Ребят, а ansible может сам взять мой id_rsa.pub и добавить на хост?

подскажите плз, как запилить кондишн: - name: check if private key exist stat: path={{ cert_dir }}/{{ item }}.key delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account - "{{ groups['all'] }}" register: private_key - name: generate CA private key shell: openssl genrsa -out {{ cert_dir }}/{{ item }}.key 2048 delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account when: private_key.results['stat']['exists'] == False нужно проверить существует ли каждый item и выполнить вторую таску, если не существует файла

Ребят, а ansible может сам взять мой id_rsa.pub и добавить на хост?

https://docs.ansible.com/ansible/2.5/modules/authorized_key_module.html#authorized-key-module

https://docs.ansible.com/ansible/2.5/modules/authorized_key_module.html#authorized-key-module

пасибо,получилось)

подскажите плз, как запилить кондишн: - name: check if private key exist stat: path={{ cert_dir }}/{{ item }}.key delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account - "{{ groups['all'] }}" register: private_key - name: generate CA private key shell: openssl genrsa -out {{ cert_dir }}/{{ item }}.key 2048 delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account when: private_key.results['stat']['exists'] == False нужно проверить существует ли каждый item и выполнить вторую таску, если не существует файла

а зачем ты состояние проверяешь? ансибл за тебя это все делает. просто генерируй сертификат, если он есть ансибл не будет ето делать заново, при условии что ты можули будешь использовать https://docs.ansible.com/ansible/2.4/openssl_certificate_module.html

а зачем ты состояние проверяешь? ансибл за тебя это все делает. просто генерируй сертификат, если он есть ансибл не будет ето делать заново, при условии что ты можули будешь использовать https://docs.ansible.com/ansible/2.4/openssl_certificate_module.html

Подскажите как этим модулем сделать CA сертификат?

подскажите плз, как запилить кондишн: - name: check if private key exist stat: path={{ cert_dir }}/{{ item }}.key delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account - "{{ groups['all'] }}" register: private_key - name: generate CA private key shell: openssl genrsa -out {{ cert_dir }}/{{ item }}.key 2048 delegate_to: "{{ groups['master'][0] }}" with_items: - ca - apiserver - front-proxy-ca - front-proxy-client - service-account when: private_key.results['stat']['exists'] == False нужно проверить существует ли каждый item и выполнить вторую таску, если не существует файла

Плюс, если у тебя debian-based дистрибутив, то можно использовать debops.pki, если тебе не нужен свой особый CA. И да, как писали выше модули openssl_* это умеют из коробки.

Плюс, если у тебя debian-based дистрибутив, то можно использовать debops.pki, если тебе не нужен свой особый CA. И да, как писали выше модули openssl_* это умеют из коробки.

в этом и дело, что нужен свой СА и этим СА надо подписывать другие сертификаты

Подскажите как этим модулем сделать CA сертификат?

Сделать CA - сертификат руками, подписывать им. Провайдер для openssl_certificate появился в ansible-devel

Про девел уже знаю, но когда выйдет 2.7?)

Про девел уже знаю, но когда выйдет 2.7?)

гит клон с репы

гитхаба

в этом и дело, что нужен свой СА и этим СА надо подписывать другие сертификаты

Ну дебопс.пки много че делает, заводит ЦА, правда без рабочего СRL, генерит сертификаты, заливает на хосты, добавляет куда залил твой ца в доверенные.

в пипе девел тоже есть

Что за дебопс.пки? Кинь плз ссылку

https://docs.debops.org/en/master/ansible/roles/debops.pki/index.html

Спс, попробую. А то на работе поставили задачу все через ансибл делать...

Частично на нем сижу. Частично на летсэнкрипте.

Всем дратути

Есть такой вопрос, можно ли как-то дропнуть базу postgres модулем postgresql_db принудительно, вне зависимости от коннектов к ней?

Рыбят, не могу monit нотифаем перезапустить. Пробовал сам, смотрю, как у других, но всё так же выкидывает со словами The requested handler 'reload monit' was not found in either the main handlers list nor in the listening handlers list А, вроде бы, обычное условие notify: - reload monit Написано корректно. monit.service тоже не подходит

А хендлер ты создал?

Боюсь, что нет.. и дошёл до этой темы

Всё как-то без них жил)

Сделал. Спасибо)

сорян не туда)

Товарищи, я же правильно понимаю, что, если я удаляю пакет с помощью yum state=absent, если приложение в данный момент работает, мне сначала нужно сделать systemd state=stopped, иначе приожение так и продолжит работать?

Смотря как пакет написан )

Если майнтейнер панета нормальный, он остановку сервиса в preuninstall сделает

Если майнтейнер панета нормальный, он остановку сервиса в preuninstall сделает

Ну то есть, есть yum-cron. На новых серверах мне нужно его останавливать и удалять.

Если майнтейнер панета нормальный, он остановку сервиса в preuninstall сделает

+ 1 этому человеку. В моём уютном дебиане мейнтейнеры заботятся.

В сторонних репах всякое бывает

А в оф репу вроде не добавят если криво пакет оформил

Ну то есть, есть yum-cron. На новых серверах мне нужно его останавливать и удалять.

Посмотрите содержимое rpm, описанно ли там остановка сервиса. С другой стороны предварителная остановка сервиса решение универсальное.

Всем привет, я правильно понимаю, что в jinja нельзя сделать break в цикле?

@ranebull будет жить. Поприветствуем!

Всем привет, я правильно понимаю, что в jinja нельзя сделать break в цикле?

Да, нельзя

@BYSlant будет жить. Поприветствуем!

@aazon будет жить. Поприветствуем!

Кто знает, модуль script работает с относительными путями? Или вообще без пути, если скрипт в files лежит?

Кто знает, модуль script работает с относительными путями? Или вообще без пути, если скрипт в files лежит?

напиши белиберду @ посмотри в выхлоп анзибла, там по идее должно быть где он искал его, но не нашел.

уже, работает если в файлы положить

уже, работает если в файлы положить

отлично

подскажите как исправить ошибку: - name: create CA selfsigned certificate openssl_certificate: path={{ cert_dir }}/ca.crt csr_path={{ cert_dir }}/ca.csr provider=selfsigned выдает ошибку: An exception occurred during task execution. To see the full traceback, use -vvv. The error was: TypeError: coercing to Unicode: need string or buffer, NoneType found

подскажите как исправить ошибку: - name: create CA selfsigned certificate openssl_certificate: path={{ cert_dir }}/ca.crt csr_path={{ cert_dir }}/ca.csr provider=selfsigned выдает ошибку: An exception occurred during task execution. To see the full traceback, use -vvv. The error was: TypeError: coercing to Unicode: need string or buffer, NoneType found

Ты пишешь YaML странным способом. Не надо так. Для начала прочти вот тут - https://docs.ansible.com/ansible/latest/reference_appendices/YAMLSyntax.html#gotchas, потом подумай, почему у тебя выражения шаблонизатора с фигурными скобками не в кавычках, потом перепиши это в нормлаьный YaML. Всё должно заработать нормально.

Сегодня чатик спас еще одну невинную душу без интернета, так держать.

Ты пишешь YaML странным способом. Не надо так. Для начала прочти вот тут - https://docs.ansible.com/ansible/latest/reference_appendices/YAMLSyntax.html#gotchas, потом подумай, почему у тебя выражения шаблонизатора с фигурными скобками не в кавычках, потом перепиши это в нормлаьный YaML. Всё должно заработать нормально.

и так работает

на других плейбуках нет проблем

Ну да, ты же написал пост потому, что так работает.

))

Начнёшь писать валидный YaML - тебе станет пофиг, какой плейбук.

ERROR: S client not available

я уже по-разному пробовал. openssl_privatekey: path={{ cert_dir }}/ca.key size=2048 owner={{ user }} group={{ usergroup }} - это отрабатывает нормально

Не надо _пробовать_, надо просто _сделать_, как положено.

- name: create CA selfsigned certificate openssl_certificate: path: "{{ cert_dir }}/ca.crt" csr_path: "{{ cert_dir }}/ca.csr" provider: selfsigned

и та же ошибка

ошибка не о валидности yml файла

Ты хочешь самоподписанный сертификат сгенерить?

да

поставил 2.7 версию ансибла

но что-то не указал наверное

Тогда ты пропустил один параметр

какой??

https://docs.ansible.com/ansible/2.4/openssl_certificate_module.html#examples

блин, я лошара)) спасибо

Бывает.

Удачи всяческой с этим.

а подскажи плз как сделать чтоб при повторной прогонке плейбука не генерился заново csr

и СА

хотя стоп, только csr переделывает. са не генерит

Ну как раз потому что.

Перегенерять будет, если force=true;

осталось раздуплить как подписывать клиентские серты

Да так же. Сначала создаёшь приватный ключ, потом создаёшь CSR, потом c сертфикатом CA и CSR создаёшь подписанный серт.

спс

@den_hrybkov будет жить. Поприветствуем!

https://www.jeffgeerling.com/blog/2018/things-i-learned-ansiblefest-austin-2018-contributors-summit