Иногда нам приходится запускать машину несколько раз, прежде чем все будет в порядке. Сначала вручную удалить сертификат SSL на Puppetmaster становится довольно сложно, тем более, что не у всех есть SSH-доступ к Puppetmaster.
Как предотвратить проблемы с сертификатами? Мы используем автоподпись, и серверы запускаются нормально, за исключением случаев, когда нам нужно снова запустить тот же сервер. Это потребует от нас сначала вручную удалить сертификат на Puppetmaster.
Использовать сапожник чтобы запустить ваши машины. Это просто тонкий слой поверх обычного DHCP+TFTP+PXE+kickstart рабочий процесс с дополнительными функциями, в том числе возможность начальной загрузки puppet на кикстартерных машинах.
В частности, конфигурация относительно puppet это:
# if enabled, this setting ensures that puppet is installed during # machine provision, a client certificate is generated and a # certificate signing request is made with the puppet master server puppet_auto_setup: 0 # when puppet starts on a system after installation it needs to have # its certificate signed by the puppet master server. Enabling the # following feature will ensure that the puppet server signs the # certificate after installation if the puppet master server is # running on the same machine as cobbler. This requires # puppet_auto_setup above to be enabled sign_puppet_certs_automatically: 0 # location of the puppet executable, used for revoking certificates puppetca_path: "/usr/bin/puppet" # when a puppet managed machine is reinstalled it is necessary to # remove the puppet certificate from the puppet master server before a # new certificate is signed (see above). Enabling the following # feature will ensure that the certificate for the machine to be # installed is removed from the puppet master server if the puppet # master server is running on the same machine as cobbler. This # requires puppet_auto_setup above to be enabled remove_old_puppet_certs_automatically: 0 # choose a --server argument when running puppetd/puppet agent during kickstart #puppet_server: 'puppet' # let cobbler know that you're using a newer version of puppet # choose version 3 to use: 'puppet agent'; version 2 uses status quo: 'puppetd' #puppet_version: 2 # choose whether to enable puppet parameterized classes or not. # puppet versions prior to 2.6.5 do not support parameters #puppet_parameterized_classes: 1
Вас интересует remove_old_puppet_certs_automatically параметр.