Andy Melnikov (nponeccop) wrote,
Andy Melnikov
nponeccop

Category:

Puppet vs Chef

Я при выборе между puppet и chef выбрал ansible. Оно отличается тем, что

а) требуется только openssh и python. Т.к. python - это зависимость yum, есть в шапках (RHEL/Centos) по умолчанию.

б) мейнтейнится шапошниками, что означает что как минимум до депрекейшена 7 шапки его будут поддерживать. А если 8-я выйдет и шапошники не задепрекейтят ансибл - то и до депрекейшена 8-й.

в) нет никаких портов, торчащих голой жопой в ынет: нет ни слушающих агентов, ни слушающего менеджмент-сервера, которые можно пытаться ломать. Только openssh. Ну и вся менеджмент-инфа - конфигурации узлов, ключи и т.п. у нас 90% времени airgapped. Т.е. лежит на опечатанном ноутбуке в сейфе у нас под кроватью, а не на сервере в амазоне. Ну и даже когда не airgapped а мы активно меняем на кластере конфигурацию - то всё равно за натом. Узлы ничего не знают друг о друге, т.е. взлом одного узла ничего не даёт атакующему в отличие от каких-нибудь CoreOS Fleet, где взлом центрального узла даёт руты на всём кластере и светит все айпишники всех приложений. А так ну если у нас распределённое приложение и узлы знают друг о друге - то атакующий получит информацию об одном приложении, а не обо всех приложениях управляемых нашим менеджментом центральным.

В переводе на человеческий TL;DR означает:

а) bootstrapping на любом хостинге с поддержкой CentOS без установки туда дополнительного ПО (не говоря об агентах-демонах).
б) future-proofed - будет поддерживаться долго и качественно
в) secure by design, минифицирует как поверхность потенциальной атаки, так и импакт успешной атаки на деятельность предприятия в целом

Остальное кроме этих трех пунктов, сделано ужасно. Например, эти роли совершенно идиотские! Не такие идиотские как императивщина шефа, но и не такие с виду приличные, как манифесты паппета.
Tags: programming
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments