Puppet: está certo “forçar” certname quando você espera embaralhar os nós?

4

Todos nós sabemos ( bom exemplo sobre SF ) que a detecção do nome do host do Puppet pode ser ... divertida.

Na nossa empresa (e eu acho que não estamos sozinhos nisso) nós geralmente pré-configuramos os servidores em nossos escritórios e os testamos antes de levar o equipamento a um datacenter remoto e colocá-los em rack. É claro que o DNS reverso mudará ao fazer isso, mesmo que não alteremos o nome do host real do sistema.

Estamos lentamente esboçando nossa configuração de marionetes e eu gostaria de ter certeza de que essas jogadas não criarão problemas. Minha idéia é configurar explicitamente o FQDN completo desejado do sistema como certname in puppet.conf no tempo de provisionamento do servidor (antes da primeira execução de boneco). Meu processo seria algo como isto:

  1. basic o.s. instalação
  2. configuração básica de rede, o suficiente para acessar a internet e resolver dns
  3. instale o fantoche e configure certname
  4. inicie o fantoche e deixe-o gerenciar toda a configuração
  5. teste, corrija problemas na configuração (via fantoche), faça um novo teste e assim por diante ...
  6. pare o fantoche manualmente
  7. configura a nova configuração de rede para a rede do datacenter
  8. move a máquina para o DC
  9. ligá-lo
  10. fantoche deve iniciar automaticamente e continuar fazendo seu trabalho

O processo é apoiado pela detecção do ambiente em manifestos de marionetes (por exemplo, com base na sub-rede, como eles fazem na Wikimedia ) e modificam a configuração conforme necessário (por exemplo, resolv.conf de conteúdo apropriado para cada rede). O certname de cada nó nunca será alterado durante todo o ciclo de vida do sistema.

Existe algum problema com esta abordagem? Poderia ser melhorado?

    
por Luke404 05.09.2012 / 23:50

1 resposta

2

Concordo que forçar o nome do certificado facilitará as coisas. No entanto, o comando hostname pode se comportar de maneira muito inconsistente quando se trata de determinar o --fqdn (ele resolve o IP para o hostname , depois procura o nome reverso desse IP; todos podem ser configurados em /etc/hosts , claro).

Se você configurar o nome de host do sistema para ser o FQDN, em vez de apenas o nome abreviado, o fantoche não tentará fazer nenhuma pesquisa de nome engraçado. Ele apenas usará essa sequência, dividindo-a em hostname e domain no primeiro ponto, e fqdn será a coisa toda. Isso é algo que você também pode querer considerar.

    
por 08.09.2012 / 15:47

Tags