YS
Может быть, я пробовал конвертнуть глобальное описание волтовых конфигов в тф пол года назад и всё ещё была проблема с бэкендом. Поэтому закостылили свою ансибл роль. Которая больше напоминает курл через ямл.
Size: a a a
2020 November 16
SM
без стейта будет не красиво наверно
AY
без стейта придется писать руками какие роли удаляются через state (скорее всего)
Ei
SM
мы катаем этим модулем через Ansible - вполне удобно https://github.com/TerryHowe/ansible-modules-hashivault
дак а удаление как отрабатываете?
Ei
сравнение списков и все hashivault_policy_list
SM
ужасно)
Ei
не руками же)
AY
сравнение списков и все hashivault_policy_list
те если там было что-то занесено другой штукой, то трет?
Ei
те если там было что-то занесено другой штукой, то трет?
других штук нет
SM
а чего не терраформ?
Ei
по мне это сравнение цвета фломастеров
SM
ну цвет ж выбирали как то :D
Ei
нравицо)
SM
справедливо +)
YS
Мы вычислем стейт перед прокаткой, других инструментов нет, и катить можно только с определённых ИП.
Стейт вычисляется оч криво. Нужно вхождение проекта типа <project_name>__<something>. Строгая стандартизация, автоматическая очистка мусора, подпадающего под стандарт. Сложное ревью с OPA. Потому что человек легко пропустит слово tesitng, хотя правильно testing
И куча такого сахара. В целом, тф выглядит гораздо вкусней, кроме того что сложней свой шаблон наложить, типа проектов и обновления АД групп, но провайдер надо дописывать чтобы он стал как минимум не убивающим всю инфру потому что мы добавили 1 секунду в дефолтный ТТЛ.
Стейт вычисляется оч криво. Нужно вхождение проекта типа <project_name>__<something>. Строгая стандартизация, автоматическая очистка мусора, подпадающего под стандарт. Сложное ревью с OPA. Потому что человек легко пропустит слово tesitng, хотя правильно testing
И куча такого сахара. В целом, тф выглядит гораздо вкусней, кроме того что сложней свой шаблон наложить, типа проектов и обновления АД групп, но провайдер надо дописывать чтобы он стал как минимум не убивающим всю инфру потому что мы добавили 1 секунду в дефолтный ТТЛ.
AD
Может быть, я пробовал конвертнуть глобальное описание волтовых конфигов в тф пол года назад и всё ещё была проблема с бэкендом. Поэтому закостылили свою ансибл роль. Которая больше напоминает курл через ямл.
а можно больше деталей? Что за backend?
YS
а можно больше деталей? Что за backend?
Любой auth_backend.
Мы не разрешаем создавать учётки людям. Это может только наша сервисная уз. И онаже может обновить свойство auth backend. Типа описание, дефолтный ттл. Пол года назад при таких правках auth backend полностью удалялся терраформом и создавался новый. Без учёток. Учётки создавались при повторной прокатке. И как бы жить можно было бы, хоть и простой, но у ролей типа approle role_id, secret_id уникальные каждый раз, + все токены этого бэкенда отзываются и надо массово переавторизовываться. Когда токенов около 15к - это страшно делать.
Мы не разрешаем создавать учётки людям. Это может только наша сервисная уз. И онаже может обновить свойство auth backend. Типа описание, дефолтный ттл. Пол года назад при таких правках auth backend полностью удалялся терраформом и создавался новый. Без учёток. Учётки создавались при повторной прокатке. И как бы жить можно было бы, хоть и простой, но у ролей типа approle role_id, secret_id уникальные каждый раз, + все токены этого бэкенда отзываются и надо массово переавторизовываться. Когда токенов около 15к - это страшно делать.
YS
Не разрешаем потому что волт не даёт возможности ограничить какие права (политики) выдать учётке, а пейлоад валидировать не хочется. Поэтому только после ревью.
AD
интересный кейс. а зачем руками учетки создавать? нет возможности 3rd party identity provider пользовать? через ldap например?