Die Anbindung externer Nodes an einen Puppetmaster kann durch eine DMZ hindurch schnell komplex werden. Wir zeigen wie es trotzdem klappt!

Puppet erleichtert das gleichzeitige Verwalten vieler Systeme sehr. - Doch was ist, wenn die Clients portabel sind und nicht regelmäßig in ihrem Heimnetzwerk stehen, um bei dem zuständigen Puppetmaster Daten abzufragen? Wenn man die reibungslose Übertragung der Puppet-Zertifikate berücksichtigt, ist auch das kein Problem.

Dafür gib es zwei Lösungswege:

Variante 1:

Man bindet den Puppetmaster direkt per VPN an die Clients an. Das geht allerdings nur, wenn auch alle Clients mit VPN konfiguriert sind.

Sobald ein sogenannter VPN Tunnel zwischen dem Puppetmaster und den Nodes besteht (hier rot gestrichelt), können die Systeme quasi direkt miteinander kommunizieren als seien sie im selben Netz. Somit sparen Sie sich Anpassungen an weiteren Systemen, wie beispielsweise dem Proxy, über den das Zertifikat geschleust werden müsste. Außerdem erhöht eine VPN Verbindung zusätzlich Ihre Sicherheit.

Falls die Clients nicht in ein VPN-Netz eingebunden werden sollen, können wir Ihnen eine zweite etwas komplexere Variante anbieten.

Variante 2

Die zweite Möglichkeit der Anbindung, diesmal ohne VPN, ist direkt über die Firewall und durch den Proxy hindurch. Hierfür muss der Proxy und gegebenenfalls Ihr Firewall-System angepasst werden, damit die Puppet-Zertifikate verifiziert werden können.

In dieser Variante beantwortet der Proxy die SSL Anfragen im Namen des Puppetmaster und teilt diesem via Header mit, ob sich der Puppet-Node authentifizieren konnte.

Die rote Verbindung stellt die Übertragung des Puppet-Zertifikates dar. Diese SSL Verbindung wird vom Proxy-Server terminiert und im Namen des Puppetmasters beantwortet. Die Information, ob sich die anfragende Node mit einem Zertifikat authentifizieren konnte, wird mittels Header-Informationen an den Puppetserver geleitet (schwarze Linien). Zum Abschluss muss dem Puppetmaster noch mitgegeben werden, dass er auf Header-Informationen lauschen soll.

Gerne konfigurieren wir Ihnen auch die Firewall mit entsprechenden Port-Forward- und NAT-Regeln. Da die SSL Übertragung am Proxyserver terminiert wird, findet der Datenaustausch zwischen Proxy und Puppetmaster das erste Mal unverschlüsselt statt. Möchten Sie auch hier mehr Sicherheit haben, richten wir Ihnen auch für diese interne Kommunikation gerne eine Verschlüsselung ein.