372
Configuration management via Puppet. Русская группа. Возможно, вам также будут интересны: @pro_ansible, @ru_devops, @devops_ru. Не забудьте отключить уведомления
Если они ставились папетом, то через puppetdb
Читать полностью…
Меня интересует а требуются ли определенные настройки сервера если он смотрит в интернет? для корпоративных сетей как бы все понятно. Я не смог нагуглить внятного ответа, поэтому пишу здесь.
Читать полностью…
И вот это тоже лучше прочитать https://puppet.com/docs/puppet/7/scaling_puppet_server.html
Читать полностью…
а можно по подробней как это спрятать за nginx ?
Читать полностью…
Спрятать за nginx и положить в контейнер (или в виртуалку)
Читать полностью…
Есть громоздкий вариант
Один филиал - один Паппет сервер
А все эти папет сервера объеденить через систему Foreman и Foreman-Proxy
Код для Паппет серверов может быть локальным
Тогда ноды на филиале не будут ходить в интернет а только в свой локалны папет сервер
Только нужен будет доступ от филиальского сервера Foreman-прокси к вашему главному Foreman серверу
секреты у сотрудников я думаю смогу обезопасить
Читать полностью…
как я понимаю через TLS идет шифрование трафика между агентом и сервером.
Читать полностью…
Впрочем, всем, обычно, похер..
Читать полностью…
Хотя.. те же яйца, в принципе
Читать полностью…
Я бы только для филиалов выставил отдельный compiler master.. и, может быть, спрятал бы его за nginx
Читать полностью…
есть предложение, в филиалах статичный ip. если в фаерволе создать правило чтобы подключение проходило только через белый список адресов ?
Читать полностью…
на крайний случай буде делать pptp на каждый комп но хотелось бы без vpn
Читать полностью…
Привет, вот так я могу получить список пакетов установленных на системе, puppet resource package, через терминал, как в терминале могу посмотреть список всех пакетов на всех агентах ? есть какая-то команда просмотра ?
Читать полностью…
типо ip адрес как доп фактор? А это точно оправдано? tls авторизации недостаточно? Почему?
Читать полностью…
а что можете сказать если сделать белый список ip адресов (в филиалах внешние статичные ip )и дать доступ только этому списку доступ к серверу puppet?
Читать полностью…
https://puppet.com/docs/puppet/7/external_ssl_termination.html
Читать полностью…
Зато заранее на расширение филиалов сыграть да и какая никакая веб морад с нарезанными правами каждому филиалу свой веб морда))
Читать полностью…
Но может, это реально слишком громоздко, да и доступ к от главного Foreman сервера до сервера Foreman прокси надо будет белый айпих
Читать полностью…
сб не плачет от того, что фактически нет понятия «приватная корпоративная сеть» и сотрудники филиалов используют хз какой блэт общий интернет по вуйфуям, но заплачет от 400 pptp, я ничего не упустил?
Читать полностью…
а как обезопасить сам сервер от взлома ?
Читать полностью…
https://forge.puppet.com/modules/binford2k/node_encrypt <- рекомендую
Читать полностью…
Лишь бы секреты в фактах не ездили.. а то один сломанный филиал может привести к утрате доверия ко всей инфре
Читать полностью…
Меня бы больше puppetdb в этой схеме волновала, на самом деле
Читать полностью…
puppet-сервер и так достаточно обезопасен наличием принудительного tls
Читать полностью…
Сб от этого заявления бы плакала горькими слезами
Читать полностью…