Тогда для данного конкретного usecase - нормально, раз всё равно других вариантов нет.

А есть ли какие-то утилиты готовые для этого?

А есть ли какие-то утилиты готовые для этого?

ignition умеет шифровать разделы, но емнип не умеет шифровать рут

а вы про которй ignition?

кореосная штука

наверное

https://coreos.com/ignition/docs/latest/what-is-ignition.html

а вы про которй ignition?

https://github.com/coreos/ignition а какой еще есть?

https://github.com/coreos/ignition а какой еще есть?

да много этого добра

The example code in this book was tested against version 2.3.0.0 of Ansible

ну так книжка в 2017 вышла

подскажите как модулем xml вывести чилдренов

пож

удалять добавлять можно

а как посмотреть кто внутри ноды?

xpath? (content)

"matches": [ { "CamelGW": "\n " }

если attribute поставить в контент то он все аттрибуты ноды выведет

мне то надо то что внутри

child::node()

это что и куда)

I can only show you the door. You’re the one that has to walk through it. ?

а как посмотреть кто внутри ноды?

- name: Parse the lo0 IP xml: xmlstring: "{{ result.xml[0] }}" xpath: "./logical-interface[name='lo0.0']/address-family[address-family-name='inet']/interface-address/ifa-local" content: 'text' register: result failed_when: result['matches'] is not defined - name: Set the lo0 IP Fact set_fact: lo0_ip: "{{ result['matches'][0]['ifa-local'] }}" - name: Print the lo0 IP debug: var: lo0_ipне?

прошу прощения, не туда

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

Использовать факты и переменные в одном when нельзя?

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

заббикс детектед. поэтому не работает.

LMAO

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

Может быть skipped

заббикс детектед. поэтому не работает.

Работает

Если убрать проверку ОС то всё работает как надо

stat там зачем?

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

у вас не регистрирутеся zabbix_service переменная, если не CentOs, вам нужно более аккуратно переписать условие when: .... and zabbix_service is defined and zabix_service.stat ...

Может быть skipped

Вот именно, нету скипеда. Просто ошика

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

а зачем статать?

Вот именно, нету скипеда. Просто ошика

Блин, ну дамп сделай и увидишь что в этой переменной

Блин, ну дамп сделай и увидишь что в этой переменной

Делал дебаг, там всё на месте

у вас не регистрирутеся zabbix_service переменная, если не CentOs, вам нужно более аккуратно переписать условие when: .... and zabbix_service is defined and zabix_service.stat ...

Попробую сейчас

stat там зачем?

Проверить, что служба агента существует

Проверить, что служба агента существует

почему не проверять сервис ?

почему не проверять сервис ?

Как?

Если дадите пример, буду благодарен

service: state ... check_mode: true

service: state ... check_mode: true

Ок, попробую

Приветствую граждане! Закоментил все что касается became - но все так же спрашивает пароли... хотя юзеры без пароля созданы и все получают судо без ввода такового. Что я пропустил? ansible 2.5.3 config file = /etc/ansible/ansible.cfg configured module search path = [u'/usr/share/my_modules'] ansible python module location = /usr/lib/python2.7/dist-packages/ansible executable location = /usr/bin/ansible python version = 2.7.12 (default, Dec 4 2017, 14:50:18) [GCC 5.4.0 20160609] Using /etc/ansible/ansible.cfg as config file [DEPRECATION WARNING]: DEFAULT_ASK_SUDO_PASS option, In favor of Ansible Become, which is a generic framework. See become_ask_pass. , use become instead. This feature will be removed in version 2.8. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. [DEPRECATION WARNING]: DEFAULT_SUDO_USER option, In favor of Ansible Become, which is a generic framework. See become_user. , use become instead. This feature will be removed in version 2.8. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. [DEPRECATION WARNING]: The sudo command line option has been deprecated in favor of the "become" command line arguments. This feature will be removed in version 2.6. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. SUDO password: [ERROR]: User interrupted execution

Приветствую граждане! Закоментил все что касается became - но все так же спрашивает пароли... хотя юзеры без пароля созданы и все получают судо без ввода такового. Что я пропустил? ansible 2.5.3 config file = /etc/ansible/ansible.cfg configured module search path = [u'/usr/share/my_modules'] ansible python module location = /usr/lib/python2.7/dist-packages/ansible executable location = /usr/bin/ansible python version = 2.7.12 (default, Dec 4 2017, 14:50:18) [GCC 5.4.0 20160609] Using /etc/ansible/ansible.cfg as config file [DEPRECATION WARNING]: DEFAULT_ASK_SUDO_PASS option, In favor of Ansible Become, which is a generic framework. See become_ask_pass. , use become instead. This feature will be removed in version 2.8. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. [DEPRECATION WARNING]: DEFAULT_SUDO_USER option, In favor of Ansible Become, which is a generic framework. See become_user. , use become instead. This feature will be removed in version 2.8. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. [DEPRECATION WARNING]: The sudo command line option has been deprecated in favor of the "become" command line arguments. This feature will be removed in version 2.6. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg. SUDO password: [ERROR]: User interrupted execution

Может там в запуске есть какой-то —ask-pass ?

Может там в запуске есть какой-то —ask-pass ?

благодарю, реально в начале конфига не закоментил ((

Всем привет, подскажите пожалуйста, выполняю вот такой плейбук - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ - name: CentOS | install libzbxpgsql yum: name: http://cdn.cavaliercoder.com/libzbxpgsql/yum/zabbix32/rhel/7/x86_64/libzbxpgsql-1.1.0-1.el7.x86_64.rpm when: ansible_os_family == "RedHat" and zabbix_service.stat.exists == True notify: restart zabbix-agent И получаю вот такую ошибку The conditional check 'ansible_os_family == "RedHat" and zabbix_service.stat.exists == True' failed. The error was: error while evaluating conditional (ansible_os_family == "RedHat" and zabbix_service.stat.exists == True): 'dict object' has no attribute 'stat’

when: - ansible_os_family == "RedHat" - zabbix_service | success - zabbix_service.stat.exists | bool

when: - ansible_os_family == "RedHat" - zabbix_service | success - zabbix_service.stat.exists | bool

а оно разве не упадет если zabbix_service is undefined?

вот да

when: - ansible_os_family == "RedHat" - zabbix_service | success - zabbix_service.stat.exists | bool

палки нельзя. варнинг

а оно разве не упадет если zabbix_service is undefined?

ну тут ванга моуд, потому что ОП нам не все рассказывает, конечно же, и что-то всё же zabbix_service регистерит (до этого, видимо)

палки нельзя. варнинг

а, я еще до 2.5 не добрался. Ынтырпрайз же

ну тут ванга моуд, потому что ОП нам не все рассказывает, конечно же, и что-то всё же zabbix_service регистерит (до этого, видимо)

Вы смотрели сообщение? - stat: path: /usr/lib/systemd/system/zabbix-agent.service register: zabbix_service when: ansible_os_family == ‘RedHat’ Всё я написал

если таска требует чтать рутом? какие шаги?

например для редактирования файла который может редактировать только рут

become: true

тогда как победить ввод пароля FAILED! => {"changed": false, "failed": true, "module_stderr": "", "module_stdout": "sudo: требуется пароль\r\n", "msg": "MODULE FAILURE", "parsed": false}

авторизация привязана к ldap

тогда как победить ввод пароля FAILED! => {"changed": false, "failed": true, "module_stderr": "", "module_stdout": "sudo: требуется пароль\r\n", "msg": "MODULE FAILURE", "parsed": false}

https://docs.ansible.com/ansible/latest/user_guide/become.html#command-line-options

авторизация привязана к ldap

Либо become_pass или sudo без пароля разрешить

теперь другой нонсенс - если в пароле # есть то как быть?

ругается на этот символ

' или " выделения оно понимает ?

или надо экранировать как то?

' или " выделения оно понимает ?

Попробуйте . Думаю понимает

какая же это привередливая к отступам хрень

Привет. Подскажите, почему я не могу пропинговать машину такой командой: ansible 172.18.0.2 -m ping -u root ?

Ошибка следующая: [WARNING]: * Failed to parse /home/kauffman/.ansible/hosts with yaml plugin: YAML inventory has invalid structure, it should be a dictionary, got: <class 'ansible.parsing.yaml.objects.AnsibleUnicode'> [WARNING]: * Failed to parse /home/kauffman/.ansible/hosts with constructed plugin: 'AnsibleUnicode' object has no attribute 'get' [WARNING]: Unable to parse /home/kauffman/.ansible/hosts as an inventory source [WARNING]: No inventory was parsed, only implicit localhost is available [WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match 'all' [WARNING]: Could not match supplied host pattern, ignoring: 172.18.0.2

А что в файле инвентори?

What's the full story behind this case?

I want to upload one large file(1gb) to 30+ Linux nodes using Ansible

ansible/ansible was tagged: v2.6.0a1 Link: https://github.com/ansible/ansible/releases/tag/v2.6.0a1 Release notes: New release v2.6.0a1

Ошибка следующая: [WARNING]: * Failed to parse /home/kauffman/.ansible/hosts with yaml plugin: YAML inventory has invalid structure, it should be a dictionary, got: <class 'ansible.parsing.yaml.objects.AnsibleUnicode'> [WARNING]: * Failed to parse /home/kauffman/.ansible/hosts with constructed plugin: 'AnsibleUnicode' object has no attribute 'get' [WARNING]: Unable to parse /home/kauffman/.ansible/hosts as an inventory source [WARNING]: No inventory was parsed, only implicit localhost is available [WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match 'all' [WARNING]: Could not match supplied host pattern, ignoring: 172.18.0.2

ну ты в hosts добавил этот хост?

Доброе утро

Скажите, а тут рассматривался вопрос о правах доступа для пользователя на хостах, где проигрывается плэйбук? Предопложим, если нужно lineinfile использовать, для редактирования /etc/hosts, используя become, доступ к запуску какого ПО с использованием sudo нужно разрешать для пользователя, под которым запускается ansible-playbook?

Пользователи и их права разруливаются централизованно, с помощью freeIPA

Скажите, а тут рассматривался вопрос о правах доступа для пользователя на хостах, где проигрывается плэйбук? Предопложим, если нужно lineinfile использовать, для редактирования /etc/hosts, используя become, доступ к запуску какого ПО с использованием sudo нужно разрешать для пользователя, под которым запускается ansible-playbook?

Ансибл написан на Питоне.

Ансибл написан на Питоне.

Да, я что-то слышал об этом.

Да, я что-то слышал об этом.

Тогда, наверное, там же и говорилось, на что sudo давать? ?

Тогда, наверное, там же и говорилось, на что sudo давать? ?

Нет, иначе я не задал бы дурацкий вопрос.

Буду благодарен за ссылку на инструкцию по правам доступа

на офф доку?

на офф доку?

Открыта прямо сейчас, не могу найти, доступ на запуск чего давать

Открыта прямо сейчас, не могу найти, доступ на запуск чего давать

Я бы начал с П.

Мне эта идея не нра. Предположим есть сотрудник техподдержки, который должен запускать плэйбук, для конфигуряния сетевых настроек + конфигуряния /etc/skel и на установку-удаление софта. При этом ему запрещено ходить в домашние директории сотрудников некоторых отделов и всех начальников отделов. Дав сотруднику техподдержки доступ по ссш и для запуска П. с правами root мы даём ему столько прав, сколько он сможет унести. Сильно не нра.

но это к ансиблу не относится

но это к ансиблу не относится

+100500

Вопрос изначально был про права доступа.

Вопрос изначально был про права доступа.

Тогда ответ - "не предусмотрено".

Мы ансиблом приводим настройки компов к единому стандарту. Но очень не хотим злоупотребления правами доступа.

Мы ансиблом приводим настройки компов к единому стандарту. Но очень не хотим злоупотребления правами доступа.

замени в своём исходном вопросе ansible на ssh и найди на него ответ

Мы ансиблом приводим настройки компов к единому стандарту. Но очень не хотим злоупотребления правами доступа.

Твоё право. Вот у меня, например, есть Rundeck - разработчики могут запускать плейбуки зелёной кнопкой, но не могут ходить на хосты от слова "совсем". Понимаешь, к чему я клоню?

замени в своём исходном вопросе ansible на ssh и найди на него ответ

Это как раз не проблема. Мы разруливаем права на запуск некоторых приложений с sudo, плюс, возможно, меняем права на некоторые файлы. Ансибл, подключившись по ssh для редактирвоания файлов пользуется каким-то редактором, я предполагаю, что если политикой запуска софта с sudo разрешить запускать этот редактор, то это будет ответом на мой вопрос.

Твоё право. Вот у меня, например, есть Rundeck - разработчики могут запускать плейбуки зелёной кнопкой, но не могут ходить на хосты от слова "совсем". Понимаешь, к чему я клоню?

Подозреваю, что ты намекаешь на распределение прав доступа к разным inventory и playbook

Это как раз не проблема. Мы разруливаем права на запуск некоторых приложений с sudo, плюс, возможно, меняем права на некоторые файлы. Ансибл, подключившись по ssh для редактирвоания файлов пользуется каким-то редактором, я предполагаю, что если политикой запуска софта с sudo разрешить запускать этот редактор, то это будет ответом на мой вопрос.

Не пользуется. Только хардкор, только код на Питоне.

Не пользуется. Только хардкор, только код на Питоне.

Не самая приятная новость =(

Подозреваю, что ты намекаешь на распределение прав доступа к разным inventory и playbook

Я намекаю на отсутствие необходимости прямого доступа (в моём случае - разработчиков) как к самому Ансиблу, так и к возможности его натравливать на хосты.