роль хочется использовать для разных наборов машин, а так получается, что облом

роль хочется использовать для разных наборов машин, а так получается, что облом

Нет. Здесь ты пытаешься инструмент выгнуть дугой под свою задачу вместо того, чтобы подумать над возможными вариантами применения инструмента и возможной переформулировкой задачи.

ок, как переформулировать задачу: есть группа машин, у них общий CA, но отдельные сертификаты сервера для каждой машины, надо деплоить это через одну роль (ок, разруливается на уровне инвентори), а потом потребуется сделать то же самое для другого CA и сертификатов

ну того чтобы сделать универсальную роль, нужно засунуть сертификат в переменные Если вариантов не так много, можно в роли хранить несколько с разными именами

вариант с переменными неплох, но пока лениво копировать сертификаты в файлы, проще файлами, пока разрулил через copy ../../

ок, как переформулировать задачу: есть группа машин, у них общий CA, но отдельные сертификаты сервера для каждой машины, надо деплоить это через одну роль (ок, разруливается на уровне инвентори), а потом потребуется сделать то же самое для другого CA и сертификатов

правильный ответ - модуль питонячий написать, который обеспечивает наличие свежего сертификата. не надо их хранить вообще нигде.

надо подумать короче

как certbot

правильный ответ - модуль питонячий написать, который обеспечивает наличие свежего сертификата. не надо их хранить вообще нигде.

кстати, да

В переменной можно имя файла хранить Можно копировать cp {{ machine_name }}*.pem Вариантов куча. Надо понять - что человек хочет.

я хочу универсальную роль, которая работает с сертификатами, привязанными к инвентори

инвентори какое ?

Алгоритм выкладки опиши.

Файлы хранить в в файлах роли, а переменную с именем сертификата в переменной инвентори файла

let's encrypt чтоль ? Там копируй их с ноды, которая их обновляет и по ssh делай reload веб-серверу.

Через [machinegroup:vars]

и в чём проблема ?

Роль может дергать сертификаты из хранилища в момент выполнения. И вот это "дергать" можно параметризовать через инвентарь. Например хранить серты в волте (хашикорповском), и дергать волт-модулем ансибля.

Либо дергать прямо из СА, если оно позволяет

ну да, проблема непонятна. если вопросы остались - нужны подробности

ок, как переформулировать задачу: есть группа машин, у них общий CA, но отдельные сертификаты сервера для каждой машины, надо деплоить это через одну роль (ок, разруливается на уровне инвентори), а потом потребуется сделать то же самое для другого CA и сертификатов

В переменные их

Товарищи, а какой самый православный способ получения внешнего ip целевой машины?

wget -O - -q icanhazip.com или curl ifconfig.me

ну а дальше в плейбук

Я думал, что ipfy_facts?

Товарищи, а какой самый православный способ получения внешнего ip целевой машины?

Речь про амазон или вообще?

для авс азуре да ipify_facts

а так через шелл для любых

Речь про амазон или вообще?

Самый универсальный красивый и для везде Ну то есть пока нет никакого ansible_external_ip?

Товарищи, а какой самый православный способ получения внешнего ip целевой машины?

В общем случае задача не решаема.

В общем случае задача не решаема.

Ну то есть тот же сервис по определению ip курлыкать

Ну то есть тот же сервис по определению ip курлыкать

Да.

Голубиное определение ойпи адреса

wget -O - -q icanhazip.com или curl ifconfig.me

Если http трафик закрыт, можно делать так dig +short myip.opendns.com @resolver1.opendns.com

Если http трафик закрыт, можно делать так dig +short myip.opendns.com @resolver1.opendns.com

спасибо про это вот не знал :(

Роль может дергать сертификаты из хранилища в момент выполнения. И вот это "дергать" можно параметризовать через инвентарь. Например хранить серты в волте (хашикорповском), и дергать волт-модулем ансибля.

Хороший вариант

curl ifconfig.me сразу отдаст только ip

curl ifconfig.me сразу отдаст только ip

И не пашет оно

А нет, тупит сильно

ifconfig.co еще есть

господа, подскажите сеттинг, который делает вывод ошибок ансибла человекочитаемым

не могу вспомнить, как он называется

добавляется в ansible.cfg

stdout callback = yml

чтоб stderr не был в одну строку

спасибо

stdout callback = yml

хм, странненько, я добавлял этот сеттинг, но в awx вывод все равно кривой

хм, странненько, я добавлял этот сеттинг, но в awx вывод все равно кривой

так с пробелом и добавили или вспомнили что он пишется как stdout_callback = yaml?

вот в таком виде, все правильно stdout_callback = yaml

алсо awx такое не поддерживает - https://docs.ansible.com/ansible-tower/latest/html/administration/tipsandtricks.html#using-callback-plugins-with-tower

лежит в директиве [defaults]

а, вот оно как

спасибо за инфо

Мечтаю переехать с awx на jenkins

убью много зайцев сразу

Мечтаю переехать с awx на jenkins

переезжайте. полегчает

ну вот, как раз на новую работу выйду, буду делать

Мечтаю переехать с awx на jenkins

чем awx так плох?

ничем не плох, просто jenkins закрывает более одной задачи

Шляпой ?

и чем дженкинс так хорош?

см.выше

и чем дженкинс так хорош?

как минимум очень большим комьюнити с очень большим количеством плагинов (Это и плюс. и минус)

как обычно.

ну и изначально можно построить красивый процесс CI/CD

ERROR: S client not available

как минимум очень большим комьюнити с очень большим количеством плагинов (Это и плюс. и минус)

с учетом качества плагинов это сильно сомнительный плюс

ну и всякие дженкинсовские штучки типа "везде нужна ява"

в целом, немного не корректно сравнивать awx, и jenkins

мне надо строить CI, CD, поэтому awx будет лишним, будет лишь ansible для провижена

и деплоя

аминь.

Всем, привет. Ткните носом где почитать или помогите, пожалуйста, разобраться. Есть вот такой вызов модуля get_url - name: Download archive to server get_url: url: "{{ search.artifact.full_path }}" dest: "{{ app_deploy_artifact_path }}/{{ search.artifact.name }}" headers: "X-JFrog-Art-Api: {{ artifactory.api_key }}" checksum: md5:{{ search.artifact.actual_md5 }} timeout: "{{ fetch_artifact.timeout }}" force: yes register: fetch_artifact until: fetch_artifact.status_code is defined and fetch_artifact.status_code == 200 retries: "{{ fetch_artifact.retries }}" delay: "{{ fetch_artifact.delay }}" when: search.artifact.remote До добавления until все работало нормально. Сейчас при попытке скачать архив, который уже присутствует на сервере падает 'file already exists'. Но мне казалось что в этом случае из-за checksum с force скачивание архива должно скипаться, как написано в доке. Почему until портит картину?

Всем, привет. Ткните носом где почитать или помогите, пожалуйста, разобраться. Есть вот такой вызов модуля get_url - name: Download archive to server get_url: url: "{{ search.artifact.full_path }}" dest: "{{ app_deploy_artifact_path }}/{{ search.artifact.name }}" headers: "X-JFrog-Art-Api: {{ artifactory.api_key }}" checksum: md5:{{ search.artifact.actual_md5 }} timeout: "{{ fetch_artifact.timeout }}" force: yes register: fetch_artifact until: fetch_artifact.status_code is defined and fetch_artifact.status_code == 200 retries: "{{ fetch_artifact.retries }}" delay: "{{ fetch_artifact.delay }}" when: search.artifact.remote До добавления until все работало нормально. Сейчас при попытке скачать архив, который уже присутствует на сервере падает 'file already exists'. Но мне казалось что в этом случае из-за checksum с force скачивание архива должно скипаться, как написано в доке. Почему until портит картину?

укажите версию ansible?

2.4.4

jenkins + zuul вообще очень вкусно

Всем, привет. Ткните носом где почитать или помогите, пожалуйста, разобраться. Есть вот такой вызов модуля get_url - name: Download archive to server get_url: url: "{{ search.artifact.full_path }}" dest: "{{ app_deploy_artifact_path }}/{{ search.artifact.name }}" headers: "X-JFrog-Art-Api: {{ artifactory.api_key }}" checksum: md5:{{ search.artifact.actual_md5 }} timeout: "{{ fetch_artifact.timeout }}" force: yes register: fetch_artifact until: fetch_artifact.status_code is defined and fetch_artifact.status_code == 200 retries: "{{ fetch_artifact.retries }}" delay: "{{ fetch_artifact.delay }}" when: search.artifact.remote До добавления until все работало нормально. Сейчас при попытке скачать архив, который уже присутствует на сервере падает 'file already exists'. Но мне казалось что в этом случае из-за checksum с force скачивание архива должно скипаться, как написано в доке. Почему until портит картину?

а включите побольше дебага, что оказывается в fetch_artifact в первом проходе таски, при наличие файла на сервере?

Всем, привет. Ткните носом где почитать или помогите, пожалуйста, разобраться. Есть вот такой вызов модуля get_url - name: Download archive to server get_url: url: "{{ search.artifact.full_path }}" dest: "{{ app_deploy_artifact_path }}/{{ search.artifact.name }}" headers: "X-JFrog-Art-Api: {{ artifactory.api_key }}" checksum: md5:{{ search.artifact.actual_md5 }} timeout: "{{ fetch_artifact.timeout }}" force: yes register: fetch_artifact until: fetch_artifact.status_code is defined and fetch_artifact.status_code == 200 retries: "{{ fetch_artifact.retries }}" delay: "{{ fetch_artifact.delay }}" when: search.artifact.remote До добавления until все работало нормально. Сейчас при попытке скачать архив, который уже присутствует на сервере падает 'file already exists'. Но мне казалось что в этом случае из-за checksum с force скачивание архива должно скипаться, как написано в доке. Почему until портит картину?

простой вопрос: а зачем там until?

в смысле - я умею читать доку, как звучит изначальная задача?

Удаленность между сервером артифактори и сервером на который скачивается архив достаточная большая, возможно периодическое отваливание запроса по таймаута. Заказчик устанавливает кол-во попыток скачивания.

на 3.7 питоне не заводили ansible?

я пока вижу, что привязка к python3.6 и на 3.7 ansible не ставится через pip

на 3.7 питоне не заводили ansible?

зачем?

хочу

хотя и по аватарке понятно что наркоман :D

ок, а по теме есть что написать?

зачем?

вот же

уже обсудили

по писать в чат можно и в других флудильнях

уже обсудили

Ансибл на неподдерживаемых версиях питона = ССЗБ

нечего тут обсуждать, в общем-то

Удаленность между сервером артифактори и сервером на который скачивается архив достаточная большая, возможно периодическое отваливание запроса по таймаута. Заказчик устанавливает кол-во попыток скачивания.

Вот код: https://github.com/ansible/ansible/blob/v2.4.4.0-1/lib/ansible/modules/net_tools/basics/get_url.py Судя по коду и сообщению об ошибке, твой аргумент force нехорош.

я бы продолжил до ансибл на третьем питоне = ССЗБ

я бы продолжил до ансибл на третьем питоне = ССЗБ

А я бы в доку заглянул: https://docs.ansible.com/ansible/latest/reference_appendices/python_3_support.html

Вот код: https://github.com/ansible/ansible/blob/v2.4.4.0-1/lib/ansible/modules/net_tools/basics/get_url.py Судя по коду и сообщению об ошибке, твой аргумент force нехорош.

Но в случае если включен checksum, чтобы скипалось скачивание нужно force включать. Или я не правильно понимаю текст? Additionally, if a checksum is passed to this parameter, and the file exist under the C(dest) location, the I(destination_checksum) would be calculated, and if checksum equals I(destination_checksum), the file download would be skipped (unless C(force) is true)

я знаю что умеет, но не думаю что настолько хорошо как со вторым. плюс, что делать с комбинациями инфраструктуры с 2 и 3 питоном на хостах?

а включите побольше дебага, что оказывается в fetch_artifact в первом проходе таски, при наличие файла на сервере?

И при наличии until, и при отсутствии fetch_artifact возвращает ok: [group1-host] => { "changed": false, "dest": "/data/archive.zip", "gid": 31861, "group": "group1", "invocation": { "module_args": { "attributes": null, "backup": null, "checksum": "md5:b4851d48c2a45d9d53116db039f630a4", "client_cert": null, "client_key": null, "content": null, "delimiter": null, "dest": "/data/archive.zip", "directory_mode": null, "follow": false, "force": false, "force_basic_auth": false, "group": null, "headers": "X-JFrog-Art-Api: xxx", "http_agent": "ansible-httpget", "mode": null, "owner": null, "regexp": null, "remote_src": null, "selevel": null, "serole": null, "setype": null, "seuser": null, "sha256sum": "", "src": null, "timeout": 10, "tmp_dest": null, "unsafe_writes": null, "url": "http://xxx.ru/archive.zip", "url_password": null, "url_username": null, "use_proxy": true, "validate_certs": true } }, "mode": "0664", "msg": "file already exists", "owner": "perf", "size": 475190739, "state": "file", "uid": 31861, "url": "http://xxx.ru/archive.zip" Только в случае с until такой возврат интерпретируется как ошибка.

И при наличии until, и при отсутствии fetch_artifact возвращает ok: [group1-host] => { "changed": false, "dest": "/data/archive.zip", "gid": 31861, "group": "group1", "invocation": { "module_args": { "attributes": null, "backup": null, "checksum": "md5:b4851d48c2a45d9d53116db039f630a4", "client_cert": null, "client_key": null, "content": null, "delimiter": null, "dest": "/data/archive.zip", "directory_mode": null, "follow": false, "force": false, "force_basic_auth": false, "group": null, "headers": "X-JFrog-Art-Api: xxx", "http_agent": "ansible-httpget", "mode": null, "owner": null, "regexp": null, "remote_src": null, "selevel": null, "serole": null, "setype": null, "seuser": null, "sha256sum": "", "src": null, "timeout": 10, "tmp_dest": null, "unsafe_writes": null, "url": "http://xxx.ru/archive.zip", "url_password": null, "url_username": null, "use_proxy": true, "validate_certs": true } }, "mode": "0664", "msg": "file already exists", "owner": "perf", "size": 475190739, "state": "file", "uid": 31861, "url": "http://xxx.ru/archive.zip" Только в случае с until такой возврат интерпретируется как ошибка.

----> "force": false