cfengine 单机部署指南：从安装到配置的全流程实践

一、cfengine简介与单机部署场景

cfengine（Configuration Engine）是一款开源的自动化配置管理工具，通过声明式语言描述系统状态，实现主机配置的标准化和自动化。相较于Ansible、Puppet等工具，cfengine以轻量级、低资源占用和强一致性著称，尤其适合资源受限的单机环境或边缘计算节点。

单机部署适用场景：

1. 开发测试环境：快速搭建与生产环境一致的配置模板。
2. 边缘设备管理：如路由器、IoT网关等无法使用代理架构的场景。
3. 小型团队：无需复杂的主从架构，降低运维复杂度。
4. 隔离环境：如安全要求高的内网主机，需独立管理配置。

二、单机部署前的准备工作

1. 系统兼容性检查

cfengine支持Linux（RHEL/CentOS/Ubuntu等）、Unix（Solaris/AIX）和Windows（需Cygwin）。建议使用较新的稳定版系统（如Ubuntu 22.04 LTS或CentOS 8），避免因系统库版本问题导致兼容性故障。

2. 依赖项安装

• Linux系统：需安装make、gcc、libssl-dev（Ubuntu）或openssl-devel（CentOS）等编译工具。

  # Ubuntu示例
  sudo apt update
  sudo apt install -y make gcc libssl-dev
  # CentOS示例
  sudo yum install -y make gcc openssl-devel

• Windows系统：需提前安装Cygwin并配置好编译环境。

3. 网络与权限要求

• 单机部署无需开放外部端口，但需确保本地loopback接口（127.0.0.1）正常。
• 安装过程需root或Administrator权限，建议使用专用用户（如cfengine）运行服务。

三、cfengine单机版安装步骤

1. 下载与解压

从官方仓库获取最新稳定版（如3.18.0）：

wget https://cfengine.com/pub/archive/3.18.0/cfengine-core-3.18.0.tar.gz
tar -xzvf cfengine-core-3.18.0.tar.gz
cd cfengine-core-3.18.0

2. 编译安装

配置时指定安装路径（如/opt/cfengine）：

./configure --prefix=/opt/cfengine --with-workdir=/var/cfengine
make
sudo make install

• 关键参数说明：
  • --prefix：指定二进制文件和库的安装目录。
  • --with-workdir：设置工作目录（存储策略、日志等），需确保目录可写。

3. 初始化环境

生成主机密钥并启动服务：

sudo /opt/cfengine/bin/cf-key
sudo /opt/cfengine/bin/cf-agent --bootstrap --policy-server 127.0.0.1
sudo /opt/cfengine/bin/cf-serverd --no-fork --inform

• --bootstrap：初始化主机身份，单机模式下政策服务器（Policy Server）指向自身。
• --no-fork：前台运行服务，便于调试（生产环境建议使用系统服务管理）。

四、基础配置与策略编写

1. 目录结构说明

安装后默认目录结构如下：

/opt/cfengine/
├── bin/          # 二进制文件（cf-agent, cf-promises等）
├── share/cfengine/CoreBase/ # 内置策略模板
/var/cfengine/
├── inputs/       # 用户自定义策略
├── masterfiles/  # 策略仓库（默认链接到CoreBase）
├── ppkeys/       # 主机公钥/私钥
└── state/        # 运行时状态

2. 编写第一个策略

在/var/cfengine/inputs/下创建example.cf文件，内容如下：

body common control
{
    bundlesequence => { "example" };
    inputs => { "lib/3.18/fim.cf" }; # 可选：引入文件完整性监控库
}
bundle agent example
{
    files:
        "/tmp/testfile"
            create => "true",
            content => "Hello, cfengine!\n",
            perms => mog("644");
    commands:
        "/bin/echo 'Configuration completed'"
            contain => shell_use_in;
}

• 策略解析：
  • bundlesequence：定义执行顺序，此处仅执行example策略。
  • files：确保/tmp/testfile存在，内容为指定字符串，权限为644。
  • commands：执行命令并限制在shell环境中运行。

3. 手动执行策略

sudo /opt/cfengine/bin/cf-agent -f /var/cfengine/inputs/example.cf -v

• 参数说明：
  • -f：指定策略文件路径。
  • -v：输出详细日志，便于调试。

五、自动化运行与维护

1. 配置定时任务

使用cron每30分钟运行一次策略：

echo "*/30 * * * * root /opt/cfengine/bin/cf-agent -f /var/cfengine/inputs/example.cf" | sudo tee /etc/cron.d/cfengine

2. 日志与故障排查

• 日志路径：/var/cfengine/outputs/（默认按日期命名）。
• 常见问题：
  • 权限错误：检查/var/cfengine目录权限是否为cfengine用户可写。
  • 策略语法错误：使用cf-promises -f /path/to/policy.cf验证语法。
  • 服务未启动：检查cf-serverd和cf-execd进程是否运行。

六、进阶配置建议

1. 策略分类管理

按功能划分策略文件（如security.cf、network.cf），并通过inputs参数引入：

body common control
{
    inputs => { 
        "security.cf",
        "network.cf",
        "applications.cf" 
    };
}

2. 使用变量与类

通过vars和classes实现动态配置：

bundle agent dynamic_config
{
    vars:
        "app_version" string => "1.2.0";
    classes:
        "production" expression => "any."; # 示例：可根据主机名或环境变量定义
    files:
        "/opt/app/config.json"
            edit_line => insert_lines("{\"version\": \"$(app_version)\"}"),
            ifvarclass => "production";
}

3. 集成文件监控（FIM）

启用文件完整性监控，检测关键文件变更：

body common control
{
    inputs => { "lib/3.18/fim.cf" }; # 内置FIM库
}
bundle agent monitor_files
{
    fim:
        "/etc/passwd"
            depth => "1",
            report_changes => "true";
}

七、总结与最佳实践

1. 保持策略简洁：单策略文件不超过500行，复杂逻辑拆分为多个bundle。
2. 版本控制：将策略文件纳入Git管理，便于回滚和协作。
3. 定期审计：通过cf-report工具生成配置变更报告。
4. 资源监控：单机环境下仍需监控cf-agent的CPU和内存占用。

通过以上步骤，您可以在单机环境中快速部署并定制化cfengine，实现高效的自动化配置管理。对于更复杂的场景（如多主机协同），可进一步探索cfengine的主从架构模式。