ansible-vault encrypt some_deploy_key_rsa

Кстати path может быть и релативный

То есть просто написать название ключа можно, и он будет его искать в папке где и вы

ansible-vault encrypt some_deploy_key_rsa

Ага, потом git add, git commit, git push. Потом я беру репу на другой машине, и что я делаю?

ansible-vault decrypt some_deploy_key_rsa

То есть просто написать название ключа можно, и он будет его искать в папке где и вы

И запускайте ansible если все сконфигурировали как я сказал

Но это же неудобно это раз (у меня таких секретов может быть много), во вторых после этой операции гитовый working copy будет грязным

Ну с этим я уже не знаю как помочь... Кстати, в ансибле есть конфигурация - private_key_file

http://docs.ansible.com/ansible/intro_configuration.html#private-key-file

Я начинаю сомневаться в осмысленности задания вопросов здесь :)

Все же непонятно от кого шифровать приватный ключ, если его разработчики и так все знают.

Смысл есть —- доступ к git репозиторию не будет означать доступ ко всем секретам.

Стало намного яснее, но все равно выглядит костыльно

А если разработчик уволится то придется ключ перегенерить и заново шифровать. Вместо того чтобы просто удалить паблик кей того кто ушел.

А если разработчик уволится то придется ключ перегенерить и заново шифровать. Вместо того чтобы просто удалить паблик кей того кто ушел.

Да, я об этой проблеме писал выше, для нас это допустимо в данный момент. А вот распространять ключи разработчиков на виртуалки и управлять ими выглядит менее удобным.

Тот же ансибл и распространить эти ключи

Тот же ансибл и распространить эти ключи

Через ансибл может распространять ключи только тот, кто уже имеет авторищованный ключ (либо свой, который кто-то уже добавил, либо начальный). Таким образом информации в репозитории с конфигами и пароля для vault оказывается недостаточно для работы, нужны дополнительные действия, который на мой взгляд в моей ситуации излишни.

Друзья, а здесь постить вакансию можно?

Плюс конечная цель использовать vault для хранения всех секретов - не охота использовать несколько инструментов для практически одного и того же (Ansible vault + hashicorp vault)

Друзья, а здесь постить вакансию можно?

Нельзя, для этого есть джобс канал

Нельзя, для этого есть джобс канал

Это который?

Это который?

https://t.me/devops_jobs

Это который?

Гляньте https://square.github.io/keywhiz/, может он вам поможет

Версионность там есть

Гляньте https://square.github.io/keywhiz/, может он вам поможет

Спасибо, посмотрю

вечер в хату, девопсы. а подскажите плз, как сделать красиво, по понятиям, чтобы красных строчек не было в выводе ansible-playbook? сейчас делаю так, оно работает, но глаз мозолит: - name: Test if we have servicename shell: readlink /etc/service/servicename register: servicename_test ignore_errors: True changed_when: False ну т.е. я проверяю наличие симлинка и делаю реджистер, а потом в следующем шаге проверяю servicename_test.rc == 0

есть еще несколько мест, где через shell-комманду проверка идёт, не обязательно readlink.

вечер в хату, девопсы. а подскажите плз, как сделать красиво, по понятиям, чтобы красных строчек не было в выводе ansible-playbook? сейчас делаю так, оно работает, но глаз мозолит: - name: Test if we have servicename shell: readlink /etc/service/servicename register: servicename_test ignore_errors: True changed_when: False ну т.е. я проверяю наличие симлинка и делаю реджистер, а потом в следующем шаге проверяю servicename_test.rc == 0

Видимо надо условие ваше в failed_when прописать

Видимо надо условие ваше в failed_when прописать

т.е. какое-то условие выбрать, которое никогда не выполнится

хорошая мысль, спасибо

вечер в хату, девопсы. а подскажите плз, как сделать красиво, по понятиям, чтобы красных строчек не было в выводе ansible-playbook? сейчас делаю так, оно работает, но глаз мозолит: - name: Test if we have servicename shell: readlink /etc/service/servicename register: servicename_test ignore_errors: True changed_when: False ну т.е. я проверяю наличие симлинка и делаю реджистер, а потом в следующем шаге проверяю servicename_test.rc == 0

stat модуль в помощь

есть еще несколько мест, где через shell-комманду проверка идёт, не обязательно readlink.

Да stat просто проверяет что там

И пишет в register если надо

я понимаю, но это только в этом случае применимо

А в каком нет?

а мне надо было универсальное решение

когда /usr/bin/something выдаёт нулевый экзит-код

на приложение это ессна нет модулей

Я вижу вы не поняли

stat мне поможет только в случае если я хочу проверять наличие файла/линка

http://docs.ansible.com/ansible/stat_module.html

ну.

это частное решение именно для флага-файла или файла-симлинка

как это поможет мне в случае если я должен запустить приложение и получить от него код возврата?

shell

Не пойму что вы хотите

я так уже и делаю, через shell

вопрос был в том, как сделать чтобы не считались мои проверки за ошибку, Serge Matveenko мне подсказал.

как это поможет мне в случае если я должен запустить приложение и получить от него код возврата?

failed_when: servicename_test.rc not in [0, 1]

в том-то и смысл что мне не надо никогда фейлиться

мало-ли что может произойти. Лучше не фейлится когда точно знаешь что произошло.

И changed_when желательно проверять вывод команды на событие что что-то изменилось

смысл в том что я проверяю, что у меня соблюдается какое-то условие, и если оно не соблюдается - это просто не запускает выполнение следующего шага в роли

поэтому оно никогда не должно ни фейлиться, ни чейнджиться

чтобы потом у меня не было лишних икрементов для changed/failed в summary-экране в конце плейбука

в том-то и смысл что мне не надо никогда фейлиться

failed_when: false

> чтобы красных строчек не было в выводе ansible-playbook

Так это всего лишь лог

> глаз мозолит

Красные строчки мешают? Пишите свой output plugin

http://docs.ansible.com/ansible/dev_guide/developing_plugins.html#callback-plugins

это как-то оверкилл по сравнению с предложенным вариантом выше.

еще есть вопрос, не хуже предыдущего

можно ли как-то объяснить ансиблу, чтобы он не всегда выводил вербоз-лог, а только в случае если changed?

Кто мне помочь желает?)

Надо сделать local action на задание переменной окружения

Надо сделать local action на задание переменной окружения

Илья, попробуй сам сначала. Когда не получится тремя разными способами, приходи.

ERROR: S client not available

Пробовал

Через command и через shell

И меняя путь к шелу с ansible cfg

bad variable name

Вот что выдает

local_action: shell export blablatest= "{{item.public_ip }}"

коллеги, внезапный вопрос - можно ли вкладывать в группы И группы И хосты сразу? [groupname:children] я уже умею, но плодить группы ради одного-двух хостов не хочется

local_action: shell export blablatest= "{{item.public_ip }}"

возьми в кавычки всё после :, а не только {{}}

и пробел у тебя там лишний

оно же в шел как есть передает

т.е. вот это`export blablatest= "{{item.public_ip }}"` ровно так, только с вставленным значением джинжой уходит в консоль

local_action: "shell export blablatest= "{{item.public_ip}}"" вот так ругается на синтаксис

Взял после shell поставил открывающие

Сейчас проверяю

Теперь выдает, not found что уже лучше)

local_action: "shell export blablatest= "{{item.public_ip}}"" вот так ругается на синтаксис

а просто environment делать

без вот жтого вот всего

local_action: "shell export blablatest= "{{item.public_ip}}"" вот так ругается на синтаксис

Ansible makes it easy for you to configure your environment by using the ‘environment’ keyword.

http://docs.ansible.com/ansible/playbooks_environment.html

Ansible makes it easy for you to configure your environment by using the ‘environment’ keyword.

да да, это правильнее. но мало ли зачем автору это надо. я просто ждал, когда заработает так, чтобы стало видно, что это не поможет и надо использовать environment:)

local_action: "shell export blablatest= "{{item.public_ip}}"" вот так ругается на синтаксис

local_action: "shell export blablatest='{{item.public_ip}}'"

или как было local_action: shell export blablatest="{{item.public_ip}}" но без пробела

http://docs.ansible.com/ansible/playbooks_environment.html

Хотел сделать красиво, fatal: [localhost]: FAILED! => {"failed": true, "msg": "The module environment was not found in configured module paths. Additionally, core modules are missing. If this is a checkout, run 'git submodule update —init —recursive' to correct this problem."}

Ставил из ppa

ansible 2.2.1.0

Хотел сделать красиво, fatal: [localhost]: FAILED! => {"failed": true, "msg": "The module environment was not found in configured module paths. Additionally, core modules are missing. If this is a checkout, run 'git submodule update —init —recursive' to correct this problem."}

ох. environment это не модуль

в доке же написано

хотел сделать красиво а сделал как всегда?

хотел сделать красиво а сделал как всегда?

Просто поменял shell на environment)) local_action: environment blablatest="{{item.public_ip}}"

а ну ок

все правильно сделал

И вылазит ошибка что выше