我想知道让一台机器连接多个不同的 Puppetmaster 实例是否有意义。
我的用例是,我想授予服务器操作员不同的权限级别。我们已经运营了相当多的(约 100 个)Puppet 客户端,这些客户端连接到单个 Puppetmaster,我们使用导出的资源来配置 Nagios、Munin、备份等。相当标准的东西。但现在我们有另一个项目,我们设置了一个完全分离 为客户使用 Puppetmaster,因为我们不想授予他们访问我们内部基础设施的权限。但是,我们希望将他们服务器上导出的资源导入到我们的监控基础设施中,以便我们能够监控他们的机器。
我想提出这个问题的另一种方式是:是否可以在一台机器上运行(多个?)Puppet 客户端,并连接到多个不同的 Puppetmaster?
或者有没有办法在限制访问的同时在 Puppetmaster 之间共享导出的资源或数据?
(我知道 Puppet 可以通过部署负载平衡设置中的多个 Puppetmaster 服务器. 这个问题是不是关于那个。)
答案1
共享导出的资源是有问题的,因为它需要收集主服务器和存储 PuppetDB 之间的相互信任。为此,您需要共享 Puppet CA,这会模糊基础设施的分离。
您可能更幸运地在监控基础设施上引入了额外的代理。这些代理将连接到客户 Puppet Master 并仅从那里收集资源。然后,您需要设计一种方法来从两个代理独立管理的资源中生成一致的配置。