通过puppet发布Apache SSL证书是不是一个好主意? 这样做没有安全感吗? 有没有更好的方式分发SSL证书到大量的服务器?
我在傀儡中有以下类和定义: $certDirectory = "/var/lib/ssl/certs" class openssl { package { "openssl": ensure => latest } file { "openssl": path => "/var/lib/ssl", ensure => directory, mode => 0644 } file { "openssl-certs": path => "/var/lib/ssl/certs", ensure => directory, mode => 0644 } define cert($ensure = present) { $certfile = "${certDirectory}/${name}.cert" $keyfile = "${certDirectory}/${name}.key" $pemfile = "${certDirectory}/${name}.pem" file […]
我的服务器存在于没有外部networking连接的环境中(这是必需的),所以当我部署更新时,所有包,二进制文件,configuration文件等都必须包含在交付的介质上。 当然,我想要一些configurationpipe理,所以我可以告诉什么已经和没有安装。 所以我想知道,如果人们有厨师,傀儡或其他configurationpipe理types的工具来处理这种types的环境的经验。 最糟糕的情况是我将我的更新部署为RPM。 编辑: 我的设置有Linux服务器和Windows服务器。
快速版本 我已经build立了一个私人的deb库,并将一些已经签名的deb包拷贝进去。 我已经在本地安装了签名密钥。 但是,当我尝试从回购安装我得到这个警告: WARNING: The following packages cannot be authenticated! 当手动安装时,我可以按y,但我想使用puppet自动安装这些包,并且失败。 所以有什么问题? 我是否需要使用我控制的密钥来退出软件包? 有没有更好的方法来确保我安装了特定版本的puppet? 更多细节 我从傀儡debian仓库获得了软件包 – http://apt.puppetlabs.com/我只是从这个目录 (用于清理)复制软件包 然后使用为每个repo运行这些命令的脚本更新存储库: cd /var/www/html/apt/ubuntu/lucid dpkg-scanpackages binary /dev/null | gzip -9c > binary/Packages.gz dpkg-scansources sources /dev/null | gzip -9c > sources/Sources.gz 我已经在客户端上安装了签名密钥。 $ sudo apt-key list /etc/apt/trusted.gpg ——————– … pub 4096R/4BD6EC30 2010-07-10 [expires: 2016-07-08] uid Puppet Labs […]
我正在使用yumrepo内置types。 我可以得到一个基本的整合hiera工作 yumrepo { hiera('yumrepo::name') : metadata_expire => hiera('yumrepo::metadata_expire'), descr => hiera('yumrepo::descr'), gpgcheck => hiera('yumrepo::gpgcheck'), http_caching => hiera('yumrepo::http_caching'), baseurl => hiera('yumrepo::baseurl'), enabled => hiera('yumrepo::enabled'), } 如果我尝试删除该定义,而不是去hiera_include('classes') ,这是我在相应的yaml后端 classes: – "yumrepo" yumrepo::metadata_expire: 0 yumrepo::descr: "custom repository" yumrepo::gpgcheck: 0 yumrepo::http_caching: none yumrepo::baseurl: "http://myserver/custom-repo/$basearch" yumrepo::enabled: 1 我在代理上遇到这个错误 SERVER上的错误400:无法find类yumrepo 我想你不能脱离某种最小的节点声明w / hiera和资源types? 也许hiera_hash是要走的路? 我给了这个镜头,但是它产生了一个语法错误 yumrepo { 'hnav-development': hiera_hash('yumrepo') }
我们用Puppet快速pipe理数以百计的RedHat Enterprise Linux服务器。 其中一个很酷的副作用就是我们可以去/ var / lib / puppet / yaml / facts并查看“facter”工具(Puppet的一部分)的输出。 现在,我想获得更多信息的便捷性,例如哪些服务正在运行或已停用,或者已安装的软件包列表。 我并不是在讨论监控,因为我不太在意在这方面产生警报或图表,而更多的是将信息集中分析。 我看到两个部分这样做: 首先是一个将中央资源库连接到客户端的机制。 我记得net-snmp已经公开了RPM数据库,如果允许这样做,我想可能或可能会暴露chkconfig。 其次是存储所述信息的工具。 哪个工具可以帮助这个? 我正在寻找一种以便捷的方式存储数据的东西,无论是SQL,YAML,XML还是格式一致的文本文件,都可以很容易地被告知与谁交谈。
我有所有我的远程Linux机器上运行的NRPE守护进程。 我有几个configuration,我试图在我的nrpe.cfg标准化path。 更改通过Puppet部署。 我想使用下面的语法: command[mycommand]=$USER1$/check_tcp .. etc. $ USER1 $variables在我的NRPE设置中不可用。 我可以为所有变体编写Puppet模板,但是我更愿意通过本地方法来pipe理这个模板。 有什么可以做的吗? 如果没有任何人有一个示例Puppetconfiguration,将解决这个问题?
嗨,我想就如何在傀儡erb中编写这个帮助,基本上我有 server::actionhost { 'details': servername[ 'felix', 'washington', ], ipa [ '192.168.43.5', '192.168.43.11', ], enviro [ 'prod', 'uat', ], } 我现在要打印出一个文件,每个数组中的每个元素在一行中,即我的类中的模板文件的输出应该是这样的: felix 192.168.43.5 prod washington 192.168.43.11 uat 当我尝试这个时,我在我的模板文件中写了下面的代码: <% servername.each do |name| -%> <% ipa.each do |ip| -%> <% enviro.each do |env| -%> <%= name %> <%= ip %> <%= env %> <% end -%> <% […]
我已经有了一个运行Ubuntu的小VPS(在可预见的将来),只能托pipe我自己的静态网站。 从外部访问的唯一的服务将是SSH(只允许公共密钥authentication)和HTTP(可能是nginx)。 我正在通过Puppetpipe理服务器的configuration,并希望通过GitHub将此configuration作为例子分享给任何感兴趣的人。 Puppetconfiguration不包含任何密码或类似的敏感信息。 然而它包括例如防火墙configuration(这是非常基本的),可以使用sudo的用户的用户名,安装了哪些软件包等等。 我知道,入侵者对系统的了解越less越好。 但是实际上,通过发布configuration,我会付出多大的代价呢?
我试图决定在我的configurationpipe理系统中使用Puppet还是CFEngine。 性能将成为一个关键因素,互联网上的研究表明CFEngine比puppet使用更less的内存和CPU周期。 但是,木偶似乎更容易使用。 我需要pipe理几个Web服务器,以及手持平板电脑和机器,它们只会定期连接到一些中央控制服务器。 全部是Linux机器。 我可以使用木偶或CFEngine吗? 如果是这样的话,木偶仍然使用资源? 也是我想使用Puppet的部分原因是因为它看起来更简单,但是我发现很多文章都提到了CFEngine 2 – CFEngine 3更容易configuration吗?