Если ты про саму настройку - да, пока не протух токен, указанный в конфиге (напоминаю что я использую транзит в другом кластере, а не KMS) ноды распечатываются сами

В смысле 1 раз настроил и забил

но если у вас кластер - у вас все равно не встанет автоматизация, если не упадут все ноды кластера, не?

а если упали все ноды кластера, то автоматизация - не самая большая проблема

И да и нет. АПИ - да, запросы с неожиданным кодом ответа или по таймауту будут перезапрошены в другие апстримы, но никто не отменяет возможность пиздец прошёл и всё упало.

Веб интерфейс будет очень глючить если хотя бы одна нода запечатана и она не проверяется через хитрый запрос в ha-proxy, а например за nginx бесплатным. Потому что отправляется зарпос в волт sys/seal-status возвращает всегда 200, даже если запечатано. Отличается лишь ответ в JSONе

У нас не только роботы ходят в волт.

ммм. апи точно будет работать. Веб интерфейс будет работать, если он настроен на vault.service.consul урл

не?

или вы без консула

У нас за балансером все 3 ноды, консул лишь как хранилище и с него хочу перевести в internal storage, потому что меньше сервисов которые могут отказать, меньше влияния сети на кластер

Consul template не используем. Я не администрирую балансеры, они для меня сервис.

ясно

Internal в смысле файл?

Нет. Файл не HA хранилище.
В версии 1.1.0 или 1.2.0 завезли RAFT и не рекомендовали его к использованию до 1.4.0, сейчас актуальная 1.5.3

У нас были проблемы из-за того что скорость от волта до консула снижалась что влияло на отзывчивость кластера волта в целом. И консул тоже надо мониторить, обслуживать

👍https://www.vaultproject.io/docs/configuration/storage/raft

Получается и дешевле по ресурсам

Надо проверять, мб сами машины должны быть не меньше чем волт и консул по отдельности.

Проверил. Распечатывают друг дргуа

Круто, год назад не распечатывали. Спасибо Проверю на новых версиях.

Осталось понять что делать когда обе ноды упали, как их поднимать

Либо экспортером, кажется node_exporter умеет в сервисы на хосте и по его показаниям настроить автоматизацию, или прост спамить когда нода лежит. Мы проверяем с помощью blackbox каждую ноду и проббером проверяем работу проббера в целом, с точки зрения клиента.

Если кратко: когда всё упало - чинить, тут зависит от уровня критичности сервиса, если Mission Critical - не просыпаясь чиним, если Best Effort, можно и кофе успеть заварить, ну или глаза открыть, хотя бы