puppetmster
2、配置puppet.conf 注意:這個裡面配置了兩個certname名稱,其中[master]中配置的certname是為所有節點認證用的master名稱,[agent]中配置的certname是他本身agent的名稱,當然不配置預設是和master的名稱是一樣的。
3、建立site.pp檔案
puppet的資源配置檔案在服務端的/etc/puppet/manifests目錄下,我們需要在該目錄下建立一個站點檔案site.pp。
site.pp檔案是puppet讀取所有子產品pp檔案的開始,在3.0版本以前必須設定,否則服務無法啟動。
檢視本地證書情況 puppetmaster第一次啟動會自動生成證書自動注冊自己
這個我們可以在/var/lib/puppet/ssl看到那些證書和key。如下:
ll /var/lib/puppet/ssl
這個目錄和/etc/puppet/puppet.conf檔案中配置的ssldir路徑有關系。
我們也可以檢視master端給自己授權的證書檔案,如下:
ll /var/lib/puppet/ssl/ca/signed
7.2 agent端申請證書
agent端在第一次連接配接master端時,會向master端申請證書。如果master端沒有授予agent端證書,那麼agent端和master端之間的連接配接是不會建立成功的。
此時agent端會持續等待master端授權證書,并會每隔2分鐘去檢查master端是否簽發證書。
我們現在使用puppet agent –server s.ilanni.com連接配接master端,如下:
puppet agent –server s.ilanni.com
7.3 master端授權證書
agent端申請證書完畢後,需要我們切換到master端,使用puppet cert指令來對agent端授權證書。
有關puppet cert的使用,我們可以檢視pupper cert的幫助資訊。如下:
pupper cert
在上圖中,puppet cert已經給出如何給一個agent端進行授權證書的例子。
現在我們來檢視master端有哪些主機在申請證書,如下:
puppet cert list
通過上圖,我們很明顯的可以看到c.ilanni.com用戶端正在申請證書。
現在我們來給agent端授權證書,使用如下指令:
puppet cert sign c.ilanni.com
注意:如果實際生産環境用戶端數量比較多的話,我們可以一次性授權所有證書。如下:
puppet cert sign –all
在master端檢視所有已經通過認證的agent端,如下:
puppet cert -all
現在我們再來看看master端給agent端授權的證書檔案,如下:
通過上圖,我們可以看出master端授權用戶端c.ilanni.com的證書檔案是c.ilanni.com.pem。
7.4 檢視agent端證書
在master端授權完畢後,我們現在切換到agent端檢視授權的證書檔案,如下:
ll /var/lib/puppet/ssl/certs
通過上圖,我們可以看出agent端的證書檔案c.ilanni.com.pem與master端的證書檔案是一樣的。
7.5 puppet證書問題
在實際的生産環境中,可能會出現已經通過master端認證的agent端主機名被修改或者其他一些誤操作,進而導緻agent端無法與master端進行正常通信。
當遇到這種情況時,我們一般的處理方法是先删除master端和agent端的相關的認證檔案,然後在agent端重新申請證書。
具體操作如下:
agent端,删除/var/lib/puppet/ssl目錄,如下:
rm -fr /var/lib/puppet/ssl
master端,删除/var/lib/puppet/ssl/ca/signed目錄下的證書檔案,如下:
rm -fr /var/lib/puppet/ssl/ca/signed/c.ilanni.com.pem
以上操作完畢後,agent端再次申請證書即可。
檢視監聽狀态 puppetmaster服務開啟後,預設監聽TCP 8140端口
本文轉自yzy121403725 51CTO部落格,原文連結:http://blog.51cto.com/lookingdream/1840024,如需轉載請自行聯系原作者