PUPPET - INICIALIZACION DE UN AGENTE

En esta sesion describimos como podemos dar de alta un cliente (agente) de puppet en nuestro master, y el proceso de firma de certificados necesario para que esto suceda.

Cargando video...

NOTA: Solo puedes ver una versión limitada del video a baja resolución, si quieres ver la versión completa por favor regístrate y obtén alguno de nuestros planes!

Descripción del Vídeo

A diferencia de Puppet Master (puppetmaster en lo sucesivo) donde el demonio lo levanta el usuario “puppet” en los Puppet Client  (nodo de aquí en adelante) corre con “root”.

Así mismo en los nodos se crea un certificado local, que luego es firmada por la autoridad certificadora “puppet ca“  (puppetca en lo sucesivo) ”.

Es importante resaltar que la comunicación entre el puppetmaster  y los nodos se realiza a través de SSL por lo que se  debe asegurar que el tiempo o reloj de las máquinas sea la misma de lo contrario no sincronizarán y no se firmarán los nodos, por lo que se recomienda tener un servidor de NTP para ello.

# puppet agent --server puppetmaster.testing.com --verbose --waitforcert 60
 notice: Did not receive certificate

Del lado de puppetmaster debe se aparecer la solicitud del cliente:

 ~$ sudo puppet ca list
  centos64  (SHA256) AB:C8:1D:55:7F:AE:FF:DF:58:45:8D:5A:74:6F:49:91:CB:DC:5F:D4:81:9D:F4:58:F9:EC:02:1F:C1:49:67:8F

Ahora se procede a firmar el nodo:

~$ sudo puppet ca sign  centos64

Notice: Signed certificate request for centos64
Notice: Removing file Puppet::SSL::CertificateRequest centos64 at '/var/lib/puppet/ssl/ca/requests/centos64.pem'

La firma de los nodos lo realiza el puppetmaster, a  través del uso de una herramienta llamada “puppetca”  que es la Autoridad Certificadora de Puppet, la misma puede configurarse para que auto-firme los nodos o no, sin embargo de fábrica esta opción viene configurada ”off” por motivos de seguridad.

Ejemplos de Puppetca:

Para “puppetca”  se tienen dos (2) comandos “--list” y “--sing” 

Se listan los nodos que han solicitado ser firmados:

# puppet ca --list

Se firman

# puppet ca --sign node1.testing.com

Rating

Global

Ver video en playlist

comments powered by Disqus