Я пытаюсь запустить puppet на некоторых серверах за пределами моего корпоративного брандмауэра, а puppetmaster находится внутри брандмауэра. Будет чрезвычайно сложно - если не невозможно - убедить корпоративный ИТ-отдел открыть для меня порт 8140, так каковы мои варианты, чтобы он заработал?
Это одна из радостей работы в большой корпорации. Вы можете быть системным администратором в одном из множества небольших отделов и не входить в ИТ-отдел. отдел вообще. Вы звоните в централизованную службу поддержки, которая поддерживает всех 10 000 сотрудников, работающих с настольными компьютерами:
Вы: Привет, я хотел бы запросить изменение основного входящего межсетевого экрана офиса, чтобы разрешить 192.0.2.0/24 доступ к 10.0.5.0/24 через порт 8140.
Их: Это ПК или Mac?
Вы: Какой? Нет, прошу модификацию межсетевого экрана для всего офиса. С моим компьютером все в порядке.
Их: Хорошо, я хочу, чтобы вы зашли в меню "Пуск" и<click>
...
Познакомьтесь с менеджерами I.T. отдел. Познакомьтесь с ребятами, которые работают в НОК. На самом деле спуститесь туда, представьтесь и поболтайте с ними. В большой компании все сводится к кого ты знаешь и насколько ты им нравишься.
Теперь, когда вам в следующий раз понадобится сделать что-то подобное, не звоните в корпоративный ИТ. - Звоните напрямую зам. И.Т. директор или руководитель NetOps.
ИТ-директор: Привет, Брукс, чем я могу вам помочь?
Вы: Я настраиваю общий Puppet для наших рабочих серверов и серверов разработки, и мне нужны рабочие клиенты Puppet, чтобы поговорить с мастером Puppet в офисе.
ИТ-директор: Хорошо, просто отправьте и отправьте электронное письмо с подробностями IP-адреса Джону в NOC, и я одобрю запрос, когда он поступит. Кстати, как прошла твоя игра на выходных?
Обратите внимание, что это не тот разговор, который у вас будет завтра. Это тот, который вы получите через три месяца, когда каждый компетентный системный администратор и ИТ-менеджер знает ваше имя. Завтра начинаю знакомиться с этими ребятами.
Пока вы работаете над навыками работы с людьми, это требование что Хозяин Марионеток будет в вашем офисе?
Почему бы не поместить его в то же место, что и клиенты? Это решит вашу проблему и, скорее всего, другие проблемы, такие как задержка и разорванные соединения.
Вы можете запустить puppetmaster на 443. Если вы хотите запустить мастер как на 8140, так и на 443, и это сервер Linux, хорошим вариантом будет использование iptables.
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8140
На агенте установите masterport = 443 в puppet.conf.
У нас была аналогичная проблема с нашей инфраструктурой, мы решили открыть туннель SSH. Например, вы могли бы открыть туннель через локальный ящик.
ssh -L 8140:localhost:8140 $puppetmaster
ssh -R 8140:localhost:80 $host
Это было давно, но если мне не изменяет память, это должно помочь.
Проверить это статья о туннелировании SSH.