AA
Кто-нибудь использует ext_pillar Vault?
Пробовал, что-то не понравилось
Size: a a a
2020 July 09
KP
Я конечно все еще взволнован что чтение секрета занимает так много времени:
$ time salt-call vault.read_secret secret/behavox/mysql/root_password?value
[INFO ] Publishing runner 'vault.generate_token' to tcp://10.12.252.57:4506
local:
----------
value:
password
real 0m6.379s
user 0m1.107s
sys 0m0.225s
KP
больша часть чую тратится на запуск ранера
KP
блин я не могу понять как правильно использовать волт для секретов
KP
варианты:
1) ext_pillar vault
2) pillar + salt-run sdb.get
3) sdb.get on minions
Скейлится кажется только вариант 1 потому что он за раз(или за Н раз по Н миньенов?) достает секреты.
1) ext_pillar vault
2) pillar + salt-run sdb.get
3) sdb.get on minions
Скейлится кажется только вариант 1 потому что он за раз(или за Н раз по Н миньенов?) достает секреты.
KP
просто делать 6 секундные запросы per secret каждый раз - это же дикие тормоза
KP
@Hatifnatt у вас кажется волт - вы как делаете?
R
У меня где-то 3 секунды читает секрет если использовать sdb.
"В прод" еще не пошло ничего, поэтому реальных примеров эксплуатации пока нет.
Текущая реализация через
Если надо in-place заменить какие-то данные из пилларов, то наверное ext_pillar будет быстрее всего, да.
"В прод" еще не пошло ничего, поэтому реальных примеров эксплуатации пока нет.
Текущая реализация через
salt.vault.read_secret, но там большой секрет (почти весь .env) по сути. Т.е. получаю словарь и потом подставляю значения куда надо. Можно выбирать по ключам, а можно просто в цикле все по шаблону вставить.Если надо in-place заменить какие-то данные из пилларов, то наверное ext_pillar будет быстрее всего, да.
time salt 'control*' pillar.get vaultpillar
...
real 0m0,560s
user 0m0,320s
sys 0m0,076s
time salt-call sdb.get sdb://tvault/salt/pillar/vaultpillar
...
real 0m3,352s
user 0m0,768s
sys 0m0,108sKP
интересно почему у меня 6 сек
KP
просто с salt-run в пиларе(офф способ) это будет
6 * number_of_secrets * number_of_minions
6 * number_of_secrets * number_of_minions
KP
это ОЧЕНЬ долго
KP
+ это дохрена раннеров == cpu problems
KP
мы не хотим все в один ключ засовывать - смысла тогда в волте не очень много
GG
мы не хотим все в один ключ засовывать - смысла тогда в волте не очень много
А смысл, если ключей много? Все равно мастер имеет туда доступ ?
GG
Единственный норм варик, если инжектить ключи на клиентах (миньонах)