У нас тупо айписек танели прокинуты к мастерам.

так на мастере же можно "авторизовывать" вручную

CVE который приведен выше как-раз про это, что можно обходить авторизацию
или это я не так понял?

а хз, я солт давно не юзаю уже (года 1.5-2)

если найдешь хорошее решение - поделись, для меня тоже актуально =)

ipsec

а как ipsec настраивать? :)
хотя я как раз его использую, настраиваю через salt-ssh

Мы ансиблом конфигурим по ряду причин, но в целом не важно чем, поставил пакет, закачал конфиг, немного магии с стартом и вжух

отвалился туннель -> не сработал state = боль

WAN он такой

а с чего тунель должен отвалиться? Это возможно только если нет связи вообще. Ну а в таком случае очевидно ничего не будет работать в любом случае.

скачок сетевой, например, дважды за минуту)

И в чем будет разница с тунелем и без тунеля?

в ретраях, наверное

если ретраи есть то они и тунеля дождутся

Поможет, но не поможет. Тебе айписек заранее поднять надо

Вообще у меня на айписек жалоб никогда не было. Для приклада он абсолютно прозрачен. Магия блин

поэтоум он у нас и ансиблом поднимается. Мы четко разделяем провиженинг, инфру и платфому

и разные иструменты для разного

всем привет, я не самый сильный технический спец - PM, прошу помощи/советов, нужно сдвинуть спор в команде с мертвой точки.

описание:
есть большой CDN 150+ узлов.
кастомер настраивает услугу в ЛК, после чего требуется создать и разнести Nginx (не только, но проблема именно тут) конфиги по этим узлам. Используется saltstack. КОгда возникает большая нагрузка, одновременно меняет настройки много клиентов, то миньоны солта не успевают решать задачи и захлебываются. создание конфига и разнесение может занимать до 20 минут.

это общее описание.., если кто-то хочет помочь ) имеет такое желание.. я бы в ЛС скинул подробности