Я намекаю на отсутствие необходимости прямого доступа (в моём случае - разработчиков) как к самому Ансиблу, так и к возможности его натравливать на хосты.

tower, AWK или какой-нибудь другой фронтенд? Похоже придётся писать какую-то документацию для использования этих инструментов. И всё равно, в этом случае у пользователей из под которых это хозяйство работает, остаются права вытворять на целевых хостах всякую дичь используя пайтон. Очень жаль.

кому-то доверять придётся

tower, AWK или какой-нибудь другой фронтенд? Похоже придётся писать какую-то документацию для использования этих инструментов. И всё равно, в этом случае у пользователей из под которых это хозяйство работает, остаются права вытворять на целевых хостах всякую дичь используя пайтон. Очень жаль.

Без этого в рамках испольования ансибла никак.

кому-то доверять придётся

очень тонкая материя

кому-то доверять придётся

+100500 Один фиг для полной настройки хоста нужен всемогущий пользователь ОС. Если эта учётка принадлежит человеку - у меня для вас плохие новости.

+100500 Один фиг для полной настройки хоста нужен всемогущий пользователь ОС. Если эта учётка принадлежит человеку - у меня для вас плохие новости.

Это решается предконфигурированным образом жёсткого. Например образ clonezilla, пароль от локального пользователя с полными правами на выполнение всего из под sudo потерян навсегда, локальный пользователь, которому правами доступа разрешено настраивать сеть и подключать хост к системе авторизации - в доступе. Дальше все настройки проводятся пользователями, которым политикой разрешена возможность запуска необходимого переченя ПО для настройки системы.

И уже учёткой из единой системы авторизации-аутентификации запускаются плэйбуки для каких-то типовых настроек.

".....Дальше все настройки проводятся пользователями, которым политикой разрешена возможность запуска необходимого переченя ПО для настройки системы...." <---- ди-линь! оно! искомая учётка.

ну или ansible-pull, если угодно, внутри образа. запустился, вытащил в себя плейбук, настроил всё кругом.

Эта учётка довольно жёстко ограничена. Не получится зайти в хомяк другого пользователя

ну или ansible-pull, если угодно, внутри образа. запустился, вытащил в себя плейбук, настроил всё кругом.

где читать про то, как это работает?

Эта учётка довольно жёстко ограничена. Не получится зайти в хомяк другого пользователя

https://docs.ansible.com/ansible/2.4/ansible-pull.html

как обычно - в доке

Хотя не, не то. В общем, твой кейс Ансиблом не покрывается- тут скорее какой-нить Шеф или Паппет, где в полной мере pull присутствует.

Я правильно понял, что ansible-pull тянет выложенный playbook.yml и делает ansible-playbook ~/path/to/playbook.yml localhost -bK? Ну или типа того?

Я правильно понял, что ansible-pull тянет выложенный playbook.yml и делает ansible-playbook ~/path/to/playbook.yml localhost -bK? Ну или типа того?

не готов сказать, не пользовался. идеально - глянуть в код.

Ну принцип работы примерно такой, да?

+-

Ну принцип работы примерно такой, да?

Возможно, но - ещё раз - лучше посмотри код, чтобы не наделать неверных выводов из моих слов.

Вырисовывается какой-нибудь systemd *.service файл, который при включении/выключении компа тянет плэйбук и конфигуряет систему. Даём права доступа на редактирование этого *.service, чтобы ребята из ТП могли его конфигурять, меняя ссылку на playbook.yml, ведём учёт изменений этого самого playbook.yml в репозитории и получаем какое-то подобие групповых политик венды. Обожаю линукс в качестве desktop среды.

Вырисовывается какой-нибудь systemd *.service файл, который при включении/выключении компа тянет плэйбук и конфигуряет систему. Даём права доступа на редактирование этого *.service, чтобы ребята из ТП могли его конфигурять, меняя ссылку на playbook.yml, ведём учёт изменений этого самого playbook.yml в репозитории и получаем какое-то подобие групповых политик венды. Обожаю линукс в качестве desktop среды.

троллейбус.jpg

троллейбус.jpg

Есть какой-то инструмент, который подходит лучше?

=(

Freeipa, fleet commander

fleet commander в голову приходт, но там привязка к DE

Freeipa, fleet commander

=)

Freeipa, fleet commander

Ты видел принцип работы FC?

Ты видел принцип работы FC?

Да, АПВС?

Пардон, что такое АПВС?

"А почему Вы спрашиваете?"

Есть какой-то инструмент, который подходит лучше?

Puppet, Chef.

FC очень ресурсоёмко, там же надо гипервизор для KVM держать

В общем это рассматривалось, но есть ограничения. Например у нас практически 95% хостов в качестве DE используют xfce которая FC не управляется

Такой процент условно-легковесного DE вызван тем, что около 50% пользователей сидят за неттопами с intel atom 450, 510, 525

В общем итоге fleet commander это здорово, но для нас неприменимо.

Puppet лично мной рассматривался, но по каким-то причинам (сложность настройки?) идея руководителем отвергнута. Так что приходится вытворять троллейбус.jpg

Кстати, спасибо за консультацию и помощь.

Puppet лично мной рассматривался, но по каким-то причинам (сложность настройки?) идея руководителем отвергнута. Так что приходится вытворять троллейбус.jpg

Альтернативно я бы попробовал внедрить Fedora/Debian/по вкусу Atomic, с атомарными апдейтами и иммутабельным рутом

Кстати, спасибо за консультацию и помощь.

you're welcome.

Мне эта идея не нра. Предположим есть сотрудник техподдержки, который должен запускать плэйбук, для конфигуряния сетевых настроек + конфигуряния /etc/skel и на установку-удаление софта. При этом ему запрещено ходить в домашние директории сотрудников некоторых отделов и всех начальников отделов. Дав сотруднику техподдержки доступ по ссш и для запуска П. с правами root мы даём ему столько прав, сколько он сможет унести. Сильно не нра.

Тогда судо надо давать не на ALL а на запуск конкретных комманд с конкретными аргумениами и будет щасте

Тогда судо надо давать не на ALL а на запуск конкретных комманд с конкретными аргумениами и будет щасте

Плэйбуки при этом будут работать?

Плэйбуки при этом будут работать?

нет

точнее отвалится become

Плэйбуки при этом будут работать?

Почему нет?

точнее отвалится become

Смотря что написано в sudoers

Сверху коллега написал, что для корректной отработкий плэйбуков на хостах, там нужно разрешить выполнять python с sudo

Добрый день ребята. Подскажите пожалуйста как можно создать переменную или факт чтобы он был получен с одного хоста и был доступен для другого хоста?

Добрый день ребята. Подскажите пожалуйста как можно создать переменную или факт чтобы он был получен с одного хоста и был доступен для другого хоста?

* создать факт на host1 * на host2 сделать hostvars[host1].factname

расскажите, а кто как тестирует написанные модули для ансибла? юнит тестами покрываете или роли гоняете? или на честном слове?

расскажите, а кто как тестирует написанные модули для ансибла? юнит тестами покрываете или роли гоняете? или на честном слове?

py.test + использование в ролях

Парни, есть inventory: nocwww01 ansible_host=172.00.236.100 nocwww02 ansible_host=172.00.236.101 как добраться до ansible_host ?

Парни, есть inventory: nocwww01 ansible_host=172.00.236.100 nocwww02 ansible_host=172.00.236.101 как добраться до ansible_host ?

Что в вашем понимании значит добраться?

вопрос на три секунды: каким фильтром из host.example.com сделать host ?

вопрос на три секунды: каким фильтром из host.example.com сделать host ?

split?

чет я и не помню такого во встроенных

python?

это да, уже хак =)

почему хак, ансибле официально же поддерживает вставки из питона

msg: "var is : {{inventory_hostname.split('.')[0]}}"

работает, но выглядит таксе, на мой вкус

напишите custom филььтр parse_host на питоне, добавьте filter_plugins и делайте красиво {{var | parse_host}} что нибудь

но оно того не стоит )

чет я и не помню такого во встроенных

а он есть ?

о местные гуру ансибла, я с ним знаком на пол шишечки, и моя задача тривиальна, но я не могу допедрить что я делаю не так, есть желающие помочь разобраться?

tasks: - name: change a str lineinfile: dest=/etc/sssd/sssd.conf regexp='^.+(111).+$' insertbefore=BOF line='222'

о местные гуру ансибла, я с ним знаком на пол шишечки, и моя задача тривиальна, но я не могу допедрить что я делаю не так, есть желающие помочь разобраться?

если меньше паясничать - можно быстрее получить помощь ?

tasks: - name: change a str lineinfile: dest=/etc/sssd/sssd.conf regexp='^.+(111).+$' insertbefore=BOF line='222'

и так не надо делать ?))) твой модуль для этой задачи - template

root@spb0odv067:~# diff /etc/sssd/sssd.conf /etc/sssd/sssd.conf.origin 31c31 < 222 —- > ldap_default_bind_dn = cn=reader,dc=111,dc=su

вот спасибо,

за template

а можно пример ?

задача банально просто заменить символы на куче хостов в одном файле, неужели никто не сталкивался с подобным ?

я понимаю что через vim это делается одной строкой, но с другой стороны хотелось бы изучить данную фишку через ансибл

и так не надо делать ?))) твой модуль для этой задачи - template

Я не поясничал, я просто выразил глубокое уважение ко всем здесь присутствующим

штука народу шутка ли

напишите custom филььтр parse_host на питоне, добавьте filter_plugins и делайте красиво {{var | parse_host}} что нибудь

basename не работает?

есть фильтр urlsplit

но он не покажет

задача банально просто заменить символы на куче хостов в одном файле, неужели никто не сталкивался с подобным ?

Ты исходишь из очень спорной постановки задачи - "я не отвечаю за то, что там, в конфиге, моё дело заменить несколько символов".

Ты исходишь из очень спорной постановки задачи - "я не отвечаю за то, что там, в конфиге, моё дело заменить несколько символов".

Вы меня не правильно поняли, но спасибо, вроде метод replace мне подойдет

* создать факт на host1 * на host2 сделать hostvars[host1].factname

надо же указать имя хоста что находится в фаиле hosts?

надо же указать имя хоста что находится в фаиле hosts?

это имя хоста в инвентори энсибла

это имя хоста в инвентори энсибла

немогу понять. У меня в инвентори только [group name], потом я делаю set_fact на var1 в таске host1, и хочу получить этот var1 в другом host2

немогу понять. У меня в инвентори только [group name], потом я делаю set_fact на var1 в таске host1, и хочу получить этот var1 в другом host2

зачем вам именно на другом хосте? если ОЧЕНЬ надо. делайте delegate_to для set_fact

ребят, помогите, плиз. есть таск: tasks: - name: test raw: "curl https://path/to/config/test.conf | grep '{{ item }}'" with_items: - agents\[0\].protocol register: agents_data - debug: var: agents_data.results если выводить debug: var=agents_data.results, то инфа выводится: TASK [debug] ******************************************************************************************************** ok: [localhost] => { "agents_data.results": [ { "_ansible_ignore_errors": true, —----------куча всякого разного------------ "stdout": "agents[0].protocol=UDP\n", "stdout_lines": [ "agents[0].protocol=UDP" а из debug: var=agents_data.results.stdout_lines - VARIABLE IS NOT DEFINED! TASK [debug] ******************************************************************************************************** ok: [localhost] => { "agents_data.results.stdout_lines": "VARIABLE IS NOT DEFINED!" в чем косяк?

raw:

Вообще это кощунство так делать, пользуйте shell или command

uri жи

command не групает, наверное не видит '|', а с shell тоже самое, что и с raw

не, ей строки нужны из конфига по http

uri жи

может не совсем разобралась, но не прокатило. нужно грепнуть строку

и на эту строку потом заменить в другом файле

может не совсем разобралась, но не прокатило. нужно грепнуть строку

берите вывод uri и грепайте отдельно

а вообще программирование на yaml'ах - это всегда хорошая идея

command не групает, наверное не видит '|', а с shell тоже самое, что и с raw

Пробуйте лучше с shell, у него в аутпуте есть stdout_lines