Puppet 缩放木偶7.x
我在研究构建缩放木偶环境时一直在提到 我有Puppet CA功能,我遇到的问题是Puppet编译部分的第2步,它缺少一个像样的示例或细节 在编译器的webserver.conf文件中,添加并设置以下SSL设置:Puppet 缩放木偶7.x,puppet,Puppet,我在研究构建缩放木偶环境时一直在提到 我有Puppet CA功能,我遇到的问题是Puppet编译部分的第2步,它缺少一个像样的示例或细节 在编译器的webserver.conf文件中,添加并设置以下SSL设置: ssl证书 ssl密钥 ssl ca证书 ssl crl路径 编译主机能够向CA发送请求,并且一旦证书在CA上签名,就可以很好地将其返回。我不确定上面的设置应该放什么。CA服务已按指示在编译主机上禁用,但在尝试启动pupperserver时,由于找不到CaseService,因此无法
- ssl证书
- ssl密钥
- ssl ca证书
- ssl crl路径
谢谢。将概述
webserver.conf
config文件。它恰好提供了一个涵盖所有这些特定项的示例,并链接到
关于Puppet可伸缩性的一个主要想法是,您可以将编译服务器添加到您的池中,在负载平衡器或DNS循环服务之后,为公共主机名添加编译服务器。但其中一个主要问题是,代理希望与由特定certname标识的编译服务器建立SSL连接,因此必须确保每个编译服务器都有一个带有该名称的cert。这通常是通过为编译服务器生成单独的证书来完成的,而不是在多个服务器之间共享一个证书,这些服务器都以预期的名称作为DNS使用者的替代名称。ssl证书
和ssl密钥
属性标识适当的证书
就编译服务器而言,它们需要验证客户端证书是否已由预期的CA签名,并且为此需要CA的证书。这就是sslca证书设置的内容
此外,有时您可能需要撤销证书——通常,当代理节点停止服务或其证书不知何故丢失时。CA将维护一个证书撤销列表,但是为了让编译服务器考虑到它,必须向它们发布CRL。sslcrlpath
设置告诉每个编译主机在哪里可以找到它
然而,我倾向于认为缩放文档有点不合顺序。除了
ssl crl path
之外,如果您在尝试配置的编译服务器上尝试启动puppetserver服务之前遵循所有其他步骤,我希望步骤2中描述的参数的默认值是合适的。最后两个步骤要求puppetserver
已经在CA机器上运行,并且可以通过所有相关防火墙访问;如果不是这样,那么它可能会解释您报告的错误。如果您之前已无序启动组件,请注意步骤4末尾的注释
如果在通过步骤4-6获得所需的主机证书后,puppetserver仍未启动,则可能需要手动将CA服务器的证书复制到编译服务器,并将
ssl CA cert
属性设置为其位置。如果您按照指定的程序获得了主机证书,我仍然怀疑您是否需要显式设置ssl证书
或ssl密钥。。关于webserver.conf设置,我使用了以下内容:
ssl证书:“/etc/puppetlabs/puppet/ssl/certs/.pem”
ssl密钥:“/etc/puppetlabs/puppet/ssl/private_-keys/.pem”
ssl ca证书:“/etc/puppetlabs/puppet/ssl/certs/ca.pem”
ssl crl路径:“/etc/puppetlabs/puppet/ssl/crl.pem”
不幸的是,我在尝试启动puppetserver时仍然收到CaseService错误。这被证明是一个简单的错误。在/etc/puppetlabs/puppetserver/services.d/ca.cfg中,我正确地注释了以下行:
#puppetlabs.services.ca.certificate-authority-service/certificate-authority-service
但我没有取消对以下行的注释:
puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
一旦行被取消注释,puppetserver就启动了,我的测试代理能够成功地从集中式CA获得一个签名证书,并从编译主机获得配置
ssl-cert: "/etc/puppetlabs/puppet/ssl/certs/<server FQDN>.pem"
ssl-key: "/etc/puppetlabs/puppet/ssl/private_keys/<server FQDN>.pem"
ssl-ca-cert: "/etc/puppetlabs/puppet/ssl/certs/ca.pem"
ssl-crl-path: "/etc/puppetlabs/puppet/ssl/crl.pem"