Ajouter des nœuds à gérer par le serveur maître Puppet - AWS OpsWorks
Exécution des appels d'API associateNode()Considérations relatives à l'ajout de nœuds sur siteEn savoir plus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter des nœuds à gérer par le serveur maître Puppet

Important

Le AWS OpsWorks for Puppet Enterprise service a atteint sa fin de vie le 31 mars 2024 et a été désactivé pour les nouveaux clients et les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

La méthode recommandée pour ajouter des nœuds consiste à utiliser l' AWS OpsWorks associateNode()API. Le serveur maître Puppet Enterprise héberge un référentiel qui vous permet d'installer le logiciel agent Puppet sur les nœuds à gérer, que ces derniers soient des ordinateurs physiques ou des machines virtuelles sur site. Le logiciel Puppet Agent de certains systèmes d'exploitation est installé sur le OpsWorks serveur Puppet Enterprise dans le cadre du processus de lancement. Le tableau suivant indique les agents du système d'exploitation disponibles sur votre serveur OpsWorks pour Puppet Enterprise au lancement.

Agents du système d'exploitation préinstallés
Système d'exploitation pris en charge Versions
Ubuntu 16,04, 18,04, 20,04
Red Hat Enterprise Linux (RHEL) 6, 7, 8
Windows Éditions 64 bits de toutes les versions Windows prises en charge par Puppet

Vous pouvez ajouter puppet-agent à votre serveur pour d'autres systèmes d'exploitation. Sachez que l'opération de maintenance du système supprimera les agents ajoutés à votre serveur après le lancement. Bien que l'archivage se poursuive pour la plupart des nœuds attachés existants qui exécutent déjà l'agent supprimé, les nœuds exécutant des systèmes d'exploitation Debian peuvent cesser d'envoyer des rapports. Nous vous recommandons d'effectuer l'installation manuellement puppet-agent sur les nœuds qui exécutent des systèmes d'exploitation pour lesquels le logiciel agent n'est pas préinstallé sur votre serveur OpsWorks pour Puppet Enterprise. Pour obtenir des informations détaillées sur la façon de rendre puppet-agent disponible sur votre serveur pour les nœuds associés à d'autres systèmes d'exploitation, consultez Installing agents (Installation d'agents) dans la documentation de Puppet Enterprise.

Pour obtenir des informations sur la façon d'associer automatiquement des nœuds à votre serveur maître Puppet en complétant les données utilisateur des instances EC2, consultez Ajout automatique de nœuds dans OpsWorks Puppet Enterprise.

Exécution des appels d'API associateNode()

Après avoir ajouté des nœuds par installationpuppet-agent, les nœuds envoient des demandes de signature de certificat (CSR) au serveur OpsWorks for Puppet Enterprise. Les demandes de signature de certificat peuvent être affichées dans la console Puppet. Pour plus d'informations sur les demandes de signature de certificat d'un nœud, consultez Managing certificate signing requests (Gestion des demandes de signature de certificat) dans la documentation de Puppet Enterprise. L'exécution de l'appel d'associateNode()API OpsWorks for Puppet Enterprise traite les CSR du nœud et associe le nœud à votre serveur. Voici un exemple d'utilisation de cet appel d'API AWS CLI pour associer un seul nœud. Vous aurez besoin de la demande de signature de certificat au format PEM envoyée par le nœud, que vous pourrez obtenir à partir de la console Puppet.

aws opsworks-cm associate-node --server-name "test-puppet-server" --node-name "node or instance ID" --engine-attributes "Name=PUPPET_NODE_CSR,Value='PEM_formatted_CSR_from_the_node'

Pour plus d'informations sur la façon d'ajouter automatiquement des nœuds en utilisant associateNode(), consultez Ajout automatique de nœuds dans OpsWorks Puppet Enterprise.

Considérations relatives à l'ajout de nœuds sur site

Après l'avoir installé puppet-agent sur vos ordinateurs locaux ou vos machines virtuelles, vous pouvez utiliser l'une des deux méthodes suivantes pour associer des nœuds locaux à votre master OpsWorks for Puppet Enterprise.

  • Si un nœud prend en charge l'installation du kit SDK AWS, de l'AWS CLI ou de AWS Tools for PowerShell, vous pouvez utiliser la méthode recommandée pour associer un nœud, qui consiste à exécuter un appel d'API associateNode(). Le kit de démarrage que vous téléchargez lorsque vous créez un master OpsWorks pour Puppet Enterprise pour la première fois montre comment attribuer des rôles aux nœuds à l'aide de balises. Vous pouvez appliquer des balises en même temps que vous associez des nœuds au serveur maître Puppet en spécifiant des faits approuvés dans la CSR. Par exemple, le référentiel de contrôle de démonstration qui est inclus avec le kit de démarrage est configuré pour utiliser la balise pp_role pour attribuer des rôles aux instances Amazon EC2. Pour plus d'informations sur l'ajout de balises à la CSR en tant que faits approuvés, consultez Extension requests (permanent certificate data) dans la documentation de la plateforme Puppet.

  • Si le nœud ne peut pas exécuter les outils de AWS gestion ou de développement, vous pouvez toujours l'enregistrer auprès de votre master OpsWorks for Puppet Enterprise de la même manière que vous l'enregistreriez auprès d'un master Puppet Enterprise non géré. Comme indiqué dans cette rubrique, l'installation puppet-agent envoie un CSR au maître OpsWorks de Puppet Enterprise. Un utilisateur autorisé de Puppet peut signer la CSR manuellement ou configurer une signature automatique des CSR en modifiant le fichier autosign.conf qui est stocké sur le serveur maître Puppet. Pour plus d'informations sur la configuration de la signature automatique et la modification de autosign.conf, consultez SSL configuration: autosigning certificate requests dans la documentation de la plateforme Puppet.

Pour associer des nœuds sur site à un serveur maître Puppet et autoriser ce dernier à accepter toutes les CSR, procédez comme suit dans la console Puppet Enterprise. Le paramètre qui contrôle le comportement est puppet_enterprise::profile::master::allow_unauthenticated_ca.

Important

Pour des raisons de sécurité, il n'est pas recommandé d'activer le serveur maître Puppet pour accepter des CSR auto-signées ou toutes les CSR. Par défaut, le fait d'autoriser des CSR non authentifiées rend un serveur maître Puppet accessible à tout le monde. Le fait de définir le chargement des demandes de certificat de telle sorte qu'il soit activé par défaut peut rendre votre serveur maître Puppet vulnérable aux attaques de type déni de service (DoS, Denial of Service).

  1. Connectez-vous à la console Puppet Enterprise.

  2. Choisissez Configure, Classification, PE Master, puis l'onglet Configuration.

  3. Dans l'onglet Classification, recherchez la classe puppet_enterprise::profile::master.

  4. Définissez la valeur du paramètre allow_unauthenticated_ca sur true.

  5. Enregistrez vos modifications. Vos modifications seront appliquées lors de la prochaine exécution de Puppet. Vous pouvez patienter 30 minutes que ces modifications prennent effet (et que les nœuds sur site soient ajoutés), ou vous pouvez lancer manuellement une exécution de Puppet dans la section Run de la console PE.

En savoir plus

Consultez le didacticiel Learn Puppet pour en savoir plus sur l'utilisation OpsWorks des serveurs Puppet Enterprise et sur les fonctionnalités de la console Puppet Enterprise.