Как отредактировать nginx с помощью ansible?

Question

[alvenysh]

Задача отредактировать файл не используя template
условно

ssl_certificate /etc/nginx/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/privkey.pem;

error_log syslog:server=<Адрес сервера SIEM>:<Порт сервера SIEM>,facility=local6,tag=siemnginxerrlog info;

access_log syslog:server=<Адрес сервера SIEM>:<Порт сервера SIEM>,facility=local6,tag=siemnginxacclog,severity=info combined;

всё это должно происходить в блоке server { }
какие при этом проблемы:
1 нельзя использовать template (а было бы так просто)
2 есть пересекающиеся значения

3 нельзя использовать ничего не из стандартных репозиториев (т.е. если даже есть в community или galaxy какая-нибудь подходящая коллекция, её использовать нельзя)
Что я пробовал и думал:
грепом найти значения не выйдет, т.к. есть пересекающиеся значения. Искать по полной строчке тоже не вариант, т.к. теоретически может быть такая ситуация, когда в строке у ip будет по ошибке одна цифра отличаться и тот же греп уже не найдет значения и я добавлю строку рядом.
По хорошему наверное нужен либо хороший awk скрипт, который будет искать только в нужном блоке (хотя спасёт ли это от задвоения?), либо что-то что я пропускаю.
Есть идеи как это организовать?

Answer 1

[alvenysh]

Всем спасибо, путём долгих переговоров и убеждений заказчика, таки удалось доказать что template использовать можно и нужно в данном случае (тем более, как оказалось, они изначальные конфиги сами шаблонами генерили, зачем было упрямиться?).
Вопрос закрыт, бесконечное количество нервов убито))

Comments

[Sanes]

Не обязательно использовать Template. Можно редактировать блоками. У каждого подхода свои плюсы.

Answer 2

[Сергей Соколов]

может, вынести строки в отдельный файл, инклюдить его в конфиг NGINX, ansible'ом изменять тот отдельный файл.

Comments

[alvenysh]

есть вероятность что кто-нибудь вручную уже занёс эти строки в сам файл, но отбрасывать идею не буду, спасибо

Answer 3

[Пума Тайланд]

Начните с вопроса почему нельзя тимплейт
Отсюда у вас сразу же будет понятно кто идиот
Ощущение что вы хотите что то менять в файле ансиблом и другие люди ещё хотят его менять руками и вы боитесь что они криво поменяют и у вас что то сломается, этого бояться не надо, если козлы руками накосячат это их проблемы

Comments

[alvenysh]

ну по сути да, ощущение верное) я просто вижу что даже на тестовом стенде где-то часть настроек руками вбита (неверно), часть не вбита).
и по факту нужно универсальное средство.
Вот только по моим ощущениям шаблон как раз и будет тем самым универсальным средством)

[Пума Тайланд]

alvenysh, надо просто палкой бить гандонов которые руками меняют конфиги

Answer 4

[Алексей]

Кроме template есть ещё blockinfile, lineinfile и replace.

Но я бы начал с вопроса, кто и зачем ввел описанные вами ограничения. Потому что если автоматизировать бордак, будет автоматизированный бордак. Качественное внедрение Ansible предполагает изменение структуры конфигов и полный отказ от ручного управления хостами. Я слышал легенду про красную лампочку, которая загорается в кабинете у главного сисадмина Яндекса, если кто-то руками вошёл на продакшен. По легенде, он лично отправляется знатно олюлить нарушителя.

Answer 5

[ky0]

Можно реализовать шаблонизацию на Jinja2 и не используя template - прямо внутри таски с set_fact, например. Это костыль, но условиям удовлетворяет.

Comments

[alvenysh]

а можно пример? я не совсем понял

[ky0]

alvenysh, вы скажите сначала - содержимое файла можно генерировать в Ansible? Если да - я приведу пример, как это сделать без ansible.builtin.template.

А если нельзя - ансибл выглядит не особенно подходящим инструментом.

[alvenysh]

ky0, ну не всё, конкретные параметры только можно, иначе я бы template использовал.
а так - каким угодно способом надо проверить если параметры в конкретном блоке конфига. Если нет - добавить, если отличаются - обновить.
Хоть темплейтом, хоть скриптом, если его куда-нибудь в defaults закинуть можно.

[ky0]

alvenysh, ансибл тут не нужен. Точнее, всякие приседания с grep/awk/sed можно выполнить и без него.

Инклюд, как предложили рядышком, наверное даже лучше будет (и отдельный файл можно затемплейтить!)

Answer 6

[Александр]

Какое исходное и конечное значение должно быть? Не совсем понятно что нужно заменить?
В чем проблема использовать lineinfile и поиск по regexp?
- name: Replace syslog server
ansible.builtin.lineinfile:
path: /etc/nginx/nginx.conf
regexp: '^error_log\s+syslog:server=[^,]+,\s*facility=local6,tag=siemnginxerrlog\s+info;'
line: 'error_log syslog:server=192.168.1.100:514,facility=local6,tag=siemnginxerrlog info;'
backup: yes

Comments

[alvenysh]

а если строки нет? он же просто напишет ок и ничего не сделает.
Другой вопрос что таким образом можно все строки просто удалить и потом вставить нужные.
Вот только конфигов 5, как будто слишком большое нагромождение будет.

[Александр]

alvenysh,
https://docs.ansible.com/ansible/latest/collection...
If the regular expression is not matched, the line will be added to the file in keeping with insertbefore or insertafter settings.

Answer 7

[Алексей Владимиренко]

awk '
   /server {/ { in_server = 1 }
   in_server && /ssl_certificate / { next }
   in_server && /ssl_certificate_key / { next }
   in_server && /error_log / { next }
   in_server && /access_log / { next }
   in_server && /}/ { 
       print "    ssl_certificate /etc/nginx/ssl/fullchain.pem;"
       print "    ssl_certificate_key /etc/nginx/ssl/privkey.pem;"
       print "    error_log syslog:server=<Адрес сервера SIEM>:<Порт сервера SIEM>,facility=local6,tag=siemnginxerrlog info;"
       print "    access_log syslog:server=<Адрес сервера SIEM>:<Порт сервера SIEM>,facility=local6,tag=siemnginxacclog,severity=info combined;"
       in_server = 0
   }
   { print }
   ' /etc/nginx/nginx.conf > /etc/nginx/nginx.conf.tmp
   mv /etc/nginx/nginx.conf.tmp /etc/nginx/nginx.conf