Adicionar nós para o Puppet master gerenciar - AWS OpsWorks

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar nós para o Puppet master gerenciar

Importante

O AWS OpsWorks for Puppet Enterprise serviço chegou ao fim da vida útil em 31 de março de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

A forma recomendada de adicionar nós é usando a AWS OpsWorks associateNode() API. O servidor Puppet Enterprise master hospeda um repositório usado para instalar o software do agente do Puppet nos nós que você deseja gerenciar, sejam esses nós computadores físicos no local ou máquinas virtuais. O software do agente Puppet para alguns sistemas operacionais é instalado no servidor do OpsWorks Puppet Enterprise como parte do processo de inicialização. A tabela a seguir mostra os agentes do sistema operacional que estão disponíveis em seu servidor OpsWorks para o Puppet Enterprise na inicialização.

Agentes do sistema operacional pré-instalados
Sistema operacional com suporte Versões
Ubuntu 16.04, 18.04, 20.04
Red Hat Enterprise Linux (RHEL) 6, 7, 8
Windows Edições de 64 bits de todos os lançamentos do Windows compatíveis com o Puppet

Você pode adicionar puppet-agent ao seu servidor para outros sistemas operacionais. Lembre-se de que a manutenção do sistema excluirá agentes adicionados ao seu servidor após a inicialização. Embora a maioria dos nós conectados existentes que já executam o agente excluído continuem a verificar, os nós que executam os sistemas operacionais Debian podem interromper a geração de relatórios. Recomendamos que você instale manualmente puppet-agent em nós que estejam executando sistemas operacionais para os quais o software do agente não esteja pré-instalado no seu servidor OpsWorks for Puppet Enterprise. Para obter informações detalhadas sobre como disponibilizar o puppet-agent no servidor para nós com outros sistemas operacionais, consulte Installing agents na documentação do Puppet Enterprise.

Para obter informações sobre como associar nós ao seu mestre Puppet automaticamente preenchendo os dados do usuário da EC2 instância, consulte. Adicionando nós automaticamente OpsWorks para o Puppet Enterprise

Executar chamadas da API associateNode()

Depois de adicionar nós por meio da instalaçãopuppet-agent, os nós enviam solicitações de assinatura de certificado (CSRs) OpsWorks para o servidor do Puppet Enterprise. Você pode ver o CSRs no console do Puppet; para obter mais informações sobre o node CSRs, consulte Gerenciando solicitações de assinatura de certificados na documentação do Puppet Enterprise. Executar o CSRs nó de processos de chamada associateNode() da API OpsWorks for Puppet Enterprise e associar o nó ao seu servidor. Veja a seguir um exemplo de como usar essa chamada de API no AWS CLI para associar um único nó. Você precisará da CSR no formato PEM que o nó envia. Isso pode ser obtido no console do Puppet.

aws opsworks-cm associate-node --server-name "test-puppet-server" --node-name "node or instance ID" --engine-attributes "Name=PUPPET_NODE_CSR,Value='PEM_formatted_CSR_from_the_node'

Para obter mais informações sobre como adicionar nós automaticamente usando associateNode(), consulte Adicionando nós automaticamente OpsWorks para o Puppet Enterprise.

Considerações sobre a adição de nós locais

Depois de instalar puppet-agent em seus computadores locais ou máquinas virtuais, você pode usar uma das duas maneiras de associar nós locais ao seu OpsWorks mestre do Puppet Enterprise.

  • Se um nó oferecer suporte à instalação do SDK da AWS, da AWS CLIou do Ferramentas da AWS para PowerShell, você poderá usar o método recomendado para associar um nó, que é executar uma chamada da API associateNode(). O kit inicial que você baixa ao criar um master OpsWorks para o Puppet Enterprise pela primeira vez mostra como atribuir funções aos nós usando tags. Você pode aplicar tags ao mesmo tempo em que associa os nós ao Puppet master especificando fatos confiáveis na CSR. Por exemplo, o repositório de controle de demonstração incluído no kit inicial está configurado para usar a tag para atribuir funções pp_role às instâncias da Amazon EC2 . Para obter mais informações sobre como adicionar tags a uma CSR como fatos confiáveis, consulte Solicitações de extensão (dados certificados permanentes) na documentação da plataforma do Puppet.

  • Se o nó não puder executar ferramentas AWS de gerenciamento ou desenvolvimento, você ainda poderá registrá-lo com seu OpsWorks mestre do Puppet Enterprise da mesma forma que você o registraria com qualquer mestre não gerenciado do Puppet Enterprise. Conforme mencionado neste tópico, a instalação puppet-agent envia uma CSR OpsWorks para o mestre do Puppet Enterprise. Um usuário autorizado do Puppet pode assinar a CSR manualmente ou configurar a assinatura automática CSRs editando o autosign.conf arquivo armazenado no Puppet master. Para obter mais informações sobre a configuração de autoassinatura e a edição autosign.conf, consulte Configuração de SSL: solicitações de certificado de autoassinatura na documentação da plataforma do Puppet.

Para associar nós locais a um mestre do Puppet e permitir que o mestre do Puppet aceite tudo CSRs, faça o seguinte no console do Puppet Enterprise. O parâmetro que controla o comportamento é puppet_enterprise::profile::master::allow_unauthenticated_ca.

Importante

Não é recomendável permitir que o Puppet master aceite o autoassinado CSRs ou tudo não CSRs é recomendado por motivos de segurança. Por padrão, permitir a autenticação não autenticada CSRs torna o Puppet master acessível ao mundo. Definir o carregamento de solicitações de certificado como habilitado por padrão pode deixar o Puppet master vulnerável a ataques de negação de serviço (DoS).

  1. Faça login no console do Puppet Enterprise.

  2. Selecione Configure (Configurar), Classification (Classificação), PE Master e, em seguida, selecione a guia Configuration (Configuração).

  3. Na guia Classification (Classificação), localize a classe puppet_enterprise::profile::master.

  4. Defina o valor do parâmetro allow_unauthenticated_ca como true (verdadeiro).

  5. Salve as alterações. Suas alterações serão aplicadas durante a próxima execução do Puppet. Você pode permitir 30 minutos para as alterações entrarem em vigor (e os nós locais serem adicionados) ou você pode iniciar uma execução do Puppet manualmente na seção Run (Execução) do console do PE.

Mais informações

Visite o site de tutoriais do Learn Puppet para saber mais sobre como usar OpsWorks os servidores do Puppet Enterprise e os recursos do console do Puppet Enterprise.