我们正在使用puppet来管理一组Ubuntu盒子,并且很快就会要求每个服务器共享一个共同的SSL证书,以便通过HTTPS为站点提供服务.当然,我们希望使用puppet来管理证书,但是由于安全隐患,我们意识到将它放入VCS(从木偶大师获取其模块的地方)可能不是一个好主意.
有没有人知道更好的解决方案?
披露:我是Puppet的开发者之一.
一般做法是使用提供内容的特殊文件服务器安装,然后在其上设置ACL,只允许特定系统获取文件.这允许你使用source => ‘puppet:// …’规范,而不必与其他模块来自同一个地方.
您也可以查看hiera-gpg模块,如documented here,source here.这样可以在曝光方面为内容提供一些保护,这样只有经过批准的人员,以及有足够访问Puppet master的人才能破解代码才能获得数据,可以读取它.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。