IB
Что за сетевые vault? Речь про hashicorp? Не сделать через него в этом случае тоже.
Size: a a a
2020 May 29
S
Хочу убедиться, что решения лучше не существует.
в https://t.me/ansible_ru уже спрашивал?
IB
Неа, спасибо за наводку, попробую
AN
хашикорп, да.
Там же можно таскать только id секрета через плейбуки.
Там же можно таскать только id секрета через плейбуки.
IB
Это немного не то. Он работает через lookup который выполняется на хосте, с которого играется плейбук. А моя задача - именно с удаленного хоста получить приватные данные(хосты, кстати, берут иx из Vault :)).
S
Это немного не то. Он работает через lookup который выполняется на хосте, с которого играется плейбук. А моя задача - именно с удаленного хоста получить приватные данные(хосты, кстати, берут иx из Vault :)).
может плюнуть на все и сделать все через стандартный ansible-vault ?
IB
Сейчас через него 🙁
СЛ
Это немного не то. Он работает через lookup который выполняется на хосте, с которого играется плейбук. А моя задача - именно с удаленного хоста получить приватные данные(хосты, кстати, берут иx из Vault :)).
В ансибле можно брать данные откуда угодно и запускать где угодно
IB
Но хочется чтобы все красиво было по аналогии со всем продом в Vault.
IB
В ансибле можно брать данные откуда угодно и запускать где угодно
Во "взять" нет проблем. Проблема - не светить в логах то, что взяли.
СЛ
Во "взять" нет проблем. Проблема - не светить в логах то, что взяли.
А что берете если не секрет?
IB
Вообще смысл в том, чтобы хосты сами авторизовывались в Vault. Они у нас умеют это делать.
В этом случае не нужно давать доступ хостам с ansible ко всем секретам.
В этом случае не нужно давать доступ хостам с ansible ко всем секретам.
СЛ
Вообще смысл в том, чтобы хосты сами авторизовывались в Vault. Они у нас умеют это делать.
В этом случае не нужно давать доступ хостам с ansible ко всем секретам.
В этом случае не нужно давать доступ хостам с ansible ко всем секретам.
Не надо ко всем
IB
Если использовать lookup и ходить в волт с ансибла - он должен иметь доступ ко всему проду.
СЛ
Там есть одноразовый ключ в vault
IB
Ко всем нужным == ко всем
IB
Там есть одноразовый ключ в vault
А можно подробнее, или ссылку, о чем речь?
СЛ
СЛ
На одно действие делается ключ
СЛ
прогоняется плейбук