Nastavení cookies

Používáme cookies

Nezbytné cookies zajišťují správné fungování webu a ukládají vaši volbu. Se souhlasem můžeme použít také funkční cookies pro zapamatování vzhledu a analytické cookies pro měření návštěvnosti.

Volitelné cookies můžete přijmout najednou, odmítnout nebo si je nastavit podle kategorií. Souhlas lze později změnit; podrobnosti najdete v zásadách cookies.

LaraDep LaraDep
Čeština English Deutsch
Zpět na blog

4. března 2026 · 3 min čtení

Jak workspace isolation v LaraDep změnil způsob, jakým řídím více klientů

Spravovat více klientů v jednom Ansible setupu bez jasného oddělení je jako mít všechny klíče na jednom kroužku bez popisků. Tady je, jak workspace model tento problém ře

Sdílet na X Sdílet na LinkedIn

Stav před workspace isolation

Než jsem workspace model zapracoval do LaraDep, vypadal multi-client setup takto: jeden Git repozitář, jeden Ansible vault pro všechny secrety, složky pojmenované podle klientů a nepsaná dohoda v týmu "nesahej na to, co není tvoje". Funguje to? Technicky ano. Bezpečně? Absolutně ne.

Záměna prostředí je v takovém setupu otázka nepozornosti, ne zlého úmyslu. Přejdete na špatnou složku v terminálu, spustíte run na produkci místo na staging a teprve výsledek vám řekne, co se stalo. Pokud máte štěstí, je to jen ztracený čas. Pokud nemáte, je to incident.

Co workspace isolation znamená v praxi

V LaraDep je workspace datový kontext, který fyzicky odděluje:

  • Servery a jejich skupiny od jiných workspace.
  • Ansible proměnné a secret store od jiných workspace.
  • Run historii a auditní záznamy po workspace kontextu.
  • Oprávnění — kdo může co dělat v daném workspace.

Přepnutí workspace neznamená jen jinou záložku v prohlížeči. Znamená to, že nemůžete omylem zobrazit ani spustit nic v nesprávném kontextu, protože systém vám to nedovolí. Není to "doufáme, že si všimnete". Je to strukturální omezení.

Konkrétní případ: agenturní provoz

Pro agentury je workspace model asi největší přidaná hodnota LaraDep. Každý klient dostane vlastní workspace. Onboarding nového projektu znamená vytvořit workspace, přidat servery, nastavit proměnné a přiřadit přístupová práva. Je to explicitní akt — ne „dejte Honzovi přístup k složce".

Audit běhů funguje po workspace kontextu. Když se klient zeptá "co jste u nás dělali minulý měsíc", mám odpověď za pár kliknutí, ne za hodinu hledání v Git historii.

Kde workspace model nestačí

Workspace isolation je governance vrstva, ne náhrada za dobrou template composition nebo runbook disciplínu. Pokud váš playbook dělá špatnou věc, workspace to nezachytí. Každá vrstva ochrany řeší jiný problém a workspace model řeší právě a jen: oddělení kontextů a přístupů.

Pro kompletní provozní model potřebujete workspace isolation spolu s preflight, šablonami a auditní historií. Samostatně každá vrstva pomáhá méně, než všechny dohromady.

Další krok: Kontext k článku najdete v dokumentaci a na stránce srovnání.

Kategorie

Bezpečnost

Mohlo by vás zajímat

11.02.2026 · 1 min čtení

MCP + Ansible: co mě překvapilo a co opravdu funguje

MCP jsem do LaraDep přidal s nízkými očekáváními. Rychlé dotazy nad logy a metadaty se ukázaly být užitečnější, než jsem čekal. Tady je upřímný přehled.

Zobrazit

21.01.2026 · 1 min čtení

Proč preflight není jen kontrolka: jak zastavit run dřív, než udělá škodu

Preflight jsem původně bral jako formalitu. Pak přišel jeden run, který prošel bez chyby a přesto způsobil problém, protože jsme se neptali na správné věci.

Zobrazit

Přihlaste se k odběru našeho newsletteru

Zůstaňte informováni o našich nejnovějších zprávách a článcích tím, že se přihlásíte k odběru našeho newsletteru.

Esc Zavřít