Нужно архитектурное решение по массовому деплою puppet агентов из недоверенных сетей.
Кто как решает подписку запросов авторизации (signing certificate request)? У меня был настроен autosign на определенные доменные имена + ограничения по IP сетям в fileserver.conf. Но теперь это не подходит, т.к. мы стали использовать много разных VPS площадок и ситуация стремится к разрешению всего интернета в fileserver.conf. Таким образом, ограничения по IP не выход.
Вижу 2 альтернативы:
1. полуавтоматическая подпись сертификатов на стороне мастера в виде хоть бы даже CGI скрипта, вызываемого из сущности, которая и создает сервера. Параметр вызова это fqdn puppet-агента. Минус — процедура разбивается на 2 шага, каждый зависит от предыдущего:
- на агенте сделать запрос\заброс сертификата на мастер, с опцией waitforcert
- дернуть CGI с мастера в промежутке меньше чем waitforcert
2. Генерить сертификаты заранее и передавать их серверу-агенту до запуска там puppet agent. Опять же, нужен CGI скрипт на мастере, который сгенерит и вернет их. Итак,
- до деплоя сервера дернуть CGI с мастера. Параметр один - будущий FQDN агента. Получить tar.gz c сертификатами в виде base64.
- во время деплоя сервера-агента, передать ему этот base64, он установит puppet agent , распакует ключи и запустит puppet agent.
Может еще есть мысли? Мне больше нравится [2]. Как его лучше реализовать?