スターターキットを使用して Chef サーバーを設定する

サーバー作成の進行中に、Chef サーバーのサインイン認証情報をダウンロードし、セキュアだが便利な場所に保存します。

スターターキットをダウンロードし、スターターキットの .zip ファイルをワークスペースディレクトリに解凍します。スターターキットのプライベートキーは共有しないでください。他のユーザーが Chef サーバーを管理する場合は、後で Chef Automate ダッシュボードでそのユーザーを管理者として追加します。

[Chef Workstation] (以前はChef Development Kit または Chef DK として知られていた)をダウンロードして、Chef サーバおよびノードの管理に使用するコンピュータにインストールします。knife ユーティリティは Chef Workstation の一部です。その手順については、Chef のウェブサイトにある「Install Chef Workstation」(Chef Workstationのインストール) を参照してください。

クックブックを保存するためのディレクトリ (chef-repo など) をローカルコンピュータ上に作成します。このリポジトリにクックブック、ロール、および他のファイルを追加した後に、バージョニングされているセキュアなシステム (CodeCommit、Git、Amazon S3 など) にリポジトリをアップロードまたは保存することをお勧めします。

chef-repo ディレクトリに、以下のディレクトリを作成します。

スターターキットの Policyfile.rb を表示します。デフォルトでは Policyfile.rb には、opsworks-webserver ラッパークックブックが含まれています。これは、Chef Supermarket のウェブサイトで入手可能な nginx クックブックの依存関係となります。nginx は、管理対象ノードにウェブサーバーをインストールして設定するクックブックです。また、管理対象ノードに Chef Infra クライアントエージェントをインストールする、必須の chef-client クックブックも指定されています。

Policyfile.rb は、ノードのコンプライアンススキャンの設定に使用できるオプションの Chef Audit クックブックも参照しています。コンプライアンススキャンの設定と管理対象ノードのコンプライアンス結果の取得の詳細については、「でのコンプライアンススキャン AWS OpsWorks for Chef Automate」を参照してください 今すぐコンプライアンススキャンと監査を設定しない場合は、'audit' セクションから run_list を削除します。ファイルの末尾に audit クックブックの属性を指定しないでください。

# Policyfile.rb - Describe how you want Chef to build your system.
#                 
# For more information about the Policyfile feature, visit                                             
# https://docs.chef.io/policyfile.html                                                                 

# A name that describes what the system you're building with Chef does.                                
name 'opsworks-demo-webserver'

# The cookbooks directory is the preferred source for external cookbooks                               
default_source :chef_repo, "cookbooks/" do |s|                                                         
  s.preferred_for "nginx", "windows", "chef-client", "yum-epel", "seven_zip",  
                  "build-essential", "mingw", "ohai", "audit", "logrotate", "cron"                     
end
# Alternative source 
default_source :supermarket                                                                            

# run_list: chef-client runs these recipes in the order specified.                                 
run_list  'chef-client',
          'opsworks-webserver',
          'audit'
# add 'ssh-hardening' to your runlist to fix compliance issues detected by the ssh-baseline profile    

# Specify a custom source for a single cookbook:                                                       
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'                               

# Policyfile defined attributes

# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
  {
    "name": "DevSec SSH Baseline",
    "compliance": "admin/ssh-baseline"
  }
]

以下に示しているのは、現時点で Policyfile.rb ウェブサーバーのみを設定する場合に、audit クックブックとその属性を削除した nginx の例です。

# Policyfile.rb - Describe how you want Chef to build your system.
#
# For more information on the Policyfile feature, visit
# https://docs.chef.io/policyfile.html

# A name that describes what the system you're building with Chef does.
name 'opsworks-demo-webserver'

# Where to find external cookbooks:
default_source :supermarket

# run_list: chef-client will run these recipes in the order specified.
run_list  'chef-client',
          'opsworks-webserver'

# Specify a custom source for a single cookbook:
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'

Policyfile.rb に変更を加えた場合は、必ずこのファイルを保存してください。

Policyfile.rb に定義されているクックブックをダウンロードしてインストールします。

chef install

すべてのクックブックはクックブックの metadata.rb ファイルでバージョニングされています。クックブックを変更するたびに metadata.rb にあるクックブックのバージョンを上げる必要があります。

コンプライアンススキャンを設定し、audit クックブックの情報をポリシーファイルに保存した場合は、ポリシー opsworks-demo をサーバーにプッシュします。

chef push opsworks-demo

ステップ 3 が完了したら、ポリシーのインストールを確認します。以下のコマンドを実行してください。

chef show-policy

結果は以下のようになります。

opsworks-demo-webserver 
======================= 
* opsworks-demo:  ec0fe46314

これで、Chef Automate サーバーにノードを追加 (ブートストラップ) する準備ができました。ノードの関連付けを自動化するには、でノードを自動的に追加する AWS OpsWorks for Chef Automate のステップに従うか、または ノードを個別に追加します のステップに従ってノードを 1 つずつ追加します。

使用を開始するには、含まれている Berksfile に chef-client クックブックを追加します。chef-client クックブックは、Chef Automate サーバーに接続する各ノードで Chef Infra クライアントエージェントソフトウェアを設定します。このクックブックの詳細については、Chef Supermarket にある「Chef Client Cookbook」(Chef クライアントクックブック) を参照してください。

テキストエディタを使用して、ウェブサーバーアプリケーションをインストールする Berksfile に別のクックブックを追加します。たとえば、Apache ウェブサーバーをインストールする apache2 クックブックです。Berksfile は以下のようになります。

source 'https://supermarket.chef.io'
cookbook 'chef-client'
cookbook 'apache2'

そのクックブックをローカルコンピュータにダウンロードしてインストールします。

berks install

そのクックブックを Chef サーバーにアップロードします。

Linux では、次のコマンドを実行します。

SSL_CERT_FILE='.chef/ca_certs/opsworks-cm-ca-2020-root.pem' berks upload

Windows では、PowerShell セッションで次の Chef Workstation コマンドを実行します。コマンドを実行する前に、PowerShell の実行ポリシーを RemoteSigned に設定しておきます。PowerShell で Chef Workstation のユーティリティコマンドを利用できるように、chef shell-init を追加します。

$env:SSL_CERT_FILE="ca_certs\opsworks-cm-ca-2020-root.pem"
chef shell-init berks upload
Remove-Item Env:\SSL_CERT_FILE

Chef Automate サーバーで現在使用可能なクックブックのリストを表示して、クックブックがインストールされていることを確認します。そのためには、以下の knife コマンドを実行します。

AWS OpsWorks for Chef Automate サーバーで管理するノードを追加する準備ができました。

knife cookbook list

以下のコマンドを実行してください。

knife ssl check

結果が次のような場合は、この手順の残りの部分をスキップして、「Chef サーバーで管理するノードを追加する」に進みます。

Connecting to host my-chef-automate-server.my-corp.com:443
          Successfully verified certificates from 'my-chef-automate-server.my-corp.com'

次のようなエラーメッセージが表示された場合は、次のステップに進みます。

Connecting to host my-chef-automate-server.my-corp.com:443
          ERROR: The SSL certificate of my-chef-automate-server.my-corp.com could not be verified.
          ...

knife ssl fetch を実行して、 AWS OpsWorks for Chef Automate サーバーの証明書を信頼します。または、サーバーのルート CA 証明書 (PEM 形式) を、trusted_certs_dir の出力の knife ssl check の値であるディレクトリに手動でコピーすることもできます。デフォルトでは、このディレクトリはスターターキットの .chef/ca_certs/ にあります。出力は次のようになります。

WARNING: Certificates from my-chef-automate-server.my-corp.com will be fetched and placed in your trusted_cert
          directory (/Users/username/starterkit/.chef/../.chef/ca_certs).
       
          Knife has no means to verify these are the correct certificates. You should
          verify the authenticity of these certificates after downloading.
       
          Adding certificate for my-chef-automate-server in /Users/users/starterkit/.chef/../.chef/ca_certs/servv-aqtswxu20swzkjgz.crt
          Adding certificate for MyCorp_Root_CA in /Users/users/starterkit/.chef/../.chef/ca_certs/MyCorp_Root_CA.crt

knife ssl check をもう一度実行します。出力は次のようになります。

Connecting to host my-chef-automate-server.my-corp.com:443
          Successfully verified certificates from 'my-chef-automate-server.my-corp.com'

これで、Chef Automate サーバーで knife を使用する準備ができました。