Di chuyển khách hàng bù nhìn sang người điều khiển rối mới

Làm cách nào tôi có thể di chuyển các máy khách rối hiện tại của chúng tôi để trỏ đến một máy chủ múa rối mới? Tôi thà không tự đi đến từng hộp khách và tạo chứng chỉ mới.

Khi thử hiển nhiên - rsync tất cả các tệp từ / etc / Puppet và / var / lib / Puppet sang máy chủ mới - chúng tôi đã gặp lỗi chứng chỉ

/etc/init.d/puppetmaster start 
* Starting puppet master                
Could not run: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key

Tôi đã có thể làm việc xung quanh đó bằng cách sao chép /var/lib/ssl/certsvà /var/lib/ssl/private_keytập tin từ old_hostnameđến new_hostname, mà về cơ bản là những gì đang đề xuất trong việc chuyển khách hàng bù nhìn để làm chủ một con rối mới (cũ máy chủ bù nhìn tổng thể đi, chỉ sử dụng sao lưu)

Thật không may, khách hàng của tôi vẫn biết có gì đó không ổn và đưa ra lỗi sau:

sudo puppetd --test --server newservername.example.net --noop 
info: Retrieving plugin
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate': hostname was not match with the server certificate
err: /File[/var/lib/puppet/lib]: Could not evaluate: hostname was not match with the server certificate Could not retrieve file metadata for puppet://newservername.example.net/plugins: hostname was not match with the server certificate
err: Could not retrieve catalog from remote server: hostname was not match with the server certificate
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

Vì vậy, tôi đoán các chứng chỉ ứng dụng khách vẫn biết tên máy chủ mà chúng được liên kết và không hài lòng về việc chuyển đổi.

Có cách nào để sử dụng con rối (chỉ vào con rối kế thừa) để triển khai các chứng chỉ mới, hoặc bằng cách nào đó tự động hóa quá trình ký?

TÓM TẮT: Hai giải pháp đã được trình bày: 1) bật autosignchủ, do đó bỏ qua chứng nhận hoàn toàn hoặc 2) đặt CNAME cũ để trỏ đến chủ mới, vì các chứng chỉ được gắn với tên máy chủ của chủ. Tôi đã chọn # 2 vì autosign cảm thấy như nó chỉ tắt bảo mật (mặc dù trong một thời gian giới hạn).

Bạn đang tìm cách để giữ cho cả hai bậc thầy bù nhìn và chạy trong một thời gian, và di chuyển khách hàng một chút?

Nếu vậy, bạn bị mắc kẹt khi chạm vào từng hệ thống máy khách; cho dù đó là trỏ đến một chủ mới, hoặc thêm một mục nhập tệp máy chủ, hoặc một số như vậy. Nếu đó là trường hợp, thì bạn cũng có thể chỉ cần khởi động bản gốc mới và đăng nhập lại từng máy khách (tốt hơn là hack tệp máy chủ để khắc phục các vấn đề xác thực).

Nếu không (nếu bạn dự định gỡ bỏ máy chủ cũ và cắt mọi thứ cùng một lúc), thì chỉ cần lấy tên máy chủ của máy chủ cũ với máy chủ mới; chứng chỉ sẽ được công nhận là hợp lệ nếu các máy khách đang kết nối với máy chủ mới trên tên cũ (tên trên chứng chỉ).

Bạn có thể chỉ cần sử dụng con $ssldirrối cũ và sử dụng nó trong con rối mới.

Ngoài ra, có thể triển khai một tập lệnh sẽ:

• (Không liên quan đến tập lệnh máy khách: có thể kích hoạt tự động gán trên máy chủ con rối mới)
• chạy một lát sau
• dừng khách hàng bù nhìn
• dọn dẹp ssldir của khách hàng
• sửa đổi Puppet.conf trên máy khách để trỏ đến máy chủ mới
• tạo một tệp khóa để đảm bảo nó không gây ra vòng lặp cấu hình lại vô tận
• bắt đầu lại rối

Xấu xí nhưng miễn là mô-đun di chuyển chỉ có trên máy chủ cũ và đảm bảo không có mô-đun di chuyển nào chỉ có trên máy chủ mới, đó là một điều duy nhất và chỉ nên làm điều kỳ diệu ...