а, там ключевое видимо "дополнительные"

Ага

Что бы с дефолтовыми не было в перемешку

может проще дефолтные потом отпарсить?

Коллеги, я новичок в системах оркестрации. Мне очень хотелось бы посмотреть какие-то примеры как устроена инфраструктура оркестрации у других (Какое ПО они используют, для каких целей, почему не альтернативы и т.д.). Просто я не верю, что то, как это устроена у нас (к примеру, ты разворачиваешь всё Ansible, но все пароли и логины заходишь и вбиваешь в конфиги ручками) - это правильное развитие событий. Если есть какие-то классные видео на эту тему - будет круто, т.к. на просторах интернета я нашёл пока только обучалки по Ansible, что не есть то, что нужно. В общем, буду благодарен за любые видео, статейки или возможность лично от кого-то узнать, как это должно правильно работать. Заранее спасибо!

Коллеги, я новичок в системах оркестрации. Мне очень хотелось бы посмотреть какие-то примеры как устроена инфраструктура оркестрации у других (Какое ПО они используют, для каких целей, почему не альтернативы и т.д.). Просто я не верю, что то, как это устроена у нас (к примеру, ты разворачиваешь всё Ansible, но все пароли и логины заходишь и вбиваешь в конфиги ручками) - это правильное развитие событий. Если есть какие-то классные видео на эту тему - будет круто, т.к. на просторах интернета я нашёл пока только обучалки по Ansible, что не есть то, что нужно. В общем, буду благодарен за любые видео, статейки или возможность лично от кого-то узнать, как это должно правильно работать. Заранее спасибо!

ansible-vault hashicrop-vault Есть для таких штук

ansible-vault hashicrop-vault Есть для таких штук

психанул про hashicorp - тут для начала бы разобраться с Jinja потом уже с ansible-vault ну а по hashicorp сам пусть решает надо или нет... то уже для просветеленных )

психанул про hashicorp - тут для начала бы разобраться с Jinja потом уже с ansible-vault ну а по hashicorp сам пусть решает надо или нет... то уже для просветеленных )

Если больше двух-трех людей, то вроде альтернатив нет. Не знаю, мне казалось, что ansible-vault вообще минут на 5-10, как и jinja в базовом варианте.

Не ну человек после ansiblа проходится и вбивает руками ) видать не знает... пока не овладеет минимумом смысл hashicorp vault предлагать ?

вообще в заголовке чата есть классная ссылка - там практически % на 95 актуальная инфа

Окей, спасибо за ответы! Прос Hashicorp Vault слышал, но на предложение его развернуть было высказано фи. Обязательно прочитаю на днях про Ansible-Vault! Есть ещё такой вопрос: бывают ситуации когда одна машина из 30 должна заливаться по-иному (к примеру лишний файл закидываться в firewalld или сервис устанавливаться). Я под данную машинку должен создавать отдельный playbook или правильнее делать обработку данного события в самом playbook?

Окей, спасибо за ответы! Прос Hashicorp Vault слышал, но на предложение его развернуть было высказано фи. Обязательно прочитаю на днях про Ansible-Vault! Есть ещё такой вопрос: бывают ситуации когда одна машина из 30 должна заливаться по-иному (к примеру лишний файл закидываться в firewalld или сервис устанавливаться). Я под данную машинку должен создавать отдельный playbook или правильнее делать обработку данного события в самом playbook?

логика простая: а если завтра понадобится _две_ таких машины - что будешь делать? а _пять_?

....так что пиши плейбук в общем, насколько возможно, виде, и разруливай особенности конкретных хостов через host_vars

....так что пиши плейбук в общем, насколько возможно, виде, и разруливай особенности конкретных хостов через host_vars

Идея разруливать через vars в самом playbook - плохая идея?

если приходится вешать гроздьями when-ы - ты что-то делаешь не так

да, именно, можно when на block же вешать )

(шутка)

(шутка)

тонко

Эм... А я уже начал читать о block'ах и думать, что это крутая вещь =)

ну да, эта штука иногда полезна, когда ты уже написал велосипед из граблей, и тебе лень вешать гроздьями when.

И есть ещё один вопрос относительно структуры playbook'ов: Правильно делать единый реп со всеми playbook'ами внутри по типу: playbook1.yml playbook2.yml .... playbookn.yml roles type1 role1 type2 role2 type3 role3 Или же лучше для каждого playbook'а делать отдельную структуру каталогов?

ну да, эта штука иногда полезна, когда ты уже написал велосипед из граблей, и тебе лень вешать гроздьями when.

Понял, буду иметь ввиду!

Просто сейчас у меня первый вариант и там тьма playbook'ов. Каждый проект как минимум имеет 3 версии с разными указанными хостами (dev, preprod, prod). А т.к. проектов тьма, то получается не плохой список

И что-то мне подсказывает, что так быть не должно

Эм... А я уже начал читать о block'ах и думать, что это крутая вещь =)

https://github.com/major/ansible-hardening/blob/master/tasks/main.yml#L17 можно вот взять пример у хайдена, если тебе нужно разрулить задачи одной роли по дистро-зависимым переменным, и для одного дистро одни переменные, для другого совсем другие. ну и см. далее там тонна примеров по программированию на конфигах.

https://github.com/major/ansible-hardening/blob/master/tasks/main.yml#L17 можно вот взять пример у хайдена, если тебе нужно разрулить задачи одной роли по дистро-зависимым переменным, и для одного дистро одни переменные, для другого совсем другие. ну и см. далее там тонна примеров по программированию на конфигах.

о, интересная роль, спасибо

https://github.com/openstack/openstack-ansible вот тут его творчество в полную силу, можно читать долгими зимними вечерами и восклицать "бля а так можно разве?"

ну мне больше интересно посмотреть на эти вот секьюрити-рекомендации для центось/рхел. https://github.com/major/ansible-hardening/blob/master/templates/sshd_config_block.j2 вон в sshd_config в принципе адекватные вещи пишутся

Пипл, а как можно натравить lineinfile на все файлы в папке?

with_fileglob

*для локальных файлов работает

регистрировать переменную, выполнять ls, ну а дальше цикл

with_fileglob

на удалённом хосте не работает

ага только для локальных, тогда только shell ls

ну или стартовать в пулл мод

пришлось извратиться: - name: looping over a REMOTE command result shell: "ls /etc/ssh/authorized_keys1" register: command_result - name: remove key lineinfile: dest={{ item }} line="{{key}}" state=absent with_items: - "{{ command_result.stdout_lines }}"

C:\Windows\ServiceProfiles\LocalService

То что надо, заработало, спасибо )

ага только для локальных, тогда только shell ls

модуль find приятнее.

БОЛЬШЕ ШЕЛЛА В АНСИБЛ!!! (c)

БОЛЬШЕ ШЕЛЛА В АНСИБЛ!!! (c)

согласен: - name: listing files find: paths: "/etc/ssh/authorized_keys1" patterns: "*" register: result - name: remove key lineinfile: dest={{ item.path }} line="{{key}}" state=absent with_items: - "{{ result.files }}"

лучше?

угу, я также юзаю, проблем нет

таки да, не знал про find

как правильно сетить local_facts? сосздавать ini файл? а то что то set_fact так не работает

@FolderArchive - канал, где сливают платный полезный - образовательный контент и курсы, например можно скачать курсы "Нетологии" или все курсы "Бизнес Молодости".

помогите с шаблоном. есть такой список переменных: vault: default: myuser: "myuser" mypassword: "mypassword" server: 192.168.1.1: auth: "secret1" name: "name1" 192.168.1.2: auth: "secret2" name: "name2"

и такой шаблон: {% for item in vault.server %} host "{{ item.name }}" { auth = "{{ item.auth }}" } {% endfor %}

на выходе получаю только % в файле

поставь по минусу перед IP-адресами ?

то бишь преврати ключи словаря в элементы списка (по которым как раз и работает with_items)

неа, не помогло

ну для начала минусы надо ставить выше

потому что он ходит по vault.serevr

а, да

перед ипами

тогда, как говорит один мой начальник - одна из обезьянок пиздит

ну теоретически vault может совпадать с именем какого-то внутреннего объекта в ансибле

так что я бы попробовал переименовать во что-то более обыденное - creds, auths, dannyes, parolys ?

ну теоретически vault может совпадать с именем какого-то внутреннего объекта в ансибле

вы подозреваете что там настолько дятлы сидят, да?

вы подозреваете что там настолько дятлы сидят, да?

ну это ж не мы придумали программировать на шаблонизаторе ;(

ну это ж не мы придумали программировать на шаблонизаторе ;(

не хочу вас разочаровывать но и не они...

ну и при чем здесь шаблонизатор тоже остается загадкой, кстати.

я писал на пхп, да.

я писал на пхп, да.

зачем ты мне это сказал? как мне теперь жить с этим?

ERROR: S client not available

вы подозреваете что там настолько дятлы сидят, да?

речь вообще-то не о подозрениях, а об исключении нелепых случайностей.

нет, дело не имени vault

как сейчас выглядит входной yaml?

где он лежит?

сам yaml лежит в group_vars, default из него дёргаю нормально. затык именно с шаблоном

структура такаяже как описал выше

минусы перед ip в списке servers поставил

а в выходном файле по-прежнему проценты? O_o

в этом шаблоне. один символ, да. тот, куда default дёргается, всё хорошо

а если IP-адреса, используемые в качестве названий словарей, попихать в кавычки, и спрашивать именно их? просто items?

про спрашивать именно их не понял

в общем, всё вы правильно подсказали, проверил на http://jinja2test.tk/

осталсь одна загадка, почему на выходе у меня только один символ - %

так что я бы попробовал переименовать во что-то более обыденное - creds, auths, dannyes, parolys ?

кстати удобно когда знаешь второй язык - взял и свои переменные сделал на немецком :)

а лучши эмотиконами

осталсь одна загадка, почему на выходе у меня только один символ - %

переименуй default во что-нибудь и повтори. результат меняется?

да да я про нееже

emojifuck - замена brainfuck.

или ещё вот прекрасный пример - YOPTASCRIPT :)

ксива.малява("Я и правда язык") нах

переименуй default во что-нибудь и повтори. результат меняется?

нет

ну баг зарегай в ansible, последний способ найти решение. либо узнать что оно через уменьшение этажности вложенных списков.

привет. подскажете, в ansible 2.3 как то можно обратиться к имени инвентаря как к переменной?

Гайс, хочу деплоить пользовательский публичный ssh-ключ. Как лучше организовать? Т.е. мне нужно из консоли указывать путь к файлу или сам ключ, пока не очень понимаю как это нормально сделать

Есть вариант, конечно, с указанием ключа в ENV, но об этом тоже надо помнить или в роль смотреть

Хм. Хотя ansible-way, наверное, для каждого хоста все ключи заносить в переменную/файл и хранить в git. Ибо иначе не идемпотентно будет

http://docs.ansible.com/ansible/authorized_key_module.html

примерчики всякие тоннами