i
не
Size: a a a
2020 May 18
i
раннер не должен никаких ключей иметь, это только платформа для запуска
i
Все, что нужно чтобы запустить деплой - должно нестись с деплоем
i
Базово - ключи в ansible vault и в репу
i
Потом - ключи в vault и пусть ансибл их оттуда забирает на вход
i
А сами ключи проверяются через 3rd party
ВИ
А чьи ключи? Что-то не понимаю схему
i
А чьи ключи? Что-то не понимаю схему
ssh rsa
i
юзера, с которым деплоишь
AU
то, что у тебя на раннере сейчас в /home/user/.ssh/id_rsa валяется
ВИ
А если их десятки-сотни? Каждого завести в vault?
i
то есть схема - ты запускаешь плейбук, ансибл идет в vault, забирает ключ, потом идет на сервер, дает его серверу, там PAM несет его в ту же фриипу и спрашивает, валидный ли это ключ для этого пользователя? та говорит да, пользователь входит и деплоит
i
А если их десятки-сотни? Каждого завести в vault?
А вам точно надо сотни пользователей на деплой?
i
Ну если это сотни проектов - да, у каждого должен быть свой
ВИ
У меня появляется новый сервис - появляется юзер, и к нему нужно положить ключи. Это можно автоматизировать, но не когда появляется новый уникальный юзер. Его как минимум в ваулт нужно занести и сделать "маппинг юзеров и серверов"
Я хочу вот этого избежать - ручной работы в момент появления нового сервиса.
Я хочу вот этого избежать - ручной работы в момент появления нового сервиса.
i
У меня появляется новый сервис - появляется юзер, и к нему нужно положить ключи. Это можно автоматизировать, но не когда появляется новый уникальный юзер. Его как минимум в ваулт нужно занести и сделать "маппинг юзеров и серверов"
Я хочу вот этого избежать - ручной работы в момент появления нового сервиса.
Я хочу вот этого избежать - ручной работы в момент появления нового сервиса.
У тебя может быть один проект и в нем 100 сервисов
ВИ
А вам точно надо сотни пользователей на деплой?
Сейчас так разработано
Не сотни, но уже десятки
Переделаем, но ресурсов прямо сейчас нет
Не сотни, но уже десятки
Переделаем, но ресурсов прямо сейчас нет
i
Зачем для одного проекта разные пользователи?
i
Которые еще и на один сервер могут деплоить часто
i
проект - пользователь деплоя