Adicionar nós para o Puppet master gerenciar - AWS OpsWorks
Executar chamadas da API associateNode()Considerações sobre a adição de nós locaisMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar nós para o Puppet master gerenciar

Importante

O AWS OpsWorks for Puppet Enterprise serviço chegou ao fim da vida útil em 31 de março de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

A forma recomendada de adicionar nós é usando a AWS OpsWorks associateNode() API. O servidor Puppet Enterprise master hospeda um repositório usado para instalar o software do agente do Puppet nos nós que você deseja gerenciar, sejam esses nós computadores físicos no local ou máquinas virtuais. O software do agente Puppet para alguns sistemas operacionais é instalado no servidor do OpsWorks Puppet Enterprise como parte do processo de inicialização. A tabela a seguir mostra os agentes do sistema operacional que estão disponíveis em seu servidor OpsWorks para o Puppet Enterprise na inicialização.

Agentes do sistema operacional pré-instalados
Sistema operacional com suporte Versões
Ubuntu 16.04, 18.04, 20.04
Red Hat Enterprise Linux (RHEL) 6, 7, 8
Windows Edições de 64 bits de todos os lançamentos do Windows compatíveis com o Puppet

Você pode adicionar puppet-agent ao seu servidor para outros sistemas operacionais. Lembre-se de que a manutenção do sistema excluirá agentes adicionados ao seu servidor após a inicialização. Embora a maioria dos nós conectados existentes que já executam o agente excluído continuem a verificar, os nós que executam os sistemas operacionais Debian podem interromper a geração de relatórios. Recomendamos que você instale manualmente puppet-agent em nós que estejam executando sistemas operacionais para os quais o software do agente não esteja pré-instalado no seu servidor OpsWorks for Puppet Enterprise. Para obter informações detalhadas sobre como disponibilizar o puppet-agent no servidor para nós com outros sistemas operacionais, consulte Installing agents na documentação do Puppet Enterprise.

Para obter informações sobre como associar nós com o Puppet master preenchendo automaticamente os dados do usuário da instância do EC2, consulte Adicionando nós automaticamente ao OpsWorks Puppet Enterprise.

Executar chamadas da API associateNode()

Depois de adicionar nós por meio da instalaçãopuppet-agent, os nós enviam solicitações de assinatura de certificado (CSRs) OpsWorks para o servidor do Puppet Enterprise. Você pode visualizar os CSRs no console do Puppet. Para obter mais informações sobre CSRs do nó, consulte Managing certificate signing requests na documentação do Puppet Enterprise. A execução da chamada da associateNode() API OpsWorks for Puppet Enterprise processa os CSRs do nó e associa o nó ao seu servidor. Veja a seguir um exemplo de como usar essa chamada de API no AWS CLI para associar um único nó. Você precisará da CSR no formato PEM que o nó envia. Isso pode ser obtido no console do Puppet.

aws opsworks-cm associate-node --server-name "test-puppet-server" --node-name "node or instance ID" --engine-attributes "Name=PUPPET_NODE_CSR,Value='PEM_formatted_CSR_from_the_node'

Para obter mais informações sobre como adicionar nós automaticamente usando associateNode(), consulte Adicionando nós automaticamente ao OpsWorks Puppet Enterprise.

Considerações sobre a adição de nós locais

Depois de instalar puppet-agent em seus computadores locais ou máquinas virtuais, você pode usar uma das duas maneiras de associar nós locais ao seu OpsWorks mestre do Puppet Enterprise.

  • Se um nó oferecer suporte à instalação do SDK da AWS, da AWS CLIou do AWS Tools for PowerShell, você poderá usar o método recomendado para associar um nó, que é executar uma chamada da API associateNode(). O kit inicial que você baixa ao criar um master OpsWorks para o Puppet Enterprise pela primeira vez mostra como atribuir funções aos nós usando tags. Você pode aplicar tags ao mesmo tempo em que associa os nós ao Puppet master especificando fatos confiáveis na CSR. Por exemplo, o repositório de controle de demonstração que é incluído com o starter kit é configurado para usar a tag pp_role para atribuir funções às instâncias do Amazon EC2. Para obter mais informações sobre como adicionar tags a uma CSR como fatos confiáveis, consulte Solicitações de extensão (dados certificados permanentes) na documentação da plataforma do Puppet.

  • Se o nó não puder executar ferramentas AWS de gerenciamento ou desenvolvimento, você ainda poderá registrá-lo com seu OpsWorks mestre do Puppet Enterprise da mesma forma que você o registraria com qualquer mestre não gerenciado do Puppet Enterprise. Conforme mencionado neste tópico, a instalação puppet-agent envia uma CSR OpsWorks para o mestre do Puppet Enterprise. Um usuário autorizado do Puppet pode assinar a CSR manualmente ou configurar a assinatura automática de CSRs editando o arquivo autosign.conf que é armazenado no Puppet master. Para obter mais informações sobre a configuração de autoassinatura e a edição autosign.conf, consulte Configuração de SSL: solicitações de certificado de autoassinatura na documentação da plataforma do Puppet.

Para associar nós locais a um Puppet master e permitir que ele aceite todas as CSRs, faça o seguinte no console do Puppet Enterprise. O parâmetro que controla o comportamento é puppet_enterprise::profile::master::allow_unauthenticated_ca.

Importante

Por motivos de segurança, não é recomendado permitir que o Puppet master aceite CSRs autoassinadas ou todas as CSRs. Por padrão, permitir CSRs não autenticadas torna um Puppet master acessível ao público em geral. Definir o carregamento de solicitações de certificado como habilitado por padrão pode deixar o Puppet master vulnerável a ataques de negação de serviço (DoS).

  1. Faça login no console do Puppet Enterprise.

  2. Selecione Configure (Configurar), Classification (Classificação), PE Master e, em seguida, selecione a guia Configuration (Configuração).

  3. Na guia Classification (Classificação), localize a classe puppet_enterprise::profile::master.

  4. Defina o valor do parâmetro allow_unauthenticated_ca como true (verdadeiro).

  5. Salve as alterações. Suas alterações serão aplicadas durante a próxima execução do Puppet. Você pode permitir 30 minutos para as alterações entrarem em vigor (e os nós locais serem adicionados) ou você pode iniciar uma execução do Puppet manualmente na seção Run (Execução) do console do PE.

Mais informações

Visite o site de tutoriais do Learn Puppet para saber mais sobre como usar OpsWorks os servidores do Puppet Enterprise e os recursos do console do Puppet Enterprise.