Gleb
ну чёт не очень спасает
Gleb
еще бы быстрее
Aleksey
выборочный запуск через теги
Gleb
я чёт думаю что надо вообще переписывать
Aleksey
использование changes, creates и подобного
Aleksey
можно еще в некоторых местах бахнуть strategy: free
Aleksey
но надо точно понимать как оно работает
Gleb
короче я могу таки внимательно посмотреть как нок расскатывается и в принципе это мне мозги вправит в нужную сторону?
Aleksey
я довольно много приложил усилий для того что бы у нас получалось быстро.
Aleksey
а потом взял и набахал в куче мест типа serial: 50%
Aleksey
и подобного
Gleb
а потом взял и набахал в куче мест типа serial: 50%
вот это кстати интересно, правда реально придётся много переписать
Aleksey
мне надо было такое что бы плейбук не ломал заререзирвированные сервисы. ибо наебнуть на всем кластере consul или постгрес так себе идея
Aleksey
а serial не ускоряет ни разу.
Gleb
да это я понял, я к тому что вообще идея хорошая, у меня то сейчас всё катится
Gleb
исторически так сложилось
Gleb
у меня тут аж просветление небольшое случилось
Aleksey
если плейбуки надо что бы были быстро надо не ансибл вроде как
Aleksey
однохостувую конфигурацию ускорить можно только за счет активного скипа тасков.
Aleksey
всякие типа
when: bootstrapped
Aleksey
на многохостовой есть куда поираться убедившись что лишние роли не выполняеются
Gleb
ну я параллельно смотрю что еще есть. Но вопрос кажется в реализации. Которая у меня сейчас вообще плохая. На самом деле ведь разумно обновлять половину только и рулить через балансеры
Gleb
ну я то сейчас не про нок конкретно
Gleb
у меня вообще несколько тысяч машинок
Aleksey
я тоже не про него
Aleksey
на много тыщ тут говорили саль типа
Aleksey
но у тя же много тыщ не под один проект
Gleb
ну как тебе сказать
Gleb
можно сказать что под один, но зоопарк софта всякого огромный
Gleb
вопрос еще в том сколько вокруг того же солта надо сделать если не использовать энтерпрайз версию, у проекта требование - использовать только опенсорс
Aleksey
а где я говорил про балансеры :) ?
Aleksey
но вообще delegate_to
Gleb
а где я говорил про балансеры :) ?
ну я всё хочу такую штуку конечно типа раскатили релиз на часть хостов, если ошибок нет ток раскатываем дальше, но это понятно что космические объёмы работы. Тот же sentry везде внедрить
Dmitry
Первое от чего я охуел перейдя на Солт посте ансибла, это от скорости )
Dmitry
Там упираешься только в апдейт пакетов
alex3rd
А солту агенты на хостах нужны?
Dmitry
ФатальныйНедостаток! :))
на самом деле нет :)
Womchik
ансиблом ставить агенты?
Алексей
миньоны солт сам себе умеет ставить по ssh
Womchik
так не интересно
Dima
неправильно выполняющийся ansible можно остановить. а с salt этот фокус не пройдёт )
Dima
кстати, когда-то кто-то спрашивал, почему отваливаются при коннекте по ssh некоторые узлы. я кажется нашел ответ.
Dima
[ssh_connection]
ssh_args = -o StrictHostKeyChecking=no -o GSSAPIAuthentication=no
Dima
нашёл.
Dima
все равно не понимаю, делаю обычный yum install with_items, и вылетает в одном и том же месте, "failed to connect to the host"
самое интересное, что таск он доделывает а потом коннект срывается
Dima
такое ощущение что, если он устанавливает что-то большое, то он срываеться
Dima
у меня есть такой же кейс, 10 серверов на которые выкатывается > 250 пакетов. один-два сервера отваливаются, приходится докатывать.
Dima
я заебался это дебажить и забил.
Dima
(и ещё полезно ставить UseDNS no в sshd_config, в случае, когда сегмент полностью изолирован и разрешать hostname подключившегося при ssh коннекте не требуется)
Sergey
зарепортил
Bogdan (SirEdvin)
Такой вопрос: в ансибл у кого получилось по условию подключить контейнер к какой-то сети, или к хостовой?
Bogdan (SirEdvin)
А, надо глянуть purge networks
Ruslan
камрады, у кого-нибудь получалось подписывать deb пакеты через reprepro?
Artem
У меня проблема с разрывом конекта лечилась меной транспорта со smart на paramiko
Alibek
Всем добра! Есть playbook:
- hosts: test-user
vars_files:
- users/user1.yml
- users/user2.yml
roles:
- { role: users }
ansible.cfg:
[defaults]
hash_behaviour = merge
users/user1.yml
—-
users:
- username: user1
uid: 1101
users/user2.yml
—-
users:
- username: user2
uid: 1102
Объединение не происходит, происходит замена (переменная users содержит значения только из последнего файла users/user2.yml).
ansible 2.3.1.0
python version = 2.7.13
Alibek
Так и должно быть? Или надо где-то "подкрутить"?
Aleksey
иногда бывает что крайне очевидное решение крайне неочевидно.
уже пару лет использую связку
user name=... password=...
authorized_keys ....
и вот первый раз пользоватль захотел только пароль без ключа.
оказывается ansible в поле password хочет шифрованный пароль....
Pavel
Alibek
иногда бывает что крайне очевидное решение крайне неочевидно.
уже пару лет использую связку
user name=... password=...
authorized_keys ....
и вот первый раз пользоватль захотел только пароль без ключа.
оказывается ansible в поле password хочет шифрованный пароль....
Там всегда был хеш - оно в shadow его пишет
Dima
Dima
я бы понял ещё ключ без пароля, но пароль без ключа...
Aleksey
Просто если кто-то так же как я этого не знал -- делюсь опытом ошибки
Vlad
Просто если кто-то так же как я этого не знал -- делюсь опытом ошибки
Сделай пользователю приятное - добавь параметр: expires
Gleb
а вот так хеш нормально генерить? python -c "import crypt,random,string; print crypt.crypt(raw_input('password: '), '\$6\$' + ''.join([random.choice(string.ascii_letters + string.digits) for _ in range(16)]))"
Pavel
а вот так хеш нормально генерить? python -c "import crypt,random,string; print crypt.crypt(raw_input('password: '), '\$6\$' + ''.join([random.choice(string.ascii_letters + string.digits) for _ in range(16)]))"
зачем?
я так делаю:
- name: Add users
user:
name: "{{item.username}}"
shell: /bin/bash
groups: wheel
append: yes
password: "{{item.userpass |password_hash('sha512')}}"
Gleb
ну да попроще будет :D ток вопрос в том что я например не должен видеть пароли людей
Aleksey
я храню юзеров в гите а пароли тупо рендомом делал.
Pavel
ну у меня инвентори там где пароли - через ваулт зашифрованы, там что не принципиально хеш хранить и "открытые" пароли
Alibek
зачем?
я так делаю:
- name: Add users
user:
name: "{{item.username}}"
shell: /bin/bash
groups: wheel
append: yes
password: "{{item.userpass |password_hash('sha512')}}"
А как рулишь пользователями - в смысле они все в одном файле списком?
Pavel
А как рулишь пользователями - в смысле они все в одном файле списком?
у меня вся инфа по 1 хосту - в 1 файле (инвентори хоста)
Alibek
Т.е. инфа о пользователе дублируется если он в нескольких хостах должен быть
Alibek
Я вот от этого хочу уйти, один пользователь - одно описание, на все хосты
Pavel
Т.е. инфа о пользователе дублируется если он в нескольких хостах должен быть
да, идея в том чтобы не лазить по куче файлов в поисках инфы:
вся информация о хосте - в 1 файле, открыл его и все понятно
Aleksey
вообще идея упоавления уз через ансибл крайне неудачная
Aleksey
годится для систем где юзеров мала. 3-5