Conversão de um puppetmaster para outro

Navegue suas respostas
1

Eu tenho um host de marionetes que vem puxando dados de um mestre de marionetes remoto, e agora eu quero transformar este anfitrião em um mestre de marionetes. O host (como agente de marionetes) já havia sido configurado e certificados SSL trocados.

Agora há um novo puppetmaster (no mesmo host) e não estou chegando a lugar algum para configurá-lo. Eu já configurei o puppet.conf para apontar para o novo servidor (o mesmo host, mas usando o nome DNS), mas ainda não configurei o fileserver.conf. O maestro usa o passageiro e o Apache.

O sistema é Ubuntu Lucid Lynx com Puppet 2.6.3 e A tentativa de iniciar o mestre de marionetes dá essa resposta: 

# service puppetmaster start
 * Starting puppet master
Could not prepare for execution: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key
   ...fail!

A configuração do passageiro de marionete do pacote apresenta este erro: 

# dpkg --configure puppetmaster-passenger
Setting up puppetmaster-passenger (2.6.3-0ubuntu1~lucid1) ...
Module ssl already enabled
Site puppetmaster already enabled
 * Restarting web server apache2
Syntax error on line 16 of /etc/apache2/sites-enabled/puppetmaster:
SSLCARevocationFile: file '/var/lib/puppet/ssl/ca/ca_crl.pem' does not exist or is empty
   ...fail!
invoke-rc.d: initscript apache2, action "restart" failed.
dpkg: error processing puppetmaster-passenger (--configure):
 subprocess installed post-installation script returned error exit status 1
Errors were encountered while processing:
 puppetmaster-passenger

Eu dei uma olhada em / var / lib / puppet / ssl mas não sei por onde começar - quais certificados remover ou alterar, e quais deixar sozinhos. Não vi nenhuma descrição dos certificados SSL. Eu não vejo como fazer /var/lib/puppet/ssl/ca/ca_crl.pem.

Este processo faz parte da configuração de uma configuração dual de puppetmaster. Ambos estariam ativos e representariam os mesmos dados em duas áreas diferentes (conectados por um link considerado "caro"). Assim, ambos os puppetmasters teriam a mesma informação (copiada pelo rsync talvez) e servindo como puppetmaster para os hosts do seu lado do link "caro", trocando dados com pouca frequência ou sob demanda.

Eu encontrei este thread em usuários de marionetes, mas não descreva como configurar as coisas e não descreva quais certificados SSL são quais.

ADICIONADO Mais informações: a execução de puppet master fornece estas informações: 

# puppet master
Could not prepare for execution: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key

Se eu souber onde estava esse certificado. Tenho certeza de que a configuração do servidor antigo está interferindo na nova instalação, mas não sei como remover a configuração.

    
por Mei 05.04.2011 / 17:25

2 respostas

2

Eu não quero diminuir as possíveis respostas de ninguém - talvez haja uma maneira mais clara de alcançar meus objetivos.

Aqui está o que eu fiz: eu removi tudo em / var / lib / puppet: 

cd /var/lib/puppet
rm -rf *

Desde que eu estava usando um gerenciador de pacotes, procurei por arquivos de qualquer pacote naquele diretório - e não havia nenhum. Para o Debian e o dpkg, isso é feito desta maneira: 

dpkg -S * */* */*/*

Como não foram encontrados pacotes que possuíssem esses arquivos, isso sugeriu que os arquivos foram criados dinamicamente e como o / var / lib / puppet era de propriedade de um pacote (puppet-common), deixei o diretório vazio no lugar.

Então eu corri como mestre de marionetes (na verdade, um erro desde que o passageiro deve ser usado) e os arquivos apropriados foram todos recriados. Depois de parar o puppetmaster, configurar o passageiro e configurar o / etc / default / puppetmaster e o "reinicialização" do puppetmaster (que falhou silenciosamente) - tudo parecia estar bem novamente.

A execução de puppet agent contra o servidor reduziu os certificados apropriados e tornou tudo legal.

    
por 05.04.2011 / 18:13
0

Se você não se preocupa em manter certificações para auditoria ou outras finalidades, é perfeitamente aceitável remover o diretório / var / lib / puppet / ssl, pois o fantoche irá recriar tudo o que precisa.

Se você precisa manter e quer mudar, você precisa se aprofundar no mundo do pki e renunciar certs reimplantar certs públicos etc. No seu caso, remover apenas o cacert para o seu antigo mestre de marionetes deve ser suficiente para derrubar o novo. quando você fala com o novo servidor.

    
por 30.10.2011 / 04:14

Tags

VLAN e opção de troca Seu IP está na lista negra - Directadmin [closed]