Так можно и с fcgi и с fpm делать

infra:
  hosts:
    # external-ip
    gate:
nodes:
  hosts:
    # localhost
    gate:
    slave-1:
    storage-1:

Если я правильно понял, контроллер это новый хост с ансиблем и "поздний" этап будет выполняться с нового контроллера?
Я бы два разных плейбука сделал. Первый - создаёт контроллер (и, если хочеться, запускает второй уже на новом), а второй разворачивает всю остальную инфраструктуру.

Если я правильно понял, контроллер это новый хост с ансиблем и "поздний" этап будет выполняться с нового контроллера?

да, именно так

если сначала, у меня создается инфрастуктура в закрытой подсети - набор виртуальных машин (одна из которых gate имеет доступ в сеть), изначально контроллер на внешнем устройстве - он также подготавливает эту пустую инфраструктуру терраформом.

затем я хочу перенести роль контроллера внутрь этой закрытой сети на хост gate, чтобы иметь доступ к  скрытым нодам

Я бы два разных плейбука сделал. Первый - создаёт контроллер (и, если хочеться, запускает второй уже на новом), а второй разворачивает всю остальную инфраструктуру.

я в итоге попробую разделить на 2 инвентори файла - для "внешнего" доступа, по которому буду преднастройку gate делать, и для внутреннего доступа, когда контроллер - часть подсети, ансибл будет проводить финальную настройку нод и самого контроллера.

на роли разбивать буду для преднастройки и финальной настройки

@mmvrus разумно вообще бить инвентори на несколько файлов?

infra:
  hosts:
    # external-ip
    gate:
nodes:
  hosts:
    # localhost
    gate:
    slave-1:
    storage-1:

Дык просто, ansible-playbook ... -l infra

Или другой сабсет, nodes в твоём случае.

Почитай про этот ключ

о, отлично. правильно, я понимаю, что если мы указываем сабсет, то в плее можно не указывать директиву hosts? и вообще hosts повышает специфичность и не дает возможность переиспользововать

---
## This playbook prepares gateway node

- name: install gitlab runner
  hosts: gate <--- не нужено
  gather_facts: false
  roles:
    - runner

---
## This playbook prepares gateway node

- name: install gitlab runner
  hosts: gate <--- не нужено
  gather_facts: false
  roles:
    - runner

О, тут точно не скажу, я использую hosts, но у меня в похожем случае просто оба раза указан контроллер (раннер)

я видел использование hosts в репозитории с бест практиз для ансибла, правда, репа старая, там во всех плеях пишут hosts, показалось, что мы так повышаем специфичность плейбука и плеев в нем, что усложняет переиспользование

да, в доке тоже hosts указывают. зачем, если сабсет неплохо ложится на задачу https://docs.ansible.com/ansible/latest/user_guide/playbooks_intro.html#playbook-execution

всем привет. у меня вопрос по хостам. есть плейбук, который должен выполняться на разных комбинациях хостов (1 мастер хост и 9 слейвов). Пример 1+1 или 1 + 3 или 1+7 и т д. Причем в один момент времени может быть запущено 2 и более плейбуков. Смысл задачи и вопроса в том, чтобы сделать так, чтобы хосты слейвы не пересекались. Если что - я в ансибле новичок

и спасибо

Как понимаю, беспокойство вызвает возможность обнуления работы одного плейбука другим плейбуком? Или лишней работы на слейве? По поводу второго могу отметить, что за счёт идемпотентности повторная работа не произойдёт

После этого вопроса у меня появился ещё один к сообществу. Что с конкурентерстью в ансибл? Что происходит, когда ансибл запускает отдельно два плейбука для одного хоста?

И задам ещё вопрос, кто определяет эти комбинации сейчас?

никто не определяет. я хочу, чтобы слейвы выбирались из доступного пула, но только те, которые простаивают (помечены флагом идл например)

То есть хочешь, чтобы ансибл как-то определил, что слейвы не задействованы и сам запустил плейбуки?

Хм, не слышал такого в ансибл. Все-таки декларативный инструмент, а тут мониторить нужно, возможно, коллеги с опытом подскажут

я думаю в сторону sh скрипта, который бы проверял доступность и формировал нужный файл hosts и запускал плейбук с этими хостами

но может есть какое то более нативное решение, о котором я не знаю