4.13. Puppet が管理外の HTTPD ファイルを削除しない
デフォルトでは、Puppet Apache モジュールは、管理しない Apache 設定ディレクトリーのファイルをパージします。これにより、Apache が Puppet が実施する設定に対して動作しなくなります。ただし、これは HTTPD 設定ディレクトリーの mellon の手動設定と競合します。Apache Puppet の apache::purge_configs
フラグはデフォルトで有効になっています。このフラグにより、Puppet は mod_auth_mellon
RPM に属するファイルを削除することを指示します。Puppet は、keycloak-httpd-client-install
が生成する設定ファイルも削除します。Puppet が mellon ファイルを制御するまでは、apache::purge_configs
フラグを無効にします。
apache::purge_configs
フラグを無効にすると、コントローラーノードが脆弱性に対して開きます。Puppet が mellon の管理機能を追加したら、再度有効にします。
apache::purge_configs
フラグを上書きするには、オーバーライドが含まれる Puppet ファイルを作成し、overcloud_deploy.sh
スクリプトを実行する際に使用する Puppet ファイルの一覧にオーバーライドファイルを追加します。
fed_deployment/puppet_override_apache.yaml
環境ファイルを作成して、以下の内容を追加します。parameter_defaults: ControllerExtraConfig: apache::purge_configs: false
overcloud_deploy.sh スクリプトの最後の環境ファイルとして
puppet_override_apache.yaml
を追加します。... -e /home/stack/fed_deployment/puppet_override_apache.yaml \ --log-file overcloud_deployment_14.log &> overcloud_install.log
上記の手順は、configure-federation
スクリプトで実行できます ($ ./configure-federation puppet-override-apache
)。