Как сделать так, чтобы при деплое не указывать хост бд дважды (один раз в переменных - там он нужен чтобы создать конфиги сервисов, один раз в хостах - нужен чтобы понять куда СУБД деплоить, предполагается что БД один только хост) Есть какой-то общепринятый подход? В какую сторону смотреть?

https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable

я не это имел в виду.

я имел в виду что в переменных (например группы) я укажу хост БД, переменная будет использована для генерации конфига приложения. и одновременно в списке хостов мне нужно будет внести этот же хост (например в группу database) получается что я одну и ту же информацию продублирую. или я чего-то не понимаю или можно этого избежать?

"{{ hostvars[groups['database'][0]].intentory_hostname }}"

а так делают вообще? или я что-то на более высоком уровне неправильно делаю?

я делаю, другие - не знаю

я делаю, другие - не знаю

спасибо!

а так делают вообще? или я что-то на более высоком уровне неправильно делаю?

вообще. по идеи, у вас должна быть отдельная dns зона для базы, которая будет CNAME на сервер на котором она непосредственно запущена что-то вроде db-server0 A 10.0.0.63 db-server1 A 10.0.0.64 database CNAME db-server0 как пример, но это уже не оффтопик

я имел в виду что в переменных (например группы) я укажу хост БД, переменная будет использована для генерации конфига приложения. и одновременно в списке хостов мне нужно будет внести этот же хост (например в группу database) получается что я одну и ту же информацию продублирую. или я чего-то не понимаю или можно этого избежать?

это минус ансибла, да. Он очень простой и простого выхода в данной ситуации у вас нет

у крупных систем (типа шефа) для этих целей используется поиск

у крупных систем (типа шефа) для этих целей используется поиск

а что бы он искал? в примере описанном выше?

хосты с ролью сервера БД

типа hostvars['database-role'][0].inventory_hostname ?

типа того

но вообще какой именно цели вы хотите добиться?

что именно вы хотите сделать?

уменьшить дублируемость кода

избежать дублирования.

избежать дублирования.

это инструмент, а не цель

чтобы те, кто будут потом править/адаптировать плейбук проще жили

давайте начнем с самого начала, цель

цель проста, поменял в одном месте, не поменял в другом, не консистенность

цель проста, поменял в одном месте, не поменял в другом, не консистенность

именно

но я бы все таки настоял, что-бы создавались дополнитеьные dns зоны для разруливания "где сервер"

ну можно и консул сделать и ему инвентори скормить, но хочется без такого оверхеда

это решение не требует консула.

я про днс.

и я про днс

при установке этой самой БД делайте set_fact: db_hostname: foo.example.com и потом читайте этот факт?

и я про днс

я как пример привел - динамическое нахождение сервисов тоже вариант, но на мой взгляд, поднимать DNS если можно сразу все сгенерировать - лишне

такая организация с архитектурной точки зрения правильнее. про "поднимать DNS" не понял пассаж, добавить CNAME запись в зону делается один раз.

но я сделаю сначала как bebebe предложил, еще раз спасибо

и далее изменяется как только у вас база переезжает с одного место в другое

такая организация с архитектурной точки зрения правильнее. про "поднимать DNS" не понял пассаж, добавить CNAME запись в зону делается один раз.

добавить в зону где?

на каждой машине?

какое доменное имя у вашего компьютера с базой данных?

нету, ip только непубличный

поднимите dns серевер с доменом, .infra, добавьте туда ваши сервера, пропишите в /etc/resolv.conf на ваши машинах все что не .infra, пересылайте forwarding на dns вашего провайдера

это можно сделать подняв один docker контейнер. есть так же роли которые это сделают из коробки

я понял решение. и по вашему это не лишне? не проще сразу при деплое все сгенерировать?

вам виднее безусловно, я полной картины не знаю, может быть вы над домашним проектом работаете и впринципе пофик

потому что в конечном счете конфиг днс тоже будет сгенерирован при деплое и вариант что-то поменять - запустить ansible снова, не предполагается что руками будут лазать. конечно при изменении хоста БД в моем варианте приложениям рестарт понадобится, но для меня это несущественно.

можно делать dnsupdate при изменении вашей инфры https://docs.ansible.com/ansible/2.6/modules/nsupdate_module.html впрочем это уже давно оффтопик

объяснять зачем в 2018 нужен dns как то даже неловко, впрочем как и в 2004

понял, спасибо за пищу для размышлений :)

я имел в виду что в переменных (например группы) я укажу хост БД, переменная будет использована для генерации конфига приложения. и одновременно в списке хостов мне нужно будет внести этот же хост (например в группу database) получается что я одну и ту же информацию продублирую. или я чего-то не понимаю или можно этого избежать?

Здесь нужно понимание решаемой задачи. Если "тупо указать единственный хост БД" - это одно, просто подстановка, как указано выше. Если нужно обеспечивать какую-то балансировку - это другое, и Ансибл не сможет решить за вас, как именно это нужно сделать, а самое главное - зачем. Наиболее очевидный, но и наиболее скучный вариант - клиент умеет перебирать хосты, тогда состав группы серверов БД туда пишется. Менее очевидный и более сложный - есть какая-то внешняя сущность (consul/etcd/zookeeper/younameit), куда клиент обращается с вопросом "дай-ка мне актуальное имя сервера БД".

Здесь нужно понимание решаемой задачи. Если "тупо указать единственный хост БД" - это одно, просто подстановка, как указано выше. Если нужно обеспечивать какую-то балансировку - это другое, и Ансибл не сможет решить за вас, как именно это нужно сделать, а самое главное - зачем. Наиболее очевидный, но и наиболее скучный вариант - клиент умеет перебирать хосты, тогда состав группы серверов БД туда пишется. Менее очевидный и более сложный - есть какая-то внешняя сущность (consul/etcd/zookeeper/younameit), куда клиент обращается с вопросом "дай-ка мне актуальное имя сервера БД".

я понял, спасибо. хотелось именно обойтись без внешней сущности, без service discovery вообще, по крайней мере на первом этапе, сервис не супер большой. возможно DNS и вариант, хотя посмотрев интернет, говорят что он не для этого (хоть и используют так) и нормальный заточенный под это сервис лучше. спасибо за развернутые ответы

Использую remote_user, есть способ передать пароль без set facts?

Или любой другой способ указать пароль без facts?

Есть способ спрятать пароль ansible-vault

Есть способ спрятать пароль ansible-vault

1Password, Vault?

ERROR: S client not available

Есть способ спрятать пароль ansible-vault

Судя по постановке вопроса - в голове или пасс-менеджере

@EvgenyLityushkin будет жить. Поприветствуем!

Приветствую друзья!

@varyumin в gitlab в секретную переменную

@varyumin ещё вариант - использовать сертификаты в смарткартах, но прямо с ansible я такого не использовал и полагаю, есть подводныеикамни

@varyumin в gitlab в секретную переменную

Не совсем она там секретная ? если сделать printenv или env можно ее прочитать

Не совсем она там секретная ? если сделать printenv или env можно ее прочитать

Так то можно её вообще по апи на pastebin выложить

@varyumin да наверное так можно. Разве, что поколжовать над правами доступа как то. Чтобы запустить CI можно было но вывести переменную - нет

@deniswork81 будет жить. Поприветствуем!

Коллеги, подскажите, как правильно работать из ансибла с приватными репозитариями в гите ?

Коллеги, подскажите, как правильно работать из ансибла с приватными репозитариями в гите ?

https://docs.ansible.com/ansible/2.5/modules/git_module.html а чем приватный, от не приватного отличается?

ну и первая ссылка из гугла https://www.jeffgeerling.com/blog/2018/cloning-private-github-repositories-ansible-on-remote-server-through-ssh

ну может я не до конца понимаю, но условно на удаленом сервере, мне чтобы отклонировать репу, нужен будет приватный ключ, на УДАЛЕННОМ сервере. Куда ложить его не хочется

ssh-agent вам поможет в этом

пойду попробую, спасибо за наводку

Народ а кто-то сдавал экзамен у red hat по ansible ?

Что то не горит он желанием туда форвардится. Сгенерировал ключ. ДОбавил в гит. Добавил в sshagent ключ видется, если сделать обычный git clone с локальной машины - вполне нормально отрабатывает. В конфиг .ssh/config добавил Host 1.2.3.4 ForwardAgent yes

что ему еще не нравится - фиг знает

правда лью с арча на убунту, но по идее в обще фиолетово должно быть

правда лью с арча на убунту, но по идее в обще фиолетово должно быть

Это значения не имеет

причем если сделать через ансибл ssh -T git@github.com You've successfully authenticated, but GitHub does not provide shell access но клонировать ни в какую

в общем само потупило - само завелось

не удобно как то

потом сломалось. Может кому поможет в будущем - очистите ssh ключи агента. Помогает

@Amelion будет жить. Поприветствуем!