в идеале это бы выглядело как переопределение hosts для конкретной таски в роли

такой вопрос: предположим у меня 2 хостгруппы, в каждой по 1 серверу, я запускаю плейбуку, которая маппит соотв. хостгруппу на роль, но мне нужно в рамках этой роли найти другую хостгруппу, подключиться к ее серверу и кое что с него скачать. это возможно?

delegate_to: hostname

- synchronize: src={{ item.src }} dest={{ item.dest }} delegate_to: "{{ ansible_host }}" with_items: - { src: '/fld/from/1/', dest: '/fld/to/1/' }

спасибо, попробую

еще такой вопрос: есть конструкция вида L_HOST: "{{ hostvars[groups [ (L_GROUP | default ('lgroup')) ][0]].ansible_default_ipv4.address }}" , в одной роли отрабатывает без вопросов, в другой ошибка , что ансибл не находит атрибута 'ansible_default_ipv4' у соотв. конструкции. lsb вроде стоит как надо. чего может не хватать в роли?

нормального способа проверить ассайнена ли роль изнутри темплейта, нет да? нужно рендерить два темплейта и оборачивать их when так выходит?

есть роль в плэйбуке которая призвана выполняться на all в роли есть темплейт, в темплейт хотелось добавить условие в стиле {%- if 'nginx' in ansible_roles %} bla-bla-bla {%- endif %}

http://docs.ansible.com/ansible/ec2_group_module.html ктонить знает, добавление правил аддитивное или заменяются все правила сразу на указанные в таске?

есть роль в плэйбуке которая призвана выполняться на all в роли есть темплейт, в темплейт хотелось добавить условие в стиле {%- if 'nginx' in ansible_roles %} bla-bla-bla {%- endif %}

окей, есть role_names вот тут https://github.com/ansible/ansible/issues/12863 было ишью по этому поводу, но оно работает только внутри одного плэя, данные между плэями не мерджатся если вдруг кому интересно.

http://docs.ansible.com/ansible/ec2_group_module.html ктонить знает, добавление правил аддитивное или заменяются все правила сразу на указанные в таске?

пиши нормальный идемпотентный набор правил 😉

пиши нормальный идемпотентный набор правил 😉

Всмысле? Там помимо меня еще другие правила вписывают, и их полный список не детерминирован.

Моя цель прописать мой IP один

Всмысле? Там помимо меня еще другие правила вписывают, и их полный список не детерминирован.

Слышал я, что это называли бардаком...

Не, это называется демократичная команда ;)

Не, это называется демократичная команда ;)

Не согласен. Демократичная команда - каждый может коммитить в репу с шаблоном правил для Ансибла, и каждый имеет право запустить этот самый Ансибл. А то, что ты описал - когда куча народу рандомно что-то фигачит на окружении с криками "ух ты, работает!" - это бардак.

это просто решается, закрытием ветки master и автодобавлением всех инжеров в новый PR. а иначе не демократия. добавление только главного инженера и архитектора - протократия. добавление гендиректора - абсолютная монархия. а пушить в master без PR - сплошная анархия. если заговорили про IaC... )

если же только руководитель смотрит PR на merge - то это авторитаризм (или диктатура)

Не согласен. Демократичная команда - каждый может коммитить в репу с шаблоном правил для Ансибла, и каждый имеет право запустить этот самый Ансибл. А то, что ты описал - когда куча народу рандомно что-то фигачит на окружении с криками "ух ты, работает!" - это бардак.

У нас ансиблом никто не пользуется, это я для себя хотел написать скрипт добавления IP в группу.

Коллеги, а что модуль ansible git не умеет обновлять dest, если каталог в dest не пустой? update: yes, force: yes включены

Igor только что проверил - все умеет - каталог не пустой

Igor только что проверил - все умеет - каталог не пустой

а покажите вашу таску, пожалуйста

секунду

- name: git update src code local_action: git repo='{{ src_repo }}' dest='{{ src_dir }}' version='{{ src_branch }}' recursive=yes update=yes force=yes

- name: git update src code local_action: git repo='{{ src_repo }}' dest='{{ src_dir }}' version='{{ src_branch }}' recursive=yes update=yes force=yes

а какой версии ansible?

ansible —version ansible 2.2.1.0

до 2.3 -> пока не обновляюсь

Коллеги, а что модуль ansible git не умеет обновлять dest, если каталог в dest не пустой? update: yes, force: yes включены

А какая ошибка?

минутку

а, мне опции recursive не хватало, спасибо )

вообще то resursive - не связана с обновлением dest ) submodule же. Но хорошо что получилось ;)

Как я понимаю, нормально альтернативы для hasicop vault для ansible нет?

@SirEdvin ? что имеется в виду ? чем ansible vault не устроил ?

@SirEdvin ? что имеется в виду ? чем ansible vault не устроил ?

Ну, больше одного человека, хотелось бы как-то не всем шарить все зашифрованные файлы, а как-то разумнее) Не знаю, мне просто с первого раза vault не понравился, я подумал, может есть что другое

чем он может не понравиться ? для базовых вещей типа сертификаты и бла бла бла ... очень даже... другое дело не надо это все в публичных репах держать

с хашикорповским продуктом - немного все по другому, там целое флоу лепить надо чтобы правильно работать с sensitive data

насколько я понял, в ваулте для разных юзеров можно и разные "ваулты" делать с разными ключами (паролями) вот и будет тебе разделение

вот только для "суперюзера" для доступа ко всему, не знаю получится ли указать несколько ключей ((

насколько я понял, в ваулте для разных юзеров можно и разные "ваулты" делать с разными ключами (паролями) вот и будет тебе разделение

а можно док про это?

а можно док про это?

http://docs.ansible.com/ansible/playbooks_vault.html

я с разделением пока не столкнулся... у нас 1 комадна, с одинаковыми правами, но я думаю можно исхитриться и с разделением

http://docs.ansible.com/ansible/playbooks_vault.html

что то не могу найти там про возможность иметь ваулты пер юзер

что то не могу найти там про возможность иметь ваулты пер юзер

просто создай с разными паролями на разные файлы - вот и разделишь

просто создай с разными паролями на разные файлы - вот и разделишь

ясно.

не на "свой" файл не знаешь пароль - не получишь к нему доступ

ясно.

немного костыльно, как по мне, но варик должен быть из коробки и рабочий

немного костыльно, как по мне, но варик должен быть из коробки и рабочий

а как дженкинс должен расшифровывать такую капусту?

а как дженкинс должен расшифровывать такую капусту?

так для дженкинса можно полный доступ давать, а ограничивать уже юзеров на права запуска скриптов (плейбуков)... как по мне тут еще проще

один идиот написал переменную в один файл, второй такую же переменную написал в другой файл, каждый зашифровал, допустим дженкинс знает супер пароль и расшифровал это удовольствие, что ансиблу деплоить? какую из переменных?

так для дженкинса можно полный доступ давать, а ограничивать уже юзеров на права запуска скриптов (плейбуков)... как по мне тут еще проще

полный доступ к чему? у вас ваш vault_pass локально лежит. Дженкинс о нем не знает.

один идиот написал переменную в один файл, второй такую же переменную написал в другой файл, каждый зашифровал, допустим дженкинс знает супер пароль и расшифровал это удовольствие, что ансиблу деплоить? какую из переменных?

ну тут уж, извините, от "идиотов" спасения нет

полный доступ к чему? у вас ваш vault_pass локально лежит. Дженкинс о нем не знает.

плейбук дженкинс запускает?

ну тут уж, извините, от "идиотов" спасения нет

ну а как работать, если ты не видишь что эта переменная уже используется, это с одной стороны, ну и будешь dry run делать у тебя ансибл элементарно ругнется что не может расшифровать файл твоего коллеги потому что ключ у него не тот

плейбук дженкинс запускает?

ну не локально же вы это делаете

ну не локально же вы это делаете

да, у нас для плейбука - это все "локально" тяжело что-то обсуждать, не понимая вашей инфраструктуты

да, у нас для плейбука - это все "локально" тяжело что-то обсуждать, не понимая вашей инфраструктуты

а для чего не локально?

ну не локально же вы это делаете

вот потому я и не понял этой фразы

вот потому я и не понял этой фразы

чего именно вы не поняли?

чего именно вы не поняли?

что значит "ну не локально же вы это делаете"?

что значит "ну не локально же вы это делаете"?

а что значит плейбук дженкинс запускае в таком случае?

вы спрашиваете кто запускает плейбук. плейбук, теоретически, должен быть способен запустить каждый кто имеет доступ до репы и может клонировать его себе локально

один идиот написал переменную в один файл, второй такую же переменную написал в другой файл, каждый зашифровал, допустим дженкинс знает супер пароль и расшифровал это удовольствие, что ансиблу деплоить? какую из переменных?

пишите переменные в один файл, доступы в другой. нахрена шифровать переменные? сколько там воркеров у nginx - тайна?

вопрос про ну не локально же вы это делаете, подразумевает, что не локально же вы запускаете выкатку изменения конфигурации из

пишите переменные в один файл, доступы в другой. нахрена шифровать переменные? сколько там воркеров у nginx - тайна?

переменные - это чуть больше чем воркеры.

vault традиционно используют чтобы шифровать доступы которые непубличны.

если все пользуются одними доступами - то какие проблемы?

vault традиционно используют чтобы шифровать доступы которые непубличны.

спасибо, я не знал.

если все пользуются одними доступами - то какие проблемы?

доступами куда?

не совсем понимаю, как на пустом месте появилась проблема

не совсем понимаю, как на пустом месте появилась проблема

мне предложили использовать разные vault_pass для разных пользователей

проблемы нет, разделяйте если надо - и не разделяйте если юзают все скопом... проблемы вообще нет

доступами куда?

куда угодно, начиная от того чтобы подставить в конфиг telegram бота токен, и заканчивая тем чтобы подложить ключ для aws.

куда угодно, начиная от того чтобы подставить в конфиг telegram бота токен, и заканчивая тем чтобы подложить ключ для aws.

взгляните выше

ну... да. если называть инженеров идиотами, и так к ним относиться, то vault не решит этой проблемы.

достаточно договориться в каком файле какие переменные, в каком файле то что должно быть зашифровано, и дать всем один пароль. и вопрос решен.

ну... да. если называть инженеров идиотами, и так к ним относиться, то vault не решит этой проблемы.

ясно. спасибо.

пожалуйста.

достаточно договориться в каком файле какие переменные, в каком файле то что должно быть зашифровано, и дать всем один пароль. и вопрос решен.

т.е. опять же один пароль всем, так?

изложите плиз тогда, а какую проблему Вы решаете?

vault - решение как усилить безопасность и не хранить в открытом виде пароли

изложите плиз тогда, а какую проблему Вы решаете?

выше говорили про то что можно разделять пер юзер. я спросил как.