Puppet: está certo “forçar” certname quando você espera embaralhar os nós?

Todos nós sabemos ( bom exemplo sobre SF ) que a detecção do nome do host do Puppet pode ser ... divertida.

Na nossa empresa (e eu acho que não estamos sozinhos nisso) nós geralmente pré-configuramos os servidores em nossos escritórios e os testamos antes de levar o equipamento a um datacenter remoto e colocá-los em rack. É claro que o DNS reverso mudará ao fazer isso, mesmo que não alteremos o nome do host real do sistema.

Estamos lentamente esboçando nossa configuração de marionetes e eu gostaria de ter certeza de que essas jogadas não criarão problemas. Minha idéia é configurar explicitamente o FQDN completo desejado do sistema como certname in puppet.conf no tempo de provisionamento do servidor (antes da primeira execução de boneco). Meu processo seria algo como isto:

1. basic o.s. instalação
2. configuração básica de rede, o suficiente para acessar a internet e resolver dns
3. instale o fantoche e configure certname
4. inicie o fantoche e deixe-o gerenciar toda a configuração
5. teste, corrija problemas na configuração (via fantoche), faça um novo teste e assim por diante ...
6. pare o fantoche manualmente
7. configura a nova configuração de rede para a rede do datacenter
8. move a máquina para o DC
9. ligá-lo
10. fantoche deve iniciar automaticamente e continuar fazendo seu trabalho

O processo é apoiado pela detecção do ambiente em manifestos de marionetes (por exemplo, com base na sub-rede, como eles fazem na Wikimedia ) e modificam a configuração conforme necessário (por exemplo, resolv.conf de conteúdo apropriado para cada rede). O certname de cada nó nunca será alterado durante todo o ciclo de vida do sistema.

Existe algum problema com esta abordagem? Poderia ser melhorado?