MAJA: no ja to mam tak, ze mam nginx, ktery se stara certbotem o certifikaty a dela zaroven ssl offload. certifikaty tak nemam potreba nikam dal kopirovat. na ostatni veci pouzivam interni CA, protoze nechci, aby moje interni systemy byly ve verejnym lets encrypt seznamu.

no ja nevim, pouzivam getssl a to umi co chces.

GitHub - srvrco/getssl: obtain free SSL certificates from letsencrypt ACME server Suitable for automating the process on remote servers.
https://github.com/srvrco/getssl

MUXX: Koncept je takový, že jedině ta certifikační proxy vidí do internetu a obnovuje pravidelně LE certifikáty pomocí Dehydrated.io. Stroje, pro které ty certifikáty jsou, budou víceméně odříznuté ... nemám vymyšlenou cestičku distribuce ... napadlo mě, aby si každý stroj cronem/skriptem z té proxy nakopíroval potřebné soubory, cheknul že jsou všechny a podstrčil je apache,nginx etc ... jenom si říkám, že už to pravděpodobně někdo vymyslel a dost pravděpodobně líp než bych to zbastlil já :-)

MAJA: Proč to nenecháš na té proxy?

hele, má si po deploy infra přes jenkins napsat testovací bash skripty jestli ty služby běží na webu korekně. Nebo je na to nějaký hezký framework? Mohl bych třeba použít ansible, ale přijde mi to vlastě neohrabaný.

MAJA: jojo, jednou týdně mám v emailu backup report a když se něco nezálohovalo v posledních 3 dnech, už posílá varování

Ja sem s AWX celkem spokojenej, nepouzivam teda moc gui jako spis API. Hlavnim duvodem byly prave ACL ktery mam pres SSO a mame tak nad tim audit, dalsi vyhodou je hlavne scheduler

TOOMIX: dobrý vědět, že Crashplan funguje

MAJA: jo, obnovoval jsem asi 80GB, které jsem omylem smazal a bez problému

MAJA: ono rundeck nejni o moc jednodussi, ale umi i jiny veci nez ansible (winrm,python/bash scripty) umi formatovat json output hezky do tabulek, nebo do html, suprovy moznosti input options filteringu...

CHOROBA: Ten rundeck okouknu, AWX mi přijde hrozně složitý ... možná pro velkou infrastrukturu a hodně hodně userů se to vyplatí všechno nastavovat.

MAJA: na console verzi ansible maj users public klic,kazdej vlastni, kterej je ale zaloguje jako ansible usera.
jinak na gui pouzivame Rundeck a jsem tak nejak o dost spokojenejsi nez s AWX

A zkoušel to někdo z vás pak obnovit z té cloudové zálohy ?

MAJA: do Crashplanu jsem 17TB cpal dva měsíce, ale je to tam :)

KAPLIK: zatím je jen pár rolí, na každý druhý server mám jiný login ... až to uzraje, tak bych to pouštěl pod AWX, kde by byl nastavený user ansible ... to mi nepřijde jako prohřešek

MAJA: tak jeste muzes udelat nejaky "mezikrok" a pokud je k dispozici naprijlad Jenkins, tak to poustet tim... ale zalezi na situaci no

KAPLIK: tak to momentálně je, až toho bude víc, tak plánuju AWX, ale zatím mi to přijde 3x složitější v AWX než to pustit v konzoli ...