env での CHEF の使用法と、Inspec で達成したいことを簡単に説明します。
• Windows と Unix で利用できる 2 つの一般的なクックブックがあります。
• これらの一般的なクックブックには個別のレシピがあり、それぞれに特定のシェフ リソース (ディレクトリの作成、パッケージのインストールなど) を定義するロジックがあります。
• それで; 汎用クックブックを使用するアプリケーション固有のラッパー クックブックが作成されます。
• ノードに適用する必要があるシェフ リソース (ジェネリック クックブックで定義されているもの) のプロパティは、ラッパー クックブック ロール ファイルで宣言されます。
ハードコードされた値を使用して inspec テストを作成しましたが、それらは正常に動作します。ただし、コンプライアンス テストを行う必要があるノードが数千あります。それらのそれぞれに inspec を書くことは望ましくありません。
サンプル検査コントロール
control '01' do
impact 0.7
title 'Verify my recipe'
desc 'Check if the folders were created with proper permissions'
describe directory('D:\\DATA\\Files') do
it { should exist }
it { should be_allowed('full-control', by_user: 'BUILTIN\Administrators') }
it { should be_allowed('execute', by_user: 'Everyone') }
it { should be_allowed('modify', by_user: 'MY_ORG\PRIV_ACCT') }
end
end
一般的なコントロールを備えた一般的なプロファイルを作成したいと考えています。これらのコントロールは、ラッパー ロール ファイルまたはその他の一元化された場所で自動的に宣言された属性を取得し、ノードのコンプライアンスをチェックできます。
これは、フレームワークをセットアップするための 1 回の作業が必要になるため、はるかに望ましい方法です。