у меня есть факты которые списком идут, посмотрю  как там сделано как за компом буду

У меня похожая задача решена, только отличия в том, что факты на сервере статичные, и прописываются централизовано, а никак у тебя берутся из docker ps -a.

У меня на каждом сервере такой факт с массивом

Например server1:

"projects": [
      "project1",
      "project2",
      "project3"
]

server2:

projects": [
      "project1",
      "project4",
      "project5"
]

В hiera.yaml для этого факта такая конструкция:

-

 name: "projects"
  mapped_paths: [projects, p, "projects/%{environment}/%{p}.yaml"]

Таким образом я получаю возможность через hiera задавать параметры классов на определенный проект, без разницы на каких серверах он находится.

Например project1 есть на server1, server2
Агенты на обоих серверах получат ключи из projects/production/project1.yaml

Но тут есть нюанс, особенно у тебя. Так как ты получаешь факт из docker ps, то если у тебя не запущен контейнер, то факта не будет, соотвесвтенно твои ключи в hiera агент не увидет. То есть поднятие контейнера лучше оставить там где оно у тебя реализовано. А таким сопобом просто переопределять дефолтные настройки. Если параметры необходимые для того чтобы контейнер был поднят на сервере будут зависить от такого факта, то в случае если контейнер будет остановлен, puppet уже его не поднимет.

Ну и надо будет помнить, что потребуется два прогона агента в случае остановки контейнера. Первый раз прогоняешь, puppet запускает контейнер, второй прогон он уже видит факт и переопределяет параметры.

Если я конечно правильно понял твою задачу

 name: "projects"
  mapped_paths: [projects, p, "projects/%{environment}/%{p}.yaml"]

вообще никогда такого не видел, надо будет попробовать, спс

 name: "projects"
  mapped_paths: [projects, p, "projects/%{environment}/%{p}.yaml"]

дока по hiera так себе, но там пару примеров есть

 name: "projects"
  mapped_paths: [projects, p, "projects/%{environment}/%{p}.yaml"]

но я по прежнему настаиваю на оркестраторе.
Постарайся убедить людей. Оцени временные затраты на поддержку этого в puppet vs nomad например. Приведи аргументы с метриками. Возможно таким образом ты докадешь эффективность оркестратора vs puppet и перестанешь страдать

страдания никогда не кончатся, всё тлен

можно ли в паппет+форман запустить задание с запросом логина и пароля у запускающего

хочу вводить в домен с учеткой доменного администратора, но не хочу хранить пароль в формане

vault

в notify можно вставлять значение с переменной?

да, но в хешах и массивах он вроде не полностью их показывает

спасибо

хеши и массивы можно задебажить банально записав их в файл через to_yaml или to_json_pretty из stdlib

пытаюсь автоматизировать установку касперского с помощью пуппет, после установки deb пакета, необходимо запустить скрипт конфигурации, который ожидает последовательных ответов от пользователя, как его обработать с помощью пуппет?

вангую что скрипт можно без этого запустить в неинтерактивном режиме

да ты прав, нашел в мануале конфигурационный файл первоначальной настройки 👍

получилось, а как теперь сделать чтоб при обновлении конфигурации он не запускал exec постоянно, только если не установлен пакет klnagent64

refreshonly?

да, то что надо, спасибо