коннект порвётся при локал экшине или нет

в идеале - еще и проверка на уровне "ключ соответствует сертификату". Может сталкивался кто

Проверку можно найти тут: https://www.sslshopper.com/article-most-common-openssl-commands.html

Проверку можно найти тут: https://www.sslshopper.com/article-most-common-openssl-commands.html

да вы издеваетесь

К сожалению, какой способ знаю, такой и подсказал :(

Коллеги, такой вопрос. Что будет с ssh коннектом при таком сценарии тасков. 1 таск делает на хосте что-то 2 делает локал экшн 3 на хосте

3. На хосте "что"?

любая другая таска

Условно я на пером степе запрещаю в фаерволе всё кроме эстеблишет соединений 2 таской делаю локал экшн 3ей таской хочу на хосте сделать файл.

Условно я на пером степе запрещаю в фаерволе всё кроме эстеблишет соединений 2 таской делаю локал экшн 3ей таской хочу на хосте сделать файл.

Ну по идее, если включить pipelining, то количество ssh сессий должно упасть до минимума. Но не знаю, как в твоём случае будет

Откатай на вагранте и проверишь

Вообще какой-то стремный таск) Бекдор для ssh возможно лучше оставить

Коллеги, подскажите пожалуйста мне прислали на почту Json файл с лицензией как добавиить ее в AWX пишет ошибка...

Вечер

Господа, можно ли юзать ansible ssh key file в vault?

Вроде как типа да, но когда я его энкрипчу, то ругается на invalid file format

Коллеги, подскажите пожалуйста мне прислали на почту Json файл с лицензией как добавиить ее в AWX пишет ошибка...

А откуда лицензия в авх?

А откуда лицензия в авх?

Установил AWX через вагрант - без лицении не хочет запускать плейбуки

Вроде как типа да, но когда я его энкрипчу, то ругается на invalid file format

А декрипт через vault.key или паролем?

Паролем

Почему не использовать ssh-agent для ключа?

И не надо будет костыли писать

Почему не использовать ssh-agent для ключа?

Потому что тогда эти ключи нужно положить в образ раннера для gitlab-ci

Ага. Проясняется задача. Тогда ещё вопрос - почему не положить ключ в переменную раннера?

Потому что в зависимости от переданных variables он будет отличаться и будет отличаться в одном environment

Вопрос-то в другом был, можно ли так делать? Если нет, просто decrypt в gitlab-ci добавлю

Вроде как типа да, но когда я его энкрипчу, то ругается на invalid file format

У меня все криптуется. Что-то не так делаешь Если я правильно понял вводную

Ща до дома доеду, напишу пример

AWX != Tower

тебе не нужен tower, тебе нужен AWX

Непрактично рекомендуешь)) Вдруг денег много занесёт?

Непрактично рекомендуешь)) Вдруг денег много занесёт?

я в другом департменте, так что занесет он мне только проблемы :)

Ansible Tower — графический интерфейс для управления и мониторинга работы Ansible. Является платным продуктом, однако в 2017 году, после приобретения Ansible, Inc. компанией RedHat, исходные коды Tower были опубликованы под свободной лицензией Apache. Новый проект получил название AWX Project, который ныне является кодовой основой для коммерческого продукта Tower[4].

Будете шутить или все таки поможете ?

Ну так сказали же, есть Ansibe Tower, есть AWX. Для AWX лицензия не нужна https://github.com/ansible/awx/ Для Tower нужна, ну и по скриншоту, кстати, не особо понятно в чем проблема при импорте лицензии.

Ansible Tower — графический интерфейс для управления и мониторинга работы Ansible. Является платным продуктом, однако в 2017 году, после приобретения Ansible, Inc. компанией RedHat, исходные коды Tower были опубликованы под свободной лицензией Apache. Новый проект получил название AWX Project, который ныне является кодовой основой для коммерческого продукта Tower[4].

так вам нужен не tower а awx (https://github.com/ansible/awx)

а если вы ставите платный tower - ищите на него лицензию сами

Ну так сказали же, есть Ansibe Tower, есть AWX. Для AWX лицензия не нужна https://github.com/ansible/awx/ Для Tower нужна, ну и по скриншоту, кстати, не особо понятно в чем проблема при импорте лицензии.

На скриншоте видно что я пытаюсь поставить free trial licence на Ansible tower. Ключ мне прислали в Json файле который не принмается... Вот я и спрашиваю

А, ну фиг знает тогда Ошибку пишет какую? Может там надо во вкладке License что-то сделать? на скриншоте, я так понимаю, открыта вкладка update license Ну или в ручном режиме можно попробовать добавить, в документации есть пример https://docs.ansible.com/ansible-tower/latest/html/userguide/import_license.html

Какой смысл накатывать триал? Есть много денег чтобы потом купить?

Какой смысл накатывать триал? Есть много денег чтобы потом купить?

человек имеет право есть кактус удобным ему способом

человек имеет право есть кактус удобным ему способом

тогда почему он спрашивает о неправильном ключе тут, а не у того кто "прислал ему ключ"

емнип триальные ключи уже год как недействительны лол, потому что говорят ставить AWX

тогда почему он спрашивает о неправильном ключе тут, а не у того кто "прислал ему ключ"

а он спрашивает не о неправильном ключе. Он спрашивает о том, почему у него ключ не принимается)

емнип триальные ключи уже год как недействительны лол, потому что говорят ставить AWX

вот это было подло... ?

интересно, где же он взял ключ

@IPtrack будет жить. Поприветствуем!

@bakaut будет жить. Поприветствуем!

Господа, можно ли юзать ansible ssh key file в vault?

да, можно, сделать inventory в формале yaml и добавить туда ключи как single encrypted vars https://docs.ansible.com/ansible/latest/user_guide/playbooks_vault.html#single-encrypted-variable

да, можно, сделать inventory в формале yaml и добавить туда ключи как single encrypted vars https://docs.ansible.com/ansible/latest/user_guide/playbooks_vault.html#single-encrypted-variable

Не, это-то я знаю, хотел именно в файле хранить

Не, это-то я знаю, хотел именно в файле хранить

host_variables поможет вам

Не, это-то я знаю, хотел именно в файле хранить

вы опишите задачу, что бы "подробности" по пути новые не возникали

Есть n файлов с ключами ssh. Хотел их через vault зашифровать и положить в репозиторий и использовать в зашифрованном виде. Но столкнулся с тем, что если в переменной ansible_ssh_key_file указан файл в vault, то он не расшифровывается, падает с ошибкой неверного формата файла. Пока вижу 2 пути: положить ключи в переменные (неудобно тем, что переменная большая будет) и делать decrypt перед запуском плейбука -добавляется дополнительное действие

может быть загружать ключи в ssh-agent перед запуском плейбука?

Так это ещё больше действий тогда

Изначально на раннере их нет

И не должно быть

если использовать ssh-agent то в файлы они не будут сохраняться

А потом при смене ключей образ пересобирать? Как-то так себе, проще ansible-vault decrypt делать

ERROR: S client not available

Не умеет ansible работать с файлами ключей в vault ну и не страшно значит. Придётся на 1 действие больше делать

Есть n файлов с ключами ssh. Хотел их через vault зашифровать и положить в репозиторий и использовать в зашифрованном виде. Но столкнулся с тем, что если в переменной ansible_ssh_key_file указан файл в vault, то он не расшифровывается, падает с ошибкой неверного формата файла. Пока вижу 2 пути: положить ключи в переменные (неудобно тем, что переменная большая будет) и делать decrypt перед запуском плейбука -добавляется дополнительное действие

А переменная где? В hosts.yml?

Через extra vars подкидывается либо в group vars

Ну то есть вообще в group vars, а если надо переписывается через extra

Через extra vars подкидывается либо в group vars

Погоди, я чет не догоняю... andible_ssh_key_file - это же путь к файлу) А Ты пытаешься туда криптованную строку подложить?

Ага, и он в разных группах разный и в некоторых случаях и от стандартного может отличаться

Например на свежей машине в aws где моего ключа для деплоя ещё нет

Вот я и хочу эту переменную юзать как юзал, но чтобы файлы ключей были в vault

Ну судя по всему придётся перед запуском плейбука decrypt делать

Есть n файлов с ключами ssh. Хотел их через vault зашифровать и положить в репозиторий и использовать в зашифрованном виде. Но столкнулся с тем, что если в переменной ansible_ssh_key_file указан файл в vault, то он не расшифровывается, падает с ошибкой неверного формата файла. Пока вижу 2 пути: положить ключи в переменные (неудобно тем, что переменная большая будет) и делать decrypt перед запуском плейбука -добавляется дополнительное действие

так как вы хотите, не выйдет, один из более близких вариантов делать такое: host_vars/host1/all.yaml: ansible_ssh_private_key: !vault ...... ...... ..... либо сделать небольшие телодвижение, которое перед запуском основного плейука делает decrypt ключей

Скорее decrypt, encrypted строка ухудшит чтение файла, так что буду decrypt делать

Думал, вдруг у него все модули работают таким образом, что если в начале файла ! Vault, то пытается расшифровать

Но не прокатило

сделайте отдельный файл host_vars/host1/ssh_key.yaml а все что вы хотите красиво видеть поместите в host_vars/host1/all.yaml

Что-то сразу вспомнил про мышей и кактус)

Вот переменные сейчас уже в all)

Их там общих ещё штук 10

Так что ладно, буду decrypt делать

Вот переменные сейчас уже в all)

Эта вся затея изначально попахивает маразмом только потому, что у каждого инстанса ансибля или просто ssh клиента должен быть СВОЙ ssh ключ. Hashicorp vault даже прямо намекает, что даже записывать постоянные ключи - это не есть гут, а лучше выдавать временные токены.

Инстанса ансибла - в смысле целевого хоста или с которого запускается?

Т.о. нельзя таскать это в гите. Нужно генерить каждый раз и добавлять. Удалять и передергивать плейбук, проводя ротацию ключей

Инстанса ансибла - в смысле целевого хоста или с которого запускается?

Любой ssh клиент

В идеале да, базара нет, но на данный момент пытаюсь сделать удобно из того, что есть и займёт немного времени. У каждого клиента своего ключа как раз таки нет, собственно сам клиент это гитлаб раннер в контейнере, куда просто из гита код дёргается. Так что пока живу так, потом в каком-нибудь будущем, где срочных задач у меня будет меньше это будет меняться

В идеале да, базара нет, но на данный момент пытаюсь сделать удобно из того, что есть и займёт немного времени. У каждого клиента своего ключа как раз таки нет, собственно сам клиент это гитлаб раннер в контейнере, куда просто из гита код дёргается. Так что пока живу так, потом в каком-нибудь будущем, где срочных задач у меня будет меньше это будет меняться

Ключ в контейнере с кодом?

Нет

Запускается контейнер, в него делается git clone репы

А вот там уже ключ

дичь какая-то)

Это gitlab ci называется