Коллеги, есть еще вопрос про CI
Нужно деплоить на пачку разных серверов
Используем Gitlab CI c shell runner'ами, на серверах работают разные сервисы, серверы управляются чз ansible.
На разных серверах сервисы работают под разными юзерами.
Нужно выполнять обновления кода этих самых сервисов и доставлять  их на серверы (чз rsync). Как лучше это сделать?

Сейчас мы ключи shell-юзеров gitlab-runner раскладываем на каждый сервер, делаем rsync %app_username%@serverи, и, раз юзеры на каждом сервере свои, процесс не полностью автоматизирован.
Как автоматизировать процесс максимально? Если пока не переходить к Docker, например, а работать в текущей системе.

Сделать единого юзера (какого-нибудь deployer), из-под которого выполнять деплой на все серверы?

Да

Но вообще, shell раннеры сжечь недолго

А на что перейти?

докер/куб

+ ключи сначала должны быть зашифрованы в коде/лежать в vault

в принципе, можно сделать файлик с мапом имён пользователей и имён серверов, если они долгоживущие у вас и положить его в тот же CI.

а не валяться на сервере/в контейнере

А потом переходить накакую-то авторизацию 3rd party

Не, куб пока не надо
Будет, но прямо сейчас нужно текущую систему сделать более автоматизированной
Вот этот пункт с ключами и именами юзеров - один из тех, что не дает разворачивать новые серверы/сервисы побыстрее

freeipa/azure/что угодно

PAM может всё

Ключ в коде/в ваулте, имя пользователя которым цепляетесь -  в плейбуке

М, т.е. серверы с сервисами будут принимать подключения от gitlab-runner, т.к. freeipa сказала им, что этот юзер хороший, пусти его с вот такими правами

Жи есть

Ага, юзеры в плейбуках/.gitlab-ci.yml есть
А чьи ключи в vault?

ssh

ключи раннеров же?

yt