Puppet 三种注册方式

最新推荐文章于 2022-03-21 11:11:23 发布
最新推荐文章于 2022-03-21 11:11:23 发布
阅读量183 收藏
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/davehe/blog/355152
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

Puppet注册方式基本上有三种:手动注册,自动注册和预签名注册

1.手动注册
手动注册是由Agent端先发起证书申请请求,然后由Puppet server端确认证书方可注册成功,这种注册方式安全系数中等,逐一注册(puppet cert --sign certname)在节点数量较大的情况下是比较麻烦的,效率也低,批量注册(puppet cert --sign --all)效率很高,一次性便可注册所有的Agent的请求,但是这种方式安全系数较低,因为错误的请求也会被注册上。
实例可见http://my.oschina.net/davehe/blog/354626里客户验证.

2.自动注册
这种注册方式简单来讲是通过Puppet master端的ACL列表进行控制的,安全系统较低,也就是说符合预先定义的ACL列表中的所有节点请求不需要确认都会被自动注册上,也就是说你只需要知道ACL列表要求,其次能和PuppetMaster端通信便可轻易注册成功。当然,它的最大优点就是效率非常高.
(1)查询认证情况 

root@10.1.1.33:puppet# puppet cert --list --all
+ "agent.domain.com"     (SHA256) 3F:8E:AE:B8:04:2B:51:9B:7A:B3:1E:86:C0:21:3E:81:D6:2A:55:A4:17:15:CA:5E:7A:8F:95:EC:D3:83:41:C0
+ "localhost"            (SHA256) E4:F5:F3:A9:99:E9:4D:11:53:87:BE:47:95:4C:98:48:58:2D:3D:80:7E:9C:D9:C2:36:93:56:B2:EA:A0:F1:7B
+ "puppet.domain.com"    (SHA256) 5A:E1:80:AA:76:B6:81:22:55:B7:28:4B:AB:7C:B9:87:A8:DD:7E:3A:31:DF:0C:5A:61:8F:4B:D2:16:A4:B6:BF (alt names: "DNS:puppet", "DNS:puppet.domain.com")

(2)在master上清除客户端已经agent注册信息的证书
 

root@10.1.1.33:puppet# puppet cert --clean agent.domain.com
Notice: Revoked certificate with serial 7
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/ca/signed/agent.domain.com.pem'
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/certs/agent.domain.com.pem'
(3)在agent.domain.com端删除注册过的证书 
root@10.1.1.33:puppet# puppet cert --clean agent.domain.com
Notice: Revoked certificate with serial 7
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/ca/signed/agent.domain.com.pem'
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/certs/agent.domain.com.pem'
(4)在Puppet master端编写ACL列表 
root@10.1.1.33:puppet# cat autosign.conf 
*.domain.com
root@10.1.1.33:puppet# /etc/init.d/puppetmaster restart
Stopping puppetmaster:                                     [  OK  ]
Starting puppetmaster:                                     [  OK  ]

(5)客户端申请注册证书. 

root@10.1.1.34:ssl# puppet agent --test
Info: Creating a new SSL key for agent.domain.com
Info: Caching certificate for ca
Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml
Info: Creating a new SSL certificate request for agent.domain.com
Info: Certificate Request fingerprint (SHA256): FD:70:31:87:C6:44:EC:8D:18:0D:F5:10:E3:CE:5B:DC:EA:31:BD:BC:8C:C7:B2:80:F7:7E:2C:F2:4E:FB:12:90
Info: Caching certificate for agent.domain.com
Info: Caching certificate_revocation_list for ca
Info: Caching certificate for ca
Info: Retrieving pluginfacts
Info: Retrieving plugin
Info: Caching catalog for agent.domain.com
Info: Applying configuration version '1418292313'
Notice: /Stage[main]/Test/File[/tmp/agent.txt]/ensure: defined content as '{md5}fc3ff98e8c6a0d3087d515c0473f8677'
Notice: Finished catalog run in 0.13 seconds

(6)服务端查看证书. 

root@10.1.1.33:puppet# puppet cert --list --all
+ "agent.domain.com"  (SHA256) FE:04:96:32:46:A4:54:BF:A9:4F:20:CA:EF:7E:F7:C6:A6:88:34:4A:D9:7E:50:54:FA:C0:10:29:87:F9:1C:6E
+ "client.domain.com" (SHA256) E3:B4:46:90:DF:85:37:77:48:BB:F9:FD:9F:13:DE:52:2F:00:1C:71:A3:BC:C2:E2:A5:34:4F:01:DB:27:02:F5
+ "localhost"         (SHA256) E4:F5:F3:A9:99:E9:4D:11:53:87:BE:47:95:4C:98:48:58:2D:3D:80:7E:9C:D9:C2:36:93:56:B2:EA:A0:F1:7B
+ "puppet.domain.com" (SHA256) 5A:E1:80:AA:76:B6:81:22:55:B7:28:4B:AB:7C:B9:87:A8:DD:7E:3A:31:DF:0C:5A:61:8F:4B:D2:16:A4:B6:BF (alt names: "DNS:puppet", "DNS:puppet.domain.com")


3.预签名认证
预签名注册是在agent端未提出申请的情况下,预先在puppet master端生成agent端的证书,然后复制到节点对应的目录下即可注册成功,这种方式安全系数最高,但是操作麻烦,需要提前预知所有节点服务器的certname名称,其次需要将生成的证书逐步copy到所有节点上去。不过,如果你的系统中安装了kickstart或者cobbler这样的自动化工具,倒是可以将证书部分转换成脚本集成到统一自动化部署中.注:生产环境中建议此方式进行注册,既安全又可靠.

(1)查询认证情况 

root@10.1.1.33:puppet# puppet cert --list --all
+ "agent.domain.com"     (SHA256) 3F:8E:AE:B8:04:2B:51:9B:7A:B3:1E:86:C0:21:3E:81:D6:2A:55:A4:17:15:CA:5E:7A:8F:95:EC:D3:83:41:C0
+ "localhost"            (SHA256) E4:F5:F3:A9:99:E9:4D:11:53:87:BE:47:95:4C:98:48:58:2D:3D:80:7E:9C:D9:C2:36:93:56:B2:EA:A0:F1:7B
+ "puppet.domain.com"    (SHA256) 5A:E1:80:AA:76:B6:81:22:55:B7:28:4B:AB:7C:B9:87:A8:DD:7E:3A:31:DF:0C:5A:61:8F:4B:D2:16:A4:B6:BF (alt names: "DNS:puppet", "DNS:puppet.domain.com")

(2)在master上清除客户端已经agent注册信息的证书
 

root@10.1.1.33:puppet# puppet cert --clean agent.domain.com
Notice: Revoked certificate with serial 7
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/ca/signed/agent.domain.com.pem'
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/certs/agent.domain.com.pem'
(3)在agent.domain.com端删除注册过的证书 
root@10.1.1.33:puppet# puppet cert --clean agent.domain.com
Notice: Revoked certificate with serial 7
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/ca/signed/agent.domain.com.pem'
Notice: Removing file Puppet::SSL::Certificate agent.domain.com at '/var/lib/puppet/ssl/certs/agent.domain.com.pem'
(4)puppet server端预先生成agent证书 

puppetca --generate  agent.domain.com

(5)agent节点生成目录结构 

puppet agent --test
(6)puppet master端copy证书到agent.domain.com上 
root@10.1.1.33:puppet#scp /var/lib/puppet/ssl/private_keys/agent.domain.com.pem  agent.domain.com:/var/lib/puppet/ssl/private_keys/
root@10.1.1.33:puppet#scp /var/lib/puppet/ssl/certs/agent.domain.com.pem  agent.domain.com:/var/lib/puppet/ssl/certs/
root@10.1.1.33:puppet#scp /var/lib/puppet/ssl/certs/ca.pem  agent.domain.com:/var/lib/puppet/ssl/certs/ca.pem





转载于:https://my.oschina.net/davehe/blog/355152

weixin_34219944
关注
puppet-puppet
03-31
木偶rpm -Uvh yum -y install puppet-agent引导程序echo -e“ [main] \ nserver =” >> /etc/puppetlabs/puppet/puppet.conf如果不是第一次安装找到/ etc / puppetlabs / puppet / -name“ $ {hostname) ” -delete...
puppet三种认证注册方式详解及常见报错分析
weixin_34259232的博客
02-23 496
本文主要介绍puppet三种认证方式:自动注册、手动注册和预签名注册;master和agent的认证关系,是随着认证的复杂程度提升,安全性也会随之提高,下面就是每一种方式的示例解读。一 手动注册手动注册是由Agent端先发起证书申请请求,然后由Puppetserver端确认证书方可注册成功,这种注册方式安全系数中等,逐一注册puppet cert --si...
linux 统一部署工具,详解Linux下自动化部署工具Puppet注册方式与常用命令
weixin_39939601的博客
05-04 295
三种注册方式Puppet注册方式基本上有三种:手动注册,自动注册和预签名注册1.手动注册手动注册是由Agent端先发起证书申请请求,然后由Puppet server端确认证书方可注册成功,这种注册方式安全系数中等,逐一注册(puppet cert --sign certname)在节点数量较大的情况下是比较麻烦的,效率也低,批量注册(puppet cert --sign --all)效率很高,一次...
Puppet的在centos6.6下的初步安装配置以及证书注册
My Inspiration World _" Franz °
09-20 972
PuppetPuppet的在centos6.6下的初步安装配置: 因为puppet分为服务器端和客户端,所以安装的时候,稍微有一点点出入: 一、基础安装: Master: 建议在开始安装之前先配置主机的hostname,因为会影响到后面的puppet证书注册。 更改hostname的同时写入host配置文件: Master的hostname为:hostnamepuppet.d
puppet 配置模块
lyj1101066558的博客
05-09 432
1.服务端创建模块 # mkdir /etc/puppet/modules/testm 其中 testm 就是模块 2.进入模块目录下 并创建 三个目录 # cd !$ # mkdir {files,manifests,templates} files:放文件或者目录 manifests:放配置文件 templates:放模板文件 3.创建基本的内容,编辑相应的模块
Puppet使用方法总结
FinixLei的专栏 (https://github.com/FinixLei)
04-13 1410
一篇比较老的介绍puppet的文章,概念介绍比较清楚,
puppet-vendortools
05-18
它使用“制造商”事实来选择几种特定于制造商的模块之一。 如果无法识别硬件,则模块不执行任何操作。 苹果-硬件::苹果 Apple硬件可以识别,但是hardware :: apple模块当前不执行任何操作。 戴尔-硬件::戴尔 安装...
puppet-cfpuppetserver:cfpuppetserver
04-15
cfpuppetserver描述该软件包执行安装Puppet Server,Puppet DB,PostgreSQL,r10k,librarian-puppet并使它们共同运行的标准过程。 它还与和软件包。环境配置这些配置要求您在环境中提供。 可以从获取示例。 注意1:...
puppet-webserver
07-12
考虑包括它使用的 OS/Puppet 版本。模块说明如果适用,本节应简要描述模块集成的技术以及该集成支持的功能。 本节应回答以下问题:“该模块的作用是什么?” 和“我为什么要用它?” 如果您的模块具有一系列功能...
puppet替换文件中的string
神棍之路
12-04 634
文件 <VirtualHost :80> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.) https://%{SERVER_NAME}/$1 [R,L] 命题 substitute the * with the $fqdn facter variable on the first line 答案 include st...
puppet确保程序运行
神棍之路
10-18 339
exec { 'keep-nginx-running' : user => 'root', unless => 'ps -x | grep nginx|grep -v grep', command => 'systemctl start nginx.service', ...
puppet详解(一)——puppet基础知识
永远是少年
03-21 2710
今天继续给大家介绍Linux运维相关知识,本文主要内容是puppet的理论基础。 一、puppet简介 二、puppet工作原理 三、puppet常见资源与模块
puppet安装和使用
firefoxbug的专栏
01-26 7720
puppet是一种Linux、Unix、windows平台的集中配置管理系统,使用自有的puppet描述语言,可管理配置 文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源,puppet的设计目标 是简化对这些资源的管理以及妥善处理资源间的依赖关系。 puppet采用C/S星状的结构,所有的客户端和一个或几个服务器交互。每个客户端周期的(默认半个小
初始PuppetPuppet的安装和简单使用
weixin_33725722的博客
04-22 352
一、Puppet简介:puppet是一种Linux、Unix、windows平台的集中配置管理系统,使用自有的puppet描述语言,可管理配置文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源,puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。puppet 系统架构Puppet是开源的基于Ruby的系统配置管理工具,puppet是一个C/S结...
RubyMine7注册码免费分享--支持puppet高亮语法
weixin_33924220的博客
12-30 200
RubyMine是一个为Ruby 和Rails开发者准备的 IDE,其带有所有开发者必须的功能,并将之紧密集成于便捷的开发环境中,号称最智能的Ruby和Rails的IDE,能够大大增加Ruby和Rails开发者的开发效率。RubyMine从7.0版本开始支持puppet的语法,非常给力,当然功能也是非常强大,在你考虑大面积开发puppet模块的情况下,RubyMine7.*是个不错的IDE选择。以...
激活函数
锋年的个人日志
02-03 199
激活函数 阈值激活函数 import tensorflow as tf import numpy as np import matplotlib.pyplot as plt def threshold(x): cond=tf.less(x,tf.zeros(tf.shape(x),dtype=x.dtype)) out=tf.where(cond,tf.zeros(tf....
puppet手动注册故障排查思路
zsx0728的博客
02-26 269
这两天在学习puppet,centos6.5下载了puppet3.8.7版本,但手动注册的时候各种报错: Exiting; failed to retrieve certificate and waitforcert is disabled 关于puppet找到一篇写的很好的文章: https://blog.51cto.com/superleedo/1900417 遇到puppet age...
Puppet 安装与应用
weixin_34409822的博客
11-12 99
Centos 6.4 安装PuppetPuppet要求所有机器有完整的域名(FQDN),如果没有 DNS 服务器提供域名的话,可以在两台机器上设置主机名(注意要先设置主机名再安装 Puppet,因为安装 Puppet 时会把主机名写入证书,客户端和服务端通信需要这个证书),因为我配置了DNS,所以就不用改hosts了,如果没有就需要改hosts文件指定。环境:采用CentO...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值