История изменений
Исправление router, (текущая версия) :
1) Запускаешь на master'е «ожидалку», которой говоришь: сейчас придёт IP=10.0.7.11 (или Hostname=newbie.doman.local), отдай ему манифест для шаблона/класса/роли
Насколько я знаю, так делает cfengine
В puppet это выглядит так:
- на новом хосте устаналиваешь клиента puppet
- на новом хосте puppet agent. Он обнаруживает что у него нет сертификата. Генерит новый ключ и засылает csr на puppet.$localdomain.
- на сервере puppet ты подписываешь новый сертификат и добавляешь ноду в манифест ( в моём случае - nodes.pp )
- на новом хосте ещё раз перезапускаешь puppet, он получает новый сертификат
- далее раз в полчаса ( по умолчанию ) puppet agent, авторизуясь своим сертификатом, ломится на puppet server и запрашивает манифест. Получив - применяет.
ЕМНИП, cobbler умеет разворачивать новые ВМ и автоматом подключать их к puppet. Я пока не использовал.2) Машинка 10.0.7.11 делает запрос в DNS SRV-записи, находит IP сервера-автоконфигуратора
И уязвимо. Пока на клиенте pupet нет сертификата, он не может определить, настоящий ли сервер принял соединение. При ручном подписывании сертификатов ты контролируешь процесс. Именно этим мне совершенно не понрафился cfengine - он подписывает сертфикаты автоматомВсё. Гениально просто, да и сертификаты сюда вполне можно прикрутить.
Исходная версия router, :
1) Запускаешь на master'е «ожидалку», которой говоришь: сейчас придёт IP=10.0.7.11 (или Hostname=newbie.doman.local), отдай ему манифест для шаблона/класса/роли
Насколько я знаю, так делает cfengine
В puppet это выглядит так:
- на новом хосте устаналиваешь клиента puppet
- на новом хосте puppet agent. Он обнаруживает что у него нет сертификата. Генерит новый ключ и засылает csr на puppet.$localdomain.
- на сервере puppet ты подписываешь новый сертификат и добавляешь ноду в манифест ( в моём случае - nodes.pp )
- на новом хосте ещё раз перезапускаешь puppet, он получает новый сертификат
- далее раз в полчаса ( по умолчанию ) puppet agent, авторизуясь своим сертификатом, ломится на puppet server и запрашивает манифест. Получив - применяет.
ЕМНИП, cobbler умеет разворачивать новые ВМ и автоматом подключать их к puppet. Я пока не использовал.2) Машинка 10.0.7.11 делает запрос в DNS SRV-записи, находит IP сервера-автоконфигуратора
И уязвимо. Пока на клиенте pupet нет сертификата, он не может определить, настоящий ли сервер принял соединение. При ручном подписывании сертификатов ты контролируешь процесс. Именно этим мне совершенно не понрафился cfengineВсё. Гениально просто, да и сертификаты сюда вполне можно прикрутить.