D
такой тоже находила, сказали его не брать пока....
Size: a a a
2020 November 16
YS
так, это же не тот, который штаный хашикорповский для ансибла, да?
hashi_vault требует hvac, если правильно помню. Давно не тыкали requirements.txt
YS
Мне не нравится hashi_vault, но для чтения секретов он пойдёт. Всё остальное через модуль URI допиливали когда надо было. Никто так и не написал модуль для ансибла который бы всех в компании устроил.
D
host_pass: "{{
lookup(
'hashi_vault'
'secret=kv_name/data/path/to/secret:data'
auth_method=approle
role_id={{ ansible_role_id }}
secret_id={{ ansible_secret_id }}
url={{ vault_url }}
).value
}}"KV v2, поэтому secret:data и data в пути. Пароль хранится в поле value
Как запрашивать кастомную версию, а не последнюю - не разобрались.
В шифрованном group_vars/all/vault.yml храним
---
vault_url: <redacted>
ansible_role_id: <redacted>
ansible_secret_id: <redacted>
https://pypi.org/project/ansible-modules-hashivault/ вот, это про этот модуль идет речь, верно?
YS
https://pypi.org/project/ansible-modules-hashivault/ вот, это про этот модуль идет речь, верно?
Проверил requirements.txt
Мб не он.
Только
ansible
yamllint
ansible-lint
hvac
з.ы. не хочу указывать версии модулей, как и полный список модулей, они не влияют ни на что
Встроенный модуль используем.
Мб не он.
Только
ansible
yamllint
ansible-lint
hvac
з.ы. не хочу указывать версии модулей, как и полный список модулей, они не влияют ни на что
Встроенный модуль используем.
E
Ребят, можете, пожалуйста объяснить, а то я похоже туплю
Блок update и блок migrate в nomad - разве не имеют идентичную задачу?
Блок update и блок migrate в nomad - разве не имеют идентичную задачу?
2020 November 17
SM
Любой auth_backend.
Мы не разрешаем создавать учётки людям. Это может только наша сервисная уз. И онаже может обновить свойство auth backend. Типа описание, дефолтный ттл. Пол года назад при таких правках auth backend полностью удалялся терраформом и создавался новый. Без учёток. Учётки создавались при повторной прокатке. И как бы жить можно было бы, хоть и простой, но у ролей типа approle role_id, secret_id уникальные каждый раз, + все токены этого бэкенда отзываются и надо массово переавторизовываться. Когда токенов около 15к - это страшно делать.
Мы не разрешаем создавать учётки людям. Это может только наша сервисная уз. И онаже может обновить свойство auth backend. Типа описание, дефолтный ттл. Пол года назад при таких правках auth backend полностью удалялся терраформом и создавался новый. Без учёток. Учётки создавались при повторной прокатке. И как бы жить можно было бы, хоть и простой, но у ролей типа approle role_id, secret_id уникальные каждый раз, + все токены этого бэкенда отзываются и надо массово переавторизовываться. Когда токенов около 15к - это страшно делать.
А ишью не ма по поводу удаления бэкенда?
YS
А ишью не ма по поводу удаления бэкенда?
Нашёл в чейнджлоге что в 2.8.0 (февраль) провайдера починили https://github.com/terraform-providers/terraform-provider-vault/pull/650
Текущая 2.15.1. Так что я плохо проверял :-(
Текущая 2.15.1. Так что я плохо проверял :-(
SM
Уу, потестю пожалуй
D
host_pass: "{{
lookup(
'hashi_vault'
'secret=kv_name/data/path/to/secret:data'
auth_method=approle
role_id={{ ansible_role_id }}
secret_id={{ ansible_secret_id }}
url={{ vault_url }}
).value
}}"KV v2, поэтому secret:data и data в пути. Пароль хранится в поле value
Как запрашивать кастомную версию, а не последнюю - не разобрались.
В шифрованном group_vars/all/vault.yml храним
---
vault_url: <redacted>
ansible_role_id: <redacted>
ansible_secret_id: <redacted>
Привет! Втыкаю в это во все, но так и не поняла как мне в итоге залогиниться на хост с полученным секретом? Я положила результат в host_pass а как его использовать? (собственно в переменной он у меня и лежал).
D
собственно его пыталась передать через файл инвентори, но возникает ошибка что эта переменная undefined.
YS
собственно его пыталась передать через файл инвентори, но возникает ошибка что эта переменная undefined.
Понял что изначально не правильно понял.
Попробуй сунуть пароль в ansible_ssh_pass
Но не знаю работает ли ещё эта переменная, мы по ключам авторизуемся
Попробуй сунуть пароль в ansible_ssh_pass
Но не знаю работает ли ещё эта переменная, мы по ключам авторизуемся
D
Понял что изначально не правильно понял.
Попробуй сунуть пароль в ansible_ssh_pass
Но не знаю работает ли ещё эта переменная, мы по ключам авторизуемся
Попробуй сунуть пароль в ansible_ssh_pass
Но не знаю работает ли ещё эта переменная, мы по ключам авторизуемся
в инвентори? не засовывается. Если туда кладу сразу текст - то работает. Если пытаюсь туда положить переменную (у Вас {{ host_pass }} говорит что переменная undefined
D
предположительно inventory не перечитывается по ходу выполнения плейбука. и выгружается в память тогда, когда запускаю его. Если ставлю в конце таски принудительно перечитать inventory - он судя по всему оказывается вообще пустой (no matched hosts).
G
hashicorp/consul tagged: v1.9.0-rc1
Link: https://github.com/hashicorp/consul/releases/tag/v1.9.0-rc1
Release notes:
Link: https://github.com/hashicorp/consul/releases/tag/v1.9.0-rc1
Release notes:
## 1.9.0-rc1 (November 17, 2020)More
BREAKING CHANGES:
* connect: Update Envoy metrics names and labels for proxy listeners so that attributes like datacenter and namespace can be extracted. [[GH-9207](https://github.com/hashicorp/consul/issues/9207)...
2020 November 18
YS
предположительно inventory не перечитывается по ходу выполнения плейбука. и выгружается в память тогда, когда запускаю его. Если ставлю в конце таски принудительно перечитать inventory - он судя по всему оказывается вообще пустой (no matched hosts).
Пример похожий на наш с тем как забирать пароль из волта с помощью hashi_vault
+ правки того примера который скидывал недавно. С тех пор как завели hashi_vault научился работать с KV v2 и больше не надо писать path/to/secret:data и где-то в конце .field. Теперь можно сразу path/to/secret:field
=======================================================
UPD:
Совсем забыл ссылку добавить :shy:
https://github.com/infra-lab-xyz/docker-lab/tree/master/hashi-vault
+ правки того примера который скидывал недавно. С тех пор как завели hashi_vault научился работать с KV v2 и больше не надо писать path/to/secret:data и где-то в конце .field. Теперь можно сразу path/to/secret:field
=======================================================
UPD:
Совсем забыл ссылку добавить :shy:
https://github.com/infra-lab-xyz/docker-lab/tree/master/hashi-vault
E
Ребят, nomad автоматом раскидывает контейнеры по тачкам кластера?
MM
да
E
А как он тогда поступает с volume?
MM
там где есть туда и кидает