какие подводные камни, какой воркфлоу работы с хранилищем, учитывая, что оно может быть использовано не только в ansible?
Подводные камни: 1. в раннере приватные ключи существуют без пароля на время сессии; 2. Публичные ключи стоит раскатывать ансиблом/паппетом отдельно от CI или вообще хранить в ldap; 3. Приходится игнорировать known_hosts (не придумал, как его синхронизировать и надо ли)
Hashicorp Vault используется отдельно от ансибла, ансибл готовит раннеры, в том числе записывает приватные ключи в gpg
Обсуждают сегодня