Ansible、Chef、Puppet 分发 XML 配置需严防转义、编码、行尾等隐式转换导致解析失败:Ansible 用 copy(静态)或 template+{% autoescape false %}(动态);Chef 模板须用 或预构建字符串;Puppet 需 force_encoding('UTF-8') 并处理 CRLF。
直接分发 XML 配置文件本身没有语言壁垒,但实际落地时,Ansible、Chef 和 Puppet 的处理逻辑、安全边界和变量注入方式差异极大——不是“都能传”,而是“怎么传才不破环结构、不引入注入风险、不触发校验失败”。
Ansible 用 copy 或 template?先看 XML 是否含动态内容
如果 XML 是静态的(如固定 log4j2.xml),用 copy 模块最稳妥;一旦含变量(比如 template,且需注意 Jinja2 对 XML 特殊字符的转义行为。
-
copy不解析内容,适合二进制或纯静态 XML,路径写绝对路径如/etc/app/config.xml -
template默认启用autoescape,会导致变成zuojiankuohaophpcn,破坏 XML 结构——必须在模板顶部加{% autoescape false %} - 若 XML 内有大量
{{ }}占位符但又不想被 Jinja2 解析,改用自定义定界符,如{% set jinja_delim = ['[[', ']]'] %}并配置variable_start_string: '[['等
- name: deploy static config.xml
copy:
src: files/config.xml
dest: /opt/app/conf/config.xml
owner: appuser
mode: '0644'
- name: render dynamic config.xml
template:
src: templates/config.xml.j2
dest: /opt/app/conf/config.xml
owner: appuser
mode: '0644'
Chef 的
template资源对 XML 的默认转义很危险Chef 的
template资源默认开启variables的 HTML 转义(通过ERB的h()辅助方法),XML 标签会直接变成乱码。这不是 bug,是设计使然——它假设你渲染的是 HTML 页面。- 必须显式关闭转义:在 ERB 模板里用
或 - 更推荐把 XML 内容预处理为 Ruby 字符串变量,在 recipe 中构建好再传入,避免模板层拼接
- 若 XML 来自外部(如 data bag),务必检查是否已含实体编码(如
zuojiankuohaophpcn),否则双重解码会出错
# In recipe xml_content = <<-XML
template '/opt/app/conf/config.xml' do source 'config.xml.erb' variables(xml_content: xml_content) owner 'appuser' mode '0644' end
In config.xml.erb
<%= raw xml_content %>
Puppet 的
file和erb模板在 XML 场景下容易忽略 encoding 和 line endingsPuppet 默认以系统 locale 解析模板,而很多 XML 文件声明了
encoding="UTF-8"。若 Puppet agent 运行环境 locale 不是 UTF-8(如C或POSIX),ERB 渲染时可能丢掉重音符号或报invalid byte sequence错误。- 强制指定模板编码:在
.pp中用content => template('mymodule/config.xml.erb').force_encoding('UTF-8') - Windows 目标节点上,XML 若含 CRLF 行尾,而 Puppet 用 Unix 风格写入(LF),某些 Java 应用(如 Spring Boot)会拒绝加载——需用
replace("\n", "\r\n")显式修正 - 避免在 ERB 中用
插入未清理的 node 属性值,例如若含&会破坏 XML 合法性;应先调用CGI.escapeHTML或用xml_escape函数(需自定义)
# In manifest file { '/opt/app/conf/config.xml': ensure => file, content => template('mymodule/config.xml.erb').force_encoding('UTF-8'), owner => 'appuser', mode => '0644', }真正麻烦的从来不是“怎么传过去”,而是“传过去之后,应用是否认得、是否解析成功、是否因空格/换行/编码/转义多了一层而静默失败”。XML 的严格语法让这些工具链里的隐式转换变得格外致命——少一个
raw,多一次force_encoding,都可能让服务启动卡在 XML parse error 上。 - 必须显式关闭转义:在 ERB 模板里用
