Zadejte hledaný výraz...

Chef server prakticky

Chtel_bych_se_zeptat
verified
rating uzivatele
24. 9. 2015 21:24:28
Dobrý den, chtěl bych se zeptat, jestli někdo máte praktické zkušenosti s Chefem.
Trošku lítám v nastavení komunikace mezi chef-serverem a chef-clientem. Potřeboval bych vysvětlit pár nesrovnalostí...
24. 9. 2015 21:24:28
https://webtrh.cz/diskuse/chef-server-prakticky#reply1142269
Položte konkrétní dotaz.
24. 9. 2015 22:37:21
https://webtrh.cz/diskuse/chef-server-prakticky#reply1142268
Chtel_bych_se_zeptat
verified
rating uzivatele
25. 9. 2015 08:57:03
Napsal Martin Schlemmer;1228040
Položte konkrétní dotaz.
Mám chef-server 12 běžící na CentOS7 instalovaný z rpm balíčku. Doinstaloval jsem si opscode-manage a pak rekonfiguroval celý server a následně opscode-manage...
# chef-server-ctl install opscode-manage
# chef-server-ctl reconfigure
# opscode-manage-ctl reconfigure
Server tedy běží, při rekonfiguraci byl ve adresáři /var/opt/opscode/nginx/ca vytvořen certifikát s plným doménovým jménem.
--------------------
Ručně jsem si vytvořil usera a organizaci
chef-server-ctl user-create USERNAME FIRST_NAME LAST_NAME EMAIL PASSWORD
chef-server-ctl org-create SHORTNAME LONGNAME --association_user USERNAME
Přihlásil se do web GUI a ověřil jejich existenci.
Při vytvoření byly vytvořeny RSA klíče jak pro usera, tak pro organizaci - files .pem
--------------------
Mám chef-clienta (jedná se o samostatnou fyzickou mašinu opět s CentOS7).
Do adresáře /root/chef-repo/.chef/trusted_certs jsem nahrál certifikát ze chef-serveru
--------------------
A teď nastává můj problém s pochopením následujícího principu. Přečetl jsem minimálně 5 návodů do tohoto bodu a všude po mě chtějí, abych soubory .pem nakopíroval na chef-client...
Ovšem když tyto soubory catnu tak hned na prvním řádku vidím:
-----BEGIN RSA PRIVATE KEY-----
Nevím proč mám někde kopírovat privátní klíč?? Kdyby to byl veřejný klíč, tak s tím nemám žádný problém, ale toto nechápu...
Když udělám veškeré další kroky - tj, že na chef-clientu vytvořím knife.rb a vyplním jej a po té zkusím "ověřit komunikaci"
knife cssl check dostanu success
knife client list vypíše mi to mého klienta...
Jenže kdybych chtěl postupovat obdobným způsobem na další mašině, tak bych na ní musel opět zkopírovat privátní klíč serveru, takže by ty privátní klíče už byly celkem na třech strojích a to se mě zdá s prominutím jako hloupost....
Takže předpokládám, že jsem někde něco opomenul/nepochopil.
Předem děkuji za Vaší odpověď.
---------- Příspěvek doplněn 25.09.2015 v 12:04 ----------
Ok možná se mýlím a jestli ano tak mne opravte prosím...
...ale jestliže jsem příkazem chef-server-ctl reconfigure vytvořil certifikát, tak to znamená, že chef-server už musí mít nějaký svůj privatní klíč - pokud tedy platí informace, kterou nosím v hlavě a ta zní, že certifikát lze udělat pouze na základě privátního klíče. (?) (Jestli tak tomu opravdu je, kde je privátní klíč serveru?)
Jak se nad tím zamýšlím více, tak možná mám jen problém s terminologií...
Co je přesně ta organizace? chef-server-ctl org-create SHORTNAME LONGNAME --association_user USERNAME
Tak nějak jsem předpokládal, že se jedná o "složku ve struktuře" (jo, asi hodně špatný výraz, promiňte mi za něj :)) do které spadají všechny díly skládačky, jako jsou workstation - chef-server a chef-clients... Ale i kdyby tomu tak skutečně bylo, tak nevím proč bych měl primární klíč organizace rozdistribuovat na ostatní chef-clienty...
25. 9. 2015 08:57:03
https://webtrh.cz/diskuse/chef-server-prakticky#reply1142267
Pro odpověď se přihlašte.
Přihlásit