правильный вариант все равно Hashicrp vault

правильный вариант все равно Hashicrp vault

Ну тут товарищи тоже накушались Vault-а

Hashicorp вообще с головой не особо дружат, точнее с реальностью

это кусок поделки.

это не поделка, а Straightforward design :D

[кашлянул] а спека на общение модуля с самим ansible в природе существует или только Building A Simple Module и исходные коды?

хай

хотет странного

хочу засунуть все роли в один реп

можно как-то вытаскивать с помощью galaxy только некоторые из них а не все?

можно как-то вытаскивать с помощью galaxy только некоторые из них а не все?

галакси ненужен

хм, это хорошо, но плохо

у меня ansible провижн делает для инстансов поднятых terraform

git archive --format=tgz --remote=git@bitbucket.org:t/tssp.git deploy -- ops-tools/t-ssp | tar zxvf -' я например вот так выдергиваю роли для провиженинга инстанса в автоскейлинге

итого infrastructure |-first_cluster |-infra.tf |-ansible.cfg |-roles |-playbook.yml |-second_cluster …

и вот эти роли надо наполнять

делать тупо линками мне не нравится

git archive --format=tgz --remote=git@bitbucket.org:t/tssp.git deploy -- ops-tools/t-ssp | tar zxvf -' я например вот так выдергиваю роли для провиженинга инстанса в автоскейлинге

это гут, но что-то как-то не весело

а если кластер в окружения вынести ?

эм?

эм?

в личке глянь скрин и папка environments

в личке глянь скрин и папка environments

оки, спасибо, тоже вариант, надо будет подумать

это гут, но что-то как-то не весело

это кстати гибче чем ansible-pull

можно как-то вытаскивать с помощью galaxy только некоторые из них а не все?

Нет нельзя

так Я и думал

Я долго искал способ но не нашел. Кроме каких-то дичайших костылей.

Конечно держать 1 отдельный реп на каждую роль это странно

Так. А async делается средствами самого ansible, в модуле ничего специального делать не надо?

Ну тут товарищи тоже накушались Vault-а

А какие варианты взамен? Где хранить секреты?

А какие варианты взамен? Где хранить секреты?

хашикорп?

А какие варианты взамен? Где хранить секреты?

Постройте модель угроз для начала

Все кроме админов не должны иметь доступа к паролям, сертификатам и ключам с прода.

При этом должен быть удобный инструмент что поддерживать это секретное хранилище и удобный способ доставать из него данные во время деплоя.

Хашикорп ваулт вроде подходит, интересно какие есть альтернативы

Альтернативы vault? Никаких.

А кто его в проде юзает?

То есть обсудили, но никто в реальности его не пробовал? :)

у нас был, но не зашло

у нас был, но не зашло

дак подробней.

хочется нормальную авторизацию в хранилище, а не один пароль на всю ораву

Чего?

Там наоборот все настолько сложно что твой коммент как-то странен :)

Я про хашикорп

а. тьфу. меня заглючило, что про обычный vault

Там 5 unseal ключей, root token, token, app role и secret :)

Нет :)

Именно поэтому вопрос и задал. Интересно как люди живут с такой обвязкой

Именно поэтому вопрос и задал. Интересно как люди живут с такой обвязкой

https://habrahabr.ru/post/306812/

Нормально живём

Нормально живём

Мы используем Consul в инфраструктуре, поэтому выбрали его как отказоустойчивый бэкенд для Vault. не могли бы вы пояснить

Что конкретно?

Что конкретно?

вы не рассматривали другое потому что уже есть консул я правильно понял? или вы посмотрели и решили не связываться.

То есть обсудили, но никто в реальности его не пробовал? :)

Пока всегда хватало Ansible Vault. Можно его регулярно шифровать по новой новым ключом.

вы не рассматривали другое потому что уже есть консул я правильно понял? или вы посмотрели и решили не связываться.

И то и то. Консул - хорошее, стабильное решение, смысла отказываться от него в пользу какого-нибудь постгреса я вообще не нашел

хочется нормальную авторизацию в хранилище, а не один пароль на всю ораву

Разложи по нескольким Vault файлам. Разрабам выдать ключи от Dev, тимлиду от Staging, Prod оставить заказчику, например.

И то и то. Консул - хорошее, стабильное решение, смысла отказываться от него в пользу какого-нибудь постгреса я вообще не нашел

Consul vs Postgres?

Consul vs Postgres?

Stonic vs Ansible?

Если серьёзно - то там бэкендов довольно много - https://www.vaultproject.io/docs/secrets/index.html

Если серьёзно - то там бэкендов довольно много - https://www.vaultproject.io/docs/secrets/index.html

я с опаской отношусь к хашикорпу после терраформа и уж если эти товарищи говорят что поддерживают только консул инмем и файл то это значит что все остальное оно такое себе...

Stonic vs Ansible?

Трололо

anyway, я могу адресно на что-то ответить, просто опасения - это не ко мне :)

я с опаской отношусь к хашикорпу после терраформа и уж если эти товарищи говорят что поддерживают только консул инмем и файл то это значит что все остальное оно такое себе...

А есть ещё Vagrant и Packer. Я начал с V и сразу оценил особенные отношения этих ребят с головой и реальностью

ERROR: S client not available

@bhavenger Меня в основном волновало кто и когда обновляет токены и секреты. Потому что если я выберу AppRole и задеплою приложение, вшив в него AppID + SecretID, то Secret рано или поздно истечет. Чтобы сделать Refresh из приложения надо иметь на руках Token, а если он есть — зачем AppID + Secret? К тому же токет опять же может истечь, но там хотя бы refresh есть.

За статью спасибо, почитаю. Может там и есть ответы :) С Docker swarm как-то просто. Смонтировал секрет и все ... Но судя по всему вы пользуетесь только токенами с ограниченной видимостью, и обновляется через refresh token

Всем привет. в ansible у меня есть host_vars/site.ee.yml, можно ли разделить site.ee.yml на несколько файлов? что-то типо токого. host_vars/site.ee/vars.yml host_vars/site.ee/main.yml host_vars/site.ee/php.yml host_vars/site.ee/mysql.yml

Всем привет. в ansible у меня есть host_vars/site.ee.yml, можно ли разделить site.ee.yml на несколько файлов? что-то типо токого. host_vars/site.ee/vars.yml host_vars/site.ee/main.yml host_vars/site.ee/php.yml host_vars/site.ee/mysql.yml

http://docs.ansible.com/ansible/playbooks_best_practices.html#alternative-directory-layout

я это уже смотрел не однократно

не вижу там подобной штуки

не вижу там подобной штуки

значит ответ какой?

на самом деле можете где угодно хранить свои варсы если будете их перед выполнением инклюдить с полным путем до этих самых варсов

да хотя бы инклудить в vars.yml

но чтот не получилось у меня сделать include

в тасках я делал, все окай

но именно в конфигах, не хотело инклудиться

может нельзя или как-то иначе это делается

?

?

Всем привет. в ansible у меня есть host_vars/site.ee.yml, можно ли разделить site.ee.yml на несколько файлов? что-то типо токого. host_vars/site.ee/vars.yml host_vars/site.ee/main.yml host_vars/site.ee/php.yml host_vars/site.ee/mysql.yml

Можно!

У меня так работает.

@sysVinit если вас не затруднит, скажите как

не приятно просто читать конфиг, когда он довольно большой. а так за одну часть будет отвечать один файл.

?

Так вроде ссылку на документацию чуть выше дали... Собственно, ты сам в своем первом сообщении все расписал. Сделай именно так, как сам написал и все будет ОК.

И это... не обязательно .yml...

так я эту документацию уже читал не один раз

там нет примера как можно разделить на несколько файлов host_vars

я уже пробовал делать инкулдом

он не хотел это подсасывать

поэтому решил спросить, оказывается все токи можно инклюдить

но как это сделать

Эмм... а если просто так сделать - разве не работает? Без всяких инклудов

в group_vars отлично работает

в group_vars отлично работает

если у тебя разбиение внутри group_vars совпадает с разбиением на групки в твоем инвентори - да. если нет то нет