Нджинксы хапрокси:)

бигдата ha какаято

А зачем кафка и ребит, почему не что то одно?

А зачем кафка и ребит, почему не что то одно?

Ну мигрироваьь на чтото одно довольно сложно/долго

бигдата ha какаято

Хаха)

бигдата ha какаято

А у вас какой стек? Я еще про сервисы даже не заикался)

А у вас какой стек? Я еще про сервисы даже не заикался)

на разных проектах разные, в основном k8s, и ci/cd для него. есть например другой стек, в публичном облаке, где ansible мне вообще никак не помог, aws, terraform, serverless

У меня сейчас есть ансибл) которым накатываются изменения в прод, около ролей 50) Есть дев, котторвй ща никак не менеджится) и коьорый хочется привести в норм состояние, чтобы соответствовал проду) хочется понять какие у кого подходы в управлении инфраструктурой дева/прода ансиблом) стаььи и прочее я уже читал)

всё одинаковое - в ролях. всё разное - в инвентори. никаких ифов (устанешь править!)

всё одинаковое - в ролях. всё разное - в инвентори. никаких ифов (устанешь править!)

Куски конфигов(например локейшионы) тоже в инвентори хранить?

Ифы мне как раз не оч нравятся

Куски конфигов(например локейшионы) тоже в инвентори хранить?

Собирай их из темплейтов, если сильно разные - отдельно

Собирай их из темплейтов, если сильно разные - отдельно

Ну в иемплейтах ифчиками тогда рулить)) ну в целом я понял) волшебных инструментов нкт)

Мб кто репы посоветует с экзамплами

Kubespray/openshift-ansible, но это в основном "как не надо"

Для раздельных env я не видел, тут кто во что горазд

Помогите, у меня коллега запихивает все роли в 1 плейбук и флаги ставит в инветори (выполнять или нет) - у мня разрыв мозга, а он типа "зато мы сразу на всё накатывем, вся нужная ифраструктура поднимется"... А я в шоке - может посоветовать ему вообще роли не создавать, а все одним плейбуком?

... вот сижу сейчас коньяк пью и думаю о судьбе, как потом это все окучивать

Как ему доказать это мягко говоря нехорошо?

Помогите, у меня коллега запихивает все роли в 1 плейбук и флаги ставит в инветори (выполнять или нет) - у мня разрыв мозга, а он типа "зато мы сразу на всё накатывем, вся нужная ифраструктура поднимется"... А я в шоке - может посоветовать ему вообще роли не создавать, а все одним плейбуком?

На баше надо переделать

На баше надо переделать

Он руби любит....

Для раздельных env я не видел, тут кто во что горазд

Ну вот тоже я таких экзамплов не видел) потому что видимо для ансибла это все таки не совспм стандартный юз кейс)

Он руби любит....

Неспортивно. Может мейкфайлы?

Ну вот тоже я таких экзамплов не видел) потому что видимо для ансибла это все таки не совспм стандартный юз кейс)

Это зависит от конкретного проекта. Конфиг отдельно от кода? Какой процесс ревью / мерджа, есть ли бэкпорты? Есть ли feature branches и т.д.

Это зависит от конкретного проекта. Конфиг отдельно от кода? Какой процесс ревью / мерджа, есть ли бэкпорты? Есть ли feature branches и т.д.

Ну считай что ансибл больше инфраструктурный. То есть конфиги внутри ролей в files/templates Ревью минимальное естт, фича бранчи есть, но тоже по минимуму)

Короче если кто в меня чем кинется кроме офф доки то будет круто) лучше какие то примерчики)

Неспортивно. Может мейкфайлы?

Не смешно вообще, предложил перейти на паппет... Вместо анзибля

Не смешно вообще, предложил перейти на паппет... Вместо анзибля

Ну логично что ему чеф/паппет будут больше интересны)

Ну логично что ему чеф/паппет будут больше интересны)

Мне его теперь "в сортире мочить"?

Мне его теперь "в сортире мочить"?

Нужно чтобы был какойто координатор между вами) либо административный, либо авторитетный)

Если вас всего двое и у вас одинаковые права, то придется договариваться)

Ладно, все, извините.... Накипело немного...

Просто все-в-одном плейбуке это как минимум не очень "бест практикс" или нет?

Может это я не так все понял и мне пора на пенсию?

Каждый раз проигрываю с этой картинки

Просто все-в-одном плейбуке это как минимум не очень "бест практикс" или нет?

Нет, ну если у вас один entrypoint - то пусть будет, но это бывает крайне редко. Хотя бы отдельный должен быть для базовой системы ящитаю

Вот примеры организации репы с разными окружениями https://github.com/cndies/ansible-repo-example https://github.com/express42/ansible-repertory

всё одинаковое - в ролях. всё разное - в инвентори. никаких ифов (устанешь править!)

+1

Господа, у меня вопрос общего характера. У меня не получается добиться работы ansible-pull в ответ на ansible-pull -U https://git.local/test/test/ansible-pull-role-linux-ws pull_debug.yml -i localhost система мне отвечает Could not match supplied host pattern, ignoring: `$HOSTNAME`... Что я делаю не так?

Всем привет! Есть ли способ хранить vault файл вне структуры playbook, чтобы он не попадал в git? я пробовал include_vars, но это подходит только для task, и переменные для ssh-соединения остаются undefined

Можно попробовать присовокупить к плэйбуку vars, который будет храниться локально, но это не точно. Лучше у местных корифеев спроси.

Всем привет! Есть ли способ хранить vault файл вне структуры playbook, чтобы он не попадал в git? я пробовал include_vars, но это подходит только для task, и переменные для ssh-соединения остаются undefined

.gitignore своим названием намекает

.gitignore своим названием намекает

спасибо, это тоже уже приходило в голову, но хотелось бы его как-то линковать, чтобы не помнить про каждый новый ansible, что нужно игнорировать. в идеале хотелось бы промптом спрашивать до него путь

Всем привет! Есть ли способ хранить vault файл вне структуры playbook, чтобы он не попадал в git? я пробовал include_vars, но это подходит только для task, и переменные для ssh-соединения остаются undefined

Мы храним в отдельном репе, который подтягивается ansible-gapaxy аки роль

Всем привет! Есть ли способ хранить vault файл вне структуры playbook, чтобы он не попадал в git? я пробовал include_vars, но это подходит только для task, и переменные для ssh-соединения остаются undefined

а что плохого чтобы он лежал в git? он для того и есть шифрованный такой

а что плохого чтобы он лежал в git? он для того и есть шифрованный такой

там мои персональные credentials, а я их ни в каком виде не хочу хранить в неподконтрольных мне системах

ещё раз - vault именно для этого и сделан - хранить credentials на неподконтрольных небезопасных системах типа публичных git реп.

ещё раз - vault именно для этого и сделан - хранить credentials на неподконтрольных небезопасных системах типа публичных git реп.

Всё так, но если у вас паранойя, это не значит, что за вами не следят.

ещё раз - vault именно для этого и сделан - хранить credentials на неподконтрольных небезопасных системах типа публичных git реп.

уважаемый, я вам не хотел отвечать, но не удержался. вам надо не помочь, а подискутировать на пустую тему. спрашивают одно, вы предлагаете совсем другое, причём в таком тоне "ещё раз" будто объясняете ребёнку или умственно отсталому. есть достаточно жизненных примеров коллизий и прочих пакостей в криптоалгоритмах, создатели которых гарантировали свою стойкость "на века". я просто хочу разгрузить свою голову от последующих в связи с этим вопросов безопасности. можете назвать меня параноиком и сразу закончим этот бессмысленный флэйм

Всем привет! Есть ли способ хранить vault файл вне структуры playbook, чтобы он не попадал в git? я пробовал include_vars, но это подходит только для task, и переменные для ssh-соединения остаются undefined

называется hashicorp vault

Тогда спросите у безопасников чего им надо, раз не хотите чужой опыт слушать

Всё так, но если у вас паранойя, это не значит, что за вами не следят.

именно так. Хеменгуэй страдал от навязчивой идеи, что за ним следит фбр. это довело его до самоубийства. недавно было рассекречено его дело в ФБР, подтверждающее факты слежки за ним

Тогда спросите у безопасников чего им надо, раз не хотите чужой опыт слушать

нужно: не хранить vault в git. мне с умным видом предлагают хранить его в git. помоему я доходчиво объяснил свою позицию, что я хочу получить

нужно: не хранить vault в git. мне с умным видом предлагают хранить его в git. помоему я доходчиво объяснил свою позицию, что я хочу получить

хотите ругаться делайте это в другом месте. вам предожили вариант спорить об оном такое себе занятие.

нужно: не хранить vault в git. мне с умным видом предлагают хранить его в git. помоему я доходчиво объяснил свою позицию, что я хочу получить

ну нужно не хранить - не храните. гитигнор и все. какие еще варианты вы ожидаете? храните в свн

уважаемый, я вам не хотел отвечать, но не удержался. вам надо не помочь, а подискутировать на пустую тему. спрашивают одно, вы предлагаете совсем другое, причём в таком тоне "ещё раз" будто объясняете ребёнку или умственно отсталому. есть достаточно жизненных примеров коллизий и прочих пакостей в криптоалгоритмах, создатели которых гарантировали свою стойкость "на века". я просто хочу разгрузить свою голову от последующих в связи с этим вопросов безопасности. можете назвать меня параноиком и сразу закончим этот бессмысленный флэйм

смотрите. вы пришли в сообщество где люди по доброй воле сидят и между делом готовы рассматривать интересные вопросы касаемые эксплуатации ansible. некоторые даже этим деньги зарабатывают. используя любой продукт вы либо соглашаетесь с тем, как его авторы задумали его использование либо придумываете свой путь. об этом я и говорил - если вас по какой-либо причине это не устраивает, то можно не пользоваться продуктом или разработать какое-то раширение или форкнуться и поддерживать свои патчи. какого-то иного пути нет.

называется hashicorp vault

но он, о ужас, тоже хранит всё хрен знает где. ведь алгоритмы ненадёжны.

мне вот любопытно где уважаемый дмитрий хранит свои пароли и почему он считает эту систему защищённой, а ansible vault недостаточно защищённым

ERROR: S client not available

в смысле хрен знает где? у тебя на железе

ему даже в интернет ходить не надо

в смысле хрен знает где? у тебя на железе

что мешает гит держать там же?

мне ничего, но там просили не гит :)

но я просто ансибл волт не люблю, он не удобен если у тебя больше одного волта

gitea требует примерно ничего для того чтобы свою репку держать. при том что судя по тому что в vault планируется писать персональные данные дмитрия, то и репка она такая тут - для себя любимого.

Может он безопасник просто))

Хакер перечитал )

Парень он хороший. Но не админ

Админы бывают хорошими парнями?

Админы бывают хорошими парнями?

"что сломал?"

Всё

Коллеги, использую j2cli для подстановки переменных в файл. В содержимом одной переменной есть пробелы, что-то типа: "некоторый текст". Подозреваю, что из-за пробелов j2cli не хавает

Коллеги, использую j2cli для подстановки переменных в файл. В содержимом одной переменной есть пробелы, что-то типа: "некоторый текст". Подозреваю, что из-за пробелов j2cli не хавает

у меня в таком варианте работает docker run -v`pwd`:/data --rm vikingco/jinja2cli --format=yaml /data/path/to/env_file /data/path/to/template

Коллеги, использую j2cli для подстановки переменных в файл. В содержимом одной переменной есть пробелы, что-то типа: "некоторый текст". Подозреваю, что из-за пробелов j2cli не хавает

попробуй m4

но он, о ужас, тоже хранит всё хрен знает где. ведь алгоритмы ненадёжны.

От создателей - микрософт узнает мои "коды запуска ядерных ракет"

Господа, у меня вопрос общего характера. У меня не получается добиться работы ansible-pull в ответ на ansible-pull -U https://git.local/test/test/ansible-pull-role-linux-ws pull_debug.yml -i localhost система мне отвечает Could not match supplied host pattern, ignoring: `$HOSTNAME`... Что я делаю не так?

Спасибо, всем. Какая разница из чего растут руки, если они золотые? Чтение залог здоровья. Модуль гит неожиданно(!) зависит от наличия установленного пакета git на системе, где выполняется ansible-pull

Спасибо, всем. Какая разница из чего растут руки, если они золотые? Чтение залог здоровья. Модуль гит неожиданно(!) зависит от наличия установленного пакета git на системе, где выполняется ansible-pull

внезапно

привет всем, нашёл в доке как скопироватьключ ssh я правильно понял, что ansible сам знает куда копировать по дефолту публичный ключ? /home/charlie/.ssh/authorized_key а если ключи по конфигу ssh сервера хранятся в другой директории, то соответственно указать ещё и путь path: /etc/ssh/authorized_keys/charlie - name: Set authorized key took from file authorized_key: user: charlie state: present key: "{{ lookup('file', '/home/charlie/.ssh/id_rsa.pub') }}"

скорее да. но быстрее проверить, чем этот текст писать :)

скорее да. но быстрее проверить, чем этот текст писать :)

спасибо, я пока изучаю ansible, и просто уточнил

иоио всем! чуваки подскажите, что делаю не так ? есть файлик с списком урлов(каждый урл в новой строке) в темплейте for вот такой {% for line in urls.txt %} - {{ line }} {% endfor %} запускаю роль, ругается вот так: ERROR! playbooks must be a list of plays The error appears to have been in '/home/repo/urls.txt': line 1, column 1, but may be elsewhere in the file depending on the exact syntax problem. The offending line appears to be: https://backend1.example.com ^ here

иоио всем! чуваки подскажите, что делаю не так ? есть файлик с списком урлов(каждый урл в новой строке) в темплейте for вот такой {% for line in urls.txt %} - {{ line }} {% endfor %} запускаю роль, ругается вот так: ERROR! playbooks must be a list of plays The error appears to have been in '/home/repo/urls.txt': line 1, column 1, but may be elsewhere in the file depending on the exact syntax problem. The offending line appears to be: https://backend1.example.com ^ here

могу ошибаться но вроде бы это делается вот так {% for line in lookup('file', 'urls.txt') %} - {{ line }} {% endfor %}

могу ошибаться но вроде бы это делается вот так {% for line in lookup('file', 'urls.txt') %} - {{ line }} {% endfor %}

не, такая же ошибка

Запускаешь роль, а ты запусти плейбук ))

Запускаешь роль, а ты запусти плейбук ))

+

точно, сраный автокомплит не то подставил, а я просто не то запускаю )))

так, теперь осталось понять, как сдалть так, что бы он не по символу брал, а по строке.....