En una presentación extremadamente interesante en Puppet Camp Londres, Tomas Doran sugirió un enfoque bastante radical para mantener todo automatizado. gestionando toneladas de contenedores Docker con Puppet.
Como persona preocupada por la seguridad, me gusta la idea de Docker, ya que todo se ejecuta en su propio LXC y configuro todos los servicios para que se ejecuten como usuarios que no sean root
.
Como una persona consciente de la administración de sistemas, me gusta la idea de la gestión de Puppet, ya que puedo mantener toda la configuración en un repositorio Git e incluso mantener diferentes entornos, todo en el control de versiones. La ventaja también es que tengo entornos capaces de derrumbarse (¿es eso una palabra?) Que, en teoría, puedo reconstruir desde cero sin demasiada intervención manual.
Sin embargo, hay cosas que me gustaría que no se mantengan en un repositorio Git, a saber, certificados SSL, contraseñas de bases de datos, etc.
¿Cómo las organizaciones que administran grandes cantidades de máquinas (como CERN) utilizan servicios de aprovisionamiento como Puppet y Chef mientras mantienen la seguridad? Ciertas cosas parecen fáciles, como imponer permisos en los archivos, pero otras parecen difíciles, como instalar claves SSL o claves de host SSH, que requieren una intervención manual.