MAJA: Ja bych na to sel cestou volani nejak skriptu z toho proxyserveru. Tedy proxy zavola nejakou neprivilegovanou cestou neco na tom stroji, ktery potrebuje obnoveny certifikat a ten pak teprve provede stazeni certifikatu z tveho cert storu na proxy (at uz rsyncem, pres http, sftp whatever) a pak provede reload potrebnych sluzeb - jenom tenhle posledni krok bude potrebovat rootovska opravneni.
Zajimavou moznosti u rsyncu je treba pre a post-xfer exec, kdy ti ten rsync posloucha jako daemon a tim, ze se na nej pripojis, se spusti nejaka akce, ktera uz muze probehnout pod rootem. Pritom samotny modul rsyncu je chrootnuty a muze byt read only.

MAJA: ja jsem tu v gitlabu udelal CI, ktery dela renew, a pak vsechny certy nacpe do gitu. Kazdej stroj si v noci stahne repozitar s certifikatama, a reloadne nginx.

MAJA: Ja delam ty certifikaty nektery hvezdickovy, takze je delam pres DNS.
Vypada to tak, ze na domene je udelanej TXT CNAME na dns server, klterej si pousti a manazuje to CI
takze v hlavnim DNS je:
_acme-challenge.ahoj.cz IN CNAME ahoj.cz.le.adresatohodnsvci.cz

takze by to znamenalo do DNS, ktery spravuje jina firma jen pridat zaznam pro kazdou domenu - a nasmerovat ho na tvuj DNS server. kde si pak udelas overeni.
btw. nemusis cekat, ejstli to prosaklo na druhej konec - LE se pta primo autoritativniho dns serveru, takze tam muzes zadat zaznam, a udelat reload - a v tom okamziku to le najde. ja tam mam tusim 5 sec pauzu.

MAJA: Proč to nenecháš na té proxy?

hele, má si po deploy infra přes jenkins napsat testovací bash skripty jestli ty služby běží na webu korekně. Nebo je na to nějaký hezký framework? Mohl bych třeba použít ansible, ale přijde mi to vlastě neohrabaný.

MAJA: jojo, jednou týdně mám v emailu backup report a když se něco nezálohovalo v posledních 3 dnech, už posílá varování

Ja sem s AWX celkem spokojenej, nepouzivam teda moc gui jako spis API. Hlavnim duvodem byly prave ACL ktery mam pres SSO a mame tak nad tim audit, dalsi vyhodou je hlavne scheduler

TOOMIX: dobrý vědět, že Crashplan funguje

MAJA: jo, obnovoval jsem asi 80GB, které jsem omylem smazal a bez problému

MAJA: ono rundeck nejni o moc jednodussi, ale umi i jiny veci nez ansible (winrm,python/bash scripty) umi formatovat json output hezky do tabulek, nebo do html, suprovy moznosti input options filteringu...

CHOROBA: Ten rundeck okouknu, AWX mi přijde hrozně složitý ... možná pro velkou infrastrukturu a hodně hodně userů se to vyplatí všechno nastavovat.

MAJA: na console verzi ansible maj users public klic,kazdej vlastni, kterej je ale zaloguje jako ansible usera.
jinak na gui pouzivame Rundeck a jsem tak nejak o dost spokojenejsi nez s AWX

A zkoušel to někdo z vás pak obnovit z té cloudové zálohy ?

MAJA: do Crashplanu jsem 17TB cpal dva měsíce, ale je to tam :)

KAPLIK: zatím je jen pár rolí, na každý druhý server mám jiný login ... až to uzraje, tak bych to pouštěl pod AWX, kde by byl nastavený user ansible ... to mi nepřijde jako prohřešek

MAJA: tak jeste muzes udelat nejaky "mezikrok" a pokud je k dispozici naprijlad Jenkins, tak to poustet tim... ale zalezi na situaci no

KAPLIK: tak to momentálně je, až toho bude víc, tak plánuju AWX, ale zatím mi to přijde 3x složitější v AWX než to pustit v konzoli ...

MAJA: Taky rclone, do hubic... Ale je to potřeba použít jako mount, jinak to zlobí - některé chunky to uploaduje třeba 130x, než se to povede

SAMGARR: já tam tlačil cca 200GB několik týdnů, mezitím mi to za cca 2 týdny nahlásilo, že jako Complete backup, ale zdaleka neodešla ani třetina. Nějak jsem pak neměl ani důvěru ani trpělivost.

MAJA: okolo 500 GB, zpomaleni zatim nepozoruju

Mám dotaz na Ansible :

Mám na strojích založeného uživatele ansible, pod kterým chci provádět yml skripty. Většina serverů ale vyžaduje SSH přístup skrz public key a já to nebudu používat sám. Jaká je nejhezčí řešení (krom AWX) ? Nějak se mi nelíbí rozkopírovat mezi adminy private key k účtu ansible.

SAMGARR: Kolik tam máš dat ? Když jsem to před nějakým časem řešil, tak jsem Backblaze vyřadil ... čím víc dat, tím pomaleji to tam uploadovalo.