Срочно промой 😉

Ну раз не поможет, то придётся тебе жить с резаным глазом. Чат граммар-наци - где-то ещё.

а "неизвестнЫЕ" вам глаз не режет?

Было бы здОрово услышать изначальную формулировку задачи, которую таким неочевидным способом решают. От сформулированного ТЗ прямо-таки веет кривыми процессами, девлидом с огромной короной и не понимающим ничего в технической стороне вопроса ПМом.

"говно, человек! почему?" если серьезно, то наверное понимать что мы тут пишем и/или спросить что-то на родном языке

вопрос тем, кто юзает молекулу и ansible: собственно молекула только роль может тестировать, а не весь плейбук. да?

вопрос тем, кто юзает молекулу и ansible: собственно молекула только роль может тестировать, а не весь плейбук. да?

Нет

Нет

нет, это только роль может тестировать или нет это не только роль?

нет, это только роль может тестировать или нет это не только роль?

Перечитайте свой вопрос.

Вот сразу почему то вспомнился мэр Киева )

Перечитайте свой вопрос.

хорошо, значит может и плейбук. А как создать собственно структуру директорий для плейбука, а не только для роли

чтобы можно молекулой проверить плейбук

эм, а как мне ансиблем ребутнуть линуксовый сервер?

эм, а как мне ансиблем ребутнуть линуксовый сервер?

это типа челлендж или что? хочешь список всех способов?

ну, кроме shell: reboot

потому что плейбук в этом месте отвалится с ошибкой (потому что отвалится сервер)

там какие-то костыли обычно городятся с ожиданием готовности после ребута

ХИТРОСТИ вроде shell: ( sleep 1; reboot ) & почему-то не срабатывают - стоит как вкопанный

ожидание готовности делается достаточно просто - wait_for_connection

а, нагуглил что стоит добавить async: 0 \n poll: 0 в таску, попробуем-с

- name: reboot after update command: shutdown -r +1 - name: wait for the server finish rebooting wait_for_connection: timeout=300

эм, а как мне ансиблем ребутнуть линуксовый сервер?

вот почтиай что люди пишут: http://stackoverflow.com/questions/29955605/how-to-reboot-centos-7-with-ansible

спасибо, я молчал потому что у меня всё заработало

у меня вот так работает: - name: Finish prepare (restart) vars: ansible_user: root ansible_port: 22 ansible_ssh_common_args: " -o PubkeyAuthentication=no" ansible_ssh_pass: "{{ sgs_root_pass }}" shell: shutdown -r 1 "ansible reboot" async: 1 poll: 0 become: yes ignore_errors: yes

а почему бы не воспользоватся shell ом ?

или это надо именно через плейбуку?

или это надо именно через плейбуку?

сетапишь 2-3 десятка серверов... подготовил, надо рестартануть - заходить на каждый?

сетапишь 2-3 десятка серверов... подготовил, надо рестартануть - заходить на каждый?

ну группе так же шлешь)

сетапишь же не по отдельности

зачем тогда вообще плейбуки? можно все через шелл ставить...

ну если это регулярно делается, то ок (в плейбуку шейте)… я имею в виду как процедура

у меня в zsh есть автодополнение по серверам из ~/.ssh/config я могу по ним пройтись в for цикле и на каждом что-то дернуть но нахрена городить ансибль из говна и палок, когда вот он есть и работает.

у меня в zsh есть автодополнение по серверам из ~/.ssh/config я могу по ним пройтись в for цикле и на каждом что-то дернуть но нахрена городить ансибль из говна и палок, когда вот он есть и работает.

а смысл делать инвентори для анзибля, а потом переносить это еще и в "~/.ssh/config" ?

если все равно анизбль занимается конифгурацией серверов

ну, в конфиг я это перенес полу-автоматически из инвентори

если я хочу потыкать веточкой, то мне удобнее этим заниматься из нормального ssh, а не из -m shell

потыкать ему хочется

вообще не хватает хорошего менеджера для ~/.ssh/config

ишь ты какой)

а смысл делать инвентори для анзибля, а потом переносить это еще и в "~/.ssh/config" ?

В моем случае это понадобилось для настройки бастион хостов

вообще не хватает хорошего менеджера для ~/.ssh/config

и как ты там сортируешь какие сервера перегружать а какие не надо? у меня есть скажем 100 серверов, надо добавть 20, просетапить их и перегрузить... как это сделать через ssh-config?

в анизибле у меня есть группа для новых серверов - они и перегружаются

сходу как-нибудь вроде for i in $(seq 0 20) ; do ssh "web-worker-${i}" reboot; done

но я скорее в ансибле таким буду заниматься. такие шелл решения это если очень по-быстрому и "на отъебись"

сходу как-нибудь вроде for i in $(seq 0 20) ; do ssh "web-worker-${i}" reboot; done

вот это как раз больше и похоже на костыли из палок

ТАК Я И ГОВОРЮ

блин

ТАК Я И ГОВОРЮ

не так, блин: "но нахрена городить ансибль из говна и палок, когда вот он есть и работает."

по-твоему анзибль из говна и палок

я "вот он есть и работает" имел в виду настоящий ансибль

а "из говна и палок" - решения на шелл скриптах/gnu parallel/ssh-config

разобрались, ноконец... а то "но нахрена городить ансибль из говна и палок" - совем другой смысл

ну, мне изначально всё было понятно :)

как ускорить генерацию dhparam?

кроме уменьшения его длины, разумеется

ну или продолжить выполнение остальных тасков, а генерация пусть "в фоне" шмурыгается

- name: generate dhparam shell: if test ! -f /etc/pki/tls/dhparam.pem; then openssl dhparam -out /etc/pki/tls/dhparam.pem {{ dh_key_size }}; fi async: 300 poll: 0

во как сделал

- name: generate dhparam shell: if test ! -f /etc/pki/tls/dhparam.pem; then openssl dhparam -out /etc/pki/tls/dhparam.pem {{ dh_key_size }}; fi async: 300 poll: 0

одного этого таска не достаточно будет для гарантированного окончания генерации. Оно просто fire and forget выйдет.

типа если за 5 минут не завершится то прибьётся недогенеренный?

Либо так. Либо ещё бесконечное количество теоретических проблем в процессе генерации. И ведь узнать будет невозможно

Если пофиг- то ладно. В если нет, то ждите завершения блокирующей операции

Либо проверяйте состояние таска позже

см. также: https://wiki.mozilla.org/Security/Server_Side_TLS#Pre-defined_DHE_groups

- name: generate dhparam shell: if test ! -f /etc/pki/tls/dhparam.pem; then openssl dhparam -out /etc/pki/tls/dhparam.pem {{ dh_key_size }}; fi async: 300 poll: 0

not bad

это сарказм?

та не, просто с чего ты решил что за 5 минут можно успеть 4096 битный ключ нагенерить?

я вот не всегда успеваю, даже на 2-х головых ксеонах

это ж не ключ.

это ж не ключ.

а что это?)

и почему бы не заюзать https://github.com/gronke/ansible-dhparam

это группы диффи-хельмана для обмена ключами

это группы диффи-хельмана для обмена ключами

ок, это метод. но генерится же?

плюс оно может в энтропию упираться

плюс см. ссылку выше на wiki.mozilla.org про надобность этого всего

гггг https://security.stackexchange.com/questions/95178/diffie-hellman-parameters-still-calculating-after-24-hours

вот это прикол

плюс см. ссылку выше на wiki.mozilla.org про надобность этого всего

вот сходу читая наискосок не осилил как их сгенерить и использовать с nginx'ом и postfix'ом

да там суть в том что их генерить не надо, а лучше взять готовые которые прошли аудит и лежат в рфц № такой-то

ну то есть хуже не будет если ты их сгенеришь, но если уж заниматься этим всем - возьми хорошие готовые.