Incerc sa scară puppetserver, pentru a avea redundanță, folosind DNS round robin. Secundarul puppusserver (versiune 7.4.0) este configurat să utilizeze autoritatea CA de la primar puppusserver:
/etc/puppetlabs/puppet/puppet.conf:
[principal]
ca_name = Puppet CA: puppet-ca-master.company.com
ca_server = puppet-ca-master.company.com
[agent]
server = puppet-ca-master.company.com
runinterval=1800
Pe serverul secundar am dezactivat serviciul CA, deoarece ar putea exista o singură autoritate de certificare /etc/puppetlabs/puppetserver/services.d/ca.cfg:
# Pentru a activa serviciul CA, lăsați următorul rând necomentat
# puppetlabs.services.ca.certificate-authority-service/certificate-authority-service
# Pentru a dezactiva serviciul CA, comentați linia de mai sus și decomentați linia de mai jos
puppetlabs.services.ca.certificate-authority-disabled-service/certificate-authority-disabled-service
puppetlabs.trapperkeeper.services.watcher.filesystem-watch-service/filesystem-watch-service
Am eliminat certificatele din secundar, pentru a prelua certificatul semnat de la CA master:
rm -rf /etc/puppetlabs/puppet/ssl && mkdir -p /etc/puppetlabs/puppet/ssl/certs
chmod 0700 /etc/puppetlabs/puppet/ssl
chown -R puppet /etc/puppetlabs/puppet/ssl
Însă puppusserver serviciul refuză să pornească din cauza lipsei certificatului:
2021-09-30T09:06:18.220+02:00 EROARE [async-dispatch-2] [p.t.internal] Eroare la pornirea serviciului!!!
java.lang.IllegalArgumentException: Nu se poate deschide fișierul „ssl-cert”: /etc/puppetlabs/puppet/ssl/certs/secondary-puppetserver.company.com.pem
Când încerc să fug agent marionetă -t pe serverul de marionete secundar nu reușește să semneze certificatul:
Nu s-a putut prelua certificatul de la serverul CA; s-ar putea să mai fie nevoie să semnați certificatul acestui agent (secondary-puppetserver.company.com)
În plus, cheia privată este generată, dar nu una publică:
ll /etc/puppetlabs/puppet/ssl/public_keys/
total 0
