У меня только что было подготовлено 5 новых серверов для замены существующих. Все текущие серверы настроены на web1.domain.com и т. Д. И используют марионетку для управления конфигурацией. Я хочу настроить новые серверы, чтобы заменить старые с теми же именами хостов, но похоже, что у puppet есть проблема с этим, поскольку частные ключи ssl различаются между двумя серверами "web1".
Как проще всего обновить эти хосты? На данный момент я вижу единственный способ - удалить /var/lib/puppet/ssl/ca/.pem на сервере и добавить новый запрос подписи с нового хоста. Тогда старый хост не сможет подключиться к моему кукловоду.
Ты можешь использовать puppet cert clean для удаления сертификата старого хоста от мастера, позволяя новому хосту получить подписанный сертификат .. но это нарушит последующие запуски марионетки старого хоста.
Другой вариант - это allow_duplicate_certs вариант в puppet.conf, но вместо того, чтобы позволить двум узлам сосуществовать, он позволяет автоматически перезаписывать сертификат старого хоста при подписании нового.
Единственный способ позволить им продолжить успешное выполнение марионеточных запусков - это использовать один и тот же сертификат - вам нужно будет вручную скопировать сертификат и закрытый ключ из одного в другой.