еще подтверждает косвенно, что если вызвать (политики миниона, чтобы читать данный секрет - нету)

salt-call vault.read_secret...

то в солт 2017 ничего отдасться (будет forbidden), то в солт2019 это просто не сработает - пиллары не с рендерятся (для пилларов, которые берутся из волта) и будет ошибка

я сейчас проверил и версии мастера - 3000, 3001 - там это поведение сохраняется (минион правда оставлял версии 2017)

{% set my_public_key = salt['vault'].read_secret("../ssh/public", "key") %}
...
users:
  public_key: {{ my_public_key }}

У нас 2018й это раз. В 2018 в последних версиях починили баг. Соответственно и в 2019.Раньше если ты запрашивал секрет в пилларе то мастер действительно шел в вольт с мастерскими полисями что не есть секьюрно. Все исправили и сделали  имперсонализацию. Мастер стучится в вольт с полисями миньена теперь.

а можно почитать об этом баге? (ну или как загуглить правильно)

@unix196 Помойму вот этот баг: https://github.com/saltstack/salt/issues/49671 ищите impersonate.

Так ребят - кто использует Syndic и Оркестрацию?

Я начал эксперементировать и пока две претензии:
1) Синдик выглядит костылем и медленный на ровном месте
2) Искренне не понятно как таргетить не все сразу если используется оркестрация

подниму старую тему
В таком случае вывод пока такой что надо делать меньше вызовов в волт?
Сейчас столкнулся с тем, что при переходе с 2017 на 2019 мастер сильно просела производительность, мы как-то опрометчиво засунули публичные ключи разработчиков в волт и оттуда их достаем для заполнения authorizied_keys. В мастере 2017 это никак особо не деградило производительность, а в 2019 стало Очень медленно, запуск стейта, который заполняет файл authorizied_keys,  на одном минионе:

master 2017 - 50s
master 2019 - 2m 50s

 
- это порядка 40 пилларов, который берут свои данные из волта (salt['vault'].read_secret(...))
Если минимизировать (оставил только 6 пилларов обращающихся в волт):

master 2017  37s 
master 2019  48s

в 2019 решения нету? возможный фикс есть только в 3001 (uses)? (просто муторно опять возвращать секреты из волта обратно в текстовый файл)

Решения нету и не будет я думаю. uses не помогут насколько я понял по экспеременитам на 3001

Но хочу заметить что публичная часть ключа - это НЕ секрет и хранить ее в волте это как минимум странно

вот сейчас выпилил все вызовы в волт из солта, сравнил - в 2017 мастере всего на 7 секунд стало быстрее. Это ж как надо было испоганить модуль, что все так стало неповоротливо в новых версиях

жаль что не оставили старое поведение дле тех кому оно надо,  но новое поведение весьма правильное с точки зрения безопасности и вот этого всего.

всем пиривет)

а кто нить автоматизировал патрони?

Было дело

а как ты конифги постгри менял?

file.managed? 😵

у меня формула для постгри была своя

адаптировал ее для работы в связке с формулой патрони

для патрони еще и модуль свой написал

не, там же через edit-config