chef 13，并抑制 bundler 网络请求

我的节点根本无法访问互联网。我们没有权限设置本地 gem 镜像。所有 gem 安装都需要从 chef 服务器进行。

现在，当 chef 运行时，它会调用“bundler install”（chef/lib/chef/cookbook/gem_installer.rb -- L51），没有任何选项。

我们如何终止 bundler 运行或强制其进入本地或独立设置，以便它不会发起连接？（从本地目录安装是可以的，只要我们可以强制它在每个 gem 中位于不同的位置）

有没有其他人在严格的企业环境中运行这个，有强大的防火墙和软件推广规则？我担心这对厨师来说是一个挑战。

1. 这似乎没有帮助，但我的目录内容（只是一块宝石）可能是错误的：

   /opt/chef/embedded/bin/bundle \ config \ local.chef-vault /var/chef/cache/cookbooks/gem-chef-vault/files/default/

2. 好的。因此文件中的子模块检出可以工作：

   cd ~/chef-repo git submodule add \ https://github.com/chef/chef-vault.git \ local-cookbooks/gem-chef-vault/files/default/chef-vault

   请注意，由于 chef 将加入所有 cookbook 目录，因此 bundler 中的参考仍然是 .../cookbooks/... 。

3. 嗯。在 gem 下载开始之前很难更改 /root/.bundle/config。例如，这无法赢得比赛：

   template /root/.bundle/config do action :nothing end.run_action(:create)

4. 在 [Line 49] 处执行例程（https://github.com/chef/chef/blob/master/lib/chef/cookbook/gem_installer.rb#L49) (||true) 关闭了 gem 抓取，但是当包含的第三方 cookbook 在编译期间“需要” (尚未安装的) gem 时，我们又回到了失败的状态——并且 r=/r.run_action(:install) 位似乎无法运行……我认为它应该运行在它应该运行的地方。

5. 即使我可以在厨师盒上点亮一个便宜的空宝石仓库：

   mkdir -p /var/opt/opscode/nginx/html/repo/gems /opt/opscode/embedded/bin/gem \ generate_index \ -d /var/opt/opscode/nginx/html/repo/

   :::::::::::::: /var/opt/opscode/nginx/etc/addon.d/99-gem-mirror_external.conf :::::::::::::: location "/repo/" { } （重新启动chef-server-ctl restart）

   ....并将节点指向该位置

   knife ssh 'name:victim2' -- \ chef-client --config-option 'rubygems_url=http://chef/repo/'

   它仍然死机-在'需要'所以我认为URL不相关。

6. 如果我们仍然在企业中使用 Chef，那么我们当前的策略是如下代码：

   ##3p_something::default.rb: chef_gem 'something' do # install in compile source '/some/local/file.gem' clear_sources true compile_time true include_default_source false action :nothing end.run__action (:install) # include_recipe 'something'

   理想情况下，我们希望在包含的配方盲目地从网络上抓取某些东西之前预先播种所需的宝石，这样我们就能得到可验证、一致和可重复的东西（当然；更新 file.gem 是我们在这方面接受的另一项努力）。

看起来就像厨师问题 3456但并非完全如此，或者docker 问题 682或者chef-vault 第 61 期和63：我们的问题是，当读取 metadata.rb 中的“gem”行时，这一切都会自动发生。