Вы понимаете - как работает молекула и что именно она делает?

Я так понимаю нужно протестить деплой докер контейнера используя докер драйвер с пробросом сокета.

Тестировать роль с запуском докера с помощью драйвера докера - так себе затея

Тестировать роль с запуском докера с помощью драйвера докера - так себе затея

Почему?

https://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/

Так речь идёт не о docker in docker

А о пробросе сокета

Молекула запускает трестируемую роль внутри созданного ей докера

Так

Если роль стартует свой докер, то будет запуск одного докера внутри другого

И она что делает? Правильно, подключается к сокету

Если роль стартует свой докер, то будет запуск одного докера внутри другого

А кто сказал про запуск докера? Тестирование запуска контейнера ведь

Тогда да - будет пытаться запустить докер в докере :)

и отсюда вопрос к этому сообщению, с чего он запускает докер в докере?

среда, это известно, маленькая пятница

В роли: docker_container: image: something:latest name: "{{ container.name }}" state: started published_ports: - "{{ item }}" loop: "{{ container.ports }}" В плейбуке: vars: ... container: name: something_name ports: - "8080:80" - "8443:443" Ошибка "Unexpected failure in finding the lookup named '{{ container.ports' in the available lookup plugins" ???

Хм, с with_items, вроде, прокатило

Нет, чот не очень прокатило

published_ports: "{{ container.ports }}"

Приветствую. Поделитесь пожалуйста проверенной ролью для управления пользователями/группами/паролями/ключами

свой велосипед не хочется писать, думаю уже есть готовые. Гуглил, но что-то не могу вот так сразу найти

published_ports: "{{ container.ports }}"

Через запятую? Так можно? Я из доков не понял.

В доке написано что через запятую, в примерах есть списком

Правильно я понимаю, что оба опубликованы: 0.0.0.0:8000-8001->8000-8001/tcp ?

Приложение только на одном, он откликается

Ну да, netstat так и говорит

Спасибо. А примеров я, всё-таки, не нашёл.

Приветствую. Поделитесь пожалуйста проверенной ролью для управления пользователями/группами/паролями/ключами

Звучит как роль для настройки всего подряд

Неплохо поконкретнее сформулировать суть задачи

Приветствую. Поделитесь пожалуйста проверенной ролью для управления пользователями/группами/паролями/ключами

использую https://galaxy.ansible.com/singleplatform-eng/users

Неплохо поконкретнее сформулировать суть задачи

Думаю вполне конкретная задача - управление пользователями на хостах и их окружением. Попробуйте создать пользователя через ансибл и у вас запросит группу. Если самому писать обёртку над ансибловским user то это велосипедно. Думаю эти вопросы уже порешали давно. Только мне вот не нагуглилось пока

использую https://galaxy.ansible.com/singleplatform-eng/users

Благодарю, сегодня посмотрю

Приветствую. Поделитесь пожалуйста проверенной ролью для управления пользователями/группами/паролями/ключами

Лови наркомана!

FreeIPA разверни и не парь людям мозг.

RHEL IdM

FreeIPA разверни и не парь людям мозг.

Это для большого количества машин. А для внешних машин и\или если их не больше штук 10, то можно типо так: --- - hosts: "{{ hosts|default('all') }}" become: yes vars: action_state: "{{ state|default('present') }}" keydirpath: "{{ keypath|default('/company_name/ssh_keys') }}" usernameset: "{{ username|default('') }}" tasks: - name: Retrieving all user names from directory local_action: shell echo "{{ item | regex_replace('.pub', '') | regex_replace('.*/', '') }}" register: usernames with_fileglob: - "{{ playbook_dir }}/{{ keydirpath }}/*.pub" when: usernameset == '' - name: Set usernameset local_action: shell echo "{{ item }}" register: usernames1 with_items: - "{{ usernameset }}" when: usernameset != '' - name: Manage users user: name="{{ item.stdout }}" comment="{{ item.stdout }}@example.org" groups="users,wheel" state="{{ action_state }}" with_items: - "{{ usernames.results }}" when: usernameset == '' - name: Deploying users ssh key authorized_key: user={{ item.stdout }} key="{{ lookup('file', playbook_dir + '/' + keydirpath + '/' + item.stdout + '.pub' ) }}" state="{{ action_state }}" with_items: - "{{ usernames.results }}" when: usernameset == '' - name: Manage users manual user: name="{{ item.stdout }}" comment="{{ item.stdout }}@example.org" groups="users,wheel" state="{{ action_state }}" with_items: - "{{ usernames1.results }}" when: usernameset != '' - name: Deploying users ssh key manual authorized_key: user={{ item.stdout }} key="{{ lookup('file', playbook_dir + '/' + keydirpath + '/' + item.stdout + '.pub' ) }}" state="{{ action_state }}" with_items: - "{{ usernames1.results }}" when: usernameset != ''

@mobilesfinks

А много/немного в цифрах на ваш взгляд? И только ли про машины?

А то ведь много может быть пользователей.

FreeIPA разверни и не парь людям мозг.

нафига мне разворачивать FreeIPA на 2-3 сервера?

нафига мне разворачивать FreeIPA на 2-3 сервера?

2-3 сервера и для ипы еще 2-3 сервера и вот у тебя уже. 4-6 серверов!

Это для большого количества машин. А для внешних машин и\или если их не больше штук 10, то можно типо так: --- - hosts: "{{ hosts|default('all') }}" become: yes vars: action_state: "{{ state|default('present') }}" keydirpath: "{{ keypath|default('/company_name/ssh_keys') }}" usernameset: "{{ username|default('') }}" tasks: - name: Retrieving all user names from directory local_action: shell echo "{{ item | regex_replace('.pub', '') | regex_replace('.*/', '') }}" register: usernames with_fileglob: - "{{ playbook_dir }}/{{ keydirpath }}/*.pub" when: usernameset == '' - name: Set usernameset local_action: shell echo "{{ item }}" register: usernames1 with_items: - "{{ usernameset }}" when: usernameset != '' - name: Manage users user: name="{{ item.stdout }}" comment="{{ item.stdout }}@example.org" groups="users,wheel" state="{{ action_state }}" with_items: - "{{ usernames.results }}" when: usernameset == '' - name: Deploying users ssh key authorized_key: user={{ item.stdout }} key="{{ lookup('file', playbook_dir + '/' + keydirpath + '/' + item.stdout + '.pub' ) }}" state="{{ action_state }}" with_items: - "{{ usernames.results }}" when: usernameset == '' - name: Manage users manual user: name="{{ item.stdout }}" comment="{{ item.stdout }}@example.org" groups="users,wheel" state="{{ action_state }}" with_items: - "{{ usernames1.results }}" when: usernameset != '' - name: Deploying users ssh key manual authorized_key: user={{ item.stdout }} key="{{ lookup('file', playbook_dir + '/' + keydirpath + '/' + item.stdout + '.pub' ) }}" state="{{ action_state }}" with_items: - "{{ usernames1.results }}" when: usernameset != ''

?

2-3 сервера и для ипы еще 2-3 сервера и вот у тебя уже. 4-6 серверов!

???

Тогда конечно. Пользуйтесь ролью выше. Главное не проспите тот момент, когда на ваших двух серверах станет по 50 локальных пользователей.

Тогда конечно. Пользуйтесь ролью выше. Главное не проспите тот момент, когда на ваших двух серверах станет по 50 локальных пользователей.

если у них всего 2 человека и пару машин, idm избыточен. Хватит нагнетать. Если у них сотни машин и стони юзеров и они будут этим плейбуком управлять доступами, то ССЗБ.

если у них всего 2 человека и пару машин, idm избыточен. Хватит нагнетать. Если у них сотни машин и стони юзеров и они будут этим плейбуком управлять доступами, то ССЗБ.

Я отвык от мест, где мало пользователей. Чаще всего бывает, что у ребят какой-то виндовый домен АД, они хотят давать или не давать доступ к линуксовым серверам и как-то распределять права, для этого ребята костыляют миграцию пользователей АД в локальных пользователей на линуксовых серверах. Ибо sssd почему-то с первой попытки не взлетел.

И в результате рождаются какие-то монструазные костыли. Кстати, сам по себе IdM это именно такой замок из костылей.

Управляю доступом плейбуками, но нужно всего на 5 человек

Больше надо минимум ldap заводить

IdM это и есть 389DS

Одна из реализаций LDAP

катайте сразу freeipa

=)

она и с АД дружит

и sssd

и куча плюшек для тонких клиентов

Я отвык от мест, где мало пользователей. Чаще всего бывает, что у ребят какой-то виндовый домен АД, они хотят давать или не давать доступ к линуксовым серверам и как-то распределять права, для этого ребята костыляют миграцию пользователей АД в локальных пользователей на линуксовых серверах. Ибо sssd почему-то с первой попытки не взлетел.

Ну это обычная практика и ошибка - судить по себе о других. Я вполне конкретный вопрос задал. По количеству пользователей я и без вас вполне в курсе что где и как. Если бы мне нужно было управлять сотней аккаунтов пользователей я бы так и спросил. Дайте мне для Много. У нас в компании все линуксовые сервера подключены в AD, или будут подключены. Админам даны sudo, пользователям даны ограниченные права. Всё раскатывается одной ролью для настройки sssd

Ну это обычная практика и ошибка - судить по себе о других. Я вполне конкретный вопрос задал. По количеству пользователей я и без вас вполне в курсе что где и как. Если бы мне нужно было управлять сотней аккаунтов пользователей я бы так и спросил. Дайте мне для Много. У нас в компании все линуксовые сервера подключены в AD, или будут подключены. Админам даны sudo, пользователям даны ограниченные права. Всё раскатывается одной ролью для настройки sssd

Ну, тогда вам выше ссылку на роль по управлению локальными пользователями, группами и ссш-ключами дали.

Ну, тогда вам выше ссылку на роль по управлению локальными пользователями, группами и ссш-ключами дали.

Да, я уже посмотрел. Вполне просто и аккуратно сделано. Попробую в работе.

Хотя, если у вас есть AD, значит у вас все сотрудники там заводятся, там же раздаются права. IdM позволяет настроить доверительные отношения между доменами организовать и разрулить права доступа так, чтобы создание пользователя в АД с соответствующими атрибутами автоматически прикрутит к пользователю линуксовые настройки, которые вам нужны. Ключи ССШ, права доступа к серверам и службам на них. Прочее в этом духе.

В общем дело вкуса, наверное. Хотите иметь на серверах локальных пользователей, которые создаются системой управления конфигурацией — это один из привычных способов.

В общем дело вкуса, наверное. Хотите иметь на серверах локальных пользователей, которые создаются системой управления конфигурацией — это один из привычных способов.

У нас авторизация идёт в AD напрямую. При этом локально создаётся пользователь. Всё что нужно настроено в параметрах sssd

Приветствую. Поделитесь пожалуйста проверенной ролью для управления пользователями/группами/паролями/ключами

Чую какой-то подвох.

Ладно, авторизация идёт, но права доступа то как рулятся?

Ладно, авторизация идёт, но права доступа то как рулятся?

по группам и подкидываются соответствующие sudoers конфиги.

ERROR: S client not available

А зачем тогда локальные пользователи?

IdM это и есть 389DS

idm системы это таки больше чем просто ldap

Ага. Я знаю. Каталог - это то место где хранится информация о сущностях системы.

подскажите такой момент, мы може регить таким образом и потом на него ссылаться с помощью when

например: register: user_{{ db_user }} ...... when: not user_{{ db_user }}.stat.exists

??

например: register: user_{{ db_user }} ...... when: not user_{{ db_user }}.stat.exists

да. только вам не хватает ковычечек --- - hosts: localhost gather_facts: false vars: somevar: abc tasks: - shell: echo hello world register: "foobar_{{somevar}}" - debug: var: "foobar_{{somevar}}" when: "'hello world' in foobar_{{somevar}}.stdout"

да. только вам не хватает ковычечек --- - hosts: localhost gather_facts: false vars: somevar: abc tasks: - shell: echo hello world register: "foobar_{{somevar}}" - debug: var: "foobar_{{somevar}}" when: "'hello world' in foobar_{{somevar}}.stdout"

Спасибо большое, буду пробовать

Спасибо большое, буду пробовать

не надо пробовать. я попробовал за вас

https://www.redhat.com/en/events/ansible-automates-moscow-2018

желающие есть?

а где ценник

бесплатно, то есть даром. Но надо регистрироваться, места ограничены

а где ценник

оно всегда было бесплатным, главное успеть попасть

регу могут и не одобрить

доклады на русском?

похоже да

нифакт господа

roadshows организовываются местными обычно, может кого пригласят

@johnwyde будет жить. Поприветствуем!

Настюшка будет жить. Поприветствуем!

Так, а кто-нибудь GUI прикручивал к ансиблу?

Какой самый адекватный? - AWX чет не впечатлил :-/

почему вы так все ненавидите консоль? она же хорошая...

я? - обожаю!

нет интерфейса удобнее

ну вот и готовь бургеры! :) а о гуи нислова! )

но к сожалению не все разделяют это мнение :(

им бы в кнопочки потыкать

авх осень харашо... ну и тауэр :)

кроме того еще в бекграунде хочется плейбуки запускать