আমি কীভাবে পুতুলের শংসাপত্রগুলি প্রাক-স্বাক্ষর করতে পারি?


26

পুতুলের ক্লায়েন্ট (পুতুল) পরিচালিত হওয়া এবং সার্ভারের (পুতুলমাস্টার) মধ্যে শংসাপত্র প্রয়োজন। আপনি ক্লায়েন্টে ম্যানুয়ালি চালাতে পারেন এবং তারপরে শংসাপত্রটিতে স্বাক্ষর করতে সার্ভারে যেতে পারেন তবে আপনি কীভাবে ক্লাস্টার / ক্লাউড মেশিনগুলির জন্য এই প্রক্রিয়াটি স্বয়ংক্রিয় করবেন?


1
একটি কোণার সমস্যা হ'ল আপনি যখন কোনও হোস্ট-নেম পুনরায় ব্যবহার করেন। অটোসাইন করা এটি সমাধান করবে না। আমি এই একই সমস্যা হচ্ছে।
জোয়েল কে

উত্তর:


28

সার্ভারে (পুতুলের মাষ্টার) রান করুন:

puppetca --generate <NAME>

তারপরে ক্লায়েন্টে সার্ভার থেকে নিম্নলিখিতগুলি অনুলিপি করুন:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

আপনি যদি <NAME>হোস্টনেম ব্যবহার ব্যতীত অন্য কিছু হিসাবে সাইন করতে চান :

puppetd --fqdn=<NAME>

এবং ডেমনটি চালনা করলে /etc/puppet/puppet.conf এ যুক্ত করুন

[puppetd]
certname=<NAME>

ধন্যবাদ, সত্যিই এটি দরকারী। আমি নিজে নিজেই ভাবছিলাম।
জন টপার 16

1
নতুন কমান্ডটি সার্ভারফল্টpuppet cert --generate <NAME> দেখুন / a
c33s

6

আপনার যদি হোস্ট ডাটাবেস থাকে তবে আপনি অটোসাইন বৈশিষ্ট্যটি ব্যবহার করতে পারেন। আপনার puppet.confফাইলটিতে [puppetmasterd], যুক্ত করুন:

autosign = /path/to/autosign.conf

তারপরে এই ফাইলটি তৈরি করতে কোনও ক্রন্টব ব্যবহার করুন। অটোসাইন ফাইল হ'ল হোস্টগুলির একটি তালিকা যা স্বাবলম্বন করার জন্য যখন তারা প্রথম পুতুলের সাথে সংযুক্ত হয় connect আমি আমার পুতুল হোস্টগুলি কনফিগার করতে এলডিএপি ব্যবহার করি, তাই আমার ক্রোনটি দেখতে দেখতে:

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

আমি নিশ্চিত যে লোকেরা আই ক্লাসিফাই ব্যবহার করেন তারাও এটির জন্য একটি কোয়েরি লিখতে সক্ষম হবেন।

অবশ্যই, আপনার নেটওয়ার্কে কিছুটা আস্থা রাখতে হবে। আমি এটি ইসি 2 এ ব্যবহার করি। আমার পুতুলমাস্টার সার্ভারটি এমন একটি গোষ্ঠীতে রয়েছে যা কেবলমাত্র অন্যান্য বিশ্বস্ত গ্রুপগুলির সংযোগের অনুমতি দেয়। আপনার পুতুলমাস্টার যদি ইন্টারনেটে খোলা থাকে তবে আমি এটি করার পরামর্শ দেব না।


6

সহজ উত্তর: স্বয়ংক্রিয়ভাবে নতুন অনুরোধগুলিতে স্বাক্ষর করুন। এটি অবশ্যই বিপজ্জনক কারণ আপনি অন্ধভাবে আপনার পুতুলমাস্টারের সাথে সংযোগকারী কোনও সিস্টেমকে বিশ্বাস করছেন, যা ম্যানুয়াল সাইন ইন করার প্রয়োজন।

[puppetmasterd]
autosign = true

আপনি কী কী স্বাক্ষর করতে হবে তা নির্ধারণ করতে ব্যবহার করতে মিথ্যা এবং একটি ফাইল নির্দিষ্ট করতে পারেন।

পুতুল উইকিতে কনফিগারেশন রেফারেন্সটি দেখুন ।

আরেকটি বিকল্প মত একটি টুল ব্যবহার করা Capistrano যেখানে আপনি puppetmaster নোড উল্লেখ এবং ক্লায়েন্ট উদাহরণস্বরূপ নোড তৈরি, এবং টাস্ক মধ্যে:

  • উদাহরণ নোড তৈরি করুন, রুবির সাথে ইসি 2 এর এপিআই দিয়ে বলুন।
  • এই সার্ভারের সাথে সংযোগ স্থাপন করে পুতুল চালানো।
  • উদাহরণস্বরূপ অনুরোধের জন্য পুতুল - স্বাক্ষর করুন (যেহেতু আমরা উদাহরণটির নাম জানি যা এটি উপরে তৈরির ক্ষেত্রে দেওয়া হয়েছিল)।
  • উদাহরণস্বরূপ পুনরায় পুতুল চালান, শংসাপত্র স্বাক্ষরিত হওয়ার সাথে সাথে এবার সফলভাবে সংযোগ করা হচ্ছে।

দ্রষ্টব্য: আপনি যদি পুতুল ২.6 বা তার বেশি ব্যবহার করেন তবে [puppetmasterd]বিভাগের শিরোনামটি এখন হওয়া উচিত [master]। আরও তথ্যের জন্য docs.puppetlabs.com/guides/tools.html দেখুন ।
মিঃলরে

4

সার্ভারে (পুতুলের মাষ্টার) রান করুন:

puppetca --generate <NAME>

তারপরে ক্লায়েন্টে সার্ভার থেকে নিম্নলিখিতগুলি অনুলিপি করুন:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

আপনি যদি হোস্টনেম ব্যবহার ব্যতীত অন্য কিছু পেতে চান:

puppetd --fqdn=<NAME>

এবং ডেমনটি চালনা করলে /etc/puppet/puppet.conf এ যুক্ত করুন

[puppetd]
certname=<NAME>

এটি আমার কাছে আরও জটিল মনে হচ্ছে। আপনি ক্লায়েন্টে পুতুল ইনস্টল করুন, এটি একটি শংসাপত্র তৈরি করে এবং সাইন ইন করার জন্য এটি মাস্টারকে প্রেরণ করে। আপনি যখন মাস্টারে স্বাক্ষর করবেন, ক্লায়েন্টটি পরবর্তী সময় এটি চালানোর সময় কাজ শুরু করবে। এতে কম পদক্ষেপ জড়িত। যদি আপনি সত্যিই এই পদক্ষেপটি সংরক্ষণ করতে চান তবে আপনি ক্রোন জব চালাতে পারেন যা এরকম কিছু করে: হোস্ট ইন $ (পুতুল - লিস্ট) এর জন্য; do পুতুল - সাইন $ হোস্ট; সম্পন্ন
ডেভিড প্যাশলে

1
যদি আপনার কাছে দুটি বা দুটি মেশিন থাকে তবে এটি ঠিক আছে তবে আপনি যখন ক্লাউডে মেশিনগুলি শুরু করতে এবং বন্ধ করতে চলেছেন তখন আপনাকে নিজে এটি করতে হবে না, আমি একটি বেস মেশিন শুরু করতে পারি, স্ক্রিপ্টটি চালাতে পারি যা সব কিছু সেট করে sets পুতুল মাস্টারে লগইন না করে পুতুলের মাধ্যমে আপ করুন।
রাঙ্গুয়ার্ড
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.