Я не мог найти ответа на то, что произошло в моей марионеточной среде, поэтому надеюсь, что кто-нибудь объяснит мне это здесь.
ENV: Мастер (Puppet CA), Хозяин Марионеток, Агент Марионеток
У меня есть Oracle vm 'server01.domain.xx' с Puppet Agent на нем, и его службы должны быть перенесены на другой хост с тем же полным доменным именем. Я пытался добиться этого следующим образом:
Чего я не сделал, так это отключения агента марионетки на старом хосте и удаления каталога ssl (на всякий случай), потому что я думал, что «puppet cert clean» должно быть достаточно, даже если fqdn такие же (как и имена сертификатов). Что случилось потом? Старая виртуальная машина запустила марионеточный агент и применила конфигурацию, которая уже была подготовлена для новой виртуальной машины. Надеюсь, ничего плохого не произошло.
Итак, мне не хватает некоторых знаний о том, как это действительно работает? Я думал, что создание закрытого и открытого ключа (4-5) делает это общение уникальным, и одно и то же имя сертификата не может его нарушить.
Заранее спасибо за разумное объяснение!
К сожалению, это правильно.
Бег puppet cert clean $certname недостаточно, чтобы заблокировать все еще активный узел.
После этого необходимо перезапустить хозяина марионетки, чтобы действительно использовать новый CRL.
Видеть: https://docs.puppetlabs.com/references/latest/man/cert.html#ACTIONS under revoke, но это также относится и к clean.