1.搭建,集群搭建:http://jingpin.jikexueyuan.com/article/48475.html(这个牛逼)
2.目录结构: 认准puppet.conf这个文件
3.有命令不会咋办?puppet help,进一步的不会咋办?puppet help xx 命令,比如 puppet help cert即可查看puppet cert咋用
4.认证:三种方式:验证后的东东放在自己目录的ssl下(参考自http://blog.51cto.com/superleedo/1900417)
a.手动,客户端先请求(puppet agent --server=xxxxx --no-daemonize –verbose或者puppet agent --server=xxxxx --test),master验证(逐个puppet cert --sign certnmame或者puppet cert --sign --all(有安全问题))
b.自动:安全系数低,原理是指定哪些规则的node可以直接批准签发,,,只要在master上编写ACL配置(/etc/puppet/autosign.conf ,需要重启puppet)即可,然后agent端直接puppet agent --test。
c.预签名认证,安全系数最高,操作繁琐(预先在master上生成agent证书(puppet ca --generate agent1_cert.puppet.com),再把证书拷贝到节点机上去(三个文件ssl/private_keys/agent1_cert.puppet.com.pem,ssl/certs/agent1_cert.puppet.com.pem,ssl/certs/ca.pem),操作可以利用kickstart或者cobble协助自动化完成)
各种命令:
认证相关:agent那边:puppet agent --test,master这边先查看有哪些,然后sign,puppet cert --list --all ,puppet cert --sign xxx,puppet cert --list --all再查看时可以看到,对应的请求前面有加号,查看认证的另一种办法,路径查看tree /var/lib/puppet/ssl/(这里也可能是根据puppet.conf里面的路径查看),里面有个signed目录。
http://www.bubuko.com/infodetail-2296973.html
清除xxxx的认证 : puppet cert --clean xxxx
测试:puppet agent --test