Девопсы есть тут / ansible вопрос?

[M. Ridcully]

По какой-то странной причине, ansible переходит на нечто, под названием Paramiko при использовании password authentication.
Вопрос - как научить Paramiko подцеплять ~/.ssh/config???

[zVlad]

По какой-то странной причине, ansible переходит на нечто, под названием Paramiko при использовании password authentication.
Вопрос - как научить Paramiko подцеплять ~/.ssh/config???

Да тут все просто: не надо пепелацу без гравицапы из гаража выкатывать.

[Oleg-NY]

Сомневаюсь, что чисто питоновский ssh клент понимает OpenSSH-вский конфиг. Хотя все возможно. Я не в курсе деталей имплементации Paramiko.

[kostik78]

По какой-то странной причине, ansible переходит на нечто, под названием Paramiko при использовании password authentication.
Вопрос - как научить Paramiko подцеплять ~/.ssh/config???

Тока что проверил ansible 2.2.1.0 использует ssh не Paramiko. Paramiko был дефолтовым в самом начале жизни Ansible. Сейчас по умолчанию используется ssh (Linux and Mac OS X). Про винду не знаю.

[M. Ridcully]

По какой-то странной причине, ansible переходит на нечто, под названием Paramiko при использовании password authentication.
Вопрос - как научить Paramiko подцеплять ~/.ssh/config???

Тока что проверил ansible 2.2.1.0 использует ssh не Paramiko. Paramiko был дефолтовым в самом начале жизни Ansible. Сейчас по умолчанию используется ssh (Linux and Mac OS X). Про винду не знаю.

Речь о случае, когда использую --ask-pass опцию. У меня молчаливо (!) переходит на Paramiko. Пришлось, блин, в исходники лезть, чтобы понять, почему одна и та же команда работает работает с использованием ключей, но не находит хост, если добавляешь -k / --ask-pass.

Ну хрен с ним, пускай используют Paramiko, если им нужно. Но пусть эта библиотека хотя бы ~/.ssh/config понимает!

[Oleg-NY]

Ну хрен с ним, пускай используют Paramiko, если им нужно. Но пусть эта библиотека хотя бы ~/.ssh/config понимает!

Ну это как бы врядли! Все-таки OpenSSH и Paramiko из сильно разных бочек. Другое дело какой _реально_ метод SSH аутентификации --ask-pass опция подразумевает. Это может быть и "password", и "keyboard-interactive"... В последнем случае не мудрено, что они переключаются на встроенный клиент.

[M. Ridcully]

Ну хрен с ним, пускай используют Paramiko, если им нужно. Но пусть эта библиотека хотя бы ~/.ssh/config понимает!

Ну это как бы врядли! Все-таки OpenSSH и Paramiko из сильно разных бочек. Другое дело какой _реально_ метод SSH аутентификации --ask-pass опция подразумевает. Это может быть и "password", и "keyboard-interactive"... В последнем случае не мудрено, что они переключаются на встроенный клиент.

Ну хорошо, а как с этим бороться-то? Задача - "bootstrap" хоста. Вот как сейчас происходит:
1. Создаю VM;
2. прописываю её имя в ~/.ssh/config;
3. вручную лезу на неё по паролю, добавляю свой ключ в authorized_keys, редактирую /etc/sudoers для беспарольного sudo, устанавливаю Питон;
4. тут уже ansible работает по-человечески.

Задача - автоматизировать пункт 3. По-идее, bash скрипт написать можно, наверное, но чего-то пока не понял, как его так написать, чтобы можно было из него отредактировать sudoers.

[АццкоМото]

В суду же вроде пароль можно параметром передавать (не у компа, не могу проверить)

[Oleg-NY]

Так вы выяснили почему они переключаются на Paramiko? Если не можете запретить "keyboard-interactive" на сервере, то попробуйте сделать это на клиенте (KbdInteractiveAuthentication в вашем ~/.ssh/config). Может прокатит...

[M. Ridcully]

Так вы выяснили почему они переключаются на Paramiko?

Якобы, баг на OSX: https://github.com/ansible/ansible/blob ... xt.py#L632

Если не можете запретить "keyboard-interactive" на сервере, то попробуйте сделать это на клиенте (KbdInteractiveAuthentication в вашем ~/.ssh/config). Может прокатит...

Я вас не понял. Мне как раз по паролю и нужно влезть, так как ключей там никаких ещё нету.
Проблема в том, что Paramiko даже имени их ~/.ssh/config не понимает.

[Oleg-NY]

Идея была в том, что ansible все же сначала пробует ssh и потом только переключается на Paramiko, но судя по коду вам надо сменить платформу... ))
Самому Paramiko как SSH клиенту глубоко пофиг на ~/.ssh/config скорее всего. Найдите другой способ сообщить ему ваши параметры. Собственно это должен делать сам ansible, раз переключается на другой клиент.

[Mr4k]

Ну хорошо, а как с этим бороться-то? Задача - "bootstrap" хоста. Вот как сейчас происходит:
1. Создаю VM;
2. прописываю её имя в ~/.ssh/config;
3. вручную лезу на неё по паролю, добавляю свой ключ в authorized_keys, редактирую /etc/sudoers для беспарольного sudo, устанавливаю Питон;
4. тут уже ansible работает по-человечески.

Задача - автоматизировать пункт 3. По-идее, bash скрипт написать можно, наверное, но чего-то пока не понял, как его так написать, чтобы можно было из него отредактировать sudoers.

А где и как создается VM? Обычно принято на этапе создания делать inject ключей и минимальный bootstrap, необходимый для запуска config management tool.

[StrangerR]

Так вы выяснили почему они переключаются на Paramiko?

Якобы, баг на OSX: https://github.com/ansible/ansible/blob ... xt.py#L632

Если не можете запретить "keyboard-interactive" на сервере, то попробуйте сделать это на клиенте (KbdInteractiveAuthentication в вашем ~/.ssh/config). Может прокатит...

Я вас не понял. Мне как раз по паролю и нужно влезть, так как ключей там никаких ещё нету.
Проблема в том, что Paramiko даже имени их ~/.ssh/config не понимает.

А кто вам мешает ключ в образ VM-ки добавить? Я могу дать координаты человека который на этом собаку скушал, но я там проблем не заметил, он сразу ансиблем генерит VM-ку и без проблем к ней подцепляется (там вообще человек не учавствует). Другое дело, что мы потом эти имейджи клонируем, так как каждый имейдж с нуля ставить - мазохизм полный *если что, у меня под 2000 VM-ок в зоопарке, всех видов животных вплоть до FreeBSD и Win2000 /а нет, нет ни одной WIn 95 или Win NT, так что зоопарк не полный/

[kostik78]

Я вас не понял. Мне как раз по паролю и нужно влезть, так как ключей там никаких ещё нету.
Проблема в том, что Paramiko даже имени их ~/.ssh/config не понимает.

Как мы делаем. Есть базовый libvirt image (типа Centos 7 minimal) и стартап скрипт (initd-inject который как раз и положит нужный ключ из secure repository according to network env). И вообщем все, VM создается автоматически с самим же ансиблом с помошью virt-install... а далее запускается playbook которая соотвествует типу сервиса что VM будет обслуживать. Человек в этом процессе участвует только в самом начале когда определяет параметры хоста (имя, ip, vlan и virthost) ... и дает пинка ансиблу и все. Как ансибл закончит, он пришлет нотификацию что VM готова. Дай знать если нужно детальнее поговорить как это можно делать, созвонимся.

ЗЫ. У нас таким же образом Mesos cluster создает VM для OS которые с cgroups не дружат (Windows and FreeBSD)

[hey_google]

Добавьте опцию --connection=ssh, и будет вам по идее счастье. А, ну и оно попросит доставить sshpass, т.к. парамико умеет из коробки это, поэтому на него и переключается.

[M. Ridcully]

Как мы делаем. Есть базовый libvirt image

Что такое libvirt image? Или это просто iso файл дистрибутива?
Вообще почитал, вроде как раз то, что мне нужно. Спасибо за подсказку про initrd-inject! А то я тоже пришёл к выводу, что ключ лучше в момент установки сразу распространять, но думал, что придётся кастомные iso создавать.

А для virt-install в ansible какой-то свой модуль есть, или модуль command используете?

[uncle_Pasha]

Простите, я всегда спрашиваю, но никто толком и не ответил.
А кто такие эти девопсы?
Спасибо.

[rorp]

А кто такие эти девопсы?

Сисадмины-хипсторы.

[kostik78]

А кто такие эти девопсы?

Сисадмины-хипсторы.

Так было - сейчас это скорее программисты которые понимают инфраструктру и что можно и нужно автоматизировать. Времена хипстеров уже прошли.

[M. Ridcully]

Я вас не понял. Мне как раз по паролю и нужно влезть, так как ключей там никаких ещё нету.
Проблема в том, что Paramiko даже имени их ~/.ssh/config не понимает.

Как мы делаем. Есть базовый libvirt image (типа Centos 7 minimal) и стартап скрипт (initd-inject который как раз и положит нужный ключ из secure repository according to network env). И вообщем все, VM создается автоматически с самим же ансиблом с помошью virt-install... а далее запускается playbook которая соотвествует типу сервиса что VM будет обслуживать. Человек в этом процессе участвует только в самом начале когда определяет параметры хоста (имя, ip, vlan и virthost) ... и дает пинка ансиблу и все. Как ансибл закончит, он пришлет нотификацию что VM готова. Дай знать если нужно детальнее поговорить как это можно делать, созвонимся.

ЗЫ. У нас таким же образом Mesos cluster создает VM для OS которые с cgroups не дружат (Windows and FreeBSD)

Отпишусь, вдруг кому пригодится, как проблему решил.

Оказалось, есть нечто, под названием cloud-init. Оно присутствует на официальных images Убунты, в названии чего-то-там-cloud.

Берётся это самый vanilla image, запускается через virt-install с опцией --import, и ему скармливается ISO с кастомизацией вроде SSH keys, hostname, etc.

Всё. Остальную автоматизацию можно уже непосредственно в VMке делать на башевских скриптах. Никаких Ансиблов, Питонов и т.д.