20、扩展 Puppet 基础设施：多主节点、无主节点及性能优化策略

扩展 Puppet 基础设施：多主节点、无主节点及性能优化策略

1. 多主节点扩展概述

在一台配置合理（至少 4 个 CPU 和 4GB 内存）且运行 Passenger 的服务器上，一个 Puppet Master 应该能够处理数百个节点。但当节点数量达到数千时，单台服务器在处理所有流量时会出现问题，此时就需要进行水平扩展，添加更多的 Puppet Master 以平衡地管理客户端请求。在这种情况下，需要解决以下几个重要问题：
- 如何管理 CA 和服务器证书
- 如何管理 SSL 终止
- 如何管理 Puppet 代码和数据

2. 证书管理

Puppet 的证书由证书颁发机构（CA）颁发，该机构在首次启动 Puppet Master 时会自动创建。通常，我们只需使用 puppet cert 命令签署证书请求，就能与客户端正常工作。但在多主节点设置中，精确管理 Puppet CA 和 Puppet Master 的证书至关重要。

首次执行 puppet master 时，会自动创建两种不同的证书：
- CA 证书 ：用于签署所有其他证书
- 公钥存储在 /var/lib/puppet/ssl/ca/ca_pub.pem
- 私钥存储在 /var/lib/puppet/ssl/ca/ca_key.pem
- 证书文件存储在 /var/lib/puppet/ssl/ca/ca_crt.pem
-