Каков наилучший способ хранения и обработки конфиденциальной информации с марионеткой и безопасным распространением ее на ваши узлы?
Используемая версия - 2.7.
Одним из примеров может быть пароль базы данных. На серверах приложений требуются простые текстовые пароли.
Как можно хранить их, не оставляя их лежащими внутри кукольных сценариев?
Использование Hiera для внешнего поиска данных и шифрование данных с помощью eyaml или GPG - хорошее начало.
https://docs.puppet.com/hiera/
https://puppet.com/blog/encrypt-your-data-using-hiera-eyaml
http://leebriggs.co.uk/blog/2016/11/15/using-hiera-eyaml-gpg.html
Другой вариант, но я не пробовал его лично. https://forge.puppetlabs.com/sshipway/ss
Конечно, это требует помещения данных в безопасное хранилище, но это кажется гораздо более безопасным, чем хранение конфиденциальных данных в Hiera.