A
но волт к кубу не имеет отношения
Size: a a a
2021 March 19
A
по-умолчанию
DK
Никакого, но пуппет и куб умеют в волт
DK
А вот в еямловую хиеру только пуппет
A
не вижу никакой связи
A
всё можно разрулить правилами в волте
DK
Есть сервисы в кубере, есть в паппете, все должны иметь потенциальную возможность ходить во всех. Секреты для таких походов удобнее хранить в одном месте и тогда лучше хранить их в волте
DK
Т.к. доставать из хиеры секреты для кубера будет неудобно
A
ваще пофиг
A
из хиеры можно папетом класть в кубер
A
но зачем эти сложности если волт мощнее и удобнее
DK
Паппетом можно чего угодно делать, куда угодно расширять, но стоит ли им управлять кубером?
DK
но зачем эти сложности если волт мощнее и удобнее
Мощнее еямла - это да, но удобнее ли - это уже вопрос после вопроса "зачем"
A
Мощнее еямла - это да, но удобнее ли - это уже вопрос после вопроса "зачем"
удобнее конечно
EM
а какой смысл ходить агентом в волт? в чем проффит-то?
DS
а какой смысл ходить агентом в волт? в чем проффит-то?
секреты недоступны на мастере. Скомроментированный мастер не даст узнать секреты, скомпроментированный агент, даст узнать секреты доступные только ему
EM
Хммм, понял. Да, звучит логично
p
секреты недоступны на мастере. Скомроментированный мастер не даст узнать секреты, скомпроментированный агент, даст узнать секреты доступные только ему
помоему это неверно, волт там в схеме используется мастера как CA для проверки сертификата агента и всё.
Никаких там возможностей выдать policy per certificate нет кажется.
Никаких там возможностей выдать policy per certificate нет кажется.
DS
помоему это неверно, волт там в схеме используется мастера как CA для проверки сертификата агента и всё.
Никаких там возможностей выдать policy per certificate нет кажется.
Никаких там возможностей выдать policy per certificate нет кажется.
должно быть. Я помню курил эту схему
p
оно есть, когда ты описываешь auth method в волте ты прописываешь полиси доступные.
Возможно там как то уже внутри волта этот метод умеет маппить cn из серта и полиси но хз.
Возможно там как то уже внутри волта этот метод умеет маппить cn из серта и полиси но хз.