Wayang memerlukan sertifikat antara klien (wayang) yang dikelola dan server (puppetmaster). Anda dapat berjalan secara manual pada klien dan kemudian pergi ke server untuk menandatangani sertifikat, tetapi bagaimana Anda mengotomatiskan proses ini untuk cluster / mesin cloud?
26
Jawaban:
Di server (puppetmaster) jalankan:
Kemudian salin yang berikut dari server ke klien:
Jika Anda ingin masuk
<NAME>
sebagai sesuatu selain dari penggunaan hostname:Dan tambahkan ke /etc/puppet/puppet.conf jika menjalankan daemon
sumber
puppet cert --generate <NAME>
lihat serverfault.com/a/457364/71452Jika Anda memiliki database host, Anda dapat menggunakan fitur tanda otomatis. Di
puppet.conf
file Anda , di[puppetmasterd]
, tambahkan:Kemudian gunakan crontab untuk menghasilkan file ini. File autosign hanyalah daftar host untuk diautosign ketika mereka pertama kali terhubung ke puppetmaster. Saya menggunakan LDAP untuk mengkonfigurasi host boneka saya, jadi cron saya terlihat seperti:
Saya yakin orang yang menggunakan iClassify akan dapat menulis kueri untuk melakukan hal yang sama.
Tentu saja, Anda perlu memiliki kepercayaan pada jaringan. Saya menggunakan ini pada EC2. Server puppetmaster saya ada di grup yang hanya memungkinkan koneksi dari grup tepercaya lainnya. Saya tidak akan merekomendasikan melakukan ini jika kepala boneka Anda terbuka ke internet.
sumber
Jawaban sederhana: secara otomatis menandatangani permintaan baru. Ini tentu saja berbahaya karena Anda secara membabi buta mempercayai sistem apa pun yang terhubung dengan puppetmaster Anda, yang merupakan tujuan untuk memerlukan penandatanganan manual.
Anda dapat menentukan false dan file yang akan digunakan untuk menentukan kunci mana yang akan ditandatangani juga.
Lihat referensi konfigurasi pada wiki Wayang.
Pilihan lain adalah menggunakan alat seperti Capistrano , tempat Anda menentukan simpul puppetmaster dan membuat simpul instance klien, dan dalam tugas:
sumber
[puppetmasterd]
judul bagian sekarang seharusnya[master]
. Lihat docs.puppetlabs.com/guides/tools.html untuk informasi lebih lanjut.Di server (puppetmaster) jalankan:
Kemudian salin yang berikut dari server ke klien:
Jika Anda ingin memiliki sesuatu selain dari penggunaan hostname:
Dan tambahkan ke /etc/puppet/puppet.conf jika menjalankan daemon
sumber