Здравствуйте.
Начал разбираться с ansible и возник вопрос о том как начать делать правильно, под каким пользователем подключаться, как разграничивать управление playbook между несколькими людьми.
Пока что рассматриваю ansbible только как управление конфигами и поднятие новых машин для задач системного администратора, роутеры, dns, dhcp, vpn, создание новых пользователей, удаление старых.
Вот есть компания в которой 2 админа и начальник. Никакой системы управления конфигурацией раньше не было, а парк машин вырос прилично. На некоторых машинах есть root, на большинстве нет, только user'ы этих трех людей с авторизацией где-то по ключу, где-то по паролю, где-то и то и то.
Вопрос: Если держать локальную версию ansible у каждого на компе и каждый будет сам запускать playbook, когда нужно изменить машину или создать новую, и подключение происходит под личным ssh аккаунтом. Этот аккаунт уже существует, не надо делать отдельного пользователя для ansible. Но нужно прописывать прямо в конфиге пароль для sudo, чтобы задачи установки могли проходить. Это нормально - прописывать sudo пароль в hosts ansible?
А если прописывать пароль в hosts - это уже становятся личными, ты не можешь поделиться им с другими участниками. Хотя плейбуки можно продолжить синхронизировать через git, например.
Менее важный вопрос: как убеждать в том что именно твой playbook лучший, а другой человек пишет не правильно) Многие ли из вас делают как написано здесь http://docs.ansible.com/ansible/playbooks_best_practices.html или у каждого свой неповторимый рецепт? Используете ли playbook из ansible-galaxy или пишите свое?
ansible, best practices, люди