puppetdbのSSLの問題
SSLを使用してPuppetdbをセットアップしていますが、証明書に問題があります。
NginxをPuppetのSSLプロキシとして使用しているので、私のCAはこのNginxプロキシマシン上の雑種サーバーによって管理されています。
NginxマシンのCAを使用してPuppetdbURIの証明書を生成すると、puppetlabs-puppetdbモジュールを使用してPuppetdbをセットアップできますが(PuppetエージェントはプロキシのCAを使用するため)、Puppetmasterは接続できませんそれはそれ自体を生成する独自のCA証明書を持っているからです。
Puppetmasterの1つを使用してPuppetdbURIの証明書を生成した場合、Puppetエージェントは同じCA証明書を使用しないため、puppetlabs-puppetdbモジュールを使用してPuppetdbをデプロイできません。
これらすべてを調整するために何ができますか? puppetmasterのSSLを完全にオフにして(SSLはNginxプロキシによって管理されているため)、プロキシのCAを使用してPuppetdbに接続することはできますか?
Puppetmasterに間違った設定を使用していました。つまり、別のディレクトリに独自のCAを作成させていました。 このリンク それをクリアしました。今私は:
- エージェントモードとマスターモードで同じディレクトリを使用します(私の場合、標準の
/var/lib/puppet/sslディレクトリ)。これにより、両方のモードで同じCAが使用されるようになります。 - Puppetmaster(セクション
master)でca=falseを使用して、puppetmasterが自分以外のCAの使用について文句を言わないようにします。 - Puppetmastersに
certname=を指定するのをやめ、エージェントモードで行われるようにマシンの名前を使用できるようにします。