web-dev-qa-db-ja.com

SaltStackのピラーデータをどのようにバックアップする必要がありますか?

機密データがそこにあるべきではないので、salt状態をgitリポジトリにバックアップすることは理にかなっています。

しかし、柱のデータはどうですか?そのために別のgitリポジトリを作成するか、S3バケットに入れるか、データを何らかの方法で暗号化する必要がありますか?

saltstack
3
syvex

ピラーデータをGPGで暗号化し、ソルトマスターのキーを保護して、ピラーデータがgitリポジトリに個人情報を表示しないようにすることができます。

Saltは、GPGレンダラーを使用して状態ファイルをレンダリングできます。

マスター構成で次のように設定して、レンダラーを有効にすることができます。

renderer: jinja | yaml | gpg

形式の例は次のとおりです。

secret-data: |
  -----BEGIN PGP MESSAGE-----
  Version: GnuPG v1

  hQEMAweRHKaPCfNeAQf9GLTN16hCfXAbPwU6BbBK0unOc7i9/etGuVc5CyU9Q6um
  QuetdvQVLFO/HkrC4lgeNQdM6D9E8PKonMlgJPyUvC8ggxhj0/IPFEKmrsnv2k6+
  cnEfmVexS7o/U1VOVjoyUeliMCJlAz/30RXaME49Cpi6No2+vKD8a4q4nZN1UZcG
  RhkhC0S22zNxOXQ38TBkmtJcqxnqT6YWKTUsjVubW3bVC+u2HGqJHu79wmwuN8tz
  m4wBkfCAd8Eyo2jEnWQcM4TcXiF01XPL4z4g1/9AAxh+Q4d8RIRP4fbw7ct4nCJv
  Gr9v2DTF7HNigIMl4ivMIn9fp+EZurJNiQskLgNbktJGAeEKYkqX5iCuB1b693hJ
  FKlwHiJt5yA8X2dDtfk8/Ph1Jx2TwGS+lGjlZaNqp3R1xuAZzXzZMLyZDe5+i3RJ
  skqmFTbOiA==
  =Eqsm
  -----END PGP MESSAGE-----

Gpgデータを含むピラーの上部に次の行を追加することで、ファイルごとにレンダラーを適用することもできます。

#!yaml|gpg

こちらのドキュメントを参照してください。
http://docs.saltstack.com/en/latest/ref/renderers/all/salt.renderers.gpg.html

7
Vasili Syrakis