Puppet 基础设施与清单编写优化指南
1. 秘密值管理与 Hiera - eyaml
在 Puppet 中,我们可以通过修改site.pp文件来包含秘密值。操作步骤如下:
1. 修改site.pp文件:
$top_secret = lookup('top_secret',String,first,'Deja Vu') notify { "He's The Saint, He's ${top_secret}": }- 在节点上运行 Puppet 代理以查看秘密消息:
[vagrant@testnode ~]$ sudo /opt/puppetlabs/bin/puppet agent -tHiera - eyaml 安装后会创建一个自定义的 Hiera5 后端函数。它的工作原理是:修改hiera.yaml文件告知 eyaml 后端函数加密所需的公钥和私钥位置,Puppet 服务器就能解密secrets/common.yaml文件中的值并将未加密的字符串传递给客户端节点。Hiera - eyaml 是一种静态加密系统,只要保护好private_key.pkcs7.pem文件,secrets/common.yaml文件内容即使公开也
)