@http://www.inanu.net/post/742.html
这几天研究 Puppet,刚好需要搭建一个 Git Repository。把过程及遇到的问题简答记录一下。
环境:CentOS 6.2 x86_64
1. 安装 RPM
[root@c1.inanu.net]# yum install httpd [root@c1.inanu.net]# yum install git git-daemon
此处安装 httpd 和 gitweb 是为了能够通过 web 对 git 进行方便的浏览、管理。正好 apache 也可以用来替换掉 puppet 自带的 WEBrick,一举两得了。
2. 配置 Git
在 CentOS 中,Git 是以 xinetd 方式提供服务的,默认的 xinetd 配置文件在:/etc/xinetd.d/git。
编辑配置文件,以下是改好的一份 git xinetd 配置文件:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# default: off # description: The git dæmon allows git repositories to be exported using \ # the git:// protocol. service git { disable = no socket_type = stream wait = no user = nobody server = /usr/libexec/git-core/git-daemon server_args = --base-path=/var/lib/git --export-all --user-path=public_git --syslog --inetd --verbose log_on_failure += USERID } |
接下来启动 xinetd 服务:
[root@c1.inanu.net]# service xinetd start
3. 建立 Puppet 服务器端 Git 仓库
[root@c1.inanu.net]# useradd -d /var/lib/git -s /usr/bin/git-shell git #创建 git 用户 [root@c1.inanu.net]# passwd git #设置 git 用户密码 [root@c1.inanu.net]# chown -R git:git /var/lib/git [root@c1.inanu.net]# su git #切换到 git 用户 [git@c1.inanu.net]$ cd ~ [git@c1.inanu.net]$ mkdir .ssh [git@c1.inanu.net]$ chmod 700 .ssh [git@c1.inanu.net]$ touch .ssh/authorized_keys [git@c1.inanu.net]$ chmod 600 .ssh/authorized_keys [git@c1.inanu.net]$ mkdir /var/lib/git/puppet.git #创建 Puppet 服务器端 Git 仓库 [git@c1.inanu.net]$ cd /var/lib/git/puppet.git [git@c1.inanu.net]$ git --bare init #初始化 Puppet 服务器端 Git 仓库
4. 在客户端建立 Git 本地仓库
[root@c2.inanu.net]# ssh-keygen -t rsa #生成用户使用的 SSH-Key 密钥对 [root@c2.inanu.net]# ssh-copy-id git@c1.inanu.net #将上一步生成的 SSH-Key 公钥复制到服务器 git 用户中 [root@c2.inanu.net]# mkdir -p /data/git/repo/puppet [root@c2.inanu.net]# cd /data/git/repo/puppet [root@c2.inanu.net]# git init #初始化 Git 仓库 [root@c2.inanu.net]# git clone git@c1.inanu.net:puppet [root@c2.inanu.net]# git config --global user.name 'Nanu' [root@c2.inanu.net]# git config --global user.email 'nanu@inanu.net' [root@c2.inanu.net]# rsync -avz --progress --rsh=ssh root@c1.inanu.net:/etc/puppet/ ./ #将现有的 Puppet Master 配置文件同步到 Git 仓库中 [root@c2.inanu.net]# git add . #添加所有文件、目录到 Git 版本控制中 [root@c2.inanu.net]# git status #查看操作结果,确认所有文件都已添加 [root@c2.inanu.net]# git commit -m 'Init' #提交至本地 Git 仓库 [root@c2.inanu.net]# git push -u origin master #提交至远程 Git 仓库
5. 更新检出 Puppet 配置文件
在 Puppet Master 端 (c1.inanu.net) 上执行:
[root@c1.inanu.net]# cd /etc/puppet [root@c1.inanu.net]# git clone git@c1.inanu.net:puppet
这样就完成了对 Puppet 配置文件的更新。
6. Gitweb 配置
安装好所有的 RPM 包之后,Gitweb 就可以运行了,默认的访问地址是:http://IP/git/。
Gitweb 的 Apache 配置文件位于:/etc/httpd/conf.d/gitweb.conf
可以在服务器端的 Git 仓库配置文件中对 Gitweb 进行一些定制,以上面的 puppet 仓库为例:
[root@c1.inanu.net]# vi /var/lib/git/puppet/config
打开 puppet Git 仓库配置文件 config 进行编辑,默认的 config 文件应该是这样的:
1 2 3 4 |
[core] repositoryformatversion = 0 filemode = true bare = true |
增加针对 Gitweb 的配置段,变成如下内容:
1 2 3 4 5 6 7 8 |
[core] repositoryformatversion = 0 filemode = true bare = true [gitweb] owner = Nanu url = git@c1.inanu.net:puppet.git |
新增的 [gitweb] 配置段中指定了一些仓库信息。
7. Git 权限控制
Git 默认不提供权限管理的功能,一般都是通过操作系统自身的安全控制机制来实现,非常麻烦,而且不灵活。我们需要借助第三方的 Git 应用来管理,一般最常用的是 Gitosis。
把所有用户的公钥保存在 authorized_keys 文件的做法,只能凑和一阵子,当用户数量达到几百人的规模时,管理起来就会十分痛苦。每次改删用户都必须登录服务器不去说,这种做法还缺少必要的权限管理。每个人都对所有项目拥有完整的读写权限。
Gitosis 是一套用来管理 authorized_keys 文件和实现简单连接限制的脚本。有趣的是,用来添加用户和设定权限的并非通过网页程序,而只是管理一个特殊的 Git 仓库。你只需要在这个特殊仓库内做好相应的设定,然后推送到服务器上,Gitosis 就会随之改变运行策略,听起来就很酷,对吧?
(1) 由于 Gitosis 是基于 Python 开发的,先安装依赖的 Python-Setuptools RPM
[root@c1.inanu.net]# yum install python-setuptools
(2) 从 Gitosis 官方克隆代码
[root@c1.inanu.net]# cd /usr/local/src [root@c1.inanu.net]# git clone git://eagain.net/gitosis.git [root@c1.inanu.net]# cd gitosis [root@c1.inanu.net]# python setup.py install
(2) 准备管理用户公钥
建立 Gitosis 的主目录:
[root@c1.inanu.net]# mkdir -p /data/gitosis
Gitosis 将会帮我们管理用户公钥,所以先把当前控制文件改名备份,以便稍后重新添加,准备好让 Gitosis 自动管理 authorized_keys 文件:
[root@c1.inanu.net]# mv /var/lib/git/.ssh/authorized_keys /var/lib/git/.ssh/authorized_keys.bak
接下来,把之前 git 用户的登录 git-shell 改为普通的 shell。改过之后,大家仍然无法通过该帐号登录。因为 authorized_keys 文件已经没有了,不用担心,这会交给 Gitosis 来实现。所以现在先修改 /etc/passwd 文件,找到 git 用户所在的行:
1 |
git:x:501:501::/var/lib/git:/usr/bin/git-shell |
将此行改为:
1 |
git:x:501:501::/var/lib/git:/bin/bash |
(3) 初始化 Gitosis
[root@c1.inanu.net]# su git [git@c1.inanu.net]$ cd ~ [git@c1.inanu.net]$ gitosis-init < .ssh/authorized_keys.bak Initialized empty Git repository in /var/lib/git/repositories/gitosis-admin.git/ Reinitialized existing Git repository in /var/lib/git/repositories/gitosis-admin.git/
注意:不要再将 git 用户的默认 Shell 改回 git-shell,否则接下来 gitosis-serve 执行时会报错!
这样该公钥的拥有者就能修改用于配置 Gitosis 的那个特殊 Git 仓库了。接下来,需要手工对该仓库中的 post-update 脚本加上可执行权限:
[git@c1.inanu.net]$ chmod 755 /var/lib/git/repositories/gitosis-admin.git/hooks/post-update
这样基本上就算是好了。如果设定过程没出什么差错,现在可以试一下用初始化 Gitosis 的公钥的拥有者身份 SSH 登录服务器,应该会看到类似下面这样:
[root@c2.inanu.net]# ssh git@c1.inanu.net PTY allocation request failed on channel 0 fatal: unrecognized command 'gitosis-serve Nanu' Connection to gitserver closed.
说明 Gitosis 认出了该用户的身份,但由于没有运行任何 Git 命令,所以它切断了连接。那么,现在运行一个实际的 Git 命令 — 克隆 Gitosis 的控制仓库:
[root@c2.inanu.net]# git clone git@c1.inanu.net:gitosis-admin.git
这会得到一个名为 gitosis-admin 的工作目录,主要由两部分组成:
[root@c2.inanu.net]# cd gitosis-admin [root@c2.inanu.net]# find . ./gitosis.conf ./keydir ./keydir/scott.pub
gitosis.conf
这是用来设置用户、仓库和权限的控制文件。
keydir
这是保存所有具有访问权限用户公钥的地方,每人一个。在 keydir 里的文件名(比如上面的 scott.pub)应该跟你的不一样。Gitosis 会自动从使用 gitosis-init 脚本导入的公钥尾部的描述中获取该名字。
看一下 gitosis.conf 文件的内容,它应该只包含与刚刚克隆的 gitosis-admin 相关的信息:
1 2 3 4 5 |
[gitosis] [group gitosis-admin] writable = gitosis-admin members = Nanu |
它显示用户 Nanu(初始化 Gitosis 公钥的拥有者)是唯一能管理 gitosis-admin 项目的人。
现在我们来管理之前的 puppet 仓库,为此我们要建立一个名为 puppet 的新段落,在其中罗列运维团队的人员,以及他们拥有写权限的项目。由于 Nanu 是系统中的唯一用户,我们把他设为唯一用户,并允许他读写名为 puppet 项目:
1 2 3 |
[group puppet] writable = puppet members = Nanu |
修改完之后,提交 gitosis-admin 里的改动,并推送到服务器使其生效:
[root@c2.inanu.net]# git commit -am 'Modify puppet' [root@c2.inanu.net]# git push
接下来,由于安装 Gitosis 后,默认的 Git 仓库位置已经变为 /var/lib/git/repositories,所以必须先将之前位于 /var/lib/git/puppet.git 的仓库移动至 /var/lib/git/repositories/ 中,否则,在第一次检出或推送的操作时,Gitosis 会自动在 /var/lib/git/repositories 中创建一个新的 puppet.git 仓库。
[git@c1.inanu.net]$ mv /var/lib/git/puppet.git /var/lib/git/repositories/
(4) 添加用户公钥
要和朋友们在一个项目上协同工作,就得重新添加他们的公钥。不过这次不用在服务器上一个一个手工添加到 ~/.ssh/authorized_keys 文件末端,而只需管理 keydir 目录中的公钥文件。文件的命名将决定在 gitosis.conf 中对用户的标识。现在我们为 Tyra 添加公钥:
[root@c2.inanu.net]# cp /tmp/id_rsa.tyra.pub keydir/tyra.pub
然后把他们都加进 'puppet' 团队,让他们对 puppet 仓库具有读写权限:
1 2 3 |
[group puppet] writable = puppet members = Nanu tyra |
最后重新提交 gitosis-admin 仓库。
(5) 权限控制
Gitosis 也具有简单的访问控制功能。如果想让 Tyra 只有读权限,可以这样做:
1 2 3 4 5 6 7 |
[group puppet] writable = puppet members = Nanu [group puppet_ro] readonly = puppet members = tyra |
现在 Tyra 可以克隆和获取更新,但 Gitosis 不会允许她向项目推送任何内容。像这样的组可以随意创建,多少不限,每个都可以包含若干不同的用户和项目。甚至还可以指定某个组为成员之一(在组名前加上 @ 前缀),自动继承该组的成员:
1 2 3 4 5 6 7 8 9 10 |
[group puppet_committers] members = Nanu tyra [group puppet_1] writable = puppet members = @puppet_committers [group puppet_2] writable = another_puppet members = @Nanu_committers vv |
(6) 其他
安装 Gitosis 之后,如果启用了 Gitweb,那么还需要修改一下 Gitweb 的 CGI 程序,因为安装 Gitosis 后,默认 Git 仓库存放位置已经改变。
[root@c1.inanu.net]# vi /etc/httpd/conf.d/git.conf
搜索 '/var/lib/git',将其改为 '/var/lib/git/repositories'。
如果遇到意外问题,试试看把 loglevel=DEBUG 加到 [gitosis] 的段落。
如果一不小心搞错了配置,失去了推送权限,也可以手工修改服务器上的 /var/lib/git/.gitosis.conf 文件。Gitosis 实际是从该文件读取信息的。它在得到推送数据时,会把新的 gitosis.conf 存到该路径上。所以如果你手工编辑该文件的话,它会一直保持到下次向 gitosis-admin 推送新版本的配置内容为止。
