Bien entendu si on parle convergence oui il faut puppet/chef ou salt. Mais la convergence c'est une épine dans le cul relative ... faire converger ses settings firewall avec puppet c souvent le bordel quand un déploiement nécessite d'autre ports et les ouvre ou à la révocation du service ou si on les a poussé par puppet il faut alors pensé à les révoquer. D'un autre côté puppet devrait (je n'ai pas assez joué avec) ne s'occuper que d'une chaîne nftable afin de structuré son firewall sur un modèle règles globales d'entreprise et règles spécifiques applicative.... ou pire croiser les effluves et pousse un manifeste de règles à appliquer a puppet avec le rôle ansible qui déploie l'outil (delegate to : puppet master) ... bref des choses qui doivent se faire mais je n'ai pas assez fait de puppet pour confirmer le modèle que je propose ici.
Le 19 sept. 2025 à 11:37, Nec via FRsAG frsag@frsag.org a écrit :
Le 18/09/2025 à 18:11, Jonathan Leroy via FRsAG a écrit :
Hello,[...]
@work on a toujours considéré que les deux approches suivantes étaient différentes et complémentaires :
- l'audit continu avec correction et convergence vers un état souhaité
- pousser one-shot une série de directives vers un ensemble de serveurs/services/configs.
Pour l'audit continu, j'ai passé pas mal d'années avec le grand-père de tous les Puppet/Salt/Chef, à savoir Cf-Engine (issu de recherches universitaires), mais il faut reconnaître qu'en plus d'apprendre à maîtriser le langage bien spécifique et au comportement curieux, il a fallu s'acculturer à des attitudes pas forcément ergonomiques.
Après plusieurs années et à l'occasion d'un nouveau job, je suis passé sur sa version user-friendly : Rudder. Dans les premières années, Rudder était totalement basé sur cf-engine, mais en tant qu'utilisateur, tout se gère via une interface web. Comme tous ces produits, le plus confortable consiste à rester dans les limites "builtin" du produit, et éviter si possible de ré-écrire ses propres directives. Mais c'est évidemment possible de le faire, d'y ajouter ses templates, etc... Le GUI Web nous synthétise en permanence le pourcentage de convergence de notre parc par rapport à nos directives. La boîte qui tient ce produit se nomme Normation, et est me semble-t-il Lyonnaise et québécoise. Elle existe depuis un bon nombre d'années, elle me semble stable, et les rapports qu'on a avec les devs via leur Redmine + forum sont des plus agréables, depuis au moins 10 ans.
Pour l'aspect one-shot, on a absolument tout basé sur Ansible, et comme l'ont dit les collègues, l'usage des collections fut une révélation, en plus de tout ce qui marche déjà vraiment très bien pour nos usages. La lenteur générale d'Ansible n'est pas un frein chez nous, car comme indiqué, ces actions one-shot ne se déroulent jamais dans un contexte d'urgence.
-- Nicolas _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/