Я их создаю в плейбуке и уничтожаю сразу. В этом кейсе работать без инвентори файлов было бы идеальным раскладом

Ведь ансибл позволяет напихивать в рантайм хосты

http://devdocs.io/ansible/add_host_module

не оно?

В доках же есть примеры как обращать к только что сделанному инстансу на амазоне

Оно то оно. Только у меня имя группы динамическое

Зависит от timestamp

зачем оно от него зависит?

Н увот такая логика в плейбуке

Хотя, надо подумать - может можно от этого избавиться

ребятки апните таску кто юзает молекулу https://github.com/metacloud/molecule/issues/324

Оно то оно. Только у меня имя группы динамическое

в модуле add_host есть параметр groups, в котором можно задавать какие угодно имена групп

Да, но как их потом подцепить следующей секцией hosts?

Но на самом деле я решил проблему - оказалось там же можно указывать и доп опции типа ssh key, который мне и нужно было указывать

Просто у меня ключ налету генерится во время исполнения плейбука, а потом это все сносится.

Да, но как их потом подцепить следующей секцией hosts?

- hosts: "{{group_name}}"

Оно так не работает, если группа была динамически сгенерирована как set_fact

Оно говорит что эта переменная там undefined

Но в самих тасках - работает, и имеет корректное значение

Оно так не работает, если группа была динамически сгенерирована как set_fact

да, из set_fact не сможет взять значение для hosts

задавай при запуске ansible-playbook -e "group_name=$(date)" :)

Не совсем понятно зачем такое ограничение

Странная тема. Агент продалбывается на каком то этапе: https://gist.github.com/anonymous/ead3e980017aec8e16e9c33eb8a396d3 Как видно из опций, там есть форвардинг агента, а ssh-add -L у меня показывает ключ. На удаленном сервере сначала логинился под ubuntu и делал фетч репо- работает, потом делал sudo -i и тоже самое и тоже все работает... ?

В sudoers.d добавил Defaults env_keep += "SSH_AUTH_SOCK"

а можно хендлер ПЕРЕД таской запустить?

- hosts: webservers pre_tasks: - shell: echo 'hello' http://docs.ansible.com/ansible/playbooks_roles.html

интересно.. правда, как-то не много в документации. если я правильно понимаю, pre_tasks только с ролями работает?

а где нужно чтобы работал? если внутри роли что-то выполнять (первое действие) и потом по условию выполнять что-то ещё (второе действие), то тогда в этой роли можно описать первое действие + register result, потом второе действие + when: условие из первого.

Нужно больше программирования на конфигах

Ещё больше

ну я пытаюсь придумать, как фаерволом в докере рулить. идея такая. есть таск, которы добавляет в конфиг строку через lineinfile, но если на хосте есть докер, то текущий конфиг iptables не всегда соответствует тому что в /etc/sysconfig/iptables. поэтому хочется сделать как-то так: 1. добавляеть правило iptables через lineinfile 2. если этот таск changed то перед ним, сделать iptables save в файл

вероятно, я как-то неправильно это делаю и можно без "программирования на конфигах" обойтись :)

Да вообще уже написано, как правильно. См @lastsky Отдельный вопрос: чего все так любят эти lineinfile

а где нужно чтобы работал? если внутри роли что-то выполнять (первое действие) и потом по условию выполнять что-то ещё (второе действие), то тогда в этой роли можно описать первое действие + register result, потом второе действие + when: условие из первого.

если сначала выполнять iptables save, а потом lineinfile и iptables restart - идемпотентность пропадёт

а если пользоваться https://docs.ansible.com/ansible/iptables_module.html - то не пропадает.

Да вообще уже написано, как правильно. См @lastsky Отдельный вопрос: чего все так любят эти lineinfile

хороший вопрос, до модуля iptables всё руки не доходят, кажется через него лугику описать сложнее будет, чем через lineinfile

Сам себя повторю: Отдельный вопрос: чего все так любят эти lineinfile

Суют их в туда, для чего они не предназначены

уговорили

попробую iptables_module прикрутить

Да вообще уже написано, как правильно. См @lastsky Отдельный вопрос: чего все так любят эти lineinfile

«все есть файл, все есть текст» - unix-way всё есть модуль - ansible-way

Тем более для iptables и кроме стандартного модуля уже наколотили всяких ролей, включая даже такие упорото навернутые, как https://github.com/mikegleasonjr/ansible-role-firewall/blob/master/README.md

в более общем случае речь о понятности пути реализации. когда ты понимаешь, что тебе модуль вставит строчку в текстовый файл - вопросов не возникает. когда ты понимаешь, что модуль тебе волшебным образом поменяет конфиг - возникает вопрос: на каком основании я обязан доверять этому модулю, а если он мне всё сломает?

Тем более для iptables и кроме стандартного модуля уже наколотили всяких ролей, включая даже такие упорото навернутые, как https://github.com/mikegleasonjr/ansible-role-firewall/blob/master/README.md

сурово как-то выглядит

Сам себя повторю: Отдельный вопрос: чего все так любят эти lineinfile

потому что lineinfile это мостик между kettle обратно в уютный pet

есть такое

Строчки в файле надо подменять, когда надо подменить строчку в файле (в конфиге монги порт подправить, и то недоказано - правильнее весь конфиг из шаблона залить). Когда iptables штатно настраивается другими средствами (и это не файл вообще) - нужно использовать эти средства

сурово как-то выглядит

для ufw и firewalld свои модули есть

сурово как-то выглядит

Я специально самый наворот показал

для ufw и firewalld свои модули есть

наверно рано или поздно действительно придётся на firewalld переходить :)

Ты в принципе вообще неправильно делаешь. Если у тебя конфиг файрвола хранится в файле, значит подсовывай в нужное для iptables-save место готовый файл целиком.

Строчки в файле надо подменять, когда надо подменить строчку в файле (в конфиге монги порт подправить, и то недоказано - правильнее весь конфиг из шаблона залить). Когда iptables штатно настраивается другими средствами (и это не файл вообще) - нужно использовать эти средства

вывод iptables-save лежит в виде файла, поэтому вопрос доверия слишком умному модулю на этом остается открытым, поэтому люди берут lineinfile и начинают делать им, вполне закономерно

ну вот да.

Если не в файле, то настраивай штатными средствами iptables -A

Ты в принципе вообще неправильно делаешь. Если у тебя конфиг файрвола хранится в файле, значит подсовывай в нужное для iptables-save место готовый файл целиком.

так вот в том-то и дело, что он не совсем в файле. основной конфиг в файле + строки, которые докер вкорячивает

А lineinfile - это все хуета и люди ансибла не поняли. У людей в голове все ещё фабрик

Докер вкорячивает, омг Ну так вкорячивай их туда сам, а не докер.

--iptables=false в докере не всегда вариант, сам понимаешь

Нет, боюсь, что я принципов вашего рукожопия не понимаю совсем.

докер, который рулит iptables-ом - рукожопие? всякие свормы и сервисы нахуй?

Нет, рукожопие - как вы пытаетесь рулить

Ты про lineinfile?

Я про вообще уже. Оказалось, lineinfile был цветочками

Отдельно доставляет, что при этом идут рассуждения про "модуль это странно, а вдруг он там сломает что-то" и про идемпотентность. Какая в этой куче из говна и палок идемпотентность?

не пойму я, что не так? ладно, забей

http://lazy-tester.blogspot.ru/2013/04/1.html?m=1

http://lazy-tester.blogspot.ru/2013/04/2.html?m=1

Хм печалька.

Стоял стоял хост на убунту и резко перестал отвечать

через vagrant ssh не отвечает ((

причем здесь вагрнат к хосту ?

виртуалка загнулась?

14.04 внутри или 16.04 ?

http://lazy-tester.blogspot.ru/2013/04/1.html?m=1

прочитал все 6 частей. спасибо

тогда еще http://modernlib.ru/books/gusev_maksim/hroniki_laboratorii/read_1/ http://modernlib.ru/books/artamonov_vadim/hroniki_diversionnogo_podrazdeleniya_1/read_1/

Хроники лаборатории переделанные.

Еще НашBOFH надо читать

ох нафталином пахнуло

вы еще винни притащите

хотя там уже наверное половину и не понять

ну негони. 6 часть тестеров недавно выпустилась)

ну негони. 6 часть тестеров недавно выпустилась)

каких тестеров?

я про http://www.lib.ru/ANEKDOTY/9600.txt

http://lazy-tester.blogspot.ru/2013/04/1.html?m=1

я про эти)

ох нафталином пахнуло

Ну они-то не читали =) Баян уже прошел реинкарнацию

А вы часто "рефакторите" плейбуки и роли?

Смотрите, я первые увидел Ансибл месяц назад ±, сейчас у меня почти всё заавтоматизировано на нём

само собой качество кода там, наверняка, пиздец