Fatal编程技术网
  • puppet/
  • Puppet 缩放木偶7.x

Puppet 缩放木偶7.x

puppet

Puppet 缩放木偶7.x,puppet,Puppet,我在研究构建缩放木偶环境时一直在提到 我有Puppet CA功能,我遇到的问题是Puppet编译部分的第2步,它缺少一个像样的示例或细节 在编译器的webserver.conf文件中,添加并设置以下SSL设置: ssl证书 ssl密钥 ssl ca证书 ssl crl路径 编译主机能够向CA发送请求,并且一旦证书在CA上签名,就可以很好地将其返回。我不确定上面的设置应该放什么。CA服务已按指示在编译主机上禁用,但在尝试启动pupperserver时,由于找不到CaseService,因此无法

我在研究构建缩放木偶环境时一直在提到

我有Puppet CA功能,我遇到的问题是Puppet编译部分的第2步,它缺少一个像样的示例或细节

在编译器的webserver.conf文件中,添加并设置以下SSL设置:

  • ssl证书
  • ssl密钥
  • ssl ca证书
  • ssl crl路径
编译主机能够向CA发送请求,并且一旦证书在CA上签名,就可以很好地将其返回。我不确定上面的设置应该放什么。CA服务已按指示在编译主机上禁用,但在尝试启动pupperserver时,由于找不到CaseService,因此无法加载,因此目前我假设这是由于上述原因

2021-01-12T13:12:34.276+11:00错误[main][p.t.internal]运行期间发生错误 应用程序建设!java.lang.RuntimeException:服务“:CaService”不是 发现

谷歌搜索不会返回太多关于这个主题的信息,所以任何关于建立这种环境的有用的建议都将不胜感激

谢谢。

将概述
webserver.conf
config文件。它恰好提供了一个涵盖所有这些特定项的示例,并链接到

关于Puppet可伸缩性的一个主要想法是,您可以将编译服务器添加到您的池中,在负载平衡器或DNS循环服务之后,为公共主机名添加编译服务器。但其中一个主要问题是,代理希望与由特定certname标识的编译服务器建立SSL连接,因此必须确保每个编译服务器都有一个带有该名称的cert。这通常是通过为编译服务器生成单独的证书来完成的,而不是在多个服务器之间共享一个证书,这些服务器都以预期的名称作为DNS使用者的替代名称。
ssl证书
ssl密钥
属性标识适当的证书

就编译服务器而言,它们需要验证客户端证书是否已由预期的CA签名,并且为此需要CA的证书。这就是sslca证书设置的内容

此外,有时您可能需要撤销证书——通常,当代理节点停止服务或其证书不知何故丢失时。CA将维护一个证书撤销列表,但是为了让编译服务器考虑到它,必须向它们发布CRL。
sslcrlpath
设置告诉每个编译主机在哪里可以找到它

然而,我倾向于认为缩放文档有点不合顺序。除了
ssl crl path
之外,如果您在尝试配置的编译服务器上尝试启动puppetserver服务之前遵循所有其他步骤,我希望步骤2中描述的参数的默认值是合适的。最后两个步骤要求
puppetserver
已经在CA机器上运行,并且可以通过所有相关防火墙访问;如果不是这样,那么它可能会解释您报告的错误。如果您之前已无序启动组件,请注意步骤4末尾的注释

如果在通过步骤4-6获得所需的主机证书后,puppetserver仍未启动,则可能需要手动将CA服务器的证书复制到编译服务器,并将
ssl CA cert
属性设置为其位置。如果您按照指定的程序获得了主机证书,我仍然怀疑您是否需要显式设置
ssl证书
ssl密钥。
。关于webserver.conf设置,我使用了以下内容:


ssl证书:“/etc/puppetlabs/puppet/ssl/certs/.pem”
ssl密钥:“/etc/puppetlabs/puppet/ssl/private_-keys/.pem”
ssl ca证书:“/etc/puppetlabs/puppet/ssl/certs/ca.pem”
ssl crl路径:“/etc/puppetlabs/puppet/ssl/crl.pem”


不幸的是,我在尝试启动puppetserver时仍然收到CaseService错误。这被证明是一个简单的错误。在/etc/puppetlabs/puppetserver/services.d/ca.cfg中,我正确地注释了以下行:

#puppetlabs.services.ca.certificate-authority-service/certificate-authority-service

但我没有取消对以下行的注释:

puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service

一旦行被取消注释,puppetserver就启动了,我的测试代理能够成功地从集中式CA获得一个签名证书,并从编译主机获得配置


ssl-cert: "/etc/puppetlabs/puppet/ssl/certs/<server FQDN>.pem"
ssl-key: "/etc/puppetlabs/puppet/ssl/private_keys/<server FQDN>.pem"
ssl-ca-cert: "/etc/puppetlabs/puppet/ssl/certs/ca.pem"
ssl-crl-path: "/etc/puppetlabs/puppet/ssl/crl.pem"