Гитлаб -да? Jenkins ок.

А если у тебя например используется become и юзеров много надо им дать возможность ввести пароль удобно и ещё неплохо бы из AD логин автоматом подтянуть :)

Гитлаб сможет. Если тебе не надо лезть руками, то сиай инструмент отлично подойдет

А если у тебя например используется become и юзеров много надо им дать возможность ввести пароль удобно и ещё неплохо бы из AD логин автоматом подтянуть :)

Расскажите про сценарий? Что делаем, например? Я просто инфраструктуру собираю, но там везде админы

Мы софт раскатываем

Гитлаб сможет. Если тебе не надо лезть руками, то сиай инструмент отлично подойдет

Да, теперь интересно о реальной истории юзер инпута

Мы софт раскатываем

И что вводить?

Немного извращенно) архивами

Я просто тоже через CI. Но там все само

Да, теперь интересно о реальной истории юзер инпута

Если ты плейбуком сетапишь софт

Вводить - какой стенд, юзер, какой софт, пароли для бекама, лимиты, теги

Или у тебя несколько инфраструктур

Вводить - какой стенд, юзер, какой софт, пароли для бекама, лимиты, теги

Да

Привет! А может кто знает есть ли какая мелкая утилита чтобы из переменных окружения отрендерить Jinja2 шаблон? Чтобы не ташить весь Ansible или питон в контейнер. Хочу конфиг приложения в контейнере делать из переменных окружения

Лимиты у нас например динамчески вытягиваются и выпадающим списком выдаются

Рандек умеет рисовать лист значений, дернутых по ссылке

Например

Так то да, в принципе почти на любом штуке можно сделать все. Тут ещё вопрос поддержки и политики в компании. У нас например ТС и самим поддерживать рандек геморойно, а ИТО типа сказала у вас же ТС есть. А у заказчика народу женкинс приглянулся и они его юзают

Конечно, под задачу и инструмент

Вводить - какой стенд, юзер, какой софт, пароли для бекама, лимиты, теги

Не понятно. Оно разве уже не запилено в ролях группах итд?

Привет! А может кто знает есть ли какая мелкая утилита чтобы из переменных окружения отрендерить Jinja2 шаблон? Чтобы не ташить весь Ansible или питон в контейнер. Хочу конфиг приложения в контейнере делать из переменных окружения

J2cli

Я к тому, зачем вручную что то вводить если можно нормально написать группы, роли там

J2cli

Спасибо!

Спасибо!

Там есть пара разных форков. Один сам цепляет переменные, другой по параметру «on”

Рандек умеет рисовать лист значений, дернутых по ссылке

Короче все ясно. Если много ручных задач-рандек

Лимиты у нас например динамчески вытягиваются и выпадающим списком выдаются

Какие лимиты?

Там есть пара разных форков. Один сам цепляет переменные, другой по параметру «on”

Ага, сходу нашёл вариант на go https://github.com/tsg/gotpl/blob/master/README.md

Не понятно. Оно разве уже не запилено в ролях группах итд?

Не все уже в инвентори. Есть же часть параметров которые определяются на этапе запуска

Не все уже в инвентори. Есть же часть параметров которые определяются на этапе запуска

Я слабо представляю. Можно пример простой?

Те же лимиты, частый кейс когда надо раскатать для теста на части серверов

Версия софта тоже часто меняется и вперёд и назад, ее забивать в инвентори неудобно

Ага, сходу нашёл вариант на go https://github.com/tsg/gotpl/blob/master/README.md

Прикольно. Но я люблю jinja. За фильтры в том числе

Юзер который ставит тоже параметр

Ссш ключи юзать никак

Те же лимиты, частый кейс когда надо раскатать для теста на части серверов

Ок, лимиты плейбука. Понял, да. Но оно может быть шагом в CI

Версия софта тоже часто меняется и вперёд и назад, ее забивать в инвентори неудобно

Версия софта - хз, не деплою ансиблом, но понял, норм юзкейс

Версия софта тоже часто меняется и вперёд и назад, ее забивать в инвентори неудобно

Хотя если речь об обычном софте (не внутреннем) - лучше ведь в конфиденте держать, не?

Да я говорил что мы немного извращенно юзаем, сразу сделать красиво не всегда получается если 20 лет софт поставляли в архивах через фтп))

Юзер который ставит тоже параметр

А что даёт такая гранулярная система выбора юзеров? Почему нельзя деплоить от имени ci?

Требование безопасна во

Безопасников

Ну если к ci доступа нет, в чем проблема?

На сервер можно зайти только под собой

Ну и у нас не своя инфраструктура

Мы не можем полный CD сделать в принципе

Понятно! Просто кто деплоит тоже ведь можно у Jenkins более менее надёжно узнать

Так там ещё надо знать кто просто заходил на сервак

...Если бы это был он

На ftp? Ну тот юзер и заходил, что в Jenkins залогинен

На любой сервер

Заходят не только ж деплоить

Не понятно. Речь о сервере rundeck?

Мы все о том зачем гранулярная система выбора юзеров?)) на любой сервер можно зайти только под своей учётнкой, у самого юзера там вообще нет прав почти, внутри серверов сделаны технологические юзеры куда логинишься через судо (у этого юзера тоже прав не особо много). Универсальный юзер не сможет сделать become в технологического юзера, и универсального юзера ci никогда не пропустит ни безопасность ни админы. Они хотят видеть от чьего имени заходили на сервер будь то человек или ансибл. Вот поэтому не получится деплоить от имени ci

Понятно. Печально. Ведь если от имени ci - там ведь юзера нет, конфиг системы ведь ) но если админы рулят системой тогда ясно

Мир не только вокруг девопс то крутится

Просто мир с сраными безопасниками вокруг и прочими согласованиями очень грустный

У меня друг в интеграторе работает, он когда мне рассказывает их кухню, я сижу и плачу

Пока пять совещаний не сделают, сто подписей не соберут, никакого деплоя

На самом деле бывает все ещё печальней

Есть админы они рулят инфраструктурой, серверами

Есть эксплуатация они ставят софт и чинят его

И есть конфигуратор они настраивают вское разное по бизнесу - в конифгах, в бд

Ну это классический подход

Ну и безопасники

Более того, где не надо маленький тайм ту маркет, он вполне себе

Полный дивопс

Там где болото, там такая структура ок

Самый девопс в том что кроме админов у остальных права на серваках ограничены доступом в 1 папку куда софт ставит )

Но в большой компании и высоких требованиях к отказоустойчивость и вправду схема рабочая

А потом получается какой-нибудь Сбербанк

Но иногда парит что хочешь скриптик на питоне набросать, а тебе пакет ни через pip поставить, ни через yum и уговорить разрешить вообще его поставить целая история

Только гошечка и спасает :) скомпил - запустил и никаких зависимостей тебе

И rpm небось с собой носите через ссш?

По рассказам друзей которые в Сбере были там ещё замороченнее с безопасностью

Не рпм не носим, прав его запускать нет

Вместо построения процессов, где людей нет в деплое, все занимаются каким-то дрочевом, согласованиями и перекладыванием бумажек

Эх, ну блин. DevOps в энтерпрайз это урезанный DevOps

😄

Думаю везде где связано с деньгами так - банки или телеком. Там ж сервер уронил или базу и убытки сразу адские. Плюс требования регуляторов т.к персональные данные обрабатываются

это тот, кто любит на митинги ходить)))