我们使用puppet来pipe理一组Ubuntu,并且很快就要求每台服务器共享一个通用的SSL证书,以便通过HTTPS为网站提供服务。 当然,我们想使用木偶来pipe理证书,但是意识到将它放入VCS(从木偶大师获取模块的地方)这一事实可能不是一个好主意,因为这会影响安全性。
有没有更好的解决scheme,任何人都知道?
披露:我是Puppet的开发者之一。
通常的做法是使用提供内容的特殊文件服务器装载,然后在其上有一个ACL,只允许特定的系统访问这些文件。 这允许你使用source => 'puppet://...'规范,而不必像其他模块那样来自同一个地方。
您也可以看一下hiera-gpg模块, 这里有文档介绍 。 这就允许对内容进行一定的保护,只有获得批准的人员和有足够权限访问木偶大师的人才可以窃取代码以获取数据。