V\
Не отгадаю что есть "чч" в данном случае
Size: a a a
2021 June 23
VL
человекочасы
V\
Очень очевидно, ага.
Я про CA не понял. Если это про серты а-ля AD, то это же далеко не обязательный сетап
Я про CA не понял. Если это про серты а-ля AD, то это же далеко не обязательный сетап
FW
Обязательный. Агенты и мастера друг друга тлсом аутентифицируют. Смелые и безумные могут и в АД завести, конечно, но обычно встроенный юзают
FW
А потом через пять лет всё протухает нахер)
V\
Так их во-первых можно запланированно переподписать, а во-вторых там же легко сравнительно чинится - любым ансиблом прилетаешь и генеришь новые если сломалось . А сам факт проблемы из PDB виден будет, или где треккинг репортов идёт
FW
Можно, но кто это помнит
FW
С сертами всегда так, тупо забывают, что их когда-то надо перевыписывать будет.
V\
Там все данные на виду, а самих агентов всё равно стоит мониторить постоянно на случай если они преждевременно отваливаются или тупят как-либо
FW
На агентах проще. Но в конце концов CA протухает и отваливется всё
FW
Вообще со всеми сертами (пока letsencrypt не появился) так всегда: менеджеры покупают какую-нибудь комоду на два года, и за эти два года успевают куда-нибудь перевестись, приходит новый менеджер и про это не вспоминает, пока не протухло
V\
Не, ну если руками такое чинить то конечно ад будет
FW
А это чаще всего на потом и оставляют. И всегда не до того, потому что пальму ж трясти надо
FW
Я в последней конторе вроде помнил, но к тому моменту паппет практически похоронили уже, все, включая меня, другими вещами занимались
V\
Хех, так подумать, такой сетап тогда ещё более спокойным будет для ухода в отпуск, в другую компанию или ещё куда - мол, всё в порядке будет, и никто не будет вызванивать и строчить письма когда не до того
FW
Всё так, но практика за теорией не поспевает
FW
По-моему, проблема именно в том (я уже не про паппет, а вообще про серты), что возиться с ними приходится редко, а людей в этом участвует довольно много. И до следующего раза и люди успеют смениться, и технологии где-то. Да просто новые баги в амазоне появятся
FW
Вот чтобы поменять серт на балансере сколько надо народу в большой конторе?
- один тикет создаёт (хорошо, если мониторинг или безопасники напомнили, а не пользователи)
- один аппрувит
- один генерит CSR
- один отправляет его провайдеру
- инвойсы ещё всякие, и тоже не без аппрувов
- ещё один пинает саппорт провайдера, потому что что-то не то сгенерилось кажется
- один засовывает серты в конфиг балансера в облаке (скажи спасибо, что не руками на хосты копирует)
- один пинает саппорт облака, потому серт-то вырисали нормальный, а балансер его чота не жрёть
- один тикет создаёт (хорошо, если мониторинг или безопасники напомнили, а не пользователи)
- один аппрувит
- один генерит CSR
- один отправляет его провайдеру
- инвойсы ещё всякие, и тоже не без аппрувов
- ещё один пинает саппорт провайдера, потому что что-то не то сгенерилось кажется
- один засовывает серты в конфиг балансера в облаке (скажи спасибо, что не руками на хосты копирует)
- один пинает саппорт облака, потому серт-то вырисали нормальный, а балансер его чота не жрёть
FW
Даже если какой-нибудь говнюк это всё задокументирует и обязанности распределит, в следующий раз всё равно всё по-другому будет