• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    INDIANCentralizovaná správa stanic a ostatních prvků v síti - automation/monitoring/alerting a dalsi devops nastroje
    RAGNAROK
    RAGNAROK --- ---
    Zkousim playbook:
    task:
    -name: 1. vygeneruj password a uzivatelske jmeno a uloz do vaultu
    -name: 2. vytvor uzivatele s vygenerovanymi udaji

    task jedna bych se snazil udelat pomoci ansible.builtin.command. Akorat bych potreboval aby command ansible-vault create nebyl interaktivni tj. abych moh nacpat hodnotu do vaultu bez toho abych musel manualne editovat desifrovany vault.
    RAGNAROK
    RAGNAROK --- ---
    Zkousim neco s ansible-vault
    mam soubor passfile s hesly:
    label1 hellopassword1
    lablel2 hellopassword2

    pak vytvorim soubor s variables:
    ansible-vault create --vault-id label1@passfile vars

    pak zkousim cist soubor
    ansible-vault create --vault-id label1@passfile vars 'soubor se precte
    ansible-vault create --vault-id label2@passfile vars 'soubor se taky precte a to si myslim ze by nemelo
    ansible-vault create --vault-id somelabel@passfile vars 'soubor se otevre i s neexistujicim lablem

    wtf nevim jestli je to feature nebo tomu nerozumim viz:https://docs.ansible.com/ansible/latest/user_guide/vault.html

    Prijde mi ze se vault zahesluje celym obsahem souboru a ne jen jednou radkou. Nevim jestli radky musi byt ukonceny LF, CR nebo CRLF.
    RAGNAROK
    RAGNAROK --- ---
    Zdravim, slo by nejak v ansible z jednoho playbooku pustit paralelne nekolik tasku na jednom hostu?
    Zkopirovat bash script z lokalu na host a na hostu ho pak pustit.
    (Treba skript na vytvoreni iptables firewallu a pokud po nejaky dobe neprojde check tak da iptables do puvodniho stavu)
    Po aplikaci iptables rules se spusti jinej ansible task kterej zcheckuje ze je vsechno funkcni (hlavne ssh login abych si tam neuzavrel pristup) a potvrdi check prvniho tasku ze je vse ok.

    Snad je pochopitelne o co mi jde.
    INDIAN
    INDIAN --- ---
    MAJA: ja mam interni gitlab pres HTTPS a uplne bez problemu
    MAJA
    MAJA --- ---
    INDIAN: už jsem to asi lousknul, sice to mělo předpokládaně vzít https URL ale nakonec to projelo přes ssh ... celkově to působí na jednoduchý věci komplikovaně takhle minimálně zezačátku
    dík
    INDIAN
    INDIAN --- ---
    MAJA: co mas za git server a kde ho mas ? autentifikace git+ssh nebo https ?
    MAJA
    MAJA --- ---
    INDIAN: to mám nastavené, ale hláší Authentication failed
    INDIAN
    INDIAN --- ---
    MAJA: Je treba si nastavit nejdriv Credentials jako "Source control" a ty pak pouzit pri deklaraci tvyho projektu.. Co konkretne nejde ?
    MAJA
    MAJA --- ---
    Používáte někdo AWX ?
    Pokusně jsem to rozjel, ale zaboha nejsem schopen to donutit, aby si to tahalo ansible skripty z GIT repozitáře.
    INDIAN
    INDIAN --- ---
    MUXX:ted si uvedomuju ze mame asi 2 win servery s RDP pristupem v US ale fr. AZERTY klavesnici, pac to byl vzdycky ze stejnyho duvodu voser na AZERTY bouchat hesla s QWERTY mappingem (sidlime ve Francii)
    CHOROBA
    CHOROBA --- ---
    ja zadnej server s GUI nemam a vsechno mam US
    MUXX
    MUXX --- ---
    INDIAN: Ja tam ani pristup nechtel, ale skoncilo to tak, ze "kdyz to chces zmenit/opravit, tak tady mas pristup". typicky dostanu nejaky RDP/VNC/SSH a prvni co, tak nejsem schopnej napsat specialni znaky v hesle. Nasledne lomitka a uvozovky v shellu. Par firem co instaluje vsechno cesky jsem taky videl. Jenom by me zajimalo jestli je to bezny nebo jsem divnej kdyz vsude davam default eng/US + narodni klavenici jako druhou.
    INDIAN
    INDIAN --- ---
    MUXX: Je to opravdu takovej problem to takhle nainstalovat? (ptam se, nemam zkusenost s Win/Mac, nicmene linuxovyho desktopu je to samo trivialni)
    MUXX
    MUXX --- ---
    Kdyz instalujete systemy s UI (linux/window/Mac) jaky tam davate prostredi? Me fascinuje jedna banka kde je vsechno nainstalovane anglicky, ale pouze s rakouskou klavesnici. Jsem uplne ztracenej. A kdyz jim tam dam anglickou, tak jsou ztraceni oni.
    MAJA
    MAJA --- ---
    SAMGARR: to jo, spíš, že testování nepobere nějaké nechtěné interakce mezi sw třeba
    SAMGARR
    SAMGARR --- ---
    MAJA: playbook by mel byt indepotentni, takze by se mel chovat vzdy a vsude stejne, ne?
    MAJA
    MAJA --- ---
    Takový hloupý dotaz - koukám na Ansible Molecule.
    Pokud jsem to dobře pochopil, tak si ,zjednodušeně, pustí playbook na nějakém docker image a otestuje/zkontroluje, že to dělá, co je tam napsáno.

    Mám trochu problém s tím, že chování může být jiné u typicky minimalistického, čistého docker image vs, reálný stroj.
    RUDOLF
    RUDOLF --- ---
    KRISHNA: Imho, tohle se řeší přes Ansible Tower/AWX. Tam by aktivitu musel někdo odmazat z databáze.
    AQUARIUS
    AQUARIUS --- ---
    KRISHNA: pokud nemají centralizovanej sběr logů, tak nasadit. pokud mají a hbitý admin ty logy maže z centrálního úložiště, je to na ukončení pracovního poměru. jinak ansible defaultně loguje fakt hodně, ale dá se to, tuším, potlačit. Řešením může být sebrat devops teamu přístup a nechat je playbooky pouštět přes awx/Tower. Pak bude audit trail v gitu a navíc Tower ukáže přesně na konkrétního viníka.
    Kliknutím sem můžete změnit nastavení reklam