expect(subject).to contain_class('Profile::Elock').with(
      'package_name' => 'elock',
      'version' => '0.5.0-1',
      'config_path' => '/etc/elock/elock.json',
      'params' => {
        'etcd-endpoints' => [
          'https://master-ms01sms.i:2379',
          'https://master-k01sms.i:2379',
          'https://master-o01sms.i:2379'
        ],
        'etcd-root' => "/sms-registry/_elock",
        'etcd-default-ttl' => "1m",
        'etcd-default-refresh' => "10s",
        'etcd-tls' => {
          'ca' => '/usr/local/etc/certs/smsapi-ca.pem',
          'cert' => "/usr/local/etc/certs/kube-master-k01-k8s-sms.i-etcd.crt",
          'key' => "/usr/local/etc/certs/kube-master-k01-k8s-sms.i-etcd.key"
        }
      }
    )
  end

можно как-то написать тест чтобы не было в нем ca например?
сейчас если ca убрать скажет что etcd-tls != ожидаемому

Ну вообще если один лежит, клиенты будут в него ходить и таймаутиться, так плавающий айпи не помешает

То есть работать будет, отвалится и пойдёт в следующий мастер, но начнёт тормозить

У меня было так. Норм, пока он не упадёт. Но даже если упадёт, это зацепит только новых клиентов, которым ещё не подписали серты. Так что вообще-то не очень страшно. Но бэкапы надо иметь, а то придётся выписывать новые серты всем, если сдохнет. И лучше сразу про HA думать, потому что иначе будешь откладывать на потом, пока слишком поздно не будет (тру стори)

А оно так и работает внутре, да

Типа того. Насколько я понимаю, идёт со своим ключом в воли, получает временный токен, с тем токеном потом берёт из волта секреты

Есть ещё conjur. Мне сначала казалось, что он интереснее, но руки так и не дошли, а люди в интернетах всё больше волт юзают

Вроде не обязательно. Там должны быть маски/регэкспы, это раз. Можно какой-то другой факт юзать (типа "окружение_группа_роль", например), это два. И если вы достаточно большие, можно отдать это безопасникам. Типа сказать всем: вот сюда код, а вот сюда секреты, просите аппрувы у безопасником.

Я это не очень люблю, потому что оно в конце концов станет host-based, но с другой стороны, это уже проблема безопасников.

https://media.webteam.puppet.com/uploads/2021/03/Puppet-2020-DevOps-Salary-Report.pdf

Уже было?

Ещё нет

эх, живут же люди

Чет туплю, bolt позволяет запускать план на каждом хосте по очереди. То есть выполняем план на первом хосте, если успех то на следующем и так далее

$targets.each |$target| { $res = apply($target, '_catch_errors' => true); unless $res.ok { ... } }
Чего-то такое?

о, прикольно. Я видимо не до конца вкурил принцип. Можно же прокидовать targets и крутить им как угодно

Спасибо

божечки bolt отличная штука и как удобно интегрируется с puppet. Какого черта я до сих пор на ансибл сидел

Хаха

Хм, а таски из tasks как он выполняет, можно ли по нескольким файликам разнести код? Хочу общий модуль сделать, для нескольких ruby скриптов, или идея так себе?

Угу, вижу что он просто копирует скрипт в /tmp. То есть лучше так не делать