Aggiungere nodi che il Puppet Master può gestire - AWS OpsWorks
Eseguire chiamate API associateNode()Considerazioni per l'aggiunta di nodi localiUlteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungere nodi che il Puppet Master può gestire

Importante

Il AWS OpsWorks for Puppet Enterprise servizio ha raggiunto la fine del ciclo di vita il 31 marzo 2024 ed è stato disabilitato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Il modo consigliato per aggiungere nodi è utilizzare l' AWS OpsWorks associateNode()API. Il master server Puppet Enterprise ospita un archivio che è possibile utilizzare per installare il software agente Puppet su nodi che si desidera gestire, sia che i nodi si trovino su computer fisici locali sia su macchine virtuali. Il software Puppet Agent per alcuni sistemi operativi viene installato sul server OpsWorks for Puppet Enterprise come parte del processo di avvio. La tabella seguente mostra gli agenti del sistema operativo disponibili sul server OpsWorks for Puppet Enterprise al momento del lancio.

Agenti del sistema operativo preinstallati
Sistema operativo supportato Versioni
Ubuntu 16.04, 18.04, 20.04
Red Hat Enterprise Linux (RHEL) 6, 7, 8
Windows Edizioni a 64 bit di tutte le versioni Windows supportate da Puppet

È possibile aggiungere puppet-agent al server per altri sistemi operativi. Si noti che la manutenzione del sistema eliminerà agenti aggiunti al server dopo l'avvio. Anche se la maggior parte dei nodi collegati esistenti che eseguono già l'agente eliminato continuano a eseguire il check-in, i nodi che eseguono sistemi operativi Debian possono interrompere la creazione di report. Si consiglia di eseguire l'installazione manualmente puppet-agent su nodi che eseguono sistemi operativi per i quali il software dell'agente non è preinstallato sul server OpsWorks for Puppet Enterprise. Per informazioni dettagliate su come rendere puppet-agent disponibile sul server per i nodi con altri sistemi operativi, consulta Installazione di agenti nella documentazione Puppet Enterprise.

Per informazioni su come associare nodi con il Puppet Master automaticamente popolando i dati utente dell'istanza EC2, consulta Aggiungere nodi automaticamente in OpsWorks Puppet Enterprise.

Eseguire chiamate API associateNode()

Dopo aver aggiunto i nodi mediante l'installazionepuppet-agent, i nodi inviano le richieste di firma dei certificati (CSR) al server OpsWorks for Puppet Enterprise. È possibile visualizzare i CSR nella console Puppet; per ulteriori informazioni sulle richieste CSR dei nodi, consulta Gestione delle richieste di firma del certificato nella documentazione Puppet Enterprise. L'esecuzione della chiamata associateNode() API OpsWorks for Puppet Enterprise elabora i CSR del nodo e associa il nodo al server. Di seguito è riportato un esempio di come utilizzare questa chiamata API per associare un singolo AWS CLI nodo. È necessaria la richiesta CSR formattata PEM che il nodo invia; è possibile ottenerla dalla console Puppet.

aws opsworks-cm associate-node --server-name "test-puppet-server" --node-name "node or instance ID" --engine-attributes "Name=PUPPET_NODE_CSR,Value='PEM_formatted_CSR_from_the_node'

Per ulteriori informazioni su come aggiungere nodi automaticamente utilizzando associateNode(), consulta Aggiungere nodi automaticamente in OpsWorks Puppet Enterprise.

Considerazioni per l'aggiunta di nodi locali

Dopo l'installazione puppet-agent sui computer locali o sulle macchine virtuali, puoi utilizzare uno dei due modi per associare i nodi locali al master di OpsWorks for Puppet Enterprise.

  • Se un nodo supporta l'installazione di SDK AWS, AWS CLI o AWS Tools for PowerShell, è possibile utilizzare il metodo consigliato per l'associazione di un nodo, ovvero per eseguire una chiamata API associateNode(). Lo starter kit che scarichi quando crei per la prima volta un master OpsWorks for Puppet Enterprise mostra come assegnare ruoli ai nodi utilizzando i tag. È possibile applicare tag nello stesso momento in cui si stanno associando i nodi con il Puppet master specificando fatti affidabili nella richiesta CSR. Ad esempio, l'archivio di controllo demo incluso nello starter kit è configurato per l'utilizzo del tag pp_role per assegnare ruoli alle istanze Amazon EC2. Per ulteriori informazioni su come aggiungere tag a una richiesta CSR come fatti affidabili, consulta Richieste di estensione (dati di certificato permanente) nella documentazione piattaforma Puppet.

  • Se il nodo non è in grado di eseguire strumenti di AWS gestione o sviluppo, puoi comunque registrarlo nel tuo master OpsWorks for Puppet Enterprise nello stesso modo in cui lo registreresti con qualsiasi master Puppet Enterprise non gestito. Come indicato in questo argomento, l'installazione puppet-agent invia una CSR al master OpsWorks for Puppet Enterprise. Un utente Puppet non autorizzato può eseguire l'accesso CSR manualmente o configurare la firma automatica delle richieste CSR modificando il file autosign.conf archiviato nel Puppet master. Per ulteriori informazioni sulla configurazione della firma automatica e della modifica autosign.conf, consulta Configurazione SSL: firma automatica di richieste di certificati nella documentazione piattaforma Puppet.

Per associare nodi locali con un Puppet master e consentirgli di accettare tutti i CSR, procedere come segue nella console Puppet Enterprise. Il parametro che controlla il comportamento è puppet_enterprise::profile::master::allow_unauthenticated_ca.

Importante

Consentire al Puppet master di accettare i CSR autofirmati o tutti i CSR non è consigliato per motivi di sicurezza. Per impostazione predefinita, l'abilitazione di CSR non autenticati rende il Puppet master accessibile al mondo. L'impostazione dell'abilitazione per impostazione predefinita del caricamento delle richieste di certificati può rendere Puppet master vulnerabile ad attacchi Denial of Service (DoS).

  1. Effettuare l'accesso alla console Puppet Enterprise.

  2. Scegliere Configure (Configura), Classification (Classificazione) e PE Master, quindi selezionare la scheda Configuration (Configurazione).

  3. Nella scheda Classification (Classificazione) individuare la classe puppet_enterprise::profile::master.

  4. Imposta il valore del parametro allow_unauthenticated_ca su true.

  5. Salvare le modifiche. Le modifiche vengono applicate durante la prossima esecuzione di Puppet. È possibile aspettare 30 minuti perché le modifiche diventino effettive (e i nodi locali vengano aggiunti) oppure avviare manualmente un'esecuzione Puppet nella sezione Run (Esegui) della console PE.

Ulteriori informazioni

Visita il sito del tutorial Learn Puppet per saperne di più sull'utilizzo OpsWorks per i server Puppet Enterprise e le funzionalità della console Puppet Enterprise.