1
我正在使用Enteprise厨师。每个组织只有一个验证密钥。这意味着,一旦我为我的工作站下载它,团队中的其他开发人员就不能拥有它=>他们无法从工作站引导节点。如果我自动执行引导过程,例如,如果我把密钥放在S3上,那么我也必须考虑让我的工作站验证密钥和S3密钥保持同步(以及所有其他团队成员)。分配厨师验证密钥的最佳做法
所以问题是:
什么是分发跨节点和工作站这个单一验证关键的最佳实践?
我正在使用Enteprise厨师。每个组织只有一个验证密钥。这意味着,一旦我为我的工作站下载它,团队中的其他开发人员就不能拥有它=>他们无法从工作站引导节点。如果我自动执行引导过程,例如,如果我把密钥放在S3上,那么我也必须考虑让我的工作站验证密钥和S3密钥保持同步(以及所有其他团队成员)。分配厨师验证密钥的最佳做法
所以问题是:
什么是分发跨节点和工作站这个单一验证关键的最佳实践?
我对这个问题最好的办法:
在工作站上使用的厨师来管理validation.pem
文件的分发。
另一种方法是将其设置在共享位置(cifs或nfs份额)为您的所有团队。
根据this blog post这将成为厨师12.2不需要。
为了记录,验证密钥仅用于节点自己注册并在第一次运行时创建它自己的client.pem
文件,它应该(必须如果您是安全意识的)在第一次运行后从节点中删除。
chef_client cookbook可以负责清理验证键,并帮助管理节点配置。