使用 puppet 存储和处理敏感信息并将其安全地分发到您的节点的最佳方法是什么?
我使用的版本是2.7。
一个例子是数据库密码。您的应用程序服务器上需要纯文本密码。
如何在不将它们留在木偶脚本中的情况下存储它们?
使用 Hiera 进行外部数据查找并通过 eyaml 或 GPG 加密该数据是一个好的开始。
https://docs.puppet.com/hiera/
https://puppet.com/blog/encrypt-your-data-using-hiera-eyaml
http://leebriggs.co.uk/blog/2016/11/15/using-hiera-eyaml-gpg.html
另一种选择,但我没有亲自尝试过。 https://forge.puppetlabs.com/sshipway/ss
当然,这确实需要将数据放入安全保险库,但这似乎比在 Hiera 中存储敏感数据更安全。