или в каждую таску надо?

Можно инклудить плейбуки с условием, например - include: fedora.yml when: ansible_distribution == "Fedora" Плюс можно ставить условие на блок тасков http://docs.ansible.com/ansible/latest/playbooks_blocks.html

угу, понял. В моём случае будет when к каждому таску значит...

а можно где-то взять ансибл версии 2.3.2 для убунты? в ансибл репозитории только лейтест(2.4)

билдить из сорса не хочу

pip

а подскажите по темплейтам. у меня есть таск который из темплейта генерит правила для айпитейблс, там куча ифов вида {% if ansible_hostname in groups['springboot'] %} add some firewall rule {% endif %} и мне выпадает ошибка fatal: [octopus]: FAILED! => {"changed": false, "failed": true, "msg": "AnsibleUndefinedVariable: Unable to look up a name or access an attribute in template string (a lot of FW rules was here)).\nMake sure your variable name does not contain invalid characters like '-': argument of type 'StrictUndefined' is not iterable”} есть идеи?

Нужно больше подробностей

каких именно?

таск вида template: backup=yes src=rules.v4.j2 dest=/etc/iptables/rules.v4

Как раз таки тот template string

C ним что-то не так

эм. который? который там в ифе?

Да

А у тебя в groups['springboot'] есть что-нибудь?

давай другой пример возьмем, будет чуть проще. {% elif ansible_hostname in groups['dns'] %} -A INPUT -p udp --dport 53 -m udp -j ACCEPT -A INPUT -p tcp --dport 53 -m tcp -j ACCEPT {% endif %} ошибка та же

причем на половине групп оно нормально апплаится

правила у всех одинаковые, только порты разные

в самой группе два днса [dns] dns1 dns2

есть идеи как это дебажить хотя бы?

Начать с чтения документации http://docs.ansible.com/ansible/latest/intro_getting_started.html Должно получится что-то типа ansible all -m shell -a 'apt update && apt -y full-upgrade'

А в плэйбуке есть gather_facts?

да

давай другой пример возьмем, будет чуть проще. {% elif ansible_hostname in groups['dns'] %} -A INPUT -p udp --dport 53 -m udp -j ACCEPT -A INPUT -p tcp --dport 53 -m tcp -j ACCEPT {% endif %} ошибка та же

если в конфигах появляется такая бурда - инфа 200%, что роль хреново написана

пишется одна роль, но принимающая параметры

которые ей из плейбука передаются

а какая разница? будет 3 ифа или будет луп с переменной в которую будет приходить значение из переменных группы, например?

Хм, непонимание принципов detected. Ок, тогда исхожу из наблюдаемых фактов: раз не работает и есть вопрос, значит, какая-то разница есть? 😊 Ещё раз: роль - она просто должна параметризироваться. По-простому: Не надо писать "(если это джип )поставь колёса на 22')(конец)", надо писать "для всех джипов: поставь колёса (22')"

Хотя это, конечно, моё личное мнение, которое никого ни к чему не обязывает, и его высказывание - просто предложение воспользоваться концентрированным опытом в готовой форме.

вроде этого упрощенно {% for host in groups['dns'] %} -A INPUT -p udp --dport 53 -m udp -j ACCEPT -A INPUT -p tcp --dport 53 -m tcp -j ACCEPT {% endfor %} ?

это опять конфиг

я про роли писал, которые ты назначаешь на определённые хосты

а, ты предлагаешь делать отдельные роли для разных групп хостов? а если роль нужно апплаить на все хосты, но с разным конфигом? нужно делать разные роли или разные конфиги в зависимости от хоста?

Идея разных ролей для разных хостов чуда как хороша

Чего только люди не напридумывают

а, ты предлагаешь делать отдельные роли для разных групп хостов? а если роль нужно апплаить на все хосты, но с разным конфигом? нужно делать разные роли или разные конфиги в зависимости от хоста?

Я бы в этом случае как минимум задумался над разбиением задач по ролям.

у меня одна маленькая роль, положить темплейт и сделать релоад фаервола. куда уж меньше то

она кстати работает, там парсинг темплейта просто ломается если в середине будет иф с группой которой нет

error message мог бы быть поточнее

Положите список правил в груп_варс?

Идея разных ролей для разных хостов чуда как хороша

да я просто не очень понимаю Сергея, он слишком абстрактен для меня

Положите список правил в груп_варс?

+100500 кстати

Ну так же все делают нет?

да я просто не очень понимаю Сергея, он слишком абстрактен для меня

Я считаю неприличным куски деплоя с рабочего проекта в общие чаты пастить.

Поэтому да, "на пальцах" приходится.

У меня сейчас есть икс серверов приложений, которые слегка различаются по конфигурациям (набор работающих сервисов различен). Чтобы уберечь себя же от боли и унижения в шаблонах конфигов, я создал подгруппы. Теперь при запуске деплоя каждая подгруппа получает своё, родное.

У меня сейчас есть икс серверов приложений, которые слегка различаются по конфигурациям (набор работающих сервисов различен). Чтобы уберечь себя же от боли и унижения в шаблонах конфигов, я создал подгруппы. Теперь при запуске деплоя каждая подгруппа получает своё, родное.

может, конечно, я непраильно делаю, но у меня название нужного шаблона хранится в переменной в инвентри хоста, потому для разных хостов одна и та же роль накатывет нужный конфиг

может, конечно, я непраильно делаю, но у меня название нужного шаблона хранится в переменной в инвентри хоста, потому для разных хостов одна и та же роль накатывет нужный конфиг

Ну если тебе так удобно и при этом у окружающих не возникает проблем - кто будет возражать? Лично я - не буду.

потому когда я открываю инвентори хоста я вижу всю картину что там сконфигурировано

точнее файл хост-варс... в самом инвентори только декларируется какой хост в какой группе

точнее файл хост-варс... в самом инвентори только декларируется какой хост в какой группе

да, вполне себе best practice

просто я долго думал и не нашел другого решения для накатки, например нескольких vhost для nginx с разными конфигами.... пришлось делать список из набора перемнных для каждого vhostа

просто я долго думал и не нашел другого решения для накатки, например нескольких vhost для nginx с разными конфигами.... пришлось делать список из набора перемнных для каждого vhostа

вот это и есть боль и унижение

вот это и есть боль и унижение

"боль" - не то слово... там у меня нгинх фронед, еще и бекэнд есть ко всем вхостам, еще и разный бывает

"боль" - не то слово... там у меня нгинх фронед, еще и бекэнд есть ко всем вхостам, еще и разный бывает

Да, у меня коллега за соседним столом на подобное немало времени потратил, в итоге впихнув невпихуемое. Другое дело, что мне до сих пор непонятно, что ж за неведомая долбаная фигня заставляет разработчиков выносить чать внутренней логики приложения в конфиги nginx и считать, что у них с архитектурой всё хорошо 😊)))

Есть динамический openstack inventory - как добавить хосты которые не в openstack в вывод этого inventory?

дописать инвентори? )

Есть динамический openstack inventory - как добавить хосты которые не в openstack в вывод этого inventory?

Используй инвентори как директорию, положи рядом с тем инвентори опенстековским обычный статический. Ансибл померджит их

Используй инвентори как директорию, положи рядом с тем инвентори опенстековским обычный статический. Ансибл померджит их

спасибо попробую

Пошаговый Ansible туториал. Нужно только запустить и нажимать Enter ヅ. https://goo.gl/ju21Pk Основан на https://goo.gl/fUea4v

это успех я считаю

кто-нибудь использует http://ansible-playable.com/ ?

нет. все боятся

боятся ошибки в интерфейсе более чем очепятки в ямл файле ?

(просто сам ток осваиваюсь)

Я боюсь автора)) "Mumshad Mannambeth"

да,. имечко у него ... ааутентичное

Ну и один фиг оно в альфе еще

Ну и один фиг оно в альфе еще

мм, и правда. просто давно в закладках лежит. думал уже стартанули. видимо не судьба

господа, обновился на 2.4 вылезла ошибка nchown: changing ownership of '/tmp/ansible-tmp-1506690415.46-227369721806969/': Operation not permitted\nchown: changing ownership of '/tmp/ansible-tmp-1506690415.46-227369721806969/command.py': Operation not permitted\n}). For information on working around this, see https://docs.ansible.com/ansible/become.html#becoming-an-unprivileged-user"} pipelining включен. багуе ансибла?

Ну если то же самое на 2.3 нормально проходит, то возможно.

Коллеги, здравствуйте! А кто-нибудь использует polemarch?

Блиц-опрос: какая запись более труЪ: copy: dest: /etc/nginx/sites-enabled/deny_by_ip.conf src: deny_by_ip.conf force: no или copy: dest=/etc/nginx/sites-enabled/deny_by_ip.conf src=deny_by_ip.conf force=no

я первую использую всегда, выглядит отвратительно местами

Блиц-опрос: какая запись более труЪ: copy: dest: /etc/nginx/sites-enabled/deny_by_ip.conf src: deny_by_ip.conf force: no или copy: dest=/etc/nginx/sites-enabled/deny_by_ip.conf src=deny_by_ip.conf force=no

дак запили опрос чо. :) @vote

Блиц-опрос: какая запись более труЪ: copy: dest: /etc/nginx/sites-enabled/deny_by_ip.conf src: deny_by_ip.conf force: no или copy: dest=/etc/nginx/sites-enabled/deny_by_ip.conf src=deny_by_ip.conf force=no

я первую испольую, когда названия длинные

Блиц-опрос: какая запись более труЪ: copy: dest: /etc/nginx/sites-enabled/deny_by_ip.conf src: deny_by_ip.conf force: no или copy: dest=/etc/nginx/sites-enabled/deny_by_ip.conf src=deny_by_ip.conf force=no

Какая разница они обе работают.

По бест практисез лучше первая, зато вторая короче обычно))

вторая в виме подсветку ломает)

когда используются кавычки