Имеет смысл сделать резервную копию солевого состояния в репозитории git, поскольку там не должно быть никаких конфиденциальных данных.
Но как насчет данных по столбам? Должен ли я просто создать для этого отдельный репозиторий git, или поместить его в корзину S3, или как-то зашифровать данные?
Вы можете зашифровать данные столбца с помощью GPG и защитить ключ на своем солевом мастере, чтобы данные столбца не отображали личную информацию в вашем репозитории git.
Salt может отображать файлы состояния с помощью средства визуализации GPG.
Вы можете установить что-то вроде этого в своей основной конфигурации, чтобы включить средство визуализации:
renderer: jinja | yaml | gpg
Примерный формат выглядит следующим образом:
secret-data: |
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
hQEMAweRHKaPCfNeAQf9GLTN16hCfXAbPwU6BbBK0unOc7i9/etGuVc5CyU9Q6um
QuetdvQVLFO/HkrC4lgeNQdM6D9E8PKonMlgJPyUvC8ggxhj0/IPFEKmrsnv2k6+
cnEfmVexS7o/U1VOVjoyUeliMCJlAz/30RXaME49Cpi6No2+vKD8a4q4nZN1UZcG
RhkhC0S22zNxOXQ38TBkmtJcqxnqT6YWKTUsjVubW3bVC+u2HGqJHu79wmwuN8tz
m4wBkfCAd8Eyo2jEnWQcM4TcXiF01XPL4z4g1/9AAxh+Q4d8RIRP4fbw7ct4nCJv
Gr9v2DTF7HNigIMl4ivMIn9fp+EZurJNiQskLgNbktJGAeEKYkqX5iCuB1b693hJ
FKlwHiJt5yA8X2dDtfk8/Ph1Jx2TwGS+lGjlZaNqp3R1xuAZzXzZMLyZDe5+i3RJ
skqmFTbOiA==
=Eqsm
-----END PGP MESSAGE-----
Вы также можете применить средство визуализации для каждого файла, добавив следующую строку в верхнюю часть любого столбца с данными gpg в нем:
#!yaml|gpg
Смотрите документацию здесь:
http://docs.saltstack.com/en/latest/ref/renderers/all/salt.renderers.gpg.html