это если есть вероятность что таки стащат приватный

не только ключ на 4к тогда, а ключ с паролем и при генерации укажите -a 1000 хотя бы

пароль с ансиблом несовместим эе

прекрасно совместим

добавляешь в агент и всё

не только ключ на 4к тогда, а ключ с паролем и при генерации укажите -a 1000 хотя бы

Фи, 4к - слишком короткий.

ed25519 вообще с гулькин нос, и ничего.

Последняя проблема решена: git модуль ансибла не умеет работать с passphase

вообще тут ldap норм, тот же 389ds, там можно прописать каким группам доверять, сам сервис умеет запрашивать ключ для авторизации итд

норм, но если даж ключи не везде свои ставить можно, то...

гит модуль который из с удаленной машины что-то клонирует? но зачем ему работать с ключем по которому ты подключаешься.

норм, но если даж ключи не везде свои ставить можно, то...

в config пишем хост и нужный ключ

можно даж в инвентори

а кто нибудь пробовал запускать роли без пароля через Gitlab CI , например на какой нибудь yum update ? Не знаю как правильнее это сделать, может кто знает?

my.host ansible_ssh_private_key_file=/trolokey

https://www.vaultproject.io/ ?

спасибо за наводку, попробую, вроде годно

потом расскажешь )

мне тоже надо чтото типа такого

тоже вопрос встал

я как то пробовал давно тутор - там есть онлайн

вроде то что надо

ага, я тож тутор пробежал быстренько

кстати sss - да, хорошая вещь. недавно от редхат видел слайды про их клиент/сервер отдачи частей ключа. в т.ч. с поддержкой разблокировки luks. https://github.com/latchset/tang и https://github.com/latchset/clevis ну и народ себе велосипеды строит из git-annex для хранения gpg-брелка в гите

Всем привет

Сижу и думаю как сделать роль для production и stage

через var

одна роль. но в зависимости от того продакшен это или нет делаем выбор создавать бд или нет

делаешь таску с ... ... when: - env == "stage"

и для prod соотвественно

то есть допустим запускать ansible-playbook app.yml -e 'env=stage'

именно

ребята а хосты можно внутри плейбука хранить?

что значит "хосты хранить" ?

именно

спасибо

ребята а хосты можно внутри плейбука хранить?

tесть же файлы inventory

что значит "хосты хранить" ?

ну чтобы ip/hostname машины и разные переменные vars всех хостов внутри плейбука держать

нет, ну это не воспрещается

не понятно по прежнему

можно ли хранить варс в плейбуке?

можно

читайте best practices

Если вы сделаете так в плейбуке то огребете проблем

Когда встанет вопрос "ставить базу" или "не ставить ведь у меня RDS"

А хосты и прочее подгружать придется

лучше переменые в инвентори вместе с хостами

Ну у меня по сути так и есть

Я зашел так глубоко что у меня одна и та же роль прозрачно может ставиться и на авс и на вагрант

Все разрешается через инвентори и двойной слой наследования групп

Типа роль использует абстрактную группу (высокоуровневую) а конкретный инвентори расширяет ее либо авсовскими группами либо вагрантовскими группами

В которых уже хосты

лучше переменые в инвентори вместе с хостами

Лучше следовать best practices, а не городить все в кучу

для переменных есть различные _vars

я думаю что все зависит от того как используется

Я зашел так глубоко что у меня одна и та же роль прозрачно может ставиться и на авс и на вагрант

вот я тоже к этому склоняюсь

одна роль и через варс рулим

вот я тоже к этому склоняюсь

Готовься к тому что столкнешься с кучей текущих абстракций которые придется залепливать костылями

Чтобы роль оставалась "универсальной"

у меня набор мелких ролей, и плейбуки их объединяющие

И ничего не знала про специфику авс

а мне не надо универсальная

более того, там есть несколько ролей, которые подклчаются в мета

У меня есть директория с ролми, есть плейбук "приложения"

Который собирет в кучу нудные роли

А потом накатывается одна последняя "кастомная" роль

один проект - одна роль

Которая так сказать перематывает изолентой остатки

по крайней мере, сейчас хотелось бы, чтобы это выглядело так

Я мету не использую

почему?

Начинайте закидывать говном. 3...2...1...

Нахер. Плоская структура рулит

ну, на самом деле меня это тоже смущает немного

но у меня небольшой опыт использования - будем наблюдать

не, ну если в каждом проекте репу одну и ту же надо подцепить, то лучше ее в атомарную роль вынести и requiriments подгружать

когда оно в мета, про нее легко забыть

вот оно и бьется постепенно на типовые кубики

Вот та структура к которой я пришел спустя годы проб и ошибок )

md-conqueror.yml по сути сумма -app, -db, -cache и т.д.

А вот так разруливаются энвайроменты

Т.е. prod это симлинк на приватный гит репо который есть сабмодуль

В итоге плебуки можно шарить тем кто "нидастоин"

а есть тесты?

НЕТУ. Ахахаха

блин, вот думаю пускать все в докере перед тем как катить

Может кто сталкивался. Есть такой таск - удалить файлы из сборки во временной директории - name: remove web dir contents file: path: "{{ item }}" state: absent with_fileglob: - "*.json" - "web/app_*" как то можно это применить чтобы внутри директории выполнялось? проблема в том что в with_fileglob пути относительные

_bin? яснопонятно

_bin? яснопонятно

Там лежат пару скриптов для запуска всякого CI говна

модуль file не поддерживает wildcard. Что с этим делать не ясно, альтернативный модуль не гуглится((

Хотя щас вот откровение ебану. Бинарники я тоже некоторые в гите храню и чет вот ваще непарит. Зато всем удобно

Например у нас есть патченый packer. Фикс одной баги есть у меня всеруки не дойдут оформить PR ведь им же епта надо еще и тестов гору написать в прдачу. А заплатят за это мне ноль евро

Еще есть касомная сборка ansible из гита стабильная

Очень удобно хотя многи могут сказать справедливо что я поехавший. Но блин,зачекаутил репо — по ридми все поставил. Никакой ебатни нету. Профит

а в ансибле что запатчили?

у меня бинари на http валяются, нужное плейбук подтаскивает

Просто стабильный deb пакет который _у нас_ работает

У нас в http бинари валяются только те что к конкретным проектам относятся

А девопсовские бинари логично держать в девопс репо

стабле ансибла - конкретный проект )