Puppetをインストールする part5
今回は、こちらの続きをやっていきます。
http://ressy-tech.hatenablog.jp/entry/tech/puppet/install4
5. Master側での署名確認(Master)
前回は、AgentのインストールとMasterへの接続テストを行いました。
今回は、Master側でAgentの証明書へ署名を行います。
この作業が必要なのは、MasterはAgentからの接続が、正規ホストからのものであることを認証しているためです。
まずは、署名待ちになっている証明書を確認します。
以下のように実行しましょう。
# puppet cert list --all "dbs01" (SHA256) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx "web01" (SHA256) yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy + "mgs01" (SHA256) zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz (alt names: ....)
ホスト名の前に、+
がついて入れば署名済み、ついていなければ署名されてない状態となります。
上記の場合、WEB01とDBS01が署名されてない状態となります。
※ MGS01は、Masterサーバと兼用しているためか、私の環境では最初から署名済みでした。
この部分は定かではないので、少し調べる必要がありそうです。
署名されてない証明書に署名をしましょう。
以下を実行します。
# puppet cert sign --all Notice: Signed certificate request for web01 Notice: Removing file Puppet::SSL::CertificateRequest web01 at '/var/lib/puppet/ssl/ca/requests/web01' Notice: Signed certificate request for dbs01 Notice: Removing file Puppet::SSL::CertificateRequest dbs01 at '/var/lib/puppet/ssl/ca/requests/dbs01'
改めて、puppet cert list --all
を実行しましょう。
# puppet cert list --all + dbs01" (SHA256) xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx + "web01" (SHA256) yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy + "mgs01" (SHA256) zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz:zz (alt names: ....)
全てのホスト名の前に+
がつきました。
これで全てのサーバの署名が完了しました。
Puppetのインストールで必要な作業は以上になります。
ここまでを実施して、初めてマニフェストを各サーバへ適用できるようになりました。
次回は、マニフェストを実際に書いてみます。