Из-за политических причин выше технического слоя, bareword puppet
не решает к корректному puppetmaster для частей нашей инфраструктуры. Эти области имеют свой собственный, независимый puppetmaster, и Приблизительно Сегодня я обнаружил, что... мы сделали что-то не так где-нибудь.
Выполнение этой команды на машине агента в одной из этих областей:
puppet certificate_revocation_list find crl --terminus rest
Дайте мне ошибку, подобную этому:
Error: Could not call 'find' on 'certificate_revocation_list': SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-wrong.example.com]
Когда я пытаюсь выполнить марионеточный агент, я получаю очень похожий:
Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-right.example.com]
Во время поиска и устранения неисправностей для этого я нашел команду, о которой я не знал...
puppet config print ca_server
Который возвращает bareword puppet
. Это - когда клятва произошла с тех пор puppet
CNAME на puppetmaster-wrong.example.com. Я узнал, что должен был иметь ca_server = puppetmaster-right.example.com
в наших puppet.conf файлах все время, но никогда не знал, что у меня должен был быть он там.
Это является вторым такая среда, которую я настраиваю, и она хорошо повреждается.
Первый, настроенный то же, кажется, работает. И я не знаю почему. Это также на расстоянии приблизительно в 300 мс от puppetmaster-несправедливости, так, чтобы мог играть роль его.
Действительно ли это - случай, "сожгли его до основания и делают его правильно на этот раз" (ca_server набор с начала), или это что-то, из чего я могу раскопать меня?
Если ваши агенты по-прежнему могут правильно подключаться к мастеру, и между двумя мастерами нет кроссовера, тогда это должно быть просто вопросом установки
[main]
ca_server = puppet-right.example.com
в /etc/puppet/puppet.conf с помощью puppet.
Я тестировал это на одном из своих агентов,вроде нормально работает. Возможно, я что-то упускаю, но не думаю, что это большая проблема.