我正在使用Enteprise Chef。每个组织只有一个验证密钥。这意味着,一旦我为我的工作站下载它,团队中的其他人就无法拥有它=>他们无法从工作站引导节点。如果我自动化引导过程,例如,如果我将密钥放在S3上,那么我还必须考虑保持我的工作站验证密钥和S3密钥同步(以及团队中所有其他devops人员)。
所以问题是:
跨节点和工作站分发此单个验证密钥的最佳做法是什么?
答案 0 :(得分:2)
我最好打赌:
在工作站上使用chef来管理validation.pem文件的分发。
另一种方法是将其设置在您所有团队的共享位置(cifs或nfs共享)上。
根据this blog post,厨师12.2将不再需要这个。
对于记录,验证密钥仅在节点注册自身并在首次运行时创建自己的client.pem文件时是必需的,它应该(如果您具有安全感知必须)在第一次运行后从节点中删除。
chef_client cookbook可以负责清理验证程序密钥,并有助于管理节点配置。