в принципе, мы так и катили

вообще, без глубокого погружения в тему, у меня сложилось впечатление (возможно ложное) что солт и папет это про запушил стейты, мастер из гита слил автоматом код, и конфиги разъехались, опять же автоматом.

сам миньон у себя на месте, имея уже в кеше набор манифестов, может следуя им поддерживать стейт системы, применяя и починяя если вдруг что.

а со стороны мастера можно уже оркестрацией и раннерами поддерживать более высокие сущности, типа из отдельных миньонов складывать рабочий кластер.

я тут размышлял по мотивам м

короче, сольт пугает тем, что в нем в отличие от паппета - по сути нет объектной модели

да, Жорино творчество читал. он во многом прав, хотя его в профильном канале и гнобят за это 😄

можно, а как zero time deploy на локальном узле поддерживать? или задачи такой нет ?

а ты с ним знаком ? мы - лично нет, но через два рукопожатия - точно

общался пару раз в телеге по тех. деталям, мы у них хостимся.

В общем, делай. Пиши статью. Плюсанем. В комментах обсудим минусы подхода

вообще щас у меня кейс такой:
тф льет виртуалки с минимальным провиженом типа создать тома для докера и т.д. шел скриптами.

дальше ансибл катит ролями всякие консулы, постгресы, номад, и собирает из них соответствующие кластера. Вот это в ансибле хорошо, у тебя всегда master-view, жинжа в момент исполнения и т.д.

все в целом ок, но 1) пиздец медленно потому что сеть иногда через полпланеты и много хостов, 2) на CI раннерами все это крутить гемор, а руками не кошерно.

соответственно хочу сначала добавить шаг между тф и ансиблом, вставить соль для провижена всех вещей которые локальны для миньона и исполняются наиболее долго (поставить нужные пакеты, завести юзеров, и т.д.).
Ансиблом уже после этого собрать кластера.

оркестрация в соли пока для меня вообще темный лес, хотя в перспективе хочется на нее перейти полностью.

А зачем тут ансибл или соль - если ты можешь все на пакер + терраформ + консул собрать ?

И с юзерами интересная история - там реально прям Лдап из соли ?

Я объясню этот прикол - в @pro_ansible из него регулярно раз месяц собирают систему управления УЗЕРами

Терраформ хорош для провижена иммутабельных вещей (да и для них лучше вызов ансибла вкрутить вместо шелл-дрочева на hcl).

Задачу обновления того же консула он не решит потом никак.

Мем про лдап смешной, но грустный.
У меня 2.5 админа в команде, юзера на сервера доступ не имеют (за мега-редким исключением).
Нахера мне тот лдап?
Да и пробовал я уже - наелся говна с глюками sssd, разбираться в этом нет желания.

напиши про глюки sssd в личку плиз

касательно обновления консула... ну, да, наверное, ты прав, но я думаю, что выкрутиться все равно можно - ценой дополнительных костылей

а как лучше всего мониторить отвалившихся миньонов через пром?

боюсь что придется свой экспортер писать