``` alert_diskio_enabled: True alert_bwout_enabled: True alert_bwout_threshold: 10 alert_diskio_enabled: True```

один и тот же парамтер два раза прописан

Есть ли простой способ получить голый шелл через Ansible? Суть в следующем: ansible уже знает как ходить на какой хост (с какими логинами/ключами/bastion host, etc), не хочется дублировать эту конфигурацию в ~/.ssh/config, хочется что-то вроде $ ansible -m raw-ssh node1 user@node1 ~$ # здесь обычный терминал, так, будто зашел через ssh на node1

вот такое? https://github.com/dominis/ansible-shell

Есть ли простой способ получить голый шелл через Ansible? Суть в следующем: ansible уже знает как ходить на какой хост (с какими логинами/ключами/bastion host, etc), не хочется дублировать эту конфигурацию в ~/.ssh/config, хочется что-то вроде $ ansible -m raw-ssh node1 user@node1 ~$ # здесь обычный терминал, так, будто зашел через ssh на node1

в коробке 2.1+ есть ansible-console

вот такое? https://github.com/dominis/ansible-shell

кстати об этом написано в шапке

@chebotarevp @freeseacher круто, спасибо, сейчас гляну!

ansible-shell близок к тому, что мне нужно, но похоже, что он не умеет дать именно голый ssh —- он может запускать отдельно взятые (сырые) команды и выводить их результат

запустить тот же tmux через него, насколько я вижу, через него не получится

да не получится. это инструмент adhoc управления

боюсь tnux и ad-hoc далеки как динозавтры и белка со стрелкой

Можно ли как-то удобно с Ansible-vault хранить целые файлы зашифрованными в репозитории? Например, я хочу положить туда приватный ssh ключ. Я могу сделать на него ansible-vault enctrypt keyfile и закоммитить в репозитоний, но чтобы его потом использовать на машине разработчика (чтобы указать его в ssh_config, например), кто-то должен его расшифровать.

Пока я вижу только вариант добавить плейбук, в котором этот файл расшивровывать/копировать в локальную директорию.

Но это выглядит как-то не очень —- дублируется информация, неочевидно как править файлы, и т.п.

@rutsky почему выбрано именно это решение - раздавать разрабам приватные ключи, а не собирать их публичные?

@rutsky почему выбрано именно это решение - раздавать разрабам приватные ключи, а не собирать их публичные?

Для упрощения конфигурации. Виртуалки разворачиваются с уже вшитым деплой-ключом и не хочется делать дополнительно распространение ключей разработчиков (это в каком то смысле менее секьюрно, например, ключ нельзя отозвать, но для нас это сейчас не важно).

Я хочу не только приватные ключи шифровать ansible-vault, но и какие то данные, которыми Ansible фактически не будет управлять, но хранить и шифровать их хочется (например, Secrets для Kunernetes)

Но похоже, что ansible-vault совсем не предназначен, для хранения вещей, которые не будут читаться только из плейбуков

Народ, кто-нибудь в своих модулях использовал переменные из ansible.cfg?

Народ, кто-нибудь в своих модулях использовал переменные из ansible.cfg?

Ролях может быть?

нет, модулях

в ролях я знаю как

@rutsky так получается, что вы конфигурацию как раз усложнили я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию

@rutsky так получается, что вы конфигурацию как раз усложнили я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию

Приватный git репозиторий с секретами/ключами? Что вы имеете в виду под "динамическим инвентори к репе"?

да http://devdocs.io/ansible/intro_dynamic_inventory

да http://devdocs.io/ansible/intro_dynamic_inventory

Интересно, посмотрю, спасибо!

да http://devdocs.io/ansible/intro_dynamic_inventory

Я правильно понимаю, что dynamic inventory это просто написание (или использование готового) генератора инвентаря?

Т.е. файл инвентаря заменяем на скрипт, который его генерит.

@rutsky так получается, что вы конфигурацию как раз усложнили я бы использовал приватный репозиторий с доступом по ключам и динамический инвентори к этому репозиторию

Мне непонятно, как dynamic inventory тут поможет?

Привет! Однодневный интенсив в Киеве, приглашаю посетить) KUBERNETES FOR DEVOPS https://devops.events/kubernetes

Привет! Однодневный интенсив в Киеве, приглашаю посетить) KUBERNETES FOR DEVOPS https://devops.events/kubernetes

Дарья, вы во все группы будете это рассылать?

поговорил с копипастой, день прожит не зря

Привет! Однодневный интенсив в Киеве, приглашаю посетить) KUBERNETES FOR DEVOPS https://devops.events/kubernetes

Epam - достаточно

Т.е. файл инвентаря заменяем на скрипт, который его генерит.

да. например, это использует pyventory https://github.com/lig/pyventory

да. например, это использует pyventory https://github.com/lig/pyventory

только щас брать не советую. скоро 2.0, там будет круто всё;)

но у меня в проекте щас и эта версия работает

да. например, это использует pyventory https://github.com/lig/pyventory

Ага, спасибо.

Пока я всё равно не вижу простого решения для хранения секретов/ключей, используя Ansible, даже с динамическим инвентарём :)

Пока я всё равно не вижу простого решения для хранения секретов/ключей, используя Ansible, даже с динамическим инвентарём :)

А какие есть сложные? Кто какие инвентарки использует?

Сложный —- это положить в ansible vault ключи/секреты и написать отдельный плейбук, который на машине разработчика в текущую директорию эти секреты выплёвывает.

@WindWriter ^^

Сложный —- это положить в ansible vault ключи/секреты и написать отдельный плейбук, который на машине разработчика в текущую директорию эти секреты выплёвывает.

А зачем их выплевывать куда-то? Их можно и нужно в плейбуках использовать. Или вы пытаетесь ансибл для хранения шареных в команде секретов использовать?

А зачем их выплевывать куда-то? Их можно и нужно в плейбуках использовать. Или вы пытаетесь ансибл для хранения шареных в команде секретов использовать?

Именно так —- пытаюсь использовать для шаренных в команде секретов.

Именно так —- пытаюсь использовать для шаренных в команде секретов.

https://www.passbolt.com/

Не надо пытаться ужа на ежа натягивать. Застрянет.

а можно вопрос от параноика: насколько анизибле аккуратно с секурити обходится - например создаю я на хосте люкс-контейнер и передаю пароль для его создания в параметрах, вопрос при получении полного доступа к хосту (рут) смогут ли злоумышленники выцепить его или из темпов анзибля или из удаленных файлов фс?

https://www.passbolt.com/

Это разве не просто хранилище паролей/секретов для команды?

У него есть интеграция с гитом/ансиблом? Как он поможет мне версионировать секреты и доставлять их на машины разработчиков аналогично коду с git pull?

Привет! А как то можно нормально права ставить по uid, если имя неизвестно?

Пока я всё равно не вижу простого решения для хранения секретов/ключей, используя Ansible, даже с динамическим инвентарём :)

vault?

Привет! А как то можно нормально права ставить по uid, если имя неизвестно?

цифру uid'а передать в chown

У него есть интеграция с гитом/ансиблом? Как он поможет мне версионировать секреты и доставлять их на машины разработчиков аналогично коду с git pull?

а зачем ансибл? есть секреты для ансибла - они в волте. есть секреты для людей - они где-то еще. что у этой тулзы с версионированием не знаю. но подобных инструментов до фига.

ну и разработчик сам может решить как ему секреты у себя положить. вплоть до того, что у них бывают разные операционнки и всё такое

цифру uid'а передать в chown

спасибо!

а зачем ансибл? есть секреты для ансибла - они в волте. есть секреты для людей - они где-то еще. что у этой тулзы с версионированием не знаю. но подобных инструментов до фига.

Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей, но, похоже, ansible-vault неудобен для этого.

ну и разработчик сам может решить как ему секреты у себя положить. вплоть до того, что у них бывают разные операционнки и всё такое

В идеале я хочу склонировать репозиторий с конфигурацией, положить взятый откуда-то файл .vault-password и иметь рабочую конфигурацию

Без необходимости брать откуда-то ключи, секреты для Kubernetes и т.п.

Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей, но, похоже, ansible-vault неудобен для этого.

есть же вариант когда ваулт работает через апи

https://www.vaultproject.io/docs/configuration/

вот и ходи себе через апи откуда хошь

вот и ходи себе через апи откуда хошь

есть модуль для ansible (точнее - плагин), даже api знать не обязательно

есть модуль для ansible (точнее - плагин), даже api знать не обязательно

тем более

просто он хочет же еще "для других вещей"

просто он хочет же еще "для других вещей"

немного не понял – для каких? vault - очень узкоспецифичная вещь. Пароли, ключи, CA.

"Я хотел использовать один инструмент для хранения секретов как для ansible, так и для других вещей,"

немного не понял – для каких? vault - очень узкоспецифичная вещь. Пароли, ключи, CA.

Давайте начнём с приватного ключа ssh для доступа к виртуалкам. Я хочу 1) с помощью этого ключа ходить деплоить через Ansible на те виртуалки что-то 2) иметь возможность самостоятельно залогиниться на виртуалки с помощью этого ключа.

Как адекватно решить первую задачу? Можно ли ансибловскому ssh скормить приватный ключ, который находится в vault?

ERROR: S client not available

Если использовать стороннее решение (вроде hashicorp vault), то я не очень понимаю зачем мне тогда использовать ansible-vault, когда я (судя по всему, я не пользовался hashicorp vault), могу положить секреты в yaml, который будет под "шифроваться" hashicorp vault, а для ansible быть видным через fuse как обычный файл.

Давайте начнём с приватного ключа ssh для доступа к виртуалкам. Я хочу 1) с помощью этого ключа ходить деплоить через Ansible на те виртуалки что-то 2) иметь возможность самостоятельно залогиниться на виртуалки с помощью этого ключа.

А не путаете ли вы паблик с прайватом?

А не путаете ли вы паблик с прайватом?

Нет, я именно хочу private часть ключа хранить зашифрованным в git-репозитории.

Потому что чтобы ходить на виртуалки достачно паблик ключа на authorized keys

Я не хочу добавлять паблик ключи всех разработчиков на все виртуалки, и поддерживать их в актуальном состоянии.

Я хочу использовать отдельный выделенный ключ для доступа и хранить его в git-репозитории с конфигурацией.

Нет, я именно хочу private часть ключа хранить зашифрованным в git-репозитории.

это вам к ssh-agent скорее

это вам к ssh-agent скорее

Как здесь поможет ssh-agent?

jenkins

Мы так используем

Запускаем ансибл через него. А ключь в jenkins-е храним

Запускаем ансибл через него. А ключь в jenkins-е храним

Мы хотим запускать ansible с машин разработчиков, не автоматизированно

Т.к. в ansible сейчас часть, которая не должна часто меняться.

Мы не используем Ansible для именно разработки/деплоя нашего продукта.

Если вы будете расшифровывать ключь на машине разработчика, то и смысла нет никакого зашифровывать

Мы им Kubernetes разворачиваем с помощью Kargo, обновления накатываем и т.п. ops вещи

Если вы будете расшифровывать ключь на машине разработчика, то и смысла нет никакого зашифровывать

Смысл есть —- доступ к git репозиторию не будет означать доступ ко всем секретам.

Смысл есть —- доступ к git репозиторию не будет означать доступ ко всем секретам.

Не вижу как git спасает от чего либо

Не вижу как git спасает от чего либо

git не спасает —- он используется как система контроля версий

И при чем тут ключь ssh?

Так

Я начинаю сомневаться в осмысленности задания вопросов здесь :)

Девелопер клонирует репозиторий к себе на комп, затем "что то" (что вы и ищите я так понимаю), расшифровывает ключь у девелопера. В руки девелопера попадает совершенно открытый ключь. Смысл его шифровать тогда??

чтобы кто-то, кто стянул репо, не получил ключ

Ага.. Тогда пароль от шифрования вышлите всем девелоперам, и все

Девелопер клонирует репозиторий к себе на комп, затем "что то" (что вы и ищите я так понимаю), расшифровывает ключь у девелопера. В руки девелопера попадает совершенно открытый ключь. Смысл его шифровать тогда??

Вы правильно поняли, что я делаю. Скрыть ключ от разработчика цели нет (даже наоборот), но не хочется хранить ключ в git репозитории в открытом виде

Ага.. Тогда пароль от шифрования вышлите всем девелоперам, и все

Да! Пароль от ansible-vault будет у всех разработчиков

Так в чем проблема?

алсо можно поставить пароль на сам ключ

Так в чем проблема?

Как мне использовать ssh-ключ, хранимый в ansible-vault, для авторизации самого ansible на виртуалках?

Виртуалки уже с правильным authorized-keys подымаются?

Сейчас у меня в ansible.cfg указано [ssh_connection] ssh_args = -i ~/.ssh/some_deploy_key_rsa, я хочу вот этот ~/.ssh/some_deploy_key_rsa в ansible-vault положить