Substituindo a configuração do chef

Estou começando a adotar o chef em um ambiente privado de cliente / servidor gerenciado.

Estou procurando gerenciar um ambiente razoavelmente grande de laboratórios de acesso aberto, áreas de trabalho de usuários e vários tipos de servidor. Atualmente, todos os sistemas são baseados em * nix, mas eu quero criar uma estrutura que permita flexibilidade e evite a duplicação.

Como os outros estão estruturando seus ambientes? Uma área que não consigo resolver é sobrepor ou herdar ... Por exemplo, uma estação de trabalho teria uma função de estação de trabalho, uma receita incluída permite que um determinado subconjunto de usuários faça login e use a máquina, mas nenhum privilégio adicional . Eu, então, quero permitir que um subconjunto menor de usuários instale pacotes em apenas uma das estações de trabalho. Como isso deve ser tratado com o chef? Normalmente, basta enviar um novo arquivo / etc / sudoers, mas isso fará com que o chef reverta para os sudoers da estação de trabalho e, em seguida, insira a versão atualizada sempre que for executada. Eu acho que nessa situação eu poderia usar o /etc/sudoers.d/, mas eu sinto que essa questão de ignorar surgirá em outras situações, então alguma percepção seria boa!

Eu não acho que eu, ou minha equipe, tenhamos entendido como o chef se une, então talvez tenhamos perdido a forma como alguns atributos ou metadados funcionam, mas isso não nos parece muito claro no momento .