и опять ансибле)) Вечер добрый, подскажите плз, есть проект завернутый в docker-compose.yml,  в котором через переменные окружения на уровне каждого сервиса прописываются различные секреты. На репозитории соответственно это все висит в открытом виде.
Я  думаю для большей секюрность завернуть все переменные окружения в отдельный подключаемый файл и зашифровать его ансиблом с обычным паролем. Ансибл плейбук будет расшифровывать файл при старте и затем делать docker-compose up -d.
Задача простая – не хранить никаких секретов в открытом виде на репе.
Как оно в целом задумка рабочая или так себе?

Так его могут раньше прибить, чем он станет реди. Поэтому 2 эндпоинта. Или так не бывает?

ну вам там виднее когда трафик слать в приложение, разберетесь какой хелсчек в итоге нужен

Ansible-vault и вперёд) для этого его и придумали

Я в личку написал этому человеку, попросил помочь, за $ , он сказал, что времени нет. Так что не всегда громкие, быстрые, смелые заявления - соответствуют действительности. Либо есть веские причины... Вообще для себя скрипт нужен, чтобы сервак с одной кнопки поднимать. Надоедает по пол дня тратить раз/два в месяц. А собирать 3-rd party - модуль для nginx, Ансиблом я не умею, темный лес для меня...

Ансибл всего лишь последовательность действий. Сядь, выпиши все команды, которые ты используешь для сборки , и сопоставь их с модулями ansible

Такое не всегда кстати работает недавно имел дело с jitsi так там окно всплывает в линуксе окно сам не поверил, пришлось обращаться к докер компосту

Ну и в скобках - получать текущие параметры сборки с машины идеологически плохо, если ты работаешь ансиблом - параметры в нем должны быть

Ну смотри на чем я остановился. 1. Ставиш nginx. 2. Чтобы поставить brotli модуль, его надо скомпилировать с параметрами уже установленного nginx. Параметры узнаются cli:   nginx -V  и получив эту выдачу, надо отфильтровать её и добавить ещё пару строк и компилироватб brotli, как это делать, я не знаю...

Просто если кто такое крутил вертел с ансиблом, за копи пасту дам $

>brotli модуль, его надо скомпилировать с параметрами уже установленного nginx

а откуда по-твоему параметры зададутся, если nginx ты через ansible ставил?

кто-нибудь создавал контейнеры с ограниченным сроком жизни или находил интсрументы для подобных задач?

например, требуется развернуть контейнер на 24 часа, а потом его остановить и удалить

Я думал, что также, как и при установке из cli - дефолтные берутся, nginx -ом определенные.

ну вот представь себе что это не контейнер, а просто приложение, как бы ты сделал?

тебе какие конкретно параметры nginx нужны?

народ, а какие бест практисы как в пакере настраивать ссш на кастомный авс имидж?
на ум пока пришло только в репу класть ключ и подкладывать провайдером

kill

ну а kill'ом бы ты как управлял?

Меня устраивают дефолтные, которые при установке nginx- а из cli , он сам применяет...

cron