Desired State Configuration (DSC)

Introducción

Desde hace algún tiempo, oímos hablar mucho de los sistemas de gestión de la configuración. Permiten configurar un conjunto de máquinas de forma idempotente y en un tiempo récord. La idempotencia es la característica de una operación que reproduce siempre el mismo resultado, sea cual sea el entorno. En este caso, significa tener siempre la misma configuración, sea cual sea el número de máquinas. Para ello, Microsoft creó la Desired State Configuration (DSC). Existen otras soluciones similares; la más conocida hoy en día es sin duda Ansible, pero también están Chef y Puppet.

El DSC evita la desviación de la configuración. Si esto ocurre, es capaz de remediar la situación. La otra ventaja con respecto a la gestión de la configuración es el ahorro de tiempo en la resolución de incidentes. ¿Por qué dedicar un día entero a un servidor averiado cuando este puede volver a desplegarse y estar operativo en 15 minutos? Esta es una ventaja real en una estrategia de nube. Y Microsoft lo ha entendido perfectamente, porque DSC puede utilizarse desde la plataforma en la nube Azure.

Históricamente, utilizábamos objetos de directiva de grupo (GPO) para establecer configuraciones, pero nos quedábamos atascados cuando se trataba de configurar máquinas fuera del dominio de Active...

Versiones y plataformas compatibles con DSC

Históricamente, DSC apareció con la versión 4.0 de PowerShell, bajo Windows 8.1. En aquel momento, la versión del motor de DSC era la 1.0. Además, la versión de DSC estaba vinculada a la versión de PowerShell y seguía el mismo ritmo de desarrollo. Como resultado, la versión 1.1 del motor DSC puede encontrarse en Window PowerShell V5.1, y la versión 2.0 del motor en PowerShell 7.1. Recientemente, los equipos de DSC y PowerShell decidieron separar la actualización de la versión del motor DSC de la de PowerShell, a partir de PowerShell 7.2.

¿Por qué son tan diferentes las versiones 1.1 y 2.0? Para averiguarlo, puede consultarse la documentación: https://learn.microsoft.com/en-us/powershell/dsc/overview?view=dsc-2.0#changes-from-dsc-11

Resumiendo:

Para entender la diferencia entre las versiones 1.1 y 2.0, es necesario entender el propósito de la versión 2.0. Originalmente se creó para satisfacer un requisito de Azure: Azure Machine Configuration (anteriormente Guest Configuration). La finalidad de este servicio es permitir la creación de paquetes independientes que proporcionen. De este modo, un paquete de configuración...

Descripción general de la solución

Para comprender mejor la solución DSC, vamos a echar un vistazo rápido a cada una de las partes que desempeñan un papel esencial en su funcionamiento general. DSC es único en el sentido de que ha sido diseñado específicamente en torno a PowerShell. Así, desde la escritura de configuraciones hasta su despliegue, todo se realiza mediante comandos PowerShell. Microsoft no ofrece una interfaz gráfica para administrar la solución. Sin embargo, puede confiar en PowerShell ISE y Visual Studio Code para diseñar sus configuraciones.

La mayoría de los elementos presentados en este capítulo se limitan a la versión 1.1 del motor DSC.

Recursos DSC

Los recursos DSC contienen las instrucciones de configuración de un componente concreto. El LCM utiliza recursos DSC para configurar el host en el que se encuentra, basándose en un archivo MOF.

Es esencial que los recursos requeridos por un LCM estén disponibles localmente en el caso de una configuración en modo PUSH, o en un servidor PULL remoto en el caso del modo PULL.

En las secciones siguientes, veremos cómo encontrar el recurso adecuado y adaptar su sintaxis a nuestras necesidades.

PS > Get-DscResource  
  
ImplementedAs   Name                      ModuleName  
-------------   ----                      ----------  
Binary          File  
Binary          SignatureValidation  
PowerShell      PackageManagement         PackageManagement  
PowerShell      PackageManagementSource   PackageManagement  
PowerShell      PsModule                  PowerShellGet  
PowerShell      PsRepository              PowerShellGet  
PowerShell      Archive                   PSDesiredStateConfig...  
PowerShell      Environment               PSDesiredStateConfig...  
PowerShell      Group                     PSDesiredStateConfig...  ...

Crear una configuración inicial

Una configuración DSC se crea utilizando la palabra clave configuration. Una configuración es muy similar a una función o flujo de trabajo. Todas ellas aceptan un nombre y una definición de parámetros. También se pueden utilizar llamando a su nombre directamente en la consola, como un simple comando PowerShell.

1. Creación rápida con ISE

Al principio del capítulo, se explicó la sintaxis de una configuración de forma genérica. En la siguiente sección, reuniremos todo lo que tenemos, configuración y recursos, para formar una configuración DSC inicial. A continuación, llevaremos esta configuración un paso más allá añadiendo nuevos elementos.

Para empezar con buen pie a la hora de escribir una configuración, utilizamos PowerShell ISE y sus snippets. Históricamente, se podía hacer lo mismo con VSCode, pero las referencias a DSC en los snippets ofrecidos por PowerShell ya no están presentes. Aquí vemos de nuevo el deseo de dividir DSC y PowerShell.

 Abra PowerShell ISE. En un nuevo archivo, haga clic con el botón derecho y seleccione Start Snippets (Iniciar fragmentos en español). En la lista desplegable que aparece, haga clic en DSC configuration (simple):

Uso del snippet DSC Configuration en PowerShell ISE

El resultado:

configuration Name  
{  
    # Posibilidad de evaluar expresiones para obtener  
la lista de nodos  
    # Ejemplo: $AllNodes.Where("Role -eq Web").NodeName  
    node ("Nodo1", "Nodo2", "Nodo3")  
    {  
        # Llamar al proveedor de recursos  
        # Ejemplo: WindowsFeature, File  
        WindowsFeature FriendlyName  
       {  
           Ensure = "Presente"  
           Name = " Feature Name"  
        }  
 
       File FriendlyName...

Configuración del LCM

El LCM es el motor responsable de aplicar las configuraciones DSC a su sistema anfitrión (nodo).

La configuración se describe en un archivo MOF generado cuando se ejecuta una configuración de script.

PS > Get-DSCLocalConfigurationManager  
  
ActionAfterReboot              : ContinueConfiguration  
AgentId                        : 2B7CB1C9-70BD-11E8-80DB-00155D01  
                                 0108  
AllowModuleOverWrite           : False  
CertificateID                  :  
ConfigurationDownloadManagers  : {}  
ConfigurationID                :  
ConfigurationMode              : ApplyAndMonitor  
ConfigurationModeFrequencyMins : 15  
Credential                     :  
DebugMode                      : {NONE}  
DownloadManagerCustomData      :  
DownloadManagerName            :  
LCMCompatibleVersions          : {1.0, 2.0}  
LCMState                       : Idle  
LCMStateDetai                  :  ...

Archivos MOF

MOF (Managed Object Format) es un formato de archivo definido por el DMTF. MOF se basa en el formato IDL (Interface Definition Language) para estructurar el archivo.

La sintaxis MOF está escrita de tal forma que puede ser entendida tanto por el hombre como por la máquina. Se utiliza para definir clases e instancias orientadas a objetos.

/*  
@TargetNode='SRV2K22'  
@GeneratedBy=administrateur  
@GenerationDate=06/15/2018 18:56:57  
@GenerationHost=SRV2K22  
*/  
  
instance of MSFT_RoleResource as $MSFT_RoleResource1ref  
{  
ResourceID = "[WindowsFeature]WindowsBackup";  
 Ensure = "Presente";  
 SourceInfo = "::5::9::WindowsFeature";  
 Name = "Windows-Server-Backup";  
 ModuleName = "PsDesiredStateConfiguration";  
  
ModuleVersion = "1.0";  
  
 ConfigurationName = "ConfigBackup";  
  
};  
instance of MSFT_FileDirectoryConfiguration as  
$MSFT_FileDirectoryConfiguration1ref  
{  
ResourceID = "[File]BackupFolder";  
 Type = "Directory";  ...

Seguridad y contexto de ejecución (credentials)

El LCM se ejecuta con la cuenta LocalSystem. Esta es una limitación importante cuando una configuración requiere acceder a un recurso de red, como un recurso compartido SMB. En efecto, se deniega el acceso al nodo.

Hay varias soluciones posibles a este problema:

La primera solución tiene un alcance muy limitado. Si desea instalar un controlador de dominio, se requieren credentials de dominio y la solución no se aplica aquí.

Puede optar entonces por la segunda solución. Sin embargo, dado que la aplicación de una configuración implica la generación de un archivo MOF, este último contiene la información de identificación, es decir, el nombre de cuenta y la contraseña. Existen dos opciones. La primera consiste en escribir la contraseña en texto plano en el archivo, con todos los problemas de seguridad que ello conlleva. La segunda opción es configurar certificados para encriptar las contraseñas dentro del archivo MOF. Sin embargo, configurar esto es mucho más restrictivo.

Configuración de un PULL Server

El modo PULL tiene grandes ventajas sobre el modo PUSH. En un entorno a gran escala, las configuraciones de servidor en modo PUSH alcanzan rápidamente sus límites.

El objetivo del modo PULL es centralizar las configuraciones de cada nodo y garantizar que ellos mismos descarguen las nuevas configuraciones y, sobre todo, que descarguen automáticamente los recursos DSC necesarios para aplicar las configuraciones.

El PULL Server Web también permite configurar informes para supervisar el estado de cumplimiento de cada nodo.

Principio avanzado

En los primeros días de DSC bajo PowerShell versión 4.0, no era posible aplicar varias configuraciones al mismo host. Esto dificultaba considerablemente la actualización de una  parte de la configuración, ya que los archivos de configuración se hacían enormes. La solución propuesta fue la creación de los llamados recursos compuestos. Estos contienen en realidad un subconjunto de los recursos DSC preconfigurados en una configuración. De este modo, podían invocarse directamente en una configuración.

Desde la versión 5.1 de PowerShell, se ha eliminado la restricción de una única configuración. Ahora es posible crear un conjunto de configuraciones con diferentes nombres para un único host. Estas configuraciones se denominan configuraciones parciales (o partial configuration en inglés).

Estas dos soluciones se analizarán en esta sección. En la versión anterior de este libro se recomendaba dar prioridad a las configuraciones parciales. Resulta que se debe dar prioridad a los recursos compuestos. ¿Por qué? Para limitar los conflictos entre configuraciones. Es más coherente aplicar una única configuración, validada por un único equipo, que un conjunto de configuraciones dispares repartidas entre varios equipos que no se comunican necesariamente. Habrá mucho menos riesgo de deriva y el control de la configuración de los nodos será más eficaz.

Escritura de un recurso personalizado

Aunque los recursos creados por la comunidad y disponibles en la PowerShell Gallery son actualmente bastante variados, no cubren todas las necesidades. Teniendo esto en cuenta, Microsoft ha hecho posible la creación de recursos DSC personalizados.

El recurso Script puede utilizarse para proporcionar un método de procesamiento personalizado en un nodo (véase la sección Recursos DSC - Recursos incorporados). Sin embargo, carece de flexibilidad.

Por este motivo, se puede optar por uno de los dos métodos que se describen a continuación. El primero está disponible desde la versión 4.0 de Windows PowerShell. Utiliza una estructura de módulo específica y un archivo de esquema MOF que describe un recurso. El segundo método se introdujo con la versión 5 de Windows PowerShell y se basa en las clases de PowerShell (véase el capítulo Clases). Con la llegada de las nuevas versiones del motor DSC, se recomienda desarrollar los recursos basándose en clases. La Comunidad DSC está migrando gradualmente todos sus recursos a esta forma de escribir. El motivo es que se ha abandonado la escritura MOF en favor de las clases.

$env:ModulePath  
  └─<ModuleName>  
    └─DSCResources  
      ├─<ResourceName1>  
        ├─<ResourceName1>.schema.mof  
        ├─<ResourceName1>.psm1  
        └─[<ResourceName1>.psd1]  
      ├─<ResourceName2>  
        ├─<ResourceName2>.schema.mof  ...

DSC en Linux

Aquí es donde DSC realmente destaca. Poder configurar máquinas Linux de forma centralizada desde una máquina Windows es un verdadero paso adelante. Esta sección describe cómo establecer una configuración DSC para un sistema Linux.

El sistema Linux utilizado aquí es Debian. El sistema que genera la configuración y la aplica es Windows 10.

:~# sudo apt-get -y install omi 

:~# openssl version   
OpenSSL 1.1.1l  24 Aug 2021 

:~# https://github.com/microsoft/PowerShell-DSC-for-  
Linux/releases/download/v1.2.4-0/dsc-1.2.4-0.ssl_110.x64.deb 

:~# dpkg -i ./dsc-1.2.4-0.ssl_110.x64.deb 

:~# service omid status 

Mantenimiento y solución de problemas

Invoke-CimMethod -ClassName MSFT_DSCLocalConfigurationManager `  
    -Namespace root/Microsoft/Windows/DesiredStateConfiguration `  
    -MethodName PerformRequiredConfigurationChecks `  
    -Arguments @{Flags = [System.UInt32]1} 

PS C:\Scripts> Get-DscConfigurationStatus  
  
Status     StartDate                 Type            Mode  Reboot  ...