"Одними книжками не насытишься. Абсолютно дело не в лени.... Просто когда задаешь простые вопросы на русскоязычных форумах и получаешь обвинения в лени, хочется пойти к спокойным англосаксам" ответ этого товарища. 😊 Ахуенная локига у него. 😊
слушай, ну я тут на его стороне - не вижу причин посылать человека лесом только потому, что он не знает, в каком чате лягушатник, и честно об этом спрашивает
Nikolay Markov
Polnoch
У нас кстати была архитектура чуть другая
Dmitry
я писал mirantis fuel, мы его на тысяче нод тестировали
Звучит как "там где ты училась, я преподавал!" - молоток, срезал :))
Nikolay Markov
а то, что среди спецов много ЧСВшников - это другое дело
Polnoch
мы использовали Puppet мастер на устаночном сервере,
Polnoch
Не puppet apply, как у вас,
Polnoch
установка тоже через PXE, как у вас, мы использовали Cobbler
Nikolay Markov
Звучит как "там где ты училась, я преподавал!" - молоток, срезал :))
да не, Ксения, как ни странно, правильно написала - что то говно, что это говно
Polnoch
Ещё там был мониторинг, Zabbix,
Dan
мастер класс по измерению длинны хуя
Александр
слушай, ну я тут на его стороне - не вижу причин посылать человека лесом только потому, что он не знает, в каком чате лягушатник, и честно об этом спрашивает
Это странно после того, как все эти из "лягушатника" припёрлись в тг с хабра.
Polnoch
Kibana и logstash
Dmitry
Короче, гоняйте рубильников ссаными тряпками, а я посплю )))
Dan
а у меня 10к нод, а у меня 250к рпс 😃
Aleksey
коллеги, это не талк канал. пожалуйста спасите ксению от бана. перейдите на куда нить @ru_devops
Aleksey
спасибо.
Sander
ну не надо же так косякнуть
http://docs.ansible.com/ansible/linode_module.html
Sander
``` alert_diskio_enabled: True
alert_bwout_enabled: True
alert_bwout_threshold: 10
alert_diskio_enabled: True```
Sander
один и тот же парамтер два раза прописан
Vladimir
Есть ли простой способ получить голый шелл через Ansible? Суть в следующем: ansible уже знает как ходить на какой хост (с какими логинами/ключами/bastion host, etc), не хочется дублировать эту конфигурацию в ~/.ssh/config, хочется что-то вроде
$ ansible -m raw-ssh node1
user@node1 ~$ # здесь обычный терминал, так, будто зашел через ssh на node1
Pavel
вот такое? https://github.com/dominis/ansible-shell
Aleksey
Vladimir
@chebotarevp @freeseacher круто, спасибо, сейчас гляну!
Vladimir
ansible-shell близок к тому, что мне нужно, но похоже, что он не умеет дать именно голый ssh —- он может запускать отдельно взятые (сырые) команды и выводить их результат
Vladimir
запустить тот же tmux через него, насколько я вижу, через него не получится
Aleksey
да не получится. это инструмент adhoc управления
Aleksey
боюсь tnux и ad-hoc далеки как динозавтры и белка со стрелкой
Vladimir
Можно ли как-то удобно с Ansible-vault хранить целые файлы зашифрованными в репозитории?
Например, я хочу положить туда приватный ssh ключ. Я могу сделать на него ansible-vault enctrypt keyfile и закоммитить в репозитоний, но чтобы его потом использовать на машине разработчика (чтобы указать его в ssh_config, например), кто-то должен его расшифровать.
Vladimir
Пока я вижу только вариант добавить плейбук, в котором этот файл расшивровывать/копировать в локальную директорию.
Vladimir
Но это выглядит как-то не очень —- дублируется информация, неочевидно как править файлы, и т.п.
Арсен
@rutsky почему выбрано именно это решение - раздавать разрабам приватные ключи, а не собирать их публичные?
Vladimir
@rutsky почему выбрано именно это решение - раздавать разрабам приватные ключи, а не собирать их публичные?
Для упрощения конфигурации. Виртуалки разворачиваются с уже вшитым деплой-ключом и не хочется делать дополнительно распространение ключей разработчиков (это в каком то смысле менее секьюрно, например, ключ нельзя отозвать, но для нас это сейчас не важно).
Vladimir
Я хочу не только приватные ключи шифровать ansible-vault, но и какие то данные, которыми Ansible фактически не будет управлять, но хранить и шифровать их хочется (например, Secrets для Kunernetes)
Vladimir
Но похоже, что ansible-vault совсем не предназначен, для хранения вещей, которые не будут читаться только из плейбуков
iF
Народ, кто-нибудь в своих модулях использовал переменные из ansible.cfg?
iF
нет, модулях
iF
в ролях я знаю как
Арсен
@rutsky так получается, что вы конфигурацию как раз усложнили
я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию
Vladimir
@rutsky так получается, что вы конфигурацию как раз усложнили
я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию
Приватный git репозиторий с секретами/ключами? Что вы имеете в виду под "динамическим инвентори к репе"?
Арсен
да
http://devdocs.io/ansible/intro_dynamic_inventory
Vladimir
да
http://devdocs.io/ansible/intro_dynamic_inventory
Я правильно понимаю, что dynamic inventory это просто написание (или использование готового) генератора инвентаря?
Vladimir
Т.е. файл инвентаря заменяем на скрипт, который его генерит.
Vladimir
@rutsky так получается, что вы конфигурацию как раз усложнили
я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию
Мне непонятно, как dynamic inventory тут поможет?
Дари
Привет!
Однодневный интенсив в Киеве, приглашаю посетить)
KUBERNETES FOR DEVOPS
https://devops.events/kubernetes
Vladimir
Привет!
Однодневный интенсив в Киеве, приглашаю посетить)
KUBERNETES FOR DEVOPS
https://devops.events/kubernetes
Дарья, вы во все группы будете это рассылать?
Anonymous
поговорил с копипастой, день прожит не зря
Ilya
Serge
Т.е. файл инвентаря заменяем на скрипт, который его генерит.
да. например, это использует pyventory https://github.com/lig/pyventory
Serge
да. например, это использует pyventory https://github.com/lig/pyventory
только щас брать не советую. скоро 2.0, там будет круто всё;)
Serge
но у меня в проекте щас и эта версия работает
Vladimir
Пока я всё равно не вижу простого решения для хранения секретов/ключей, используя Ansible, даже с динамическим инвентарём :)
Svyatoslav
Пока я всё равно не вижу простого решения для хранения секретов/ключей, используя Ansible, даже с динамическим инвентарём :)
А какие есть сложные?
Кто какие инвентарки использует?
Vladimir
Сложный —- это положить в ansible vault ключи/секреты и написать отдельный плейбук, который на машине разработчика в текущую директорию эти секреты выплёвывает.
Vladimir
@WindWriter ^^
Serge
Сложный —- это положить в ansible vault ключи/секреты и написать отдельный плейбук, который на машине разработчика в текущую директорию эти секреты выплёвывает.
А зачем их выплевывать куда-то? Их можно и нужно в плейбуках использовать.
Или вы пытаетесь ансибл для хранения шареных в команде секретов использовать?
Vladimir
А зачем их выплевывать куда-то? Их можно и нужно в плейбуках использовать.
Или вы пытаетесь ансибл для хранения шареных в команде секретов использовать?
Именно так —- пытаюсь использовать для шаренных в команде секретов.
Serge
Не надо пытаться ужа на ежа натягивать. Застрянет.
Pavel
а можно вопрос от параноика:
насколько анизибле аккуратно с секурити обходится - например создаю я на хосте люкс-контейнер и передаю пароль для его создания в параметрах, вопрос при получении полного доступа к хосту (рут) смогут ли злоумышленники выцепить его или из темпов анзибля или из удаленных файлов фс?
Vladimir
У него есть интеграция с гитом/ансиблом? Как он поможет мне версионировать секреты и доставлять их на машины разработчиков аналогично коду с git pull?
Maxim
Привет! А как то можно нормально права ставить по uid, если имя неизвестно?
Dmitry
Привет! А как то можно нормально права ставить по uid, если имя неизвестно?
цифру uid'а передать в chown
Serge
У него есть интеграция с гитом/ансиблом? Как он поможет мне версионировать секреты и доставлять их на машины разработчиков аналогично коду с git pull?
а зачем ансибл?
есть секреты для ансибла - они в волте.
есть секреты для людей - они где-то еще.
что у этой тулзы с версионированием не знаю. но подобных инструментов до фига.
Serge
ну и разработчик сам может решить как ему секреты у себя положить. вплоть до того, что у них бывают разные операционнки и всё такое
Vladimir
а зачем ансибл?
есть секреты для ансибла - они в волте.
есть секреты для людей - они где-то еще.
что у этой тулзы с версионированием не знаю. но подобных инструментов до фига.
Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей, но, похоже, ansible-vault неудобен для этого.
Vladimir
ну и разработчик сам может решить как ему секреты у себя положить. вплоть до того, что у них бывают разные операционнки и всё такое
В идеале я хочу склонировать репозиторий с конфигурацией, положить взятый откуда-то файл .vault-password и иметь рабочую конфигурацию
Vladimir
Без необходимости брать откуда-то ключи, секреты для Kubernetes и т.п.
Dmitry
Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей, но, похоже, ansible-vault неудобен для этого.
есть же вариант когда ваулт работает через апи
Dmitry
https://www.vaultproject.io/docs/configuration/
Dmitry
вот и ходи себе через апи откуда хошь
Dmitry
тем более
Dmitry
просто он хочет же еще "для других вещей"
Dmitry
"Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей,"
Vladimir
Давайте начнём с приватного ключа ssh для доступа к виртуалкам. Я хочу 1) с помощью этого ключа ходить деплоить через Ansible на те виртуалки что-то 2) иметь возможность самостоятельно залогиниться на виртуалки с помощью этого ключа.