вытягивать админов для проекта через json_query, например

Всякие паппеты рассчитывают список юзеров и имеют одну точку зрения на результат. Ансибл в силу работы имеет каждый раз разную. При типичном конечно кейсе

ну то что эти юзеры будут в разном порядке приезжать - это же вроде не так страшно

главное, чтобы внутри элементов поля в тыкву не превратились

а под тыквой что подразумеваете? все так пришлось за вас рабочий вариант накидать, держите http://termbin.com/jnfs

—stage - это обращение к staging api со стороны letsencrypt, проверка происходит таже самая, только 1. отдается не "зеленый сертификат" 2. отсутствуют лимиты на количество запросов и сертиифатов, как раз для того что-бы не попасть под баны на prod letsencrypt'e во время множества тестирований

в ваших тестовых окружениях нет доступа до интернетов?

в ваших тестовых окружениях нет доступа до интернетов?

а как образы качать без инета)00

локальный артифактори видимо. хотя нужно как-то прокидывать внутрь http порт, или менеджить тестовую зону в dns вообщем, не до конца понятно что будет тестироваться, работоспособность самого letsencrypt или то что letsencrypt клиент вызывается с нужными параметрами. впрочем, это уже оффтопик. в k8s есть letsencrypt Issuer для докера есть letsnecrypt-companion https://github.com/JrCs/docker-letsencrypt-nginx-proxy-companion

локальный артифактори видимо. хотя нужно как-то прокидывать внутрь http порт, или менеджить тестовую зону в dns вообщем, не до конца понятно что будет тестироваться, работоспособность самого letsencrypt или то что letsencrypt клиент вызывается с нужными параметрами. впрочем, это уже оффтопик. в k8s есть letsencrypt Issuer для докера есть letsnecrypt-companion https://github.com/JrCs/docker-letsencrypt-nginx-proxy-companion

Тестироваться будет, что все, что завязано на то, что сертификат будет получен отрабатывает корректно, например, что Nginx получит сертификаты, что они будут созданы, если их нет, что задача на обновление поставится и т. п. рутина

для этого существует letsencrypt-companion, если у вас ворклоады в докерах

а под тыквой что подразумеваете? все так пришлось за вас рабочий вариант накидать, держите http://termbin.com/jnfs

я всё никак не могу понять, чем мне может навредить разный порядок пользователей при разных прогонах спасибо за пример, пойду пробовать

то есть задача в конкретизированном виде выглядит так: есть контора, которая делает всякий маркетинговый треш есть ряд админов, который довольно фиксирован есть команды разработчиков, которые меняются от проекта к проекту, а так же - пересекаются между проектами есть сервера, которые бывают выделенные для проекта, а бывают предназначены для N проектов одновременно цель задачи: завести всех админов и всех проектных юзеров на целевом сервере учитывая довольно лютую перемешанность разработчиков между проектами хочется держать список (детальный - с ключами, группами, etc) всех юзеров в каком-то строго одном месте, а в роли рассовывать только "указатели" на элементы этого списка для серверов, предназначенных для N проектов одновременно, эти списки из ролей должны как-то мержиться а админы в полном составе должны присутствовать на всех серверах

то есть задача в конкретизированном виде выглядит так: есть контора, которая делает всякий маркетинговый треш есть ряд админов, который довольно фиксирован есть команды разработчиков, которые меняются от проекта к проекту, а так же - пересекаются между проектами есть сервера, которые бывают выделенные для проекта, а бывают предназначены для N проектов одновременно цель задачи: завести всех админов и всех проектных юзеров на целевом сервере учитывая довольно лютую перемешанность разработчиков между проектами хочется держать список (детальный - с ключами, группами, etc) всех юзеров в каком-то строго одном месте, а в роли рассовывать только "указатели" на элементы этого списка для серверов, предназначенных для N проектов одновременно, эти списки из ролей должны как-то мержиться а админы в полном составе должны присутствовать на всех серверах

делается LDAP, и без вот этого вот всего

LDAP это всегда в таких случаях single point of failure

бывает так что падает все включая резервные

если три лдапа уронил - ССЗБ

Ну это я знаю, мне инетересно, можно ли как-то потестировать без DNS проверки, то есть чтобы с локальной виртуалки в вагранте или из докер контейнера Пока пришла в голову мысль поискать контейнер, или север, который на любой запрос от certbot на него будет отвечать, что все ок. Чтобы генерились левые сертификаты без проверки по DNS, этого бы вполне хватило

неправда, т.к. все балалайки, которые из системы в LDAP ходят, умеют прозрачно для всех дойти до резервного сервера

Это не оффтопик ли, коллеги?

Чаще всего всё завязывается на рабочие процессы в компании. Вот как у вас заведено - так и стоит делать, потому что потом натягивать реальность на результаты работы, как сову на глобус - такое себе занятие.

Тогда можно начать с простого - веб-мордочка по вкусу (Jenkins, AWX, Rundeck)

Спасибо, буду пробовать эти варианты, а то в тимсити прямо убого как-то получается.

не зашло?

Там есть несколько особенностей, ограничений. Например, ситуация: Хочется запускать плейбуки от отдельного пользователя на сервере раннеров, а мы не можем, потому что раннеры работают от другого пользователя и так положено. Плагин позволяет тупо взять репу с плейбуками и ролями и запустить его от юзера, от которого работают раннеры. В общем неудобно.

У меня подобное в гитлабе

Там есть несколько особенностей, ограничений. Например, ситуация: Хочется запускать плейбуки от отдельного пользователя на сервере раннеров, а мы не можем, потому что раннеры работают от другого пользователя и так положено. Плагин позволяет тупо взять репу с плейбуками и ролями и запустить его от юзера, от которого работают раннеры. В общем неудобно.

А там можно периодикал джобы делать?

А там можно периодикал джобы делать?

А там можно периодикал джобы делать?

https://plugins.jetbrains.com/plugin/9017-ansible-runner

в рандеке - тоже можно, кстати

Рандек хз зачем теперь нужен

Гадость страшная этот рандек. Я пару лет назад хотел внедрить вместо Дженкинса, так там бага была которая не могла запускать ансибл. Потом хотел Дженкинс заюзать, не совпало по бизнес процессам. Попробовал авх, тоже не совпало по бизнес процессам. Gocd это просто для красивой кнопочки, функционала вообще нет. Теперь хочу попробовать Форман и гитлаб ci.

gitlab-ci тоже не рекомендую для большего, чем docker build .

foreman - а ты готов к этому комбайну?

Гадость страшная этот рандек. Я пару лет назад хотел внедрить вместо Дженкинса, так там бага была которая не могла запускать ансибл. Потом хотел Дженкинс заюзать, не совпало по бизнес процессам. Попробовал авх, тоже не совпало по бизнес процессам. Gocd это просто для красивой кнопочки, функционала вообще нет. Теперь хочу попробовать Форман и гитлаб ci.

Rundeck это не замена дженкинсу

По функционалу больше похоже на ci инструмент.

Это вам кажется так

Привет! А что лучше выбрать, типа rundeck, awx, tower или что-то подбное? Нужна доменная авторизация, гибкая и настраиваемая ролевая модель, т.е. доступ к определённым inventory определённым группам, доступ на запуск определённых плейбуков, понятный интерфейс для дежурного. Лучше - если возможен запуск не только ансибл, а например ещё и других скриптов. У кого какой опыт работы с такими системами?

@devops_ru

Привет! А что лучше выбрать, типа rundeck, awx, tower или что-то подбное? Нужна доменная авторизация, гибкая и настраиваемая ролевая модель, т.е. доступ к определённым inventory определённым группам, доступ на запуск определённых плейбуков, понятный интерфейс для дежурного. Лучше - если возможен запуск не только ансибл, а например ещё и других скриптов. У кого какой опыт работы с такими системами?

@ru_devops

Это что еще такое?

вполне, в чем отличие от @devops_ru ?