у ssh, тоже есть timeout свой, возможно он слишком маленький.

но чтот сомневаюсь что в этом проблема

но точно таймаут где-то

ну что я справился

sshd_config - ClientAliveInterval 600

поменял роль местами

хотя рано радоваться, я не полный плейбук запускал, там часть закоментировано было

блин

Вопрос знатокам, а через модуль iptables как можно подключить ipset? (создать правило с участием цепочки из ipset) Как написать правило я понял, не могу понять, можно ли подключить туда модуль , есть параметр match, но синтаксиса с подключеним модуля не нашел :(

ну вот пример там же:

- iptables: table: nat chain: PREROUTING in_interface: eth0 protocol: tcp match: tcp destination_port: 80

а мне надо добавить такую строчку: -A INPUT -m set —match-set SERVICE_NET dst -j ACCEPT

а вообще iptables в ansible - это боль.

Судя по всему ни как.

Пойду ставить iptables_raw

этим модулем никак

да, iptables_raw

Угу, понял, спасибо!

я тупо катаю /etc/iptables/rules.v4.j2 или /etc/sysconfig/iptables.j2 и мне это проще, и как показывает практика, получается гораздо более предсказуемо. а когда модули для iptables будут вменяемы - перейду на них.

ну и пишу туда всё что хочу. вполне идемпотентно.

Ок, посмотрю тоже в эту сторону. Пока только изучаю что к чему

ну вот я тоже шаблонами всё что нужно сделал. кроме того чтобы при изменении конфигурации iptables не в тупую рестартить, а грамотно вставлять через insert новые правила и делать delete старым. но кажется проще модуль написать чем такое

ответсвенность большая

вообще странно что RH это не сделала

они так последнее время на сетевые возможности напирают

ну вот я тоже шаблонами всё что нужно сделал. кроме того чтобы при изменении конфигурации iptables не в тупую рестартить, а грамотно вставлять через insert новые правила и делать delete старым. но кажется проще модуль написать чем такое

а я csf пользуюсь - он нормально правилами через конфиг-файлы рулит

ну вот лично я думаю, что если бы RH написали бы что-то дельное и нормальное, автоматизируемое и рабочее, то через годик-два оно бы вытеснило ufw, firewalld, fireqos и прочие костыли в мозг. (и чего б не написать, казалось бы?)

врятли это сложно.

ибо манипуляция будет над известной и конечной структурой пакета

qos не фаервол.

его можно учитывать в фаерволе но вообще это правила для другой подсистемы.

cisco/juniper acl работают на L3/4 OSI а у linux уже есть match uid, то есть, тут OSI - единственное описание.

можно реализовать acl модуль для cisco/juniper и он вполне логичный будет, но netfilter сюда не приплести никак.

привет

в ансибле можно пароль на ssh вводить не в конфиги, а после запуска команды ansible-playbook в скрытом виде?

там есть опция (-k или типа того), но почему-то она не принемается

какой ключ?

я просто не хочу пароли по конфиг-файлам разбрасывать

vars_prompt: - name: "username" prompt: "Your username" private: no - name: "pass" prompt: "Your password" private: yes vars: provider: host: "{{ ansible_host }}" username: "{{ username }}" password: "{{ pass }}"

готовый пример

вот у меня щас так

но я не хочу что бы пароль был в конфиге, это не секурно

это ваще отстой

а где тут пароль в конфиге?)

а где эти переменные всплывут?

в момент запуска меня спросят?

ага

http://docs.ansible.com/ansible/playbooks_prompts.html

о, благодарю

а можно ли как-нибудь задать в when регексп? хочется выполнять таск, только если item начинается с определённого паттерна.

а можно ли как-нибудь задать в when регексп? хочется выполнять таск, только если item начинается с определённого паттерна.

можно в 2 этапа: сначала регексп и регистри а потом проверить регистри when-ом

аа там сложнее, не дочитал

отбой, нашлись решения через фильтры

https://docs.ansible.com/ansible/playbooks_tests.html#testing-strings

- name: "Add ssh user keys" authorized_key: user={{ item.name }} key="{{ item.key }}" with_items: - name: "{{ domain | replace('.', '') }}" key: "{{ lookup('$HOME/.ssh/webstudio/{{ domain }}.pub', 'user1.pub') }}"

как добавить в key переменную

просто я уже объявил скобки {{

не могу же я еще раз внутри скобок написать еще скобки

🤔

😕

lookup('$HOME/.ssh/webstudio/'~ domain ~'.pub'

let me google for you: "ansible escape curly braces"

спасибо @uncle_gaara

@chebotarevp спасибо сейчас попробую

2.2.2 зарелизили. Но ченджлога внятного нет. https://groups.google.com/forum/#!topic/ansible-announce/XBEQRcwIf5U

2.3.0 перешел в рц2

Но там опять же не богато на изменения...

Ну просто типа фигакс вот мы чето тут накомитили, а что поменялось - сами разбирайтесь.

Ну как то неповзрослому. Как разбираться что изменилось- непонятно.

То ли дело - Stonic ))

Меня вот еще с недавних пор стало дико бесить что они доку апдудейт держат а там например именнование опций для модуля меняется. Это вообще треш.

То ли дело - Stonic ))

Толи дело солт

А по-моему как раз понятно. Берешь все свои плейбуки прогоняешь. Смотришь что отвалилось. Там где отвалилось - это и есть changelog

не могу понять, почему в один ряд ставится активное сетевое оборудование и end-point хосты на ОС linux

потому что нет разницы

кроме спец. чипов поддержки разного

но интерфейсно нет разницы

нет, я Вас не понимаю. в ansible сделали два разных модуля, например, для юзеров: http://docs.ansible.com/ansible/mysql_user_module.html http://docs.ansible.com/ansible/user_module.html и я не понимаю, почему на Ваш взгляд, управление ACL на cisco/juniper и управление netfilter в linux должно быть одним модулем ansible, когда это два отдельных класса сетевых устройств у каждого из которых своя специфика.

противоречит принципу s.o.l.i.d: Неоправданная сложность: проект включает инфраструктуру, применение которой не влечёт непосредственной выгоды.

наверное поэтому в ansible делают вагон мелких модулей которые отлично работают и друг на друга не влияют.