etckeeper/etckeeper.conf にあります。Ubuntu系はデフォルトのコンフィグがbazaarになっているのでgitにしました。
(中略)
VCS="git"
#VCS="bzr"
今回はバックアップも兼ねているので外部ホストにリポジトリを持たせプッシュします。
自動プッシュについては過去のバージョンでは自前でフックを書いていたようです。
最近ではデフォルトでフックが付いてきているようです。コンフィグにあるPUSH_REMOTEを設定します。
(中略)
# To push each commit to a remote, put the name of the remote here.
# (eg, "origin" for git).
PUSH_REMOTE="origin"
ワンライナー
$ sudo sed -i -e 's/PUSH_REMOTE=""/PUSH_REMOTE="origin"/g' /etc/etckeeper/etckeeper.conf
リポジトリのinitなど
$ cd /etc
$ sudo etckeeper init
origin追加
$ sudo git remote add origin gitのURL
コミット
$ sudo etckeeper commit -m 'first commit'
その他のコマンド
etckeeper vcsを行うとVCSのサブコマンドが見れます。
.gitディレクトリの確認など
基本的に/etcを管理するので、etckeeperコマンドの実行はroot権限で行います。
またetckeeper自体は他のVCSのラッパーなので、本質的には/etcに.gitディレクトリを作成し、そこを管理することになります。
Zshなどを使っているとGitのstatusなどを監視してくれる仕組みがあり便利です。しかしその場合には一般ユーザ権限で.gitを見ることが必要となります。
しかしデフォルトでは.gitディレクトリはroot権限となっているので、このディレクトリのグループに読み込み(+実行)権限を出します。
$ sudo find ./ -type d -exec chmod g+rx {} \;
$ sudo find ./ -type f -exec chmod g+r {} \;
rootグループに属しているのに見れないファイルのディレクトリのパーミッションをfindで再帰的に一括変更する
セキュリティポリシーとの兼ね合いがあると思いますのでそのあたりはお好みで。
cron
CentOSとUbuntuではパッケージのインストール時に /etc/cron.daily にetckeeperのスクリプトが入りました。
このファイルのおかげで毎日定期でコミット(+プッシュ)されます。
実用
今回の導入ではGitのリポジトリをbitbucketに作成しました。
ホスト名でリポジトリを作成しています。
originの登録。
$ sudo git remote add origin git@bitbucket.org:yousan000/`hostname`.git
秘密鍵を作成してbitbucketのアカウントに登録します。
$ sudo sh -c 'ssh-keygen ; less /root/.ssh/id_rsa.pub'
うまく行けばbitbuket側にetcがpushされます。
その他
動作テスト
なんだかんだで結構手こずりました。うまく動くか試しました。
/etcに少し変更を加えてコミットするワンライナーです。
$ sudo sh -c 'echo $RANDOM > /etc/hoge.txt; etckeeper commit -m "test commit"'
感想
etckeeper便利そうですね。もう全部のホストでこれに乗り換えようと思っています。
元々Subversionを利用していた頃からでしたが、サーバの/etcをバージョン管理する事はセキュリティリスクが伴います。管理下に置かれるファイルはpasswdを始めldapのsecretなんて超重要なファイルもあったりします。その辺りはセキュリティリスクとファイル保全のリスクを天秤にかけて適宜管理していく必要があります。.gitignoreを使うのも良いと思います。
Subversionではデフォルトでパスワードを平文保存しようとします。一つのリポジトリ内にディレクトリで切ってホスト毎に管理をしていた時期もありますが、確実に自分の管理下にあると確信が持てないとこれもリスクになります。
今回の途中では秘密鍵により自動pushを実現しましたが、ホスト毎にgitのアカウントを換える必要があるかも知れません。
bitbucketのようなサービスの場合、一つのアカウントに登録された秘密鍵では複数のリポジトリにアクセスできてしまいますから注意が必要です。
お客さんがroot権限を持っている場合には秘密鍵が漏れる前提でリポジトリを構成すべきで、リポジトリ名にAPIキーのようなハッシュを含めるか、秘密鍵とgitユーザ、リポジトリの管理を分けると良いでしょう。
という心配事はありますが、総じて便利そうです。自動化できるのはとてもありがたいですね。
OS Xのbrewで作成される/usr/local/etcや~/も管理できそうなのでトライしてみようと思います。