我正在简要描述我们环境中的 CHEF 用法以及我们希望从 Inspec 中实现的目标。
• 我们有两本适用于 Windows 和 Unix 的通用食谱
• 这些通用食谱有单独的食谱,每个食谱都有定义一个特定厨师资源的逻辑,例如目录创建、包安装等。
• 然后; 创建一个使用通用说明书的应用程序特定包装说明书。
• 需要应用于节点的厨师资源(在通用食谱中定义的)的属性在包装食谱角色文件中声明。
我已经用硬编码值编写了 inspec 测试,并且工作正常;但是,我们有数千个节点需要进行合规性测试。为它们中的每一个编写检查是不可取的。
样品检查控制
control '01' do
impact 0.7
title 'Verify my recipe'
desc 'Check if the folders were created with proper permissions'
describe directory('D:\\DATA\\Files') do
it { should exist }
it { should be_allowed('full-control', by_user: 'BUILTIN\Administrators') }
it { should be_allowed('execute', by_user: 'Everyone') }
it { should be_allowed('modify', by_user: 'MY_ORG\PRIV_ACCT') }
end
end
我们希望创建具有通用控件的通用配置文件。然后,这些控件可以获取在包装角色文件或其他一些集中位置中自动声明的属性,并检查节点上的合规性。
这是更可取的,因为这将需要一次努力来建立框架