Summary: | Puppet не может получить сертификат у puppetmaster'а | ||||||
---|---|---|---|---|---|---|---|
Product: | Sisyphus | Reporter: | Dmitry Pavlov <zeldigas> | ||||
Component: | puppet | Assignee: | majioa <majioa> | ||||
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus | ||||
Severity: | major | ||||||
Priority: | P3 | CC: | cas, imz, led, majioa, mike, nbr, pav, rider, stalker | ||||
Version: | unstable | ||||||
Hardware: | all | ||||||
OS: | Linux | ||||||
Attachments: |
|
На Sisyphus, там та же версия. Я вешал этот баг в апстрим, похоже исправили, но не закрыли. Видимо пора собрать новую версию. Какая предположительно версию собирать будете? Из ветки 2.7? Думаю, что имеет смысл собирать 3.1, если пройдёт тестирование. У вас, Дмитрий, есть возражения? Для моих задач конечно удобнее было бы оставить ветку 2.7, иначе потребуется апгрейдить версию мастера в другом дистрибутве, но не уверен что такие вопросы влияют на выбор целевой версии для сборки в сизифе :). Абстрагируясь от таких вещей последняя стабильная ветка, это замечательно. Так же интересует вопрос фикса этого бага в ветке p6 (t6), так как именно оттуда обновляются машины с информикой. Почитал про 3.1 - апгрейд там не простой, потому кажется, лучше собрать 2.7 и портировать её в p6. А для 3.1 делать параллельную сборку или просто отложить на потом. Ок, спасибо за информацию. Если можно, обратите, пожалуйста, внимание на следующие талоны: https://bugzilla.altlinux.org/show_bug.cgi?id=28517 https://bugzilla.altlinux.org/show_bug.cgi?id=28273 надеюсь из тоже можно будет поправить в рамках работ по новой сборке. Кстати, проблема https://bugzilla.altlinux.org/show_bug.cgi?id=28274 наверняка сама пофиксится после обновления версии. Исправлено в puppet-2.7.21-alt1 |
Created attachment 5732 [details] Команды и вывод консоли на ноде с агентом при установке puppet через gems Конфигурация: 2 виртуальные машины работающие в KVM, сетка общая: Alt информика и Ubuntu 12.04. По именам каждая пингуется с другой машины (прописано в /etc/hosts) На ubuntu 12.04 установлен puppetmaster. Работоспособность регистрации клиентов и подписи сертификатов проверена с двух других виртуалок: centos 6.3 и аналогичной ubuntu 12.04 (установлен puppet 2.7.11 и на ubuntu и на centos) FQDN мастера knuth.school6.linux FQDN агента comp1.school6.linux Последовательность шагов 1. Устанавливаем puppet 2. время на машинах синхронизовано (запущен ntpd) 3. пытаемся приконнектится к мастеру: puppet agent --server=knuth.school6.linux --no-daemonize --verbose Фактический результат: ошибка сертификата /usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:27: warning: class variable access from toplevel /usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:28: warning: class variable access from toplevel /usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:31: warning: class variable access from toplevel info: Creating a new SSL key for comp1.school6.linux err: Could not request certificate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed. This is often because the time is out of sync on the server or client Ожидаемый результат: на сервере создается корректный запрос на подпись сертификата для машины с запущенным агентом. Доп. информация: Если удалить puppet с альта, и установить puppet через rubygems (ставится версия 3.1.0), то сертификат получается без проблем (см. аттач). Если теперь удалить puppet, установленный через rubygems, и поставиться опять из репозитория, то с ранее полученным сертификатом удается успешно приконнектиться и запросить каталог. Также коннект происходит удачно если сгенерировать на puppetmaster'е сертификат для клиента и перенести его и сопутсвующие файлы ручками на клиент.