Что то типа такого, наверное

спасибо, покопаю в эту сторону

Это был тонкий намёк на то, что "не замечают" не является оправданием бездействию, если можно сделать лучше. Конечно, иногда лучше сделать и нельзя.

Когда можно оптимизировать базу на 5% и окупить все расходы на весь годовой билл амазона и еще бонус получить — нахер мне этот гитхаб оптимизировать?)

Это я к тому, что везде все индивидуально

Вот именно! И не "не замечают" является определяющей характеристикой, не так ли?

Все верно. Корректнее сказать "всем насрать"

Ибо экономия на спичках а куче людей добавится куча гемора

Или gitlab

Народ, подскажите, я правильно использую return value? - name: Create temporary build directory tempfile: state=directory suffix=build register: build_dir использую дальше как {{ build_dir.path }} или это не так должно работать?

Народ, подскажите, я правильно использую return value? - name: Create temporary build directory tempfile: state=directory suffix=build register: build_dir использую дальше как {{ build_dir.path }} или это не так должно работать?

Сделай debug: var=build_dir и увидишь все ключи к которым можеь обратиться

Сделай debug: var=build_dir и увидишь все ключи к которым можеь обратиться

да, так и делаю. Я просто не понимаю зачем мне такой ассоциативный массив на выходе.\ Там на выходе одна переменная - path. Неужели както эстетичнее нельзя ее получить. Без register переменная вообще теряется получается

У тебя в register будет что то типа output модуля всегда

Каждый модуль туда насирает свою структуру каждый раз

Поэтому через точку обращаться придется

понял, спасибо. неудобно)

понял, спасибо. неудобно)

Щито поделать. Весь ансибл такой

скажите, как можно красивше строку разбить в плейбуке?

2 url: "{{ compose_download_url + compose_version }}/docker-compose-{{ kernel_name.stdout }}-{{ os_arch.stdout}}"

вот такую

а чем отличается removed oт absent в yum-модуле?

а чем отличается removed oт absent в yum-модуле?

elif state in ['removed', 'absent']: res = remove(module, pkgs, repoq, yum_basecmd, conf_file, en_repos, dis_repos, installroot=installroot) А нет никакой разницы

это из исходников?

а еще вот отлично просто # removed==absent, installed==present, these are accepted as aliases

это из исходников?

да. лучше всякой документашки...

понял, спасибо

Вот https://github.com/ansible/ansible/blob/0be8ac6797c45b811e338a2d13149607a9f7f604/lib/ansible/modules/packaging/os/yum.py#L1205 и вот https://github.com/ansible/ansible/blob/0be8ac6797c45b811e338a2d13149607a9f7f604/lib/ansible/modules/packaging/os/yum.py#L1236

Скиньте ссылку на чат mysql или mariadb если есть

@mysql_ru

наверное хочет спросить как ставить мускул ансиблом под рпм ггг

наверное хочет спросить как ставить мускул ансиблом под рпм ггг

+1 )

command: myscript.sh

господа, беспрактис по хранению около сотни ssh ключей для ансиблы имеется?

господа, беспрактис по хранению около сотни ssh ключей для ансиблы имеется?

vault?

мне тоже интересно

можно какое то FreeIPA прикрутить наверное

он структуру каталогов может упаковать или только с отдельными файлами работает?

нет FreeIPA не очень годится, сервера в разных структурах находятся, не очень удобно с ним

я пока решил так для себя: моунт шифрованного LUKS раздела cо структурой каталогов с ключами перед запуском плейбуков

и анмоунт при окончании работы

https://www.vaultproject.io/ ?

А зачем ансиблу 100 ключей?

ну может у человека 100 проектов

аутсорс там какойнить

если 100 проектов, то зачем их все сразу монтировать

но тоже интересно

Еще такой вариант - нейминг ключей или каталогов по доменному имени сервера и имени пользователя, чтоб удобнее в плейбуках разгребать, запихнуть в приватный git и оттуда дергать при нужде. И обновлять удобно и в открытом виде не болтаются - плейбуки можно смело выкладывать.

У нас сикреты как сабмодуль подключены некоторые

Уже хотим отказываться от такого солюшена. Основной минус — отсутсвие разграничения прав что очевидно

Но с другой стороны самый железобетонный вариант )

разграничение прав достигается разделением репозиториев, но и трудозатраты по поддержке возрастут

господа, беспрактис по хранению около сотни ssh ключей для ансиблы имеется?

ну у меня не ssh ключи, но ssl ключи и сертификаты хранятся в vars зашифрованые ansible-vault

не сотня, конечно, пока только 14 пар

можно какое то FreeIPA прикрутить наверное

мы в 389ds вкрутили.

нет FreeIPA не очень годится, сервера в разных структурах находятся, не очень удобно с ним

гит, пакет..

тут нужно понять что именно сейчас не устраивает. так-то можно генерить ключи с паролем и большим количеством раундов и класть себе спокойно в репу рядом с плейбуками.

я пока решил так для себя: моунт шифрованного LUKS раздела cо структурой каталогов с ключами перед запуском плейбуков

там же только публичные ключи нужны? зачем шифрованное?

паб можно хоть в инет, это безопасно

паб на удаленном сервере, у тебя приват для ssh по ключу

мне кажется что сервис типа волт все таки самый оптимальный

паб на удаленном сервере, у тебя приват для ssh по ключу

приват это чтобы к тебе логинились.

я про волт читаю сейчас...

А еще можно не плодить сущности и не юзать сотни ключей для хостов. Что мешает один добавить на все?

А вы держите кластер волта на разные проекты?

А еще можно не плодить сущности и не юзать сотни ключей для хостов. Что мешает один добавить на все?

не всегда получается, иногда тебе просто передают приватный ключ от сервера, для поднятия ssh

не всегда получается, иногда тебе просто передают приватный ключ от сервера, для поднятия ssh

видимо я что-то не понимаю, но НАУЯ

видимо я что-то не понимаю, но НАУЯ

вот на кой тебе на режимное предприятие нельзя сотовик тащить? выполняй или проваливай =)

тут похожая ситуация

Ну а после того, как есть приватный ключ, можно добавлять свой паблик на хост.

Но конечно, когда такая ж с безопасниками, тогда да, нужно придумывать, как жить со 100 ключами

тут похожая ситуация

то есть на свой сервер ты должен поставить их приватный ключ?

зачем поставить? ты с несколькими приватниками не работал чтоль? их прватник используется только для связи с их сервером

зачем поставить? ты с несколькими приватниками не работал чтоль? их прватник используется только для связи с их сервером

для связи с их сервером достаточно чтобы твой публичник был в authorized_keys

что в ансибле, что в ssh можно указать приватный ключ для хоста

их приватник на твоей машине не даст ничего

лет 10 по ключам работаю, и ни разу не было случая чтобы потребовалось вынести приватный ключ куда-либо

для связи с их сервером достаточно чтобы твой публичник был в authorized_keys

они туда паблик и кладут

тогда что ты с приватным делаешь?

у тебя свой приватный, именно от твоего хоста, он 1

и паблик для твоего приватного ушел к ним

для ssh параметр -i

то есть они сами сгенерили пару и заслали тебе, а ты через -i подключаешь? Но опять же, такой ключ нужен только на той машине, которая раскатывает, деплоить приватный ключ - моветон

то есть вместо схемы "нормально заполняем auth.." - используем 1 пару ключей для всех машин?

и утекание этой пары - нужно передеплоить новую пару, обновлять auth,...

иногда такое может быть, как частный случай

и непонятно, откуда утекло

то есть вместо схемы "нормально заполняем auth.." - используем 1 пару ключей для всех машин?

не так, пар ключей много

тогда чем не устраивает генерить пару на самой ноде и вытаскивать паб, который как хочешь распространяй?

частично можно решить установкой паблика в auth, а частично возиться с приватными ключами

теперь добавляем в этот цирк еще несколько админов... =)

n серверов, m админов

Добавить прогон ансибла в CI, и не будет с кучей админов

или добавить акки админов на тачку с ансиблой

типа единая точка развертывания

теперь добавляем в этот цирк еще несколько админов... =)

и получаем 1 админский ключ, который раскидываем (ПАБ) по нодам. И не надо страдать хернёй, ключ на 4к более чем безопасен, чтобы быть 1 для всех

ну или на ансибл, если им не надо на эти ноды ходить

n серверов, m админов

вообще тут ldap норм, тот же 389ds, там можно прописать каким группам доверять, сам сервис умеет запрашивать ключ для авторизации итд

не только ключ на 4к тогда, а ключ с паролем и при генерации укажите -a 1000 хотя бы