我们正在使用puppet来管理一组Ubuntu盒子,并且很快就会要求每个服务器共享一个共同的SSL证书,以便通过HTTPS为站点提供服务.当然,我们希望使用puppet来管理证书,但是由于安全隐患,我们意识到将它放入VCS(从木偶大师获取其模块的地方)可能不是一个好主意.
有没有人知道更好的解决方案?
披露:我是Puppet的开发者之一.
原文链接:https://www.f2er.com/ubuntu/348758.html一般做法是使用提供内容的特殊文件服务器安装,然后在其上设置ACL,只允许特定系统获取文件.这允许你使用source => ‘puppet:// …’规范,而不必与其他模块来自同一个地方.
您也可以查看hiera-gpg模块,如documented here,source here.这样可以在曝光方面为内容提供一些保护,这样只有经过批准的人员,以及有足够访问Puppet master的人才能破解代码才能获得数据,可以读取它.
