для связи с их сервером достаточно чтобы твой публичник был в authorized_keys

они туда паблик и кладут

тогда что ты с приватным делаешь?

у тебя свой приватный, именно от твоего хоста, он 1

и паблик для твоего приватного ушел к ним

для ssh параметр -i

то есть они сами сгенерили пару и заслали тебе, а ты через -i подключаешь? Но опять же, такой ключ нужен только на той машине, которая раскатывает, деплоить приватный ключ - моветон

то есть вместо схемы "нормально заполняем auth.." - используем 1 пару ключей для всех машин?

и утекание этой пары - нужно передеплоить новую пару, обновлять auth,...

иногда такое может быть, как частный случай

и непонятно, откуда утекло

то есть вместо схемы "нормально заполняем auth.." - используем 1 пару ключей для всех машин?

не так, пар ключей много

тогда чем не устраивает генерить пару на самой ноде и вытаскивать паб, который как хочешь распространяй?

частично можно решить установкой паблика в auth, а частично возиться с приватными ключами

теперь добавляем в этот цирк еще несколько админов... =)

n серверов, m админов

Добавить прогон ансибла в CI, и не будет с кучей админов

или добавить акки админов на тачку с ансиблой

типа единая точка развертывания

теперь добавляем в этот цирк еще несколько админов... =)

и получаем 1 админский ключ, который раскидываем (ПАБ) по нодам. И не надо страдать хернёй, ключ на 4к более чем безопасен, чтобы быть 1 для всех

ну или на ансибл, если им не надо на эти ноды ходить

n серверов, m админов

вообще тут ldap норм, тот же 389ds, там можно прописать каким группам доверять, сам сервис умеет запрашивать ключ для авторизации итд

не только ключ на 4к тогда, а ключ с паролем и при генерации укажите -a 1000 хотя бы

# sss_ssh_authorizedkeys t.test ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDYHMFib74Rkjbk2UVxS4qHAHqMxH8rFSo0R4kK0zPUmWTYi54GDlZ7/CWsf+Ng5Mh6sUo8MDfV5K4aBWvj/AUYfOnL5ru18wjCBjDd7p4pY5a/zJ1PK+f4mHo0lXTN1J/aifJZpCx4rOs+KiC0IIbq1Kh83jU7vaywQ3xz2eFVPSFUp59DDm/D3Y1D0k2Fa52tYfyrsfr6SrtpwfZB35qcNiaS2AhFL8yx7z4g0lnmVK7Dk1XuSz13K3yZ/FqlXxsxc/0+SAuAmShzKFIqud8QooH480HLe/4bg/k5euiw9pRmIw4L9T95G4Z2UO7KrzF21vb4jOQzOEdUeI9c28o9 user@host

это если есть вероятность что таки стащат приватный

не только ключ на 4к тогда, а ключ с паролем и при генерации укажите -a 1000 хотя бы

пароль с ансиблом несовместим эе

прекрасно совместим

добавляешь в агент и всё

ed25519 вообще с гулькин нос, и ничего.

Последняя проблема решена: git модуль ансибла не умеет работать с passphase

вообще тут ldap норм, тот же 389ds, там можно прописать каким группам доверять, сам сервис умеет запрашивать ключ для авторизации итд

норм, но если даж ключи не везде свои ставить можно, то...

гит модуль который из с удаленной машины что-то клонирует? но зачем ему работать с ключем по которому ты подключаешься.

норм, но если даж ключи не везде свои ставить можно, то...

в config пишем хост и нужный ключ

можно даж в инвентори

а кто нибудь пробовал запускать роли без пароля через Gitlab CI , например на какой нибудь yum update ? Не знаю как правильнее это сделать, может кто знает?

my.host ansible_ssh_private_key_file=/trolokey

https://www.vaultproject.io/ ?

спасибо за наводку, попробую, вроде годно

потом расскажешь )

мне тоже надо чтото типа такого

тоже вопрос встал

я как то пробовал давно тутор - там есть онлайн

вроде то что надо

ага, я тож тутор пробежал быстренько

кстати sss - да, хорошая вещь. недавно от редхат видел слайды про их клиент/сервер отдачи частей ключа. в т.ч. с поддержкой разблокировки luks. https://github.com/latchset/tang и https://github.com/latchset/clevis ну и народ себе велосипеды строит из git-annex для хранения gpg-брелка в гите

Всем привет

Сижу и думаю как сделать роль для production и stage

через var

одна роль. но в зависимости от того продакшен это или нет делаем выбор создавать бд или нет

делаешь таску с ... ... when: - env == "stage"

и для prod соотвественно

то есть допустим запускать ansible-playbook app.yml -e 'env=stage'

именно

ребята а хосты можно внутри плейбука хранить?

что значит "хосты хранить" ?

именно

спасибо

ребята а хосты можно внутри плейбука хранить?

tесть же файлы inventory

что значит "хосты хранить" ?

ну чтобы ip/hostname машины и разные переменные vars всех хостов внутри плейбука держать

нет, ну это не воспрещается

не понятно по прежнему

можно ли хранить варс в плейбуке?

можно

читайте best practices

Если вы сделаете так в плейбуке то огребете проблем

Когда встанет вопрос "ставить базу" или "не ставить ведь у меня RDS"

А хосты и прочее подгружать придется

лучше переменые в инвентори вместе с хостами

Ну у меня по сути так и есть

Я зашел так глубоко что у меня одна и та же роль прозрачно может ставиться и на авс и на вагрант

Все разрешается через инвентори и двойной слой наследования групп

Типа роль использует абстрактную группу (высокоуровневую) а конкретный инвентори расширяет ее либо авсовскими группами либо вагрантовскими группами

В которых уже хосты

лучше переменые в инвентори вместе с хостами

Лучше следовать best practices, а не городить все в кучу

для переменных есть различные _vars

я думаю что все зависит от того как используется

Я зашел так глубоко что у меня одна и та же роль прозрачно может ставиться и на авс и на вагрант

вот я тоже к этому склоняюсь

одна роль и через варс рулим

вот я тоже к этому склоняюсь

Готовься к тому что столкнешься с кучей текущих абстракций которые придется залепливать костылями

Чтобы роль оставалась "универсальной"

у меня набор мелких ролей, и плейбуки их объединяющие

И ничего не знала про специфику авс

а мне не надо универсальная