изложите плиз тогда, а какую проблему Вы решаете?

выше говорили про то что можно разделять пер юзер. я спросил как.

vault - решение как усилить безопасность и не хранить в открытом виде пароли

еще раз спасибо.

тут сначала надо понимать в чем задача...

пока я увидел потребность разделять per-user. а проблема сходу не видна.

у нас, например, валут нужен для того чтобы хранить ключи-сертификаты в свн (понятно, что в открытом виде - это дичь)

так вот те, кто занимается деплоем имеют ключи для ваулта и без проблем имеют доступ к "секуре данным"

реально фируются только те данные, которые "приватные"

ну можно при этом и в CI заряжать перешифрованный файл с переменными, поменял переменные - прошел скриптом перешифровал - передал CI свой (собственный, отдельный для неё) vault pass.

и вполне можно проверять на дубли этот файл, простейшим плейбуком перед запуском. если инженеры не хотят между собой общаться и договариваться об именах переменных.

но всё это кривые решения по большому счету и страшные костыли. проблем нет когда файл с сенситив датой один, пароль vault знают все кто работает с этим репозиторием. если прям нужно разделять разрабочтиков - можно разделить их по репозиториям, пароль на один репозиторий ansible останется один, всё тупо и просто.

короче, упрощайте (с)

короче, упрощайте (с)

вот из детства, почитайте... http://www.lib.ru/RUFANT/ROSOHWATSKIJ/nadezhnost.txt_with-big-pictures.html

как-то запало.... в "технике молодежи" вроде было

не знаю помнит ли кто еще такой журнал....

@lastsky ни в коем случае, не с подъебом, просто во всем нужна мера сам не сторонник слишком сложных выебосов....

не, я ничего нового не сказал вообще

не, я ничего нового не сказал вообще

то я на всякий случай....

попробовал ANSIBLE_USE_PERSISTENT_CONNECTIONS=True, среднее время выполнения 15-минутного плейбука осталось таким же. а кто-нибудь получил ощутимый результат?

почитай про ssh pipelining

ага, спасибо. у меня он включен по дефолту везде. [ssh_connection] ssh_args = -o StrictHostKeyChecking=no pipelining = True

ну так у тебя время тратится видать не на хендшейк ssh-ный, а на последовательное(синхнронное) выполнение ролей

пока все хосты в группе таск не выполнят, ансибл дальше не бежит

да, таски синхронно на всех серверах выполняются.

попробовал ANSIBLE_USE_PERSISTENT_CONNECTIONS=True, среднее время выполнения 15-минутного плейбука осталось таким же. а кто-нибудь получил ощутимый результат?

оно для активки.

в общем-то я и так рефакторю, уменьшая количество тасков, ролей, группируя через with_items, операции копирования / темплейтинга в одну задачу (однако иногда требуется всё таки не перемешивать вообще всё)

для серверов не работает вроде как

ага, спасибо, понятно теперь

и дока нужная сразу отгуглилась

я тоже надеялся на ускорение

увы

ускорение конечно произошло. но пока я не замерял... :)

а что мешает пуллить, а не пушить?

пулл это про солт и паппет

а что мешает тебе запустить ансибл локально на каждой тачке?

через pdsh какой-нибудь

интересная мысль, надо обдумать. однако для этого придётся много переписать :)

fact_caching_timeout - кто в какой ставит?

в целом ты можешь вызывать ансиблом удаленный ансибл

да я чот весь день сегодня гоняю простой плейбук, и устал ждать по 15 минут. не знаю, salt чтоли попробовать ещё раз поплеваться.

может тебе обмазаться тегами и гонять только то что изменилось по тегам?

а как асинхронное выполнение включить?

может тебе обмазаться тегами и гонять только то что изменилось по тегам?

теги и так везде аккуратно расставлены.

ну вот если ты поменял что-то оттеганное, гоняй только теги которые изменил

я просто хотел меньше контролировать мозгом что там делается, запустил плейбук, он всё что идемпотентно не поменял.

реальность против....

а как асинхронное выполнение включить?

псевдокод: for element in inventory do ansible --limit=element & done

был инцидент, я обычно и гонял с тегами как всегда, и с лимитами по серверам. внезапно... выяснилось что на части серверов конфиги несвежие.

как и когда это произошло - не разобрать. ну, точнее, разобрать конечно, но цель не оправдывает средства.

в целом ты можешь вызывать ансиблом удаленный ансибл

вот интересный вариант, да.

но если принять во внимание твою попоболь выше, то наверное стоит всё же синхронно гонять, лол

чтобы хендлеры синхронно срабатывали

а как асинхронное выполнение включить?

http://docs.ansible.com/ansible/playbooks_async.html тута примеры

спасибули

плейбук закрытый ?

дай почитать :)

угу, NDA.

эх

ну ладна

там по сути ставятся пакеты, деплоятся конфиги, правятся хосты, катится всякий стафф. стандартные модули, всё из stable.

по сути это 99% плейбуков такие

вот да. и в общем-то я там уже оптимизировал такие штуки как copy + template, можно template'ом копировать с тем же успехом и в with_items поместить списки. это всё ускоряет, но не особо. основное время уходит на копирование файла. ну и forks у меня заведомо больше чем серверов.

ERROR: S client not available

Идите в канал, и, не джойнясь, репортите на спам

Идите в канал, и, не джойнясь, репортите на спам

?

господа такой момент. есть строчка - debug: msg="{{ hostvars[groups [ ('hostgroupname') ][0]] }}"

только при ране в одной роли выдается куцый жсон

в ране другой - гигантский жсон с кучей инфы

в хостс в [hostgroupname] лежит 1 айпишник

подскажите, почему так?

+ момент: буквально поменял одну хостгруппу на другую в этой строчке, как поведение изменилось. полный WTF

очевидно у тебя в этой группе есть group_vars файл и там больше переменных

групварс нет точно нигде

разница между жсонами колоссальная

а ну еще может быть что ты много set_facts юзаешь, которые выкинутся тебе в твоей строке - кстати.

ну это должно быть неприлично много

сет фактс не юзаю

буквально вынес эту строку первой таской в ролях

че за дичь тогда ? так не бывает... разный набор переменных может быть только тогда когда реально задаются групварс

НО

сделай диф по json выхлопу

и сразу обозначишься, откуда у тебя они берутся

когда жсон большой - выводятся все факты про машинку, как и ожидается

когда жсон маленький - выводится буквально 10-20 строчек жсона

я не понимаю как на этих данных выяснить откуда берется маленький жсон и почему он берется

явно влияет место расположения и откуда ты ее вызываешь

и почему простая замена имени хостгруппы на это влияет

из роли или pre_task or post_tasks

в хостс 2 хостгруппы, по 1 айпишнику в каждой

если нет group_vars то не влияет

групварс 100% нет и не используется тут

это логическая проблема

вот и у меня WTF

диф блин сделай и усе увидишь откуда приплывают новые факты