9、Puppet 基础设施与清单编写优化指南

Puppet 基础设施与清单编写优化指南

1. 秘密值管理与 Hiera - eyaml

在 Puppet 中，我们可以通过修改site.pp文件来包含秘密值。操作步骤如下：
1. 修改site.pp文件：

$top_secret = lookup('top_secret',String,first,'Deja Vu') notify { "He's The Saint, He's ${top_secret}": }

2. 在节点上运行 Puppet 代理以查看秘密消息：

[vagrant@testnode ~]$ sudo /opt/puppetlabs/bin/puppet agent -t

Hiera - eyaml 安装后会创建一个自定义的 Hiera5 后端函数。它的工作原理是：修改hiera.yaml文件告知 eyaml 后端函数加密所需的公钥和私钥位置，Puppet 服务器就能解密secrets/common.yaml文件中的值并将未加密的字符串传递给客户端节点。Hiera - eyaml 是一种静态加密系统，只要保护好private_key.pkcs7.pem文件，secrets/common.yaml文件内容即使公开也