« Rev
@pro_ansible   172
Fwd »


Serge
No need to bootstrap ложь
эээ? чо это?
Aleksey
где питон два в ubuntu
Aleksey
где работа с rhel ?
Aleksey
requerytty же
Serge
No need to bootstrap ложь
имеется в виду, что достаточно твоей машины. дай ммне креды от AWS машину и всё поднимется одной командой на моей машине внутри рабочей копии моей репы.
Serge
где питон два в ubuntu
у меня люди запускают плейбук из репы на винде. одной командой.
Aleksey
на предварительно подготовленной среде.
Max
Ага
Aleksey
а приэтом не разницы под что ее готоврить
Max
Я бы сказал что отсутствие мастера не такой уж и плюс
Serge
на предварительно подготовленной среде.
нет. там шеллскрипт, который сетапит docker msi-кой по урлу
Aleksey
шелскрипт запускается удаленно ?
Aleksey
через ансибл ?
Serge
но! умея запускать ансибл, ты можешь с локальной машины поднять что угодно. умея запускать салт, тебе нужно сначала его пропихнуть, можно конечно локальный мастер поднять. но там начнется с ключами и всё такое
Serge
в общем, можно переформулирвоать в extremly minimal bootstrap :)
Aleksey
это фантазия распространителя.
Aleksey
впрочем я за ансибл.
Serge
Almost no need to bootstrap Almost no need to scale
Aleksey
годится
Aleksey
симметричные пункты с обоих сторон схлопни.
Aleksey
валт не плюс.
Aleksey
это кусок поделки.
Aleksey
правильный вариант все равно Hashicrp vault
Serge
правильный вариант все равно Hashicrp vault
Ну тут товарищи тоже накушались Vault-а
Serge
Hashicorp вообще с головой не особо дружат, точнее с реальностью
Serge
это кусок поделки.
это не поделка, а Straightforward design :D
🏳️ Phil
[кашлянул] а спека на общение модуля с самим ansible в природе существует или только Building A Simple Module и исходные коды?
Lex
хай
Lex
хотет странного
Lex
хочу засунуть все роли в один реп
Lex
можно как-то вытаскивать с помощью galaxy только некоторые из них а не все?
Lex
хм, это хорошо, но плохо
Lex
у меня ansible провижн делает для инстансов поднятых terraform
Magistr
git archive --format=tgz --remote=git@bitbucket.org:t/tssp.git deploy -- ops-tools/t-ssp | tar zxvf -' я например вот так выдергиваю роли для провиженинга инстанса в автоскейлинге
Lex
итого infrastructure |-first_cluster |-infra.tf |-ansible.cfg |-roles |-playbook.yml |-second_cluster …
Lex
и вот эти роли надо наполнять
Lex
делать тупо линками мне не нравится
Magistr
а если кластер в окружения вынести ?
Lex
эм?
Magistr
эм?
в личке глянь скрин и папка environments
Lex
в личке глянь скрин и папка environments
оки, спасибо, тоже вариант, надо будет подумать
Magistr
это гут, но что-то как-то не весело
это кстати гибче чем ansible-pull
Lex
так Я и думал
Pavel
Я долго искал способ но не нашел. Кроме каких-то дичайших костылей.
Pavel
Конечно держать 1 отдельный реп на каждую роль это странно
🏳️ Phil
Так. А async делается средствами самого ansible, в модуле ничего специального делать не надо?
Evgeny
Ну тут товарищи тоже накушались Vault-а
А какие варианты взамен? Где хранить секреты?
Serge
А какие варианты взамен? Где хранить секреты?
Постройте модель угроз для начала
Evgeny
Все кроме админов не должны иметь доступа к паролям, сертификатам и ключам с прода.
Evgeny
При этом должен быть удобный инструмент что поддерживать это секретное хранилище и удобный способ доставать из него данные во время деплоя.
Evgeny
Хашикорп ваулт вроде подходит, интересно какие есть альтернативы
Lex
Альтернативы vault? Никаких.
Anonymous
А кто его в проде юзает?
Anonymous
То есть обсудили, но никто в реальности его не пробовал? :)
feature
у нас был, но не зашло
Bruno
у нас был, но не зашло
дак подробней.
feature
хочется нормальную авторизацию в хранилище, а не один пароль на всю ораву
Anonymous
Чего?
Anonymous
Там наоборот все настолько сложно что твой коммент как-то странен :)
Anonymous
Я про хашикорп
feature
а. тьфу. меня заглючило, что про обычный vault
Anonymous
Там 5 unseal ключей, root token, token, app role и secret :)
Anonymous
Нет :)
Anonymous
Именно поэтому вопрос и задал. Интересно как люди живут с такой обвязкой
Dmitriy
Нормально живём
Alf 🙀
Нормально живём
Мы используем Consul в инфраструктуре, поэтому выбрали его как отказоустойчивый бэкенд для Vault. не могли бы вы пояснить
Dmitriy
Что конкретно?
Alf 🙀
Что конкретно?
вы не рассматривали другое потому что уже есть консул я правильно понял? или вы посмотрели и решили не связываться.
Serge
То есть обсудили, но никто в реальности его не пробовал? :)
Пока всегда хватало Ansible Vault. Можно его регулярно шифровать по новой новым ключом.
Dmitriy
вы не рассматривали другое потому что уже есть консул я правильно понял? или вы посмотрели и решили не связываться.
И то и то. Консул - хорошее, стабильное решение, смысла отказываться от него в пользу какого-нибудь постгреса я вообще не нашел
Serge
хочется нормальную авторизацию в хранилище, а не один пароль на всю ораву
Разложи по нескольким Vault файлам. Разрабам выдать ключи от Dev, тимлиду от Staging, Prod оставить заказчику, например.
« Rev
@pro_ansible   172
Fwd »