nat, iptables, вопросы безопасности, уязвимости salt == уязвимости инфраструктуры. sshd_config - это просто и надежно. вот я и думаю. salt же не sshd поднимает на отдельном порту.

А ансибл у вас как ходит?

Через нат?

Что мешает сделать в иптейблес правило,

Более того, у солта довольно защищено все ключами

Нельзя постучать в порт и выполнить команду

Ну я убеждать никого не буду. У меня маловато опыта чтобы советовать то или иное решение не глядя на входные данные

Но бояться солта не стоит - точно говорю. Хотя порог вхождения там выше гораздо

Я ваще думал, что в анс после солта ни ногой, а вот появился кейс, где его проще всего заюзать

А ансибл у вас как ходит?

просто ssh всегда есть без nat (иначе как) а с salt получается на 1 действие больше. спасибо за мнение, я просто пытался сравнить, понятно что надо самому идти и смотреть отличия salt vs ansible для актуальных версий (то есть, спасибо, я понял, что в этом есть смысл - изучить)

Но черт возьми, как же на ансибла проще

просто salt не для трех хостов, и не для тридцати, как ansible ?

а почему не для тридцати например?

я без сарказма

мне реально интересно

я вижу только что солт-мастер это SPOF

но это ваще не проблема щас

ну просто оверхед для такой мелкой инсталляции salt. не потому что агент, просто потому что выше вон написано "проще" :) ну тупо писать плейбуки и роли проще, чем формулы. оба сорта устриц ел, если что

salt master не SPOF, вы что, salt умеет в redundant multi master

да, я и же и написал - не проблема

агент - пакет один

ну вот про формулы верно

я писал на солт, но до формул до сих пор страшно подойти

генерация конфигов у меня пиздец - в лучших традициях программирования на конфигах

три фора, пять ифов - хуярим

у меня было три сотни миньонов на salt а потом я поменял работу и стало пять хостов, и я salt даже ставить не стал :)

после солта ансибл не кажется хуйней?

неа

особенно когда все летит к черту после обновления

после солта ансибл не кажется хуйней?

Он и без него кажется

:(

ну я как бы оба знал. просто в здравом уме и твердой памяти для такой мелкой инфраструктуры взял ansible :)

Он и без него кажется

ну не скажи

ну между релизами salt постабильнее, конечно :))) но таки да - у меня тоже ломался. причем даже в третьей цифре обновления :))))

я вот щас писал под анс после солта

сука, так легко читается

и пишется

а дока?

кто доку солта не читал тот ваще не страдал

аж пришлось версии миньонов к гит ревижну прибивать гвоздями

фигасе

Эм.. А зачем?

ну дока кстати фифти фифти. к соленой просто привычка нужна. мне поначалу казалось, что дока солта понятнее, чем ансибла

Объясни

хз, у солта дока - ЕСТЬ МОДУЛЬ

и пиздец

Эм.. А зачем?

что зачем? ну хуяк, обновляется однажды миньон через apt-get например. И ПИЗДА РУЛЮ

А бля,.. Я тупой

в итоге я бутстрапил миньоны из гита, с четким revision, который Я СКАЗАЛ :)

ну там ваще беда в том плане что надо следить за совместимостью версий мастера и миньоонв

у анса таких проблем нет

и обновлял эту цифру только после ТЩАТЕЛЬНОГО тестирования :) всё как в этом чатике про ансибл плачут в общем :)

ну тут такое ощущение, что все обновляют анс ваще сразу после релиза

ну там ваще беда в том плане что надо следить за совместимостью версий мастера и миньоонв

ты не поверишь, оно там ломалось таже вообще без мастера, тупо в vagrant/virtualbox например

я сидел год на 1.9 кажись

не потел

ну с вагрантом ваще интересно

он же собирается

если ты туда каждый раз миньон привозишь

еще и по apt install

надо или репо свое, или еще как

ну короче с этой точки зрения сорта говна, на самом деле. и там и там все тестить надо

ну да, как всегда - серебра в наши пули не завозят

http://dpaste.com/36YC6WD#wrap до вот такого говна доходило. это кусок моего старого Vagrantfile как раз

и только уже потом config.vm.provision :salt do |salt| salt.run_highstate = true salt.verbose = true и понеслась

Что мешает сделать в иптейблес правило,

Docker

Вы управляете содержимым контейнера?

Докер лезет в iptabels и мне не хочется с ним конфликтовать.

ERROR: S client not available

А

Ну ок

камрады, как команду локально выполнить, видел в доке, но найти не могу, подскажите ключевые слова для поиска?

http://docs.ansible.com/ansible/playbooks_delegation.html#local-playbooks

local_action:

шит, у меня юзеры разные, а он пытается локально залезть внешним юзером

become_user: local-username-here попробуй

- name: check running processes on local system local_action: shell ps

спасибо!

но тебе в inventory файле нужно написать ansible_connection: local так будет корректнее.

работает

непонятно как связать expect и local_action

я пытаюсь автоматом генерировать subkey в gnupg

- name: global-ssh-ids - Copy existing pubkeys authorized_key: user=root key= "{{ item }}" state=present with_file: - id_rsa.pub

народ, кто-нибудь знает почему эта херь перестала работать

Дебаг включи и посмотри что делает

Так оно в консоль говорит, что ключики ок, а реально не добавляет

камрады, если я выделяю задачи в отдельную роль, надо там теги у задач проставлять? у меня один тег, совпадает с именем роли

ИМХО теги - ментальная херня которую ломают от релиза к релизу, поэтому если не собираешься ползать сутками в тикетнице ansible и доказывать что Ленин жив - используй с минимализмом. на таски класс задач типа "поставить софт" - tags: install или "положить конфиги" - tags: config

народ, кто-нибудь знает почему эта херь перестала работать

Модуль имеет статус preview, попробуй другую версию :)

Модуль имеет статус preview, попробуй другую версию :)

починил, вот тут: key= "{{ item }}" был пробел, я его удалил и норм.

вот только как оно раньше работало...

в 2.3 ужесточили анальные политики оформления "{{ переменных }}" вот так и сломалось.

у меня тоже много что поломалось на них. это не модуль.

например теперь в with_items нельзя так писать :)

я че-то не допер как допустим вместо docker-registry.test.com/image:latest сделать "{{ docker_registry }}/"image:latest ? читал jinja2 но не пойму все равно

именно когда в одной строке микс переменная-слеш-стринг

кавычку перенести левее слэша?

ansible 2.3.1.0

нифига

тоже ругается

ну тогда запеременить оба куска