Novus Annus appropinquabat. Pueri per totam regionem iam litteras ad Patrem natalem miserunt vel sibi dona fecerunt, eorumque maximus exsecutor, unus e maioribus venditoribus, apotheosin venditionis parabat. Mense Decembri, sarcina in notitia centri eius pluries crescit. Societas ergo placuit ut centrum datorum modernizare et in operatione plures duodecim novos servientes ponere pro instrumento quod ad finem vitae servitutis perveniret. Finit haec fabula contra nivis de gurgite nivis, et incipit admirator.

Apparatum situm pluribus mensibus ante apicem venditio pervenit. Operationes servientes, utique, novit quomodo et quid servitoribus configurandum est ut eos in ambitus productionis adduceret. Sed hoc opus est automate et factorem humanum removere. Praeterea ministri substituti sunt ante migrationem systematis SAP quae pro societate critica erant.

Commissio novorum servientium stricte ligata ad notificata est. Movensque significabat discrimen sive shipment miliarda donorum sive migrationem systematum. Etiam manipulus constans Pater Frontinus et Natalis diem mutare non potuerunt - SUFFODIO systema in horreis administratione semel in anno transferre potes. A December 31 ad Ianuarias 1, horrea ingentia venditoris, in tota magnitudine 20 eu agrorum, laborem suum per 15 horas prohibere. Atque hoc unicum est temporis spatium movendi ratio. Non erat nobis locus erroris cum servientibus introducendis.

Ut pateat me: mea fabula instrumenta et configurationes processus administrationis instrumentorum exhibet quibus turma nostra utitur.

Configuratio administrationis multiplex in pluribus gradibus consistit. Clavis pars est systematis CMS. In operando industriae absentia unius gradus inevitabiliter ad incommoda miracula induceret.

OS institutionem procuratio

Primus gradus est ratio administrandi institutionem systematis operandi in servientibus physicis et virtualis. Configurationes fundamentales OS creat, factorem humanum eliminans.

Hoc systema utens, exempla cum OS servo ulteriori automationi aptas accepimus. Per "fundentes" minimum ordinem usorum localium et claves SSH publicarum acceperunt, necnon figuram OS constantem. Praestari possemus ut ministris per CMS administraretur et certo certi erant nullas in OS gradu "descendere" mirari.

"Maximum" negotium ad institutionem administrationis ratio est ut servers ex BIOS/Firmware gradu ad OS automatice configurare. Multum hic pendet a instrumentis et operibus impositis. Pro instrumento heterogeneo considerare potes REDFISH API. Si omnia ferramenta ab uno venditore sunt, saepe commodius est instrumentis administratione praeparatis uti (exempli gratia: HP ILO Amplifier, DELL OpenManage, etc.).

Ad institutionem OS de servientibus physicis, sutorem pervulgatum usi sumus, quae copiae institutionis profile constat cum servitio operationis. Cum novo addito servo infrastructuram, fabrum MAC oratio ligavit ad profile in Sutrina inquisita. Cum primum in retiaculis patuissent, server electronica temporaria et recentem OS accepit. Inde translatum est in scopum VLAN/IP conloquendi et continuandi opus ibi. VLAN mutans tempus accipit et coordinationem requirit, sed additam tutelam praebet contra institutionem accidentalem ministri in ambitu productionis.

Servatores virtualis creavimus substructis in templates paratis utendo HashiСorp Packer. Eadem causa erat: ne possibilia hominum errores in OS insertis. Sed, dissimiles corporis ministris, Packer necessitatem excludit PXE, retis booth, et VLAN mutationes. Hoc facilius et simplicius effecit ut virtualis servientes crearet.

Renatus. 1. Curo institutionem systematis operandi.

Administrandi secreta

Quaelibet ratio configurationis administrationis continet notitias quae ab usoribus ordinariis occultari debent, sed ad systemata praeparanda opus est. Hae sunt Tesserae locorum usorum et rationum servitii, claves testimonium, signa varia API, etc. Solent vocari "secreta".

Si ab initio non statuimus, ubi et quomodo arcana illa recondant, tunc, pro severitate informationis securitatis requisita, sequentes methodi repositae probabiles sunt;

• directe in schematis de configuratione in codice vel in repositorio;
• in speciali schematismi instrumentorum administratione (exempli gratia Ansible Vault);
• in CI/CD systemata (Jenkins/TeamCity/GitLab/etc.) vel in systemata configuratione (Ansible Tower/Ansible AWX);
• secreta etiam transferri possunt "manualiter". Exempli causa, in determinato loco posita sunt, et deinde systemata technica conformatione adhibentur;
• variis complexionibus supra.

Quisque modus incommoda sua habet. Praecipua ratio est defectus agendi ad secreta accessus: impossibilis vel difficilis est determinare quis secretis uti potest. Aliud incommodum est defectus accessus habendis et plenus cursus vitae. Quomodo ut cito restituas, exempli gratia, clavis publica, quae in codice scripta est et in multis systematibus relatis?

HashiCorp Vault occulta repositione centralised usi sumus. Hoc nobis permissum est;

• mysteria incolumem servare. Encryptae sunt, et etiam si quis aditum datorum ad Vault datorum acquirit (exempli gratia, restituendo a tergum), secreta ibi reposita legere non poterunt;
• aditus ad secreta disponere consilia. Sola secreta eis "partita" praesto sunt utentibus et applicationibus;
• ad secreta aditum audit. Quaelibet actiones cum secretis in Coul audit log;
• organize a plena flexa "cycli vita" operandi secretis. Possunt creari, revocari, constitui expirare, etc.
• facile cum aliis systematibus, quibus aditus ad secreta necessaria est;
• ac etiam utere fine ad encryptionem, unum tempus passwords pro OS et datorum, testimoniales centris authentici etc.

Nunc ad authentication et auctoritatis systema centrale transeamus. Facere sine ea potuit, sed administrare utentes in multis systematibus affinibus nimis leve est. Configurati sumus authenticas et concessiones per LDAP servitium. Alioquin, Vault necesse est ut continue ferat et vestigia authenticationis signa pro users. Et delendo et addendo utentes verterent in inquisitione "creavi / delere hanc usoris rationem ubique?"

Alium ordinem addimus ad systema nostrum: secreta procuratio et authenticas centralis/auctoritatem:

Renatus. 2. Secretorum procuratio.

Configurationis procuratio

Venimus ad nucleum systematis CMS. In nobis, hoc compositum est Ansible et Rubrum Hat Ansible AWX.

Pro Ansible, Chef, Puppet, SaltStack adhiberi possunt. Elegimus Ansible pluribus indiciis innixum.

• Uno modo, quod est mobilitas. A paro of modules parato facta ad imperium est infigo. Et si hoc non satis habes, in GitHub et Galaxy investigare potes.
• Secundo, non opus est procuratores instituere et sustentare in instrumento administrato, probare se onere non impedire, et absentiam "bookmarks" confirmare.
• Tertio, Ansible claustrum humile habet ad ingressum. Ingeniarius idoneus scribet ad litteram fabularum operariorum primo die operandi cum facto.

Sed Ansible sola in nulla productione satis nobis fuit. Alioquin multae difficultates orirentur cum accessu restricto et audiendo actiones administratorum. Quomodo aditum restringere? Post omnes, necesse erat singulis department ad administrandum (legere: run playbook Ansible) "suum" servientium institutum. Quomodo sinere sinere certos operarios ad currendum Ansible playbooks specifica? Aut quomodo indagare, qui fabulae librum imposuit sine institutione loci multum cognitionis in servientibus et instrumentis currit Ansible?

Leonina pars talium constitutionum per Rubrum Hat Ansible turrem, vel ejus fons aperto flumine project Ansible AWX. Ut wisi maluisset adipiscing.

Et unum plura tangimus ad imaginem CMS nostri systematis. Ansible playbook in codice repositorii systematis administrandi condi debet. Habemus eam GitLab CE.

Ipsae igitur figurationes a coniunctione Ansible/Ansible AWX/GitLab administrantur (cf. Fig. 3). Scilicet, AWX/GitLab una cum systemate authentica integratur, et Ansible playbook cum HashiCorp Vault integratur. Configurationes productionem ambitum nonnisi per Ansible AWX intrant, in qua omnes "praecepta ludi" specificantur: quis configurare potest quid, ubi figurarum procuratio code pro CMS, etc.

Renatus. 3. Configurationis administratio.

Test procuratio

Configuratio nostra exhibetur in forma codicis. Ergo cogimur eadem regula cum programmatibus ludere. Nobis opus est processus evolutionis, continuae probationis, traditionis et applicationis conformationis codicis ad ministrantium productionem ordinare.

Si hoc non fit statim, partes pro configuratione scripta vel sustineri et mutari desinerent vel desinerent in productione deduci. Remedium huius doloris notum est, et in hoc proposito se probatum est;

• unumquodque munus tegitur, unitas probat;
• probationes automatice currunt, quoties aliqua mutatio est in codice qui figuras procurat;
• mutationes in schemate de administratione codici emittuntur in ambitus productionis tantum postquam feliciter omnia probationes et codicem recenset.

Codicis evolutionis et configurationis procuratio lenior et praevidior facta est. Ad continuam probationem instituendam, GitLab CI/CD toolkit usus est et cepimus Ansible Molecule.

Quotiens mutatio in schematismi administratione facta est, GitLab CI/CD Moleculum vocat:

• syntaxis sistit codicem;
• Docker continens
• applicat modificatam codicem ad vas creatum;
• partes pro idempotentia compescit et probat probationes huius codicis (granularitas hic est ad gradum munus ansibilis, vide Fig. 4).

Conformationes ad productionem environment utens Ansible AWX tradidimus. Operationes fabrum conformatione applicatae mutationes per exempla praedefinita. AWX independenter "requisitus" novissimam versionem codicis e GitLab magistri rami singulis diebus adhibitam esse. Hoc modo exclusimus codicem probati vel non probati in ambitu productionis. Naturaliter codicem magistri rami ingressi solum post probationem, recognitionem et approbationem.

Renatus. 4. Automatica probatio munerum in GitLab CI/CD.

Difficultas est etiam cum operatione systematis productionis coniungitur. In vita reali, difficillimum est configurationem mutare per solum CMS codicem. Subitis condiciones oriuntur cum ingeniarius configurationem "hic et nunc" mutare debet, non expectato codice emendo, probatione, approbatione, etc.

Quam ob rem, ob mutationum manualium, discrepantiae apparent in conformatione in eodem instrumenti genere (exempli gratia: occasus sysctl aliter in HA nodis botri conformantur). Vel conformatio actualis instrumenti differt ab eo quod in CMS codice determinatum est.

Ergo, praeter continuam probationem, ambitus productionis coercemus propter discrepantias conformationis. Optimam simplicissimam elegimus: currit CMS configurationis codicem in modo "arido currendi", id est, non applicando mutationes, sed notificatione omnium discrepantium inter propositum et actualem configurationem. Hoc nos per intervalla currendo omnes fabularum Ansibilis fabularum cum "-reprehendo" optione in ministris productionibus inseruimus. Ut semper, Ansible AWX responsabilis est ad deducendi et servandi fabularum librum usque ad diem (cf. Fig. 5);

Renatus. 5. SCUTULATUM pro configuratione discrepantias in Ansible AWX.

Post compescit, AWX discrepantiam administratoribus renuntiationem mittit. Configurationem problematicam student et eam per fabularum adaptatam reponunt. Hoc modo conservamus configurationem in ambitu productionis et semper CMS in moderno tempore et synchronised. Hoc iniucundum "miracula" excludit cum CMS signum in servientibus "productionis" adhibetur.

Nunc habemus magnum documentum stratum constans Ansible AWX/GitLab/Molecule (Figura 6).

Renatus. 6. Procuratio Test.

Difficilis? Non arguo. Sed talis complexus schematismi administrationis comprehensus responsio facta est multis quaestionibus quae automationi servientis configurationis pertinent. Nunc servitores vexillum venditoris figuram stricte definitam semper habent. CMS, ingeniarius dissimilis, occasus necessarias addere non obliviscetur, utentes creabit et justos vel centenas unctiones requisitas exercebit.

Nulla "cognitio secreta" in uncinis servientium et ambituum hodie est. Omnes lineamenta necessaria in playbook reflectuntur. Non plus creativity et ambages instructiones: "Instrue illud sicut regulare Oraculum, sed duos sysctl occasus denotare debes et utentes UID requisitis addere. Quaeritur guys in operatione cognoscunt".

Facultas conformationis discrepantias deprehendere et eas proactively tranquillitati mentis praebet. Sine systematis configuratione administratione, haec plerumque diversa spectat. Problemata accumulant usque dum unum diem "iaculantur" in productionem. Inde fit deviatio, conformationes reprimuntur et corriguntur. Et iterum repetit circulus

Et sane per aliquot dies ad horas acceleravimus deductionem ministrantium in operando.

Bene, in ipso Novo Anno in ipsa Eva, cum liberi laeti dona et adulti insculpentes vota faciebant ut cymbala perculsi erant, machinatores nostri systema SUFFODIO novis ministris commigraverunt. Etiam natalis Natalis optima miracula bene praeparata esse dicet.

PS Nostra turma saepe occurrit quod clientes configurationem administrationis difficultates solvere quam simpliciter fieri volunt. Specimen, quasi per magica - uno ferramento. Sed in vita omnia sunt magis implicata (sic, glandes argenteae denuo non traditae): totum processum creare debes utentes instrumenta quae ad equos emptoris sunt opportuna.

Author: Sergey Artemov, department architectus DevOps solutiones "Jet Infosystems"

Source: www.habr.com