我们在AWS上配置了整个基础设施,其中包括在公用子网中提供的用于Web前端、AD、DC、ADFS代理等的一组windows服务器,以及配置为专用子网的少数DB服务器。私有子网可以通过使用NAT服务器访问互联网。参考体系结构与此非常相似:
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html#Configuration-2
现在,在所有这些windows机器上安装Chef客户端并在托管Chef上管理这些服务器的最佳方法/策略是什么?
我知道"WinRC"可以在公用子网上的所有服务器上使用,以与厨师托管的服务器通信。但是,对于专用子网上的服务器,自动推出Chef客户端并维护它们的最佳策略是什么?
Chef客户端和Chef服务器之间的所有通信,无论是托管的还是私有的,都是客户端通过端口80和443从服务器上拉取的。客户端使用出站流量每隔几分钟进行一次轮询;您可以更改轮询间隔。
在默认的AWS NAT子网中,有一个出站规则,允许所有端口到Internet上任何目的地的所有流量,例如0.0.0.0/0。如果你已经锁定了,你可以打开端口80和443。
厨师文档-防火墙和端口。。。
以下部分介绍了独立配置的厨师服务器:。。。
80443。。。nginx
nginx服务用于管理到Chef服务器的流量,包括用于内部和外部API请求/响应的虚拟主机路由、外部加载项请求路由以及前端之间的路由-以及后端组件。
还有一件事——如果您正在引导该子网中的节点,例如,从干净的AWS AMI进行"裸机"构建,那么通常的方法是通过knife命令,该命令是从Chef服务器运行的而不是。它由sysop从工作站手动运行,该工作站对新节点具有入站访问权限。为了在自动缩放等场景中实现自动化,方法是使用您自己的自定义AWS AMI,在Chef客户端启动时将其放到节点上。