Déploiement des modules

Introduction

The compliance modules must be installed on all nodes with modulesets attached. All modules can be safely installed : only the modules included in attached modulesets are used. The modules must be installed in <OSVCVAR>/compliance/.

Les modules peuvent être déployés par une des méthodes suivantes :

  • Par diffusion : un serveur de confiance est responsable de la diffusion des modules vers tous les noeuds. Le point délicat est l'inventaire des noeuds vers lesquels effectuer la diffusion. Cet inventaire peut être extrait de la base de données du collecteur.

  • Pull mode : each node is responsible from fetching the modules from a repository.

Ce chapitre décrit cette dernière méthode.

Initialisation du dépôt

The compliance repository file tree must organized as:

ROOT
+- current -> compliance.tar.gz
+- compliance.tar.gz

Configuration des versions publiées

L'agent OpenSVC télécharge le fichier pointé par le lien nommé current.

Après l'initialisation du miroir, il reste à mettre à jour le lien current selon votre politique.

Configuration des agents

Le dépôt doit être connu de l'agent. Cette configuration est faite par les paramètres node.repo ou node.repocomp du fichier de configuration node.conf.

node.repo

Ce paramètre permet de configurer une URI pointant un dépôt hébergeant à la fois les tarball gzippés de la comformité dans le sous-répertoire compliance/ et les paquets de l'agent OpenSVC dans le sous-répertoire packages/.

node.repocomp

Ce paramètre permet de configurer une URI pointant un pur dépôt de conformité. Si le paramètre node.repocomp est configuré, il prend le pas sur node.repo.

Example:

sudo nodemgr set --param node.repocomp --value http://my.repo.opensvc.corp:8080/compliance/

Mise à jour des modules

The update command is:

sudo nodemgr updatecomp

Cette commande est agnostique au système d'exploitation.

Automatic modules update

The agent schedules a periodic compliance check run over modules of all attached modulesets. The default schedule is weekly, on sunday. It can be redefined in the compliance section of the node.conf file.

When this schedule is triggered, the agent can run the updatecomp action before proceding with the check run. This behaviour, not activated by default, is triggered by the auto_update = True in the compliance section of the node.conf file.

This feature ensures the scheduled check runs always work with the lastest published modules. Be aware that, while reducing the infrastructure maintenance cost and optimizing its reliability, this feature extends the perimeter affected by a bug introduced in a module.