стой стой

в ansible же есть ansible-vault

да

я могу отправить доступ к s3 в окружение контейнера

а как у тебя сделано так, что доступ от прода до s3 появляется когда бэкап зашел по ssh?

через iptables?

плюс какие-то скрипты?

пока не придумал, ssh там же нет у s3. тогда только перекидывать доступы, которые будут хранится в ansible-vault

так бы я агента мог перенаправить, если был бы ssh

SSH Agent Forwarding

в s3 же нет возможности сделать ssh? ведь так

один бэкап-сервер и кучка прод-серверов?

я не работал с s3

да, мне же надо ток запустить комманду, чтоб backup_container сделал свое дело.

но вообще после я хотел, чтоб он с s3 выкачивал бекапы куда-нибудь еще

мне все элементарно видится. на бэкап сервере по крону запускается ансибл, который пробегает по всему списку прод-серверов и запускает там пуш файла на s3

ключи, пароли передаются из плэйбука

да

типо того

ну и все

сам прод по сути пушит, тогда мне не придется выкачивать бекапы к себе

после завершения работы, контейнер отключается

ну ты же не хочешь проду отдавать ключи до s3?

не хочу

отдавай их бэкап-сервером через ансибл и все

я так и хотел, просто я не уверен делают ли подобное.

хотел удостовериться

желание на самом деле странное, но реализуемое

мне казалось что это проще

видимо есть причины не отдавать ключи проду

мне кажется*

ну мало ли роот доступ кто-то получит, чтоб бекапы не затерли мне

у тебя по сути ансибл с бэкапа будет ходить по ssh на прод-ноды и запускать там команду пуша на s3

да

по поводу почту или систему какую-нибудь, которая может поставить меня в известность что случилась ошибка. как-то можно сделать? --- мне этот момент не очень понятен. мы вначале думали через почту делать, теперь я так понял это уже не актуально. ---

@namelessmatt

может быть отдельное устройство или телефон, на который будут приходить все уведомления с ошибками?

а выхлоп выполнения плэйбука на почту не пойдет?

так плейбук просто запустит docker container

а что в контейнере будет он не узнает

можно на почту, но я просто не понял, то на почту норм идея, то не очень

допустим на почту cron будет отсылать.

то как мне получить уведомления, если среди писем будет ошибка

плейбук пойдет на ноду, и запустит там контейнер. если итерация не отработает, это зафиксируется в выхлопе

никак

только открыть письмо и глянуть выхлоп

это самое простое решение для уведомлений, ты же не хочешь джэнкинс

но можно в ансибле-плэйбуке обрабатывать эти события и слать почту им

вот поэтому и нужен дженкинс, который будет сам ловить фейлы

говорят же человеку, как сделать, а он костыли сидит выдумывает

ы

самое забавное, что скорее всего он еще из этого ничего не будет делать

так я же спрашивал про jenkins

а так, зашел почесать

в итоге пришли к тому что он не нужегн

мне ничего не ответили, мы стали дальше рассматривать вариант с кроном

о, ансибл телеграм умеет

https://docs.ansible.com/ansible/telegram_module.html

нормально так

ты спросил как сделать, мы тебе рассказали два вариант - как проще всего, и как лучше

ну т.е. крон это просто запускалка, обрабока ошибок это уже логика по продвинутей, нужны другие инструменты

то есть простой вариант это cron + ansible

да

а лучше и более продвинутей это: jenkins, ansible

да

в женкинсе есть концепция билдов, и если в билде ошибка - слать письмо. если нет - не слать

очень гибкая система

жирная правда

разве в cron будет падать ошибка, если ansible просто не сможет приконектиться? он же просто продолжит свою работу и будет пытаться коннектиться к другим серверам

туда будет падать весь выхлоп, который отдаест ему ансибл

вот прям stdout шлёпнет в письмо

а еще лучше если есть бэкап сервер то отвязать бэкапы от дженкинса крона и ансибла и всего такого прочего а то какая то хуита

была там ошибка, или нет, все равно

а ты уже зайдешь и прочитаешь его

@beastea я вас не понимаю, тогда как делать бекапы?

иметь бэкап агента с расписанием на проде, и бэкап сервер с доступом в с3

чтобы проды сами лили бэки

ага

а в s3 нельзя ограничить удаление?

думаешь это нормально? тогда будет доступ к s3 бакету на боевом сервере.