да

iso 27001?

может не надо рута "того"?:)

как не надо-то?

а

да и без pci тоже не надо

не надо, логин отключить еще куда не шло

а вот целиком рута....

ну так логин и отключаетс

PermitRootLogin noooooooo

ну, да, я так и подумал тоже

просто если у тебя логин от рута заборонен, как ты будешь плейбуки от него гонять без become?

короче, единственный вариант, который я для тебя вижу - новые машины в один инвентари, после провижина - в другой инвентари

ну в теории можно в cold.yml оставить только выключалку рута

и остальное провижен вынести в другой плейбук и его гонять уже от deploy пользователя

ну напиши обертку, которая будет хост ранить с параметрами и переносить имя хоста в другой файл

а withoutpassword не ?

у них pci, им никак нельзя

причём самый мерзкий saq который на 60 страниц :(

либо переходи на saltstack

там твою задачу можно реализовать

только провижин будет сложнее :)

ну уж нет

я уже натрахался с ансиблом, мне чот пока хватит

получается без правки конфига проиграть плейбук под другим юзером не выйдет?

да почему, в inventory прямо пропиши, например )

или параметром передай

если бы у аргументов был правильный приоритет я бы тут не нудел, а первый раз простоб играл с -u root

и гладил бы себе соски от счастья

-E

чо мешает-то? у него максимальный приоритет

круче только йайца

и то не факт

эм, я чот ен вижу такого ключа -E

-e вижу

да

он, сорян

тоесть сделать в host_vars/all переменную там run_as: deploy и потом тупо через -e run_as: root оверрайдить?

с remote_user: "{{ run_as }}"?

типа того

а глобальную конфигурацию remote_user куда принято класть?

для всех плейбуков?

grou vars?

или еще проще ansible-playbook blabla.yml -e remote_user=root -i inventory

м

по идее ты можешь ремоут юзер переопределить и так

нука

чот нифига, один член идёт на хост как deploy

блин

ну тогда run_at остается :(

некрасиво, правда

хотя блин

я помню что переопределял

:(

яж говорю, параметры передаваемые через cli ваще смысла не имеют

должны, может там формат другой

я ж дано теребонил ансибль

потому что приорет у конфигурации

потом долго сидел на папете

потому что приорет у конфигурации

нет

ну вот есть ключ

-u REMOTE_USER, --user=REMOTE_USER connect as this user (default=None)

http://docs.ansible.com/ansible/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable

extra vars (always win precedence)

пример из доки

ansible... -e "ansible_ssh_user=<user>"

-e "ansible_user=root" !

дай я тебя расцелую

но работает же?

да!

у меня тут в наследии два ансибла с депенедси-адом, которые я дебажу в локальном вагранте :) приходится часто переопредлять что-нибудь

+ постигать магию paramiko, иногда (у меня тут 100500 сеток, которые соеденены как попало) так что пиши, если чо

я иногда отвечаю, как сейчас, например

жалко тут кармы нет, яб насрал плюсиками

насри стикером! :D

уже вон выше насрал!

ушел дебажить переменные :( http://i1.i.ua/prikol/pic/0/6/834060.jpg

плюс мне очень хочется уебать разработчиков ансибла за то, что аргументы имеют приоритет ниже чем настройки

напиши патч и раздавай желающим )

Make ansible great again.

у меня парика нет!

может не надо рута "того"?:)

рута всегда надо "Того", как минимум до without-password, всегда и обязательно

причём самый мерзкий saq который на 60 страниц :(

а что за компания? )

в смысле гейт или кто мы?

вы

мы маленький сабантуйчик, у которого сейчас лежит инфраструктура

(хорошая новость, мы ещё не в продакшене)

если cdn ещё не протух то вот тут можно почитать altread.com

кажется всё

не, оно щас пытается в origin постучать

придётся словами рассказывать

потом фолбекнется, там таймаут минуту кажется

или 30 секунд

тупой акамакй

а, так не выйдет, да. вот так выйдет: https://www.altread.com

но стейджинги мы уже перетащили, скоро лендинг переедет и всё будет жорошо

а зачем вообще рутом куда-то ходить?

я так, мимокрокодил

а зачем вообще рутом куда-то ходить?

¯\_(ツ)_/¯

а зачем вообще рутом куда-то ходить?

как настоящий пацан же!