Можно vault юзать

Если прямо очкуешь

Делать роль, класть ключи в files

А там уже опционально волтом

По-моему вполне нормальная практика хранить публичные ключи в открытом виде

Я вообще lineinfile юзаю

Хранить в гите можно даже открытыми, они же публичные

Они там и хранятся (уже)

https://github.com/%USERNAME%.keys

Высрет все ключи для юзера

А, перепутал гит и гитхаб ) Но не беда. Этот вариант тоже может быть полезным :)

gitlab вроде также ключи отдаёт

подтверждаю. gitlab точно так же отдает ключи

Лол, буду знать

надо сразу в роли с гитхаба брать ключи

а задавать только логины

:)

Как в ansible организовать структуру так, чтобы деплой был возможен и с рабочего компа, и из CI? Поясню. У меня в инвентаре расписана прод-конфигурация, у которой изменены значения путей до файлов проекта. То есть для CI одни пути до файликов, для деплоинга прода из моего компа другие. Не могу организовать структуру конфигов так, чтобы оба файла прод-конфигурации не дубдировались. Нужно что-то типа инклюда из базового прод-конфига в 2 конфига под разные системы. Никто таким не маялся? inventory -- group_vars ---- local.yml ---- prod-ci.yml -> здесь отличается только пара переменных и все, а по факту копипаста ---- prod-local.yml -> здесь отличается только пара переменных и все, а по факту копипаста -- hosts Хотелось бы иметь какой-нить base-конфигурашку, чтобы различные параметры подтянуть в спец. конфиги под систему. Есть какие идеи? Ни лимит групп (как здесь), ни разбивка по разным файлам инвентарей не помогла.

в репозиторий с кодом для каждого микросервиса кладётся плейбук, который его билдит и катит из ci на dev/stage/prod. через плей с local_action скрипт синхронизирует локально inventory и перешифровывает vault для ci. среда куда катить задаётся переменной. кнопка в ci = среда, из которой вызывается плейбук, куда подставляется переменная.

Думаю уже над этим, хотя может есть решение получше http://docs.ansible.com/ansible/include_vars_module.html

inventory может быть папкой, -i inventory-prod/ (а там файлы)

Как раз сейчас так и сделано, через папку. Но проблема не в том, куда положить. А в том, что конфигурашка дублируется. То есть, если я деплою через CI, работает папка inventory-prod, если через свой комп (CI - сломался, например), работает папка inventory-prod-local, чтобы он мог взять файлики из нужных папок. При этом получаем полную копию yml-конфигов для продакшена. То есть, если я захочу сменить ключик мандрилла, обязан это делать в двух местах.

а vault у тебя тоже одинаковый в ci и локально?

Его пока нет, но допустим он одинаковый.

просто тогда один любой сотрудник забыл ноут в кафе - меняй все пароли, называется...

ну это да, но тем не менее, удобнее проверять работоспособность написанных тасков на локальной машине, а не делать по 100 коммитов в гит и затем сквэшить ...

сотрудники с ноутбуками должны уметь в полнодисковое шифрование - утечка кода с прода это как-то хуже, чем пароли от ансибла

сотрудники с ноутбуками должны уметь в полнодисковое шифрование - утечка кода с прода это как-то хуже, чем пароли от ансибла

+1. но иногда не спасает - я сам видел в коворкинге как уходят на обед или перекур и ноуте оставляют.

выкатить такой же прод и попасть на готовый прод - из двух зол меньшее.

нашел в коде: {{ item.item.item }}

работает.

отпизди сам себя.

уже.

кто писал - не найти. (и это хорошо)

git blame не ?

не, не найти. при миграции в новый gitlab .git папка потерта оказалась.

а. ну ладно. так и запишем. заметал следы.

нашел в коде: {{ item.item.item }}

Нет, серьёзно? И я понимаю, что вина не твоя...

Нет, серьёзно? И я понимаю, что вина не твоя...

абсолютно. не могу уснуть теперь. глаза вытекают.

абсолютно. не могу уснуть теперь. глаза вытекают.

Пятничные - боль и - унижение

просто прими как есть, выпей пивка

и найди того. кто позволил себе сделать это.

пипл, чот нифига придумать не могу, можно как-то вытащить адресс конкретного физ интерфейса?

или только явно ens160, eth0?

А что для тебя конкретный интерфейс?)

ну хз, номер? )

ну если брать стандартную практику: 1. wan 2. lan как ансиблом выбирать нужный?

!= default? :)

{{ ansible_all_ipv4_addresses | ipaddr(my_network)| first }}

А подскажите-ка, сработает ли такой финт ушами with_dict: "{{ some_tasks }}" register: task_result[{{ item.name}}]

дабы результаты для каждого таска из with_dict в отдельный кусок массива сложить?

или может есть более разумные методы? а-то если любой из тасков возвращает changed - весь task_results = changed

у тебя хэндлеры зависят от этого? вешать их только на нужные таски...

есть ещё changed_when: false когда ты точно знаешь что какой-нибудь shell command ничего не поменяет (остерегайтесь таких людей)

Не совсем, там таска, которая выполняет ряд задач возвращает task_results, в котором "changed": true, "msg": "All items completed", "results": [ ....... ]

ммм

программирование на конфигах

если ничего не сломали в эту сторону, то не сработает

а в резалтах пакован результатов, которые не именованы, т.е. типа { "_ansible_item_result": true, "_ansible_no_log": false, "_ansible_parsed": true, "actions": [], "changed": false, и в нём есть "item": { "key": "task-postgres-execute", но я не могу в следующей таске сделать when: task_results.%taskname%.changed

пушшо секции идут просто списком

ERROR: S client not available

хотя, можно попробовать итерировать with_items: task_results.results, там-же есть changed....

Всё, спасибо, кажется я понял как это проитерировать :)

программирование на конфигах

+1. я с той недели вообще не могу ни строчки написать из-за увиденного.

правильнее делать кучу мелких тасков. нужным таскам - нужные results. потом по ним логику, если там всё так сложно.

не стоит вешать на ansible задачи пакетного менеджера который хитро катит postgres.

впрочем, я всего кода не видел, предполагаю только.

А можно применить роль не создавая yaml файл?

нашел в коде: {{ item.item.item }}

Ха, теперь у меня есть name="{{ item.item.key }}"

здесь уже сказали что делать.

Придётся, что-ж делать...

Pyventory 2.1 is out https://t.me/SergeMatveenko/20

вот это они борзые

есть кто на венду ансибл натравливает?

win_copy так и должен как черепаха работать?

20МБ уже минут 10 льёт в локальной сети

есть кто на венду ансибл натравливает?

бля я пошел дальше

я из под винды натравливаю ансибл на винду на локалхосте

из под msys2

ебала конечно. но по работе надо )

короче win_copy по чанку маленькому упаковывает в base64 и трансферрит

ессна по таймауту отваливается если файл больше пары килобайт

как вообще можно так жить

как в фидонет вернулся

uue в файлэху

каждый раз, когда у подоконных мышевозов от боли взрывается пердак, где-то в Африке выздоравливает больной ребенок, а на Чукотке - больной котенок :)

ну мне для дела

fatal: [TEST01]: FAILED! => {"changed": false, "failed": true, "msg": "PowerShellCommunityExtensions PowerShell Module (PSCX) is required for non-'.zip' compressed archive types.", "win_unzip": {}}