chef-infra - 无需存储私钥的 Chef 客户端配置
问题描述
有没有什么方法可以在没有将私钥物理存储在 Chef 客户端上的情况下向 Chef 服务器注册 Chef 客户端?
可以Hashicorp vault在这里解决存储密钥文件在磁盘上的问题吗?
如果是,配置必须遵循哪些步骤?
解决方案
根据您使用的主厨版本,主厨验证器密钥,以便在主厨服务器上注册节点。
在节点注册过程中,每次节点尝试访问厨师服务器(同步食谱和发布节点状态)时,都会生成节点的私钥并用于验证节点。
这意味着您可以在节点引导结束时删除验证器密钥,这是最佳实践。您可以通过利用chef-client cookbook来做到这一点
如果攻击者获得了 chef-validator 密钥,攻击者可以欺骗 Chef 服务器并拉取所有的食谱。
推荐阅读
- c# - 在 compose 中的容器之间运行 python 脚本
- json - 如何过滤 Json 数组中的 Json 对象?
- css - 在响应式网格布局中强制列为空
- python - 如何在python中对日期进行排序?
- javascript - 在 Javascript 上使用 for ( in ) 循环与 ColdFusion 不匹配
- asp.net-web-api2 - WebAPI、DPAPI 和 LoadUserProfile
- c# - 将 mvc 5 adfs 转换为 .net core adfs
- java - 模式匹配匹配所有 Case 条件
- bixby - 如何在 bixby 中获取当前日期和时间?
- python - 如何改变变量,直到最终得到模型输出和真实数据之间的最小二乘结果?