由于技术层面上面的政治原因,空白的puppet没有解决我们基础设施部分的正确的傀儡大师。 这些地区有自己的独立傀儡大师和CA. 今天我发现…我们在某个地方做了错事。
在其中一个区域的代理机器上运行此命令:
puppet certificate_revocation_list find crl --terminus rest
给我一个类似这样的错误:
Error: Could not call 'find' on 'certificate_revocation_list': SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-wrong.example.com]
当我试图运行木偶代理时,我得到了一个非常相似的:
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-right.example.com]
在对此进行故障排除期间,我发现了一个我不知道的命令…
puppet config print ca_server
哪个返回空白的puppet 。 这是什么时候发生的,因为puppet是puppet-wrong.example.com的CNAME。 我了解到,我应该在我们的puppet.conf文件中一直有ca_server = puppetmaster-right.example.com ,但从来不知道我必须在那里。
这是我build立的第二个这样的环境,它被打破了。
第一个,设置一样,似乎工作。 我不知道为什么。 距离傀儡大师也有300多米远,所以可能会有一部分。
这是一个“焚烧到地面,并做到这一点”(ca_server从一开始就设置)的情况下,还是这是我可以挖掘出来的东西呢?
如果您的代理人仍然能够正确登入主人,并且两位主人之间没有交叉,那么这应该只是一个设置问题
[main] ca_server = puppet-right.example.com
在/etc/puppet/puppet.conf中用puppet。
我已经testing了这个在我的代理之一,它似乎工作正常。 我可能会错过一些东西,但我不认为这是一个大问题来解决。