[server] 퍼펫 클라이언트를 새로운 퍼펫 마스터로 마이그레이션

기존 퍼펫 클라이언트를 마이그레이션하여 새 퍼펫 마스터 서버를 가리 키려면 어떻게해야합니까? 오히려 수동으로 각 클라이언트 상자로 이동하지 않고 새 인증서를 생성하고 싶습니다.

/ etc / puppet 및 / var / lib / puppet의 모든 파일을 새 서버로 재 동기화하면 인증서 오류가 발생합니다.

/etc/init.d/puppetmaster start
* Starting puppet master
Could not run: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key

/var/lib/ssl/certs와 /var/lib/ssl/private_key파일을에서 old_hostname로 복사하여 문제를 해결할 수있었습니다. new_hostname기본적으로 꼭두각시 클라이언트를 새로운 꼭두각시 마스터 로 마이그레이션하는 데 제안 된 것입니다
(오래된 꼭두각시 마스터 서버가 사라졌으며 백업 만 사용)

불행히도 내 고객은 여전히 ​​부족한 것이 있다는 것을 알고 다음 오류를 알려줍니다.

sudo puppetd --test --server newservername.example.net --noop
info: Retrieving plugin
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate': hostname was not match with the server certificate
err: /File[/var/lib/puppet/lib]: Could not evaluate: hostname was not match with the server certificate Could not retrieve file metadata for puppet://newservername.example.net/plugins: hostname was not match with the server certificate
err: Could not retrieve catalog from remote server: hostname was not match with the server certificate
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run

따라서 클라이언트 인증서는 여전히 연결된 호스트 이름을 알고 있으며 스위치에 만족하지 않습니다.

퍼펫을 사용하여 (레거시 꼭두각시 마스터를 가리키는) 새 인증서를 배포하거나 서명 프로세스를 자동화하는 방법이 있습니까?

요약 : 두 가지 해결책이 제시되었습니다. 1) autosign마스터를 켜고 인증을 완전히 건너 뛰거나 2) 인증서가 마스터의 호스트 이름에 바인드되므로 이전 CNAME이 새 마스터를 가리 키도록 설정합니다. autosign은 보안을 끄는 것처럼 느꼈기 때문에 (제한된 시간 이었지만) # 2를 선택했습니다.

답변