Мы используем марионетку для управления группой ящиков Ubuntu и вскоре потребуем, чтобы каждый из этих серверов имел общий сертификат SSL, чтобы обслуживать сайт по HTTPS. Естественно, мы хотели бы использовать марионетку для управления сертификатом, но осознаем тот факт, что размещение его в VCS (откуда мастер марионетки получает свои модули) может быть не очень хорошей идеей из-за последствий для безопасности.
Есть ли какие-нибудь лучшие решения, о которых известно?
Раскрытие информации: я являюсь одним из разработчиков Puppet.
Общая практика заключается в использовании специального монтирования файлового сервера, который предлагает контент, а затем имеет ACL для доступа к файлам только определенным системам. Это позволяет вам использовать source => 'puppet://...' спецификации без необходимости получать ее из того же места, что и другие модули.
Вы также можете посмотреть hiera-gpg модуль, как задокументировано здесь, источник здесь. Это обеспечивает некоторую защиту контента с точки зрения раскрытия, так что только одобренные люди и люди с достаточным доступом к мастеру Puppet, которые могут взломать код для получения данных, могли его прочитать.