У нас если не прочитало то лбычно так и так пиллар фэйлится.

ну у нас approles а пилары общие. и получается что некоторые миньены не могут прочитать определенные секреты и это ок

peer_run ?

Если модуль вольта вызывается на минионе в рэндере стэйта то именно минион стучится в вольт с токеном который ему выдал раннер.

ну значит у миниона есть доступ к вольту

Ну так я поэтому и сказал что мы все в пилларе запрашиваем с вольта, чтобы только мастер ходил в вольт.

ага, да, то я тупанул что-то, понял.

ок судя по всему теперь надо выставлять uses в кол-во vault.read_secret вызовов на миньен

то есть каждый раз добавляя секрет это можно пропустить

Запахло злобным багом.

Выставь 200 :)

да вообще не факт

я вот ща в доки волта пойду - можно ли там "бесконечно" поставить

может 0

бесконечно + ttl звучит относительно разумно

Интересно меняет он токен каждый рендер пилларов или нет.

uses: 0 - помогает
и ttl в часа 3

фух

я думал с ума сойду

уверены, что все так однозначно? Мы сейчас в процессе перехода с 2017 на 2019 и я там ярко вижу, что поведение солта изменилось (у нас все поломалось из-за этого):
salt-call pillar.get users:public_key
salt master 2017: запрос на получение данных ушел с токеном с политикой солт мастера
salt master 2019: запрос на получение данных ушел с токеном с политиками от миниона
Сам пиллар получаем таким образом:

{% set my_public_key = salt['vault'].read_secret("../ssh/public", "key") %}
...
users:
  public_key: {{ my_public_key }}

В новых версиях видимо поведение опять поменялось