Chef server prakticky

Dobrý den, chtěl bych se zeptat, jestli někdo máte praktické zkušenosti s Chefem. Trošku lítám v nastavení komunikace mezi chef-serverem a chef-clientem. Potřeboval bych vysvětlit pár nesrovnalostí...

Položte konkrétní dotaz.

Napsal Martin Schlemmer;1228040

Položte konkrétní dotaz.

Mám chef-server 12 běžící na CentOS7 instalovaný z rpm balíčku. Doinstaloval jsem si opscode-manage a pak rekonfiguroval celý server a následně opscode-manage...# chef-server-ctl install opscode-manage# chef-server-ctl reconfigure# opscode-manage-ctl reconfigureServer tedy běží, při rekonfiguraci byl ve adresáři /var/opt/opscode/nginx/ca vytvořen certifikát s plným doménovým jménem.--------------------Ručně jsem si vytvořil usera a organizacichef-server-ctl user-create USERNAME FIRST_NAME LAST_NAME EMAIL PASSWORDchef-server-ctl org-create SHORTNAME LONGNAME --association_user USERNAMEPřihlásil se do web GUI a ověřil jejich existenci.Při vytvoření byly vytvořeny RSA klíče jak pro usera, tak pro organizaci - files .pem--------------------Mám chef-clienta (jedná se o samostatnou fyzickou mašinu opět s CentOS7).Do adresáře /root/chef-repo/.chef/trusted_certs jsem nahrál certifikát ze chef-serveru--------------------A teď nastává můj problém s pochopením následujícího principu. Přečetl jsem minimálně 5 návodů do tohoto bodu a všude po mě chtějí, abych soubory .pem nakopíroval na chef-client...Ovšem když tyto soubory catnu tak hned na prvním řádku vidím:-----BEGIN RSA PRIVATE KEY-----Nevím proč mám někde kopírovat privátní klíč?? Kdyby to byl veřejný klíč, tak s tím nemám žádný problém, ale toto nechápu...Když udělám veškeré další kroky - tj, že na chef-clientu vytvořím knife.rb a vyplním jej a po té zkusím "ověřit komunikaci"knife cssl check dostanu successknife client list vypíše mi to mého klienta...Jenže kdybych chtěl postupovat obdobným způsobem na další mašině, tak bych na ní musel opět zkopírovat privátní klíč serveru, takže by ty privátní klíče už byly celkem na třech strojích a to se mě zdá s prominutím jako hloupost....Takže předpokládám, že jsem někde něco opomenul/nepochopil.Předem děkuji za Vaší odpověď.---------- Příspěvek doplněn 25.09.2015 v 12:04 ----------Ok možná se mýlím a jestli ano tak mne opravte prosím......ale jestliže jsem příkazem chef-server-ctl reconfigure vytvořil certifikát, tak to znamená, že chef-server už musí mít nějaký svůj privatní klíč - pokud tedy platí informace, kterou nosím v hlavě a ta zní, že certifikát lze udělat pouze na základě privátního klíče. (?) (Jestli tak tomu opravdu je, kde je privátní klíč serveru?)Jak se nad tím zamýšlím více, tak možná mám jen problém s terminologií...Co je přesně ta organizace? chef-server-ctl org-create SHORTNAME LONGNAME --association_user USERNAMETak nějak jsem předpokládal, že se jedná o "složku ve struktuře" (jo, asi hodně špatný výraz, promiňte mi za něj :)) do které spadají všechny díly skládačky, jako jsou workstation - chef-server a chef-clients... Ale i kdyby tomu tak skutečně bylo, tak nevím proč bych měl primární klíč organizace rozdistribuovat na ostatní chef-clienty...