আমি কীভাবে পুতুলের শংসাপত্রগুলি প্রাক-স্বাক্ষর করতে পারি?

পুতুলের ক্লায়েন্ট (পুতুল) পরিচালিত হওয়া এবং সার্ভারের (পুতুলমাস্টার) মধ্যে শংসাপত্র প্রয়োজন। আপনি ক্লায়েন্টে ম্যানুয়ালি চালাতে পারেন এবং তারপরে শংসাপত্রটিতে স্বাক্ষর করতে সার্ভারে যেতে পারেন তবে আপনি কীভাবে ক্লাস্টার / ক্লাউড মেশিনগুলির জন্য এই প্রক্রিয়াটি স্বয়ংক্রিয় করবেন?

সার্ভারে (পুতুলের মাষ্টার) রান করুন:

puppetca --generate <NAME>

তারপরে ক্লায়েন্টে সার্ভার থেকে নিম্নলিখিতগুলি অনুলিপি করুন:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

আপনি যদি <NAME>হোস্টনেম ব্যবহার ব্যতীত অন্য কিছু হিসাবে সাইন করতে চান :

puppetd --fqdn=<NAME>

এবং ডেমনটি চালনা করলে /etc/puppet/puppet.conf এ যুক্ত করুন

[puppetd]
certname=<NAME>

আপনার যদি হোস্ট ডাটাবেস থাকে তবে আপনি অটোসাইন বৈশিষ্ট্যটি ব্যবহার করতে পারেন। আপনার puppet.confফাইলটিতে [puppetmasterd], যুক্ত করুন:

autosign = /path/to/autosign.conf

তারপরে এই ফাইলটি তৈরি করতে কোনও ক্রন্টব ব্যবহার করুন। অটোসাইন ফাইল হ'ল হোস্টগুলির একটি তালিকা যা স্বাবলম্বন করার জন্য যখন তারা প্রথম পুতুলের সাথে সংযুক্ত হয় connect আমি আমার পুতুল হোস্টগুলি কনফিগার করতে এলডিএপি ব্যবহার করি, তাই আমার ক্রোনটি দেখতে দেখতে:

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

আমি নিশ্চিত যে লোকেরা আই ক্লাসিফাই ব্যবহার করেন তারাও এটির জন্য একটি কোয়েরি লিখতে সক্ষম হবেন।

অবশ্যই, আপনার নেটওয়ার্কে কিছুটা আস্থা রাখতে হবে। আমি এটি ইসি 2 এ ব্যবহার করি। আমার পুতুলমাস্টার সার্ভারটি এমন একটি গোষ্ঠীতে রয়েছে যা কেবলমাত্র অন্যান্য বিশ্বস্ত গ্রুপগুলির সংযোগের অনুমতি দেয়। আপনার পুতুলমাস্টার যদি ইন্টারনেটে খোলা থাকে তবে আমি এটি করার পরামর্শ দেব না।

সহজ উত্তর: স্বয়ংক্রিয়ভাবে নতুন অনুরোধগুলিতে স্বাক্ষর করুন। এটি অবশ্যই বিপজ্জনক কারণ আপনি অন্ধভাবে আপনার পুতুলমাস্টারের সাথে সংযোগকারী কোনও সিস্টেমকে বিশ্বাস করছেন, যা ম্যানুয়াল সাইন ইন করার প্রয়োজন।

[puppetmasterd]
autosign = true

আপনি কী কী স্বাক্ষর করতে হবে তা নির্ধারণ করতে ব্যবহার করতে মিথ্যা এবং একটি ফাইল নির্দিষ্ট করতে পারেন।

পুতুল উইকিতে কনফিগারেশন রেফারেন্সটি দেখুন ।

আরেকটি বিকল্প মত একটি টুল ব্যবহার করা Capistrano যেখানে আপনি puppetmaster নোড উল্লেখ এবং ক্লায়েন্ট উদাহরণস্বরূপ নোড তৈরি, এবং টাস্ক মধ্যে:

• উদাহরণ নোড তৈরি করুন, রুবির সাথে ইসি 2 এর এপিআই দিয়ে বলুন।
• এই সার্ভারের সাথে সংযোগ স্থাপন করে পুতুল চালানো।
• উদাহরণস্বরূপ অনুরোধের জন্য পুতুল - স্বাক্ষর করুন (যেহেতু আমরা উদাহরণটির নাম জানি যা এটি উপরে তৈরির ক্ষেত্রে দেওয়া হয়েছিল)।
• উদাহরণস্বরূপ পুনরায় পুতুল চালান, শংসাপত্র স্বাক্ষরিত হওয়ার সাথে সাথে এবার সফলভাবে সংযোগ করা হচ্ছে।

সার্ভারে (পুতুলের মাষ্টার) রান করুন:

puppetca --generate <NAME>

তারপরে ক্লায়েন্টে সার্ভার থেকে নিম্নলিখিতগুলি অনুলিপি করুন:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

আপনি যদি হোস্টনেম ব্যবহার ব্যতীত অন্য কিছু পেতে চান:

puppetd --fqdn=<NAME>

এবং ডেমনটি চালনা করলে /etc/puppet/puppet.conf এ যুক্ত করুন

[puppetd]
certname=<NAME>