не я в целом про эту связку. со своей колокольни не вижу проблем для запуска в прод, и решил тут уточнить

Можешь уточнить что ты хочешь сделать?

Можешь уточнить что ты хочешь сделать?

использовать docker контейнер с ansible, для администрирования ~50 linux серверов

использовать docker контейнер с ansible, для администрирования ~50 linux серверов

Из какого-то ci? Или локалхоста?

Хотя какая разница. Проблем нет

Ну если не специфичные кейсы

Например если модульные зависимости

Из какого-то ci? Или локалхоста?

Просто с локалхоста внутри локальной сети.

Например если модульные зависимости

ок спасибо

Ребят, из тех кто пользует ansible из docker, вам встречались подводные камни ?

Мне норм

Подготовил для себя образ и юзаю

Из gitlab ci

А какой сакральный смысл его запускать из docker если ci нет?

тоже используем, проблем пока нет

Еще хотел уточнить. Я хочу отдельный файл с ролью сделать для бэкапа данных на сервере, отдельный для загрузки нового кода на сервер и перезапуска контейнеров. А вот перед этим всем на сервере нужно установить питон. Ставил таким образом: --- - name: "Copy to BFN stage" hosts: bfn_api gather_facts: no pre_tasks: - name: 'install python2' raw: sudo apt-get -y install python tasks: - name: synchronize temp directory synchronize: src: /Users/develops/Documents/projects/temp_bfn/ dest: /home/ubuntu/temp_bfn mode: 0644 (не нашел ничего подобного в репах у https://github.com/geerlingguy) Мне этот пре-таск перед каждым другим нужно исполнять, или сделать новую роль специально для этого ? (ведь, по-сути, этот пре-таск нужен всего-лишь один раз. Думаю, может быть, лучше сделать отдельную роль / playbook, который просто подготовит сервер, установит в нем все ПО, подготовит структуры папок и т.д.)

>отдельную роль / playbook, который просто подготовит сервер, установит в нем все ПО, подготовит структуры папок this

все серверы должны быть одинаковые

поэтому же и hostvars в идеале не должно быть

это уже индивидуальность

все серверы изначально не имеют этого пакета

и на все он устанавливается изначально

Ну вот, я вот запилил роль подготовки сервера

Обновляются пакеты, обновляется ядро, ставятся питонопакеты все, ставится докер

В итоге я точно уверен, что на всех серверах абсолютно одинаковый состав ПО, одинаковая версия ядра и прочее

понял, спасибо, тогда и я такую рольсоздам

Ага, ну и обновление ядра например на нескольких десятках инстансов - поменять в переменной версию ядра и запустить плейбук

Ребят, из тех кто пользует ansible из docker, вам встречались подводные камни ?

Это best practice

Это best practice

Thx

В итоге я точно уверен, что на всех серверах абсолютно одинаковый состав ПО, одинаковая версия ядра и прочее

Для такой уверенности надо подготовить образ и стартовать с него, а не ставить софт каждый раз.

а потом я на 50 инстансах ставлю новый образ и накатываю все ПО заново?

И зачем?

и каждый раз ничего не ставится, идемподентность же

а потом я на 50 инстансах ставлю новый образ и накатываю все ПО заново?

Образ уже с установленным га нем софтом. У вас весь софт ставится в ваших реп? Если нет, то гарантии что итог будет одинаковым нет.

Образ уже с установленным га нем софтом. У вас весь софт ставится в ваших реп? Если нет, то гарантии что итог будет одинаковым нет.

я думаю, что дебиановские стейбл репы с указанной версией софта - вполне одинаковый софт предоставят, все пакеты там зафрижены

а потом я на 50 инстансах ставлю новый образ и накатываю все ПО заново?

Вам бы nixos попробовать

Я таки через n времени на куб разрожусь)

Там прямо таки система описывается одним простым и лаконичным конфигом. Реальный IasC

Там прямо таки система описывается одним простым и лаконичным конфигом. Реальный IasC

Да, я про нее читал, но таки есть минус

Я очень за IasC, но она и ее ядра достаточно нестабильные чтобы использовать

Я предпочитаю в данном случае стабильную платформу (deb), где в докере все и крутится

И в бэкпортах есть свежие ядра, что иногда сильно помогает в работе с докером (кто юзает думаю помнит, что оверлейфс только недавно научили в параллельную запись)

https://github.com/NixOS/nixpkgs/labels/1.severity%3A%20security NixOS пока выглядит просто отлично для сервера, да

Не получается использовать переменные из inventory. inventory.yml: --- all: hosts: bfn_api: ansible_connection: ssh ansible_host: 159.89.42.143 ansible_user: ubuntu ansible_ssh_private_key_file: ~/.ssh/vn_developstoday_rsa vars: current_host: bfn_api vars: current_host: bfn_api preinstall.yml: --- - name: preinstall bfn_api hosts: "{{ hostvars.current_host }}" tasks: - include_tasks: preinstall.yml Команда для запуска: ansible-playbook ./projects/bfn_api/preinstall.yml -i ./projects/bfn_api/inventories/stage/inventory.yml Что нужно там писать hostvars - просто вычитал, пробовал и просто имя переменной вводить, и all.current_host, и что только не пробовал. ПОмогите, пожалуйста, использовать переменные из inventory в моем Play.

А какая версия ансибла? У меня на 2.7 на некоторые хосты вообще заходить перестало

Не получается использовать переменные из inventory. inventory.yml: --- all: hosts: bfn_api: ansible_connection: ssh ansible_host: 159.89.42.143 ansible_user: ubuntu ansible_ssh_private_key_file: ~/.ssh/vn_developstoday_rsa vars: current_host: bfn_api vars: current_host: bfn_api preinstall.yml: --- - name: preinstall bfn_api hosts: "{{ hostvars.current_host }}" tasks: - include_tasks: preinstall.yml Команда для запуска: ansible-playbook ./projects/bfn_api/preinstall.yml -i ./projects/bfn_api/inventories/stage/inventory.yml Что нужно там писать hostvars - просто вычитал, пробовал и просто имя переменной вводить, и all.current_host, и что только не пробовал. ПОмогите, пожалуйста, использовать переменные из inventory в моем Play.

У тебя yaml сломан похоже во-первых

А во-вторых надо не так)

Ща покурю и пример покажу

на троечку

Даже локалхост замазал

Даже локалхост замазал

шобы все секурна!

Спасибо, как буду дома - гляну

шобы все секурна!

Надеюсь он переопределен

Основательно. Наверное шиткурити инженер

Devsecops

Даже локалхост замазал

а вдруг кто-то узнает адрес моего локалхоста!

А вообще надо бы пройтись нмапом по любителям выкладывать тут картинки

Если только в благих целях

только по локалхосту не бейте!

Я свой защитил

Спасибо, я так понял что предложение - разбить хосты на группы, для каждой группы переменные писать в отдельный каталог в одноименный с групаой файл.

Спасибо, я так понял что предложение - разбить хосты на группы, для каждой группы переменные писать в отдельный каталог в одноименный с групаой файл.

зачем в каталог можно просто в /vars/file.yml писать

Опробую его как буду дома. Странно что переменные, заданные в файле с inventory, не видно

хотя гибкость позовляет делать как хочешь

Спасибо, я так понял что предложение - разбить хосты на группы, для каждой группы переменные писать в отдельный каталог в одноименный с групаой файл.

https://docs.ansible.com/ansible/latest/user_guide/playbooks_best_practices.html#alternative-directory-layout

Мне в итоге так удобнее всего оказалось

ERROR: S client not available

Это баг или я что-то неправмльно делал, вот в чем вопрос

Мне в итоге так удобнее всего оказалось

я так и сделал, но нужно -таки в один репозиторий все проекты вписать, поэтому я немного сгруппировал их

>нужно -таки в один репозиторий все проекты вписать так себе идея

зачем в каталог можно просто в /vars/file.yml писать

Там в зависимости от инвентаря переменные должны быть разными

Ты таки определись, или это разные проекты, тогда каждый должен быть в своем репе

Либо это все один проект

>нужно -таки в один репозиторий все проекты вписать так себе идея

Увы, не моя

Скажи человеку чья, что он даун и пусть сам тогда все настраивает

Раз у него идеи такие

иначе ты сейчас сам себе так сказать ствол к яцйам приставляешь

Который выстрелит в будущем

Костыль )

Я в девопсе еще новичек, надеюсь, разберусь чуть позже и сделаю как положено

ладно хоть так некоторые сразу в кубспрей лезут:)

Выглядит как будто хрыч таки понабирал персонал)

Vii будет жить. Поприветствуем!

Господа, темплейтинг переменных в шаблоных jinja полностью так же работает как в тасках например?

Есть строка в темплейте acl core_acl ssl_fc_sni {{[env].core_servernames}} env в инвентори определено как test

В defaults.yml в роли написано test: core_servernames: "blah blah"

В итоге возвращает ошибку AnsibleUndefinedVariable: 'list object' has no attribute 'core_servernames

env нигде не переписывается

подобная конструкция юзается в тасках в другом месте и замечательно работает

мда

сделал даже test: { core_servernames: "blah blah", 2var: "ujbhef", 3var: ""dav } - он все равно упорно продолжает считать, что это лист, а не словарь

{{testdict[env].core_servernames}} testdict: test: core_servernames: "blah blah" А вот так работает

Кто юзает vscode и кто юзал атом? Какие посоветуете расширения для увеличения продуктивности в работе с ансибл?

Для vscode - ansible, ansible-vault

Их вполне хватает

Я не переехал с атома на вскод пока. Хотя он офигенен

Для vscode - ansible, ansible-vault

Аналогичный комплект. Больше и не нужно

Аналогичный комплект. Больше и не нужно

+

тоже с атома переезжал