Я понимаю, что наш случай — это наш случай и не везде так. И у нас это, кстати, работало через раз :(

Как это бъется с количеством косяков и приносимыми им проблемами ?

Или просто решили что там где будет ансибл эта проблема не проблема вовсе ?

Валидация кода. Я написал целый велосипед, который отбивает код, не подходящий под правила.

Например, нельзя включать классы мимо ноды, нельзя пушить код, в котором есть определённые классы без авторизации. Очевидно, нельзя запушить невалидный код.

Нельзя пушить пользовательские функции и факты на руби.

Странная тема а почему нельзя было сделать микрокостыль чека версии ?

В кейсе с незапуленным паппетом

Поясни чуть больше?

Ну проверять что пытаются катить не последнюю версию и верещать об этом

Если я правильно понял проблему.

Эм, а не страшно продакшен сломать?

Возможно туплю, т.к. выпил, но при чём тут последняя версия? Надо сделать так, чтобы только правильные люди могли пушить специфичный код, который может потенциально привести к тем штукам, которые видеть не хочется. Не хочется, чтобы:
- любой, кто может пушить в репу с кодом паппета, мог исполнять код на паппет-мастере: запрет на пуш функций
- нельзя включать классы на верхнем уровне scope, чтобы не подключалось на всех нодах окружения
- любому желающему нельзя править правила файрволла через класс ferm
- ...
Очевидно, это больше защита от дурака. Желающий, понятное дело, это обойдёт. На детектирование таких вещей заточены другие инструменты

У нас несколько environments

От продакшна вообще вилами гоняем

У нас сейчас ансибл, но если бы был паппет, я бы делала по бранчу и энвайроменту на фичу, а продакшен через код ревью перед спринтом

Во.

В продакшн пускаем merge requestЫ, например

Там только не бранчи даже, а отдельные группы в гитлабе

А как это все делаете?