Chef：一个节点可以在多个组织之间共享吗？答案

【问题标题】：Chef: can a node be shared across multiple organizations?Chef：一个节点可以在多个组织之间共享吗？
【发布时间】：2017-01-12 01:41:28
【问题描述】：

一个节点（服务器）可以在多个组织之间共享吗？我假设没有。我问是因为我们将多台服务器引导到我们的 Chef 组织，以便我们可以在它们上部署和运行我们的食谱/食谱。然而，最近我们公司的另一个团队将这些相同的节点引导到他们自己的 Chef 组织，以便他们可以在这些服务器上运行自己的食谱。这让我们崩溃了！现在我们无法在这些节点上运行我们的说明书。

解决此问题的最佳方法是什么？我们是否需要其他团队从他们的 Chef 组织中删除节点/客户端？我们还有什么可以做的吗？

【问题讨论】：

简短回答：一个节点只属于一个组织。您可以调整使用的配置文件和使用的密钥，但有一天您可能会在一个文件中遇到团队之间的冲突（例如）
谢谢。我也那么认为。实际上，我确实在其中一个节点上交换了 client.rb 和 client.pem，这似乎有所帮助，但就像你暗示的那样，这只是暂时的。我们必须与其他团队一起制定更好的解决方案。
FWIW 我的立场是，如果围绕多个组织没有明确定义的工作流来判断哪个节点属于哪个组织，那么多个组织可能很快就会变得很痛苦。
同意。不确定这是否是 Chef 的实际设计缺陷。允许公司中的多个团队拥有自己独立的 Chef 组织可能是一个好主意，他们可以在其中管理自己的节点和自定义说明书，以便跨共享服务器使用。否则，您将拥有一个具有大量节点和说明书等的单一整体组织，这可能会变得难以管理。只是我的 0.02 美元。
请将其复制到答案中

标签： chef-infra

【解决方案1】：

简短回答：一个节点只属于一个组织。
您可以调整使用的配置文件和使用的密钥，但这很可能有一天您会在一个文件上的团队之间发生冲突（例如）

FWIW 我的立场是，如果围绕多个组织没有明确定义的工作流程来判断哪个节点属于哪个组织，那么多个组织很可能很快就会变得很痛苦。

回答问题下的评论：

不确定这是否是 Chef 的实际设计缺陷。可能是个好东西允许公司中的多个团队拥有自己独立的想法厨师组织，他们可以在其中管理自己的节点和自定义食谱他们可以跨共享服务器使用。

这不是 Chef 设计的缺陷，允许这样做会导致疯狂的事情，比如说：

团队 A 对通过 ssh 进行 X11 转发有特定需求，因此以这种方式配置 sshd 很容易
B 组特别需要在 ssh 上强制使用 mfa，并且部分强化不允许 X11 转发。

共享服务器，然后在组织 A 或组织 B 上运行的每个厨师将重新配置 SSH，永远不会对两个团队都兼容。

【讨论】：

如果团队 A 照你说的做，但团队 B 有一个与团队 A 完全无关的特定需求。例如，复制代码并安装应用程序。两支球队之间实际上没有重叠。这就是我们现在面临的情况。
有一天你会有重叠。假设在 tomcat ENV 变量上，负责他的食谱的每个团队都绝对没问题，并且厨师服务器绝对可以应付大量的食谱。
同意。我认为这基本上归结为公司内部适当的厨师计划和管理。
由于您不会将服务器加入两个域或领域，因此您最多只能在域之间建立信任，但服务器将始终只属于一个域。这更像是公司的总体规划，而不是厨师的问题。 Devops 的想法可以使这种规划变得顺利 :)
我认为这种情况并不像某些人认为的那样明确。例如，公司内的团队/组织之间总是需要有共同的安全设置，但每个团队仍然有单独的组织，因为他们在该公司内从事不同的产品工作。