Назад | Перейти на главную страницу

Несколько агентов на одном хосте

Возможно ли, что два запускают несколько марионеточных агентов с разными правами пользователя на одном хосте?

У меня есть сервер, которым должны управлять два не связанных пользователя через марионетку. (одна учетная запись пользователя для разработчика и одна учетная запись root для группы серверов)

Учетная запись без полномочий root может просто запустить puppet agent --one-time --no-daemonize и любой другой вкус puppet agent.

Конфигурация и постоянные данные будут найдены и сохранены в

  • ~/.puppet/ для Puppet 3.x и старше
  • ~/.puppetlabs/ для Puppet 4.x и более поздних версий

Что вы хотите убедиться с помощью ~/.puppet/puppet.conf:

  • вы используете отличный certname настройка вторичного агента
  • вы, вероятно, захотите использовать альтернативный server а также, чтобы ваш главный мастер не доверял сертификату (да, вам понадобится новый мастер Puppet, если вы этого хотите)
  • vardir и его дети, такие как ssldir и statedir отличаются от центрального расположения системы и доступны для записи пользователю (это самый безопасный не их вообще трогать - значения по умолчанию вполне вменяемы; смотрите также puppet agent --configprint all).

Кроме того, манифест должен быть ограничен ресурсами, которыми может управлять непривилегированный агент, например

  • файлы, принадлежащие пользователю
  • cron задания пользователя
  • Гемы Ruby установлены в домашнем каталоге пользователя

и т.п.