ຕັ້ງຄ່າເຊີບເວີເພື່ອນຳໃຊ້ແອັບພລິເຄຊັນ Rails ໂດຍໃຊ້ Ansible

ບໍ່ດົນກ່ອນຫນ້ານີ້ຂ້ອຍຈໍາເປັນຕ້ອງຂຽນປື້ມຫຼິ້ນ Ansible ຫຼາຍອັນເພື່ອກະກຽມເຄື່ອງແມ່ຂ່າຍສໍາລັບການນໍາໃຊ້ຄໍາຮ້ອງສະຫມັກ Rails. ແລະ, ເປັນເລື່ອງແປກທີ່, ຂ້ອຍບໍ່ພົບຄູ່ມືຂັ້ນຕອນໂດຍຂັ້ນຕອນງ່າຍໆ. ຂ້ອຍບໍ່ຕ້ອງການຄັດລອກປື້ມຫຼີ້ນຂອງຄົນອື່ນໂດຍທີ່ບໍ່ເຂົ້າໃຈສິ່ງທີ່ເກີດຂື້ນ, ແລະໃນທີ່ສຸດຂ້ອຍຕ້ອງອ່ານເອກະສານ, ເກັບທຸກຢ່າງດ້ວຍຕົນເອງ. ບາງທີຂ້ອຍສາມາດຊ່ວຍຜູ້ໃດຜູ້ຫນຶ່ງເລັ່ງຂະບວນການນີ້ດ້ວຍການຊ່ວຍເຫຼືອຂອງບົດຄວາມນີ້.

ສິ່ງທໍາອິດທີ່ເຂົ້າໃຈແມ່ນວ່າ ansible ໃຫ້ທ່ານມີການໂຕ້ຕອບທີ່ສະດວກໃນການປະຕິບັດບັນຊີລາຍຊື່ທີ່ກໍານົດໄວ້ລ່ວງຫນ້າກ່ຽວກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກຜ່ານ SSH. ບໍ່ມີ magic ຢູ່ທີ່ນີ້, ທ່ານບໍ່ສາມາດຕິດຕັ້ງ plugin ແລະໄດ້ຮັບການປະຕິບັດການຢຸດເຮັດວຽກຂອງແອັບພລິເຄຊັນຂອງທ່ານກັບ docker, ການຕິດຕາມແລະສິ່ງດີໆອື່ນໆອອກຈາກກ່ອງ. ເພື່ອຂຽນບົດລະຄອນ, ເຈົ້າຕ້ອງຮູ້ວ່າເຈົ້າຢາກເຮັດອັນໃດ ແລະ ເຮັດແນວໃດ. ນັ້ນແມ່ນເຫດຜົນທີ່ຂ້ອຍບໍ່ພໍໃຈກັບປື້ມຫຼິ້ນທີ່ກຽມພ້ອມຈາກ GitHub, ຫຼືບົດຄວາມເຊັ່ນ: "ຄັດລອກແລະແລ່ນ, ມັນຈະເຮັດວຽກ."

ພວກເຮົາຕ້ອງການຫຍັງ?

ດັ່ງທີ່ຂ້າພະເຈົ້າໄດ້ເວົ້າມາແລ້ວ, ເພື່ອຂຽນປື້ມຫຼີ້ນ, ທ່ານ ຈຳ ເປັນຕ້ອງຮູ້ວ່າທ່ານຕ້ອງການເຮັດແລະເຮັດແນວໃດ. ໃຫ້ຕັດສິນໃຈວ່າພວກເຮົາຕ້ອງການຫຍັງ. ສໍາລັບຄໍາຮ້ອງສະຫມັກ Rails ພວກເຮົາຈະຕ້ອງການຊຸດລະບົບຫຼາຍ: nginx, postgresql (redis, ແລະອື່ນໆ). ນອກຈາກນັ້ນ, ພວກເຮົາຕ້ອງການສະບັບສະເພາະຂອງ ruby. ມັນດີທີ່ສຸດທີ່ຈະຕິດຕັ້ງມັນຜ່ານ rbenv (rvm, asdf ... ). ການດໍາເນີນການທັງຫມົດນີ້ເປັນຜູ້ໃຊ້ຮາກແມ່ນສະເຫມີເປັນຄວາມຄິດທີ່ບໍ່ດີ, ດັ່ງນັ້ນທ່ານຈໍາເປັນຕ້ອງສ້າງຜູ້ໃຊ້ແຍກຕ່າງຫາກແລະກໍານົດສິດທິຂອງລາວ. ຫຼັງຈາກນີ້, ທ່ານຈໍາເປັນຕ້ອງອັບໂຫລດລະຫັດຂອງພວກເຮົາໃສ່ເຄື່ອງແມ່ຂ່າຍ, ຄັດລອກການຕັ້ງຄ່າສໍາລັບ nginx, postgres, ແລະອື່ນໆແລະເລີ່ມຕົ້ນການບໍລິການເຫຼົ່ານີ້ທັງຫມົດ.

ດັ່ງນັ້ນ, ລໍາດັບຂອງການປະຕິບັດແມ່ນດັ່ງຕໍ່ໄປນີ້:

1. ເຂົ້າສູ່ລະບົບເປັນຮາກ
2. ຕິດຕັ້ງຊຸດລະບົບ
3. ສ້າງຜູ້ໃຊ້ໃຫມ່, ກໍານົດສິດ, ລະຫັດ ssh
4. ຕັ້ງຄ່າຊຸດລະບົບ (nginx ແລະອື່ນໆ) ແລະດໍາເນີນການໃຫ້ເຂົາເຈົ້າ
5. ພວກເຮົາສ້າງຜູ້ໃຊ້ໃນຖານຂໍ້ມູນ (ທ່ານສາມາດສ້າງຖານຂໍ້ມູນໄດ້ທັນທີ)
6. ເຂົ້າສູ່ລະບົບເປັນຜູ້ໃຊ້ໃຫມ່
7. ຕິດຕັ້ງ rbenv ແລະ ruby
8. ການຕິດຕັ້ງ bundler ໄດ້
9. ກຳລັງອັບໂຫລດລະຫັດແອັບພລິເຄຊັນ
10. ເປີດຕົວເຊີບເວີ Puma

ຍິ່ງໄປກວ່ານັ້ນ, ຂັ້ນຕອນສຸດທ້າຍສາມາດເຮັດໄດ້ໂດຍໃຊ້ capistrano, ຢ່າງຫນ້ອຍອອກຈາກກ່ອງມັນກໍ່ສາມາດຄັດລອກລະຫັດເຂົ້າໄປໃນໄດເລກະທໍລີປ່ອຍ, ປ່ຽນການປ່ອຍດ້ວຍ symlink ເມື່ອປະສົບຜົນສໍາເລັດ, ຄັດລອກ configs ຈາກໄດເລກະທໍລີທີ່ໃຊ້ຮ່ວມກັນ, restart puma, ແລະອື່ນໆ. ທັງຫມົດນີ້ສາມາດເຮັດໄດ້ໂດຍໃຊ້ Ansible, ແຕ່ເປັນຫຍັງ?

ໂຄງສ້າງໄຟລ໌

Ansible ມີຄວາມເຄັ່ງຄັດ ໂຄງສ້າງໄຟລ໌ ສໍາລັບໄຟລ໌ທັງຫມົດຂອງທ່ານ, ສະນັ້ນມັນດີທີ່ສຸດທີ່ຈະເກັບມັນທັງຫມົດໄວ້ໃນໄດເລກະທໍລີແຍກຕ່າງຫາກ. ຍິ່ງໄປກວ່ານັ້ນ, ມັນບໍ່ສໍາຄັນຫຼາຍບໍ່ວ່າຈະຢູ່ໃນຄໍາຮ້ອງສະຫມັກ rails ຕົວຂອງມັນເອງ, ຫຼືແຍກຕ່າງຫາກ. ທ່ານສາມາດເກັບຮັກສາໄຟລ໌ໃນ repository git ແຍກຕ່າງຫາກ. ສ່ວນບຸກຄົນ, ຂ້ອຍພົບວ່າມັນສະດວກທີ່ສຸດທີ່ຈະສ້າງໄດເລກະທໍລີ ansible ໃນໄດເລກະທໍລີ / config ຂອງຄໍາຮ້ອງສະຫມັກ rails ແລະເກັບຮັກສາທຸກສິ່ງທຸກຢ່າງຢູ່ໃນບ່ອນເກັບມ້ຽນ.

Playbook ງ່າຍ​ດາຍ​

Playbook ແມ່ນໄຟລ໌ yml ທີ່, ໂດຍໃຊ້ syntax ພິເສດ, ອະທິບາຍສິ່ງທີ່ Ansible ຄວນເຮັດແລະວິທີການ. ມາສ້າງປຶ້ມຫຼິ້ນທຳອິດທີ່ບໍ່ເຮັດຫຍັງເລີຍ:

---
- name: Simple playbook
  hosts: all

ໃນທີ່ນີ້ພວກເຮົາພຽງແຕ່ເວົ້າວ່າ playbook ຂອງພວກເຮົາເອີ້ນວ່າ Simple Playbook ແລະວ່າເນື້ອໃນຂອງມັນຄວນຈະຖືກປະຕິບັດສໍາລັບເຈົ້າພາບທັງຫມົດ. ພວກເຮົາສາມາດບັນທຶກມັນໄວ້ໃນໄດເລກະທໍລີ / ansible ດ້ວຍຊື່ playbook.yml ແລະພະຍາຍາມແລ່ນ:

ansible-playbook ./playbook.yml

PLAY [Simple Playbook] ************************************************************************************************************************************
skipping: no hosts matched

Ansible ເວົ້າວ່າມັນບໍ່ຮູ້ວ່າເຈົ້າພາບໃດທີ່ກົງກັບບັນຊີລາຍຊື່ທັງຫມົດ. ພວກເຂົາຕ້ອງໄດ້ຮັບການລະບຸໄວ້ໃນພິເສດ ໄຟລ໌ສິນຄ້າຄົງຄັງ.

ໃຫ້ສ້າງມັນຢູ່ໃນໄດເລກະທໍລີ ansible ດຽວກັນ:

123.123.123.123

ນີ້ແມ່ນວິທີທີ່ພວກເຮົາພຽງແຕ່ກໍານົດເຈົ້າພາບ (ໂດຍສະເພາະເຈົ້າພາບຂອງ VPS ຂອງພວກເຮົາສໍາລັບການທົດສອບ, ຫຼືທ່ານສາມາດລົງທະບຽນ localhost) ແລະບັນທຶກມັນພາຍໃຕ້ຊື່. inventory.
ທ່ານສາມາດລອງແລ່ນ ansible ດ້ວຍໄຟລ໌ inventory:

ansible-playbook ./playbook.yml -i inventory
PLAY [Simple Playbook] ************************************************************************************************************************************

TASK [Gathering Facts] ************************************************************************************************************************************

PLAY RECAP ************************************************************************************************************************************

ຖ້າທ່ານມີ ssh ເຂົ້າເຖິງໂຮດທີ່ລະບຸ, ຫຼັງຈາກນັ້ນ ansible ຈະເຊື່ອມຕໍ່ແລະເກັບກໍາຂໍ້ມູນກ່ຽວກັບລະບົບຫ່າງໄກສອກຫຼີກ. (ຫນ້າ default TASK [Gathering Facts]) ຫຼັງຈາກນັ້ນມັນຈະໃຫ້ບົດລາຍງານສັ້ນໆກ່ຽວກັບການປະຕິບັດ (PLAY RECAP).

ໂດຍຄ່າເລີ່ມຕົ້ນ, ການເຊື່ອມຕໍ່ໃຊ້ຊື່ຜູ້ໃຊ້ພາຍໃຕ້ການທີ່ທ່ານເຂົ້າສູ່ລະບົບ. ສ່ວນຫຼາຍມັນອາດຈະບໍ່ຢູ່ໃນເຈົ້າພາບ. ໃນໄຟລ໌ playbook, ທ່ານສາມາດລະບຸຜູ້ໃຊ້ໃດທີ່ຈະໃຊ້ເພື່ອເຊື່ອມຕໍ່ໂດຍໃຊ້ຄໍາສັ່ງ remote_user. ນອກຈາກນີ້, ຂໍ້ມູນກ່ຽວກັບລະບົບຫ່າງໄກສອກຫຼີກມັກຈະບໍ່ຈໍາເປັນສໍາລັບທ່ານແລະທ່ານບໍ່ຄວນເສຍເວລາເກັບກໍາມັນ. ວຽກງານນີ້ຍັງສາມາດຖືກປິດໃຊ້ງານໄດ້:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

ລອງແລ່ນ playbook ອີກຄັ້ງ ແລະໃຫ້ແນ່ໃຈວ່າການເຊື່ອມຕໍ່ເຮັດວຽກ. (ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ລະ​ບຸ​ຜູ້​ໃຊ້​ຮາກ​, ຫຼັງ​ຈາກ​ນັ້ນ​ທ່ານ​ຍັງ​ຈໍາ​ເປັນ​ຕ້ອງ​ໄດ້​ກໍາ​ນົດ​ການ​ກາຍ​ເປັນ​: ຄໍາ​ແນະ​ນໍາ​ທີ່​ແທ້​ຈິງ​ໃນ​ຄໍາ​ສັ່ງ​ທີ່​ຈະ​ໄດ້​ຮັບ​ສິດ​ສູງ​. ດັ່ງ​ທີ່​ໄດ້​ຂຽນ​ໄວ້​ໃນ​ເອ​ກະ​ສານ​: become set to ‘true’/’yes’ to activate privilege escalation. ເຖິງແມ່ນວ່າມັນບໍ່ຊັດເຈນທັງຫມົດວ່າເປັນຫຍັງ).

ບາງທີທ່ານອາດຈະໄດ້ຮັບຄວາມຜິດພາດທີ່ເກີດຈາກຄວາມຈິງທີ່ວ່າ ansible ບໍ່ສາມາດກໍານົດຕົວແປ Python, ຫຼັງຈາກນັ້ນທ່ານສາມາດກໍານົດມັນດ້ວຍຕົນເອງ:

ansible_python_interpreter: /usr/bin/python3 

ທ່ານສາມາດຊອກຫາບ່ອນທີ່ທ່ານມີ python ດ້ວຍຄໍາສັ່ງ whereis python.

ການຕິດຕັ້ງຊຸດລະບົບ

ການແຈກຢາຍມາດຕະຖານຂອງ Ansible ປະກອບມີຫຼາຍໂມດູນສໍາລັບການເຮັດວຽກກັບຊຸດລະບົບຕ່າງໆ, ດັ່ງນັ້ນພວກເຮົາບໍ່ຈໍາເປັນຕ້ອງຂຽນ bash scripts ສໍາລັບເຫດຜົນໃດກໍ່ຕາມ. ໃນປັດຈຸບັນພວກເຮົາຕ້ອງການຫນຶ່ງໃນໂມດູນເຫຼົ່ານີ້ເພື່ອປັບປຸງລະບົບແລະຕິດຕັ້ງຊຸດລະບົບ. ຂ້ອຍມີ Ubuntu Linux ໃນ VPS ຂອງຂ້ອຍ, ສະນັ້ນເພື່ອຕິດຕັ້ງແພັກເກັດທີ່ຂ້ອຍໃຊ້ apt-get и ໂມດູນສໍາລັບມັນ. ຖ້າທ່ານກໍາລັງໃຊ້ລະບົບປະຕິບັດການທີ່ແຕກຕ່າງກັນ, ທ່ານອາດຈະຕ້ອງການໂມດູນທີ່ແຕກຕ່າງກັນ (ຈື່ໄວ້ວ່າ, ຂ້ອຍໄດ້ກ່າວໃນຕອນຕົ້ນວ່າພວກເຮົາຈໍາເປັນຕ້ອງຮູ້ລ່ວງຫນ້າວ່າພວກເຮົາຈະເຮັດແນວໃດ). ຢ່າງໃດກໍຕາມ, syntax ສ່ວນຫຼາຍອາດຈະຄ້າຍຄືກັນ.

ມາເສີມປຶ້ມຫຼິ້ນຂອງພວກເຮົາກັບໜ້າວຽກທຳອິດ:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

Task ແມ່ນແນ່ນອນເປັນວຽກທີ່ Ansible ຈະປະຕິບັດຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ. ພວກເຮົາຕັ້ງຊື່ໃຫ້ໜ້າວຽກເພື່ອວ່າພວກເຮົາສາມາດຕິດຕາມການປະຕິບັດຂອງມັນຢູ່ໃນບັນທຶກ. ແລະພວກເຮົາອະທິບາຍ, ການນໍາໃຊ້ syntax ຂອງໂມດູນສະເພາະໃດຫນຶ່ງ, ມັນຈໍາເປັນຕ້ອງເຮັດແນວໃດ. ໃນ​ກໍ​ລະ​ນີ​ນີ້ apt: update_cache=yes - ເວົ້າວ່າຈະປັບປຸງຊຸດລະບົບໂດຍໃຊ້ໂມດູນທີ່ເຫມາະສົມ. ຄໍາສັ່ງທີສອງແມ່ນສັບສົນຫຼາຍ. ພວກເຮົາຜ່ານບັນຊີລາຍຊື່ຂອງການຫຸ້ມຫໍ່ໃຫ້ກັບໂມດູນທີ່ເຫມາະສົມແລະເວົ້າວ່າພວກເຂົາແມ່ນ state ຄວນຈະກາຍເປັນ present, ນັ້ນແມ່ນ, ພວກເຮົາເວົ້າວ່າຕິດຕັ້ງຊຸດເຫຼົ່ານີ້. ໃນທາງທີ່ຄ້າຍຄືກັນ, ພວກເຮົາສາມາດບອກພວກເຂົາໃຫ້ລຶບພວກມັນ, ຫຼືປັບປຸງພວກມັນໂດຍການປ່ຽນພຽງແຕ່ state. ກະລຸນາສັງເກດວ່າສໍາລັບ rails ເຮັດວຽກກັບ postgresql ພວກເຮົາຕ້ອງການຊຸດ postgresql-contrib, ທີ່ພວກເຮົາກໍາລັງຕິດຕັ້ງໃນປັດຈຸບັນ. ອີກເທື່ອຫນຶ່ງ, ທ່ານຈໍາເປັນຕ້ອງຮູ້ແລະເຮັດສິ່ງນີ້; ansible ຂອງມັນເອງຈະບໍ່ເຮັດສິ່ງນີ້.

ລອງແລ່ນ playbook ອີກຄັ້ງ ແລະກວດເບິ່ງວ່າແພັກເກັດຖືກຕິດຕັ້ງແລ້ວ.

ການສ້າງຜູ້ໃຊ້ໃຫມ່.

ເພື່ອເຮັດວຽກກັບຜູ້ໃຊ້, Ansible ຍັງມີໂມດູນ - ຜູ້ໃຊ້. ຂໍໃຫ້ເພີ່ມອີກຫນຶ່ງວຽກງານ (ຂ້ອຍໄດ້ເຊື່ອງສ່ວນທີ່ຮູ້ແລ້ວຂອງ playbook ຢູ່ຫລັງຄໍາເຫັນເພື່ອບໍ່ໃຫ້ສໍາເນົາມັນທັງຫມົດທຸກໆຄັ້ງ):

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: my_user
        shell: /bin/bash
        password: "{{ 123qweasd | password_hash('sha512') }}"

ພວກເຮົາສ້າງຜູ້ໃຊ້ໃຫມ່, ກໍານົດ schell ແລະລະຫັດຜ່ານສໍາລັບມັນ. ແລະຫຼັງຈາກນັ້ນພວກເຮົາດໍາເນີນການເຂົ້າໄປໃນບັນຫາຈໍານວນຫນຶ່ງ. ຈະເປັນແນວໃດຖ້າຊື່ຜູ້ໃຊ້ຕ້ອງແຕກຕ່າງກັນສໍາລັບເຈົ້າພາບທີ່ແຕກຕ່າງກັນ? ແລະການເກັບຮັກສາລະຫັດຜ່ານເປັນຂໍ້ຄວາມທີ່ຊັດເຈນຢູ່ໃນ playbook ແມ່ນຄວາມຄິດທີ່ບໍ່ດີຫຼາຍ. ເພື່ອເລີ່ມຕົ້ນດ້ວຍ, ໃຫ້ໃສ່ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານເຂົ້າໄປໃນຕົວແປ, ແລະໃນຕອນທ້າຍຂອງບົດຄວາມຂ້ອຍຈະສະແດງວິທີການເຂົ້າລະຫັດລະຫັດຜ່ານ.

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"

ຕົວແປຖືກຕັ້ງໄວ້ໃນປຶ້ມຫຼິ້ນໂດຍໃຊ້ວົງເລັບ curly ສອງເທົ່າ.

ພວກເຮົາຈະຊີ້ບອກຄ່າຂອງຕົວແປໃນເອກະສານສິນຄ້າຄົງຄັງ:

123.123.123.123

[all:vars]
user=my_user
user_password=123qweasd

ກະລຸນາສັງເກດຄໍາສັ່ງ [all:vars] - ມັນບອກວ່າບລັອກຕໍ່ໄປຂອງຂໍ້ຄວາມແມ່ນຕົວແປ (vars) ແລະພວກມັນໃຊ້ໄດ້ກັບໂຮດທັງຫມົດ (ທັງຫມົດ).

ການອອກແບບຍັງຫນ້າສົນໃຈ "{{ user_password | password_hash('sha512') }}". ສິ່ງທີ່ແມ່ນວ່າ ansible ບໍ່ໄດ້ຕິດຕັ້ງຜູ້ໃຊ້ຜ່ານ user_add ຄືກັບວ່າເຈົ້າຈະເຮັດມັນດ້ວຍຕົນເອງ. ແລະມັນຊ່ວຍປະຢັດຂໍ້ມູນທັງຫມົດໂດຍກົງ, ຊຶ່ງເປັນເຫດຜົນທີ່ພວກເຮົາຕ້ອງປ່ຽນລະຫັດຜ່ານເປັນ hash ລ່ວງຫນ້າ, ຊຶ່ງເປັນຄໍາສັ່ງນີ້ເຮັດ.

ໃຫ້ເພີ່ມຜູ້ໃຊ້ຂອງພວກເຮົາເຂົ້າໄປໃນກຸ່ມ sudo. ຢ່າງໃດກໍ່ຕາມ, ກ່ອນນີ້ພວກເຮົາຈໍາເປັນຕ້ອງໃຫ້ແນ່ໃຈວ່າກຸ່ມດັ່ງກ່າວມີຢູ່ເພາະວ່າບໍ່ມີໃຜຈະເຮັດສິ່ງນີ້ສໍາລັບພວກເຮົາ:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
        name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"

ທຸກສິ່ງທຸກຢ່າງແມ່ນຂ້ອນຂ້າງງ່າຍດາຍ, ພວກເຮົາຍັງມີໂມດູນກຸ່ມສໍາລັບການສ້າງກຸ່ມ, ມີ syntax ຄ້າຍຄືກັນກັບ apt. ຫຼັງຈາກນັ້ນ, ມັນພຽງພໍທີ່ຈະລົງທະບຽນກຸ່ມນີ້ໃຫ້ກັບຜູ້ໃຊ້ (groups: "sudo").
ມັນຍັງເປັນປະໂຫຍດທີ່ຈະເພີ່ມລະຫັດ ssh ໃຫ້ກັບຜູ້ໃຊ້ນີ້ເພື່ອໃຫ້ພວກເຮົາສາມາດເຂົ້າສູ່ລະບົບໂດຍໃຊ້ມັນໂດຍບໍ່ມີລະຫັດຜ່ານ:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
      name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"
    - name: Deploy SSH Key
      authorized_key:
        user: "{{ user }}"
        key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
        state: present

ໃນກໍລະນີນີ້, ການອອກແບບແມ່ນຫນ້າສົນໃຈ "{{ lookup('file', '~/.ssh/id_rsa.pub') }}" — ມັນຄັດລອກເນື້ອຫາຂອງໄຟລ໌ id_rsa.pub (ຊື່ຂອງທ່ານອາດຈະແຕກຕ່າງກັນ), ນັ້ນແມ່ນ, ສ່ວນສາທາລະນະຂອງກະແຈ ssh ແລະອັບໂຫລດມັນໃສ່ບັນຊີລາຍຊື່ຂອງລະຫັດທີ່ໄດ້ຮັບອະນຸຍາດສໍາລັບຜູ້ໃຊ້ໃນເຄື່ອງແມ່ຂ່າຍ.

ບົດບາດ

ທັງສາມວຽກງານສໍາລັບການສ້າງການນໍາໃຊ້ສາມາດແບ່ງອອກເປັນກຸ່ມຫນຶ່ງຂອງຫນ້າວຽກ, ແລະມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະເກັບຮັກສາກຸ່ມນີ້ແຍກຕ່າງຫາກຈາກ playbook ຕົ້ນຕໍເພື່ອບໍ່ໃຫ້ຂະຫນາດໃຫຍ່ເກີນໄປ. ສໍາລັບຈຸດປະສົງນີ້, Ansible ມີ ພາລະບົດບາດ.
ອີງຕາມໂຄງສ້າງໄຟລ໌ທີ່ຊີ້ໃຫ້ເຫັນໃນຕອນຕົ້ນ, ພາລະບົດບາດຕ້ອງຖືກຈັດໃສ່ໃນໄດເລກະທໍລີພາລະບົດບາດແຍກຕ່າງຫາກ, ສໍາລັບແຕ່ລະບົດບາດມີໄດເລກະທໍລີແຍກຕ່າງຫາກທີ່ມີຊື່ດຽວກັນ, ພາຍໃນຫນ້າວຽກ, ໄຟລ໌, ແມ່ແບບ, ແລະອື່ນໆ.
ມາສ້າງໂຄງສ້າງໄຟລ໌: ./ansible/roles/user/tasks/main.yml (ຕົ້ນຕໍແມ່ນໄຟລ໌ຕົ້ນຕໍທີ່ຈະຖືກໂຫລດແລະປະຕິບັດໃນເວລາທີ່ພາລະບົດບາດເຊື່ອມຕໍ່ກັບ playbook; ໄຟລ໌ພາລະບົດບາດອື່ນໆສາມາດເຊື່ອມຕໍ່ກັບມັນໄດ້). ໃນປັດຈຸບັນທ່ານສາມາດໂອນວຽກງານທັງຫມົດທີ່ກ່ຽວກັບຜູ້ໃຊ້ໄປຫາໄຟລ໌ນີ້:

# Create user and add him to groups
- name: Ensure a 'sudo' group
  group:
    name: sudo
    state: present

- name: Add a new user
  user:
    name: "{{ user }}"
    shell: /bin/bash
    password: "{{ user_password | password_hash('sha512') }}"
    groups: "sudo"

- name: Deploy SSH Key
  authorized_key:
    user: "{{ user }}"
    key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
    state: present

ໃນ playbook ຕົ້ນຕໍ, ທ່ານຕ້ອງລະບຸການນໍາໃຊ້ບົດບາດຂອງຜູ້ໃຊ້:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

  roles:
    - user

ນອກຈາກນີ້, ມັນອາດຈະເຮັດໃຫ້ຄວາມຮູ້ສຶກທີ່ຈະປັບປຸງລະບົບກ່ອນຫນ້າວຽກອື່ນໆທັງຫມົດ; ເພື່ອເຮັດສິ່ງນີ້, ທ່ານສາມາດປ່ຽນຊື່ບລັອກ tasks ໃນ​ທີ່​ເຂົາ​ເຈົ້າ​ໄດ້​ຖືກ​ກໍາ​ນົດ​ໄວ້​ໃນ​ pre_tasks.

ຕັ້ງຄ່າ nginx

ພວກເຮົາຄວນຈະມີ Nginx ຕິດຕັ້ງຢູ່ແລ້ວ; ພວກເຮົາຈໍາເປັນຕ້ອງ configure ມັນແລະດໍາເນີນການ. ໃຫ້ເຮັດທັນທີໃນພາລະບົດບາດ. ມາສ້າງໂຄງສ້າງໄຟລ໌:

- ansible
  - roles
    - nginx
      - files
      - tasks
        - main.yml
      - templates

ໃນປັດຈຸບັນພວກເຮົາຕ້ອງການໄຟລ໌ແລະແມ່ແບບ. ຄວາມແຕກຕ່າງລະຫວ່າງພວກມັນແມ່ນວ່າ ansible ຄັດລອກໄຟລ໌ໂດຍກົງ, ເຊັ່ນດຽວກັບ. ແລະແມ່ແບບຕ້ອງມີນາມສະກຸນ j2 ແລະພວກເຂົາສາມາດໃຊ້ຄ່າຕົວແປໂດຍໃຊ້ວົງເລັບ curly double ດຽວກັນ.

ໃຫ້ເປີດໃຊ້ nginx ໃນ main.yml ໄຟລ໌. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາມີໂມດູນລະບົບ:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

ໃນທີ່ນີ້ພວກເຮົາບໍ່ພຽງແຕ່ເວົ້າວ່າ nginx ຕ້ອງໄດ້ຮັບການເລີ່ມຕົ້ນ (ນັ້ນແມ່ນ, ພວກເຮົາເປີດຕົວມັນ), ແຕ່ພວກເຮົາເວົ້າທັນທີວ່າມັນຕ້ອງຖືກເປີດໃຊ້.
ຕອນນີ້ໃຫ້ສຳເນົາໄຟລ໌ການຕັ້ງຄ່າ:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'

ພວກເຮົາສ້າງໄຟລ໌ການຕັ້ງຄ່າ nginx ຕົ້ນຕໍ (ທ່ານສາມາດເອົາມັນໂດຍກົງຈາກເຄື່ອງແມ່ຂ່າຍ, ຫຼືຂຽນມັນເອງ). ແລະຍັງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບຄໍາຮ້ອງສະຫມັກຂອງພວກເຮົາໃນ sites_available directory (ອັນນີ້ບໍ່ຈໍາເປັນແຕ່ເປັນປະໂຫຍດ). ໃນກໍລະນີທໍາອິດ, ພວກເຮົາໃຊ້ໂມດູນສໍາເນົາເພື່ອຄັດລອກໄຟລ໌ (ໄຟລ໌ຕ້ອງຢູ່ໃນ /ansible/roles/nginx/files/nginx.conf). ໃນທີສອງ, ພວກເຮົາຄັດລອກແມ່ແບບ, ທົດແທນຄ່າຂອງຕົວແປ. ແມ່ແບບຄວນຈະຢູ່ໃນ /ansible/roles/nginx/templates/my_app.j2). ແລະມັນອາດຈະເບິ່ງຄືວ່ານີ້:

upstream {{ app_name }} {
  server unix:{{ app_path }}/shared/tmp/sockets/puma.sock;
}

server {
  listen 80;
  server_name {{ server_name }} {{ inventory_hostname }};
  root {{ app_path }}/current/public;

  try_files $uri/index.html $uri.html $uri @{{ app_name }};
  ....
}

ເອົາໃຈໃສ່ກັບ inserts ໄດ້ {{ app_name }}, {{ app_path }}, {{ server_name }}, {{ inventory_hostname }} — ເຫຼົ່າ​ນີ້​ແມ່ນ​ຕົວ​ແປ​ທັງ​ຫມົດ​ທີ່​ຄ່າ​ຂອງ Ansible ຈະ​ທົດ​ແທນ​ການ​ເຂົ້າ​ໄປ​ໃນ​ແມ່​ແບບ​ກ່ອນ​ທີ່​ຈະ​ສໍາ​ເນົາ​. ນີ້ແມ່ນເປັນປະໂຫຍດຖ້າທ່ານໃຊ້ playbook ສໍາລັບກຸ່ມເຈົ້າພາບທີ່ແຕກຕ່າງກັນ. ຕົວຢ່າງ, ພວກເຮົາສາມາດເພີ່ມໄຟລ໌ສິນຄ້າຄົງຄັງຂອງພວກເຮົາ:

[production]
123.123.123.123

[staging]
231.231.231.231

[all:vars]
user=my_user
user_password=123qweasd

[production:vars]
server_name=production
app_path=/home/www/my_app
app_name=my_app

[staging:vars]
server_name=staging
app_path=/home/www/my_stage
app_name=my_stage_app

ຖ້າພວກເຮົາເປີດຕົວ playbook ຂອງພວກເຮົາ, ມັນຈະປະຕິບັດວຽກງານທີ່ກໍານົດສໍາລັບທັງສອງເຈົ້າພາບ. ແຕ່ໃນເວລາດຽວກັນ, ສໍາລັບເຈົ້າພາບຈັດລໍາດັບ, ຕົວແປຈະແຕກຕ່າງຈາກການຜະລິດ, ແລະບໍ່ພຽງແຕ່ຢູ່ໃນພາລະບົດບາດແລະ playbooks, ແຕ່ຍັງຢູ່ໃນ configs nginx. {{ inventory_hostname }} ບໍ່ຈໍາເປັນຕ້ອງລະບຸໄວ້ໃນເອກະສານສິນຄ້າຄົງຄັງ - ນີ້ ຕົວແປພິເສດ ansible ແລະເຈົ້າພາບທີ່ playbook ກໍາລັງແລ່ນຢູ່ໃນນັ້ນແມ່ນເກັບໄວ້ຢູ່ທີ່ນັ້ນ.
ຖ້າທ່ານຕ້ອງການທີ່ຈະມີໄຟລ໌ຄົງຄັງສໍາລັບຫລາຍເຈົ້າພາບ, ແຕ່ວ່າພຽງແຕ່ດໍາເນີນການສໍາລັບກຸ່ມດຽວ, ນີ້ສາມາດເຮັດໄດ້ດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້:

ansible-playbook -i inventory ./playbook.yml -l "staging"

ທາງເລືອກອື່ນແມ່ນການມີໄຟລ໌ສິນຄ້າຄົງຄັງແຍກຕ່າງຫາກສໍາລັບກຸ່ມທີ່ແຕກຕ່າງກັນ. ຫຼືທ່ານສາມາດສົມທົບສອງວິທີການຖ້າທ່ານມີເຈົ້າພາບທີ່ແຕກຕ່າງກັນຫຼາຍ.

ໃຫ້ກັບຄືນໄປຫາການຕັ້ງຄ່າ nginx. ຫຼັງຈາກຄັດລອກໄຟລ໌ການຕັ້ງຄ່າ, ພວກເຮົາຈໍາເປັນຕ້ອງສ້າງ symlink ໃນ sitest_enabled ກັບ my_app.conf ຈາກ sites_available. ແລະ restart nginx.

... # old code in mail.yml

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted

ທຸກສິ່ງທຸກຢ່າງແມ່ນງ່າຍດາຍຢູ່ທີ່ນີ້ - ອີກເທື່ອຫນຶ່ງ ansible modules ທີ່ມີ syntax ມາດຕະຖານທີ່ຂ້ອນຂ້າງ. ແຕ່ມີຈຸດຫນຶ່ງ. ບໍ່ມີຈຸດໃດໃນການເລີ່ມຕົ້ນໃຫມ່ nginx ທຸກໆຄັ້ງ. ທ່ານສັງເກດເຫັນບໍວ່າພວກເຮົາບໍ່ໄດ້ຂຽນຄໍາສັ່ງເຊັ່ນ: "ເຮັດແບບນີ້", syntax ເບິ່ງຄືວ່າ "ນີ້ຄວນຈະມີສະຖານະນີ້". ແລະສ່ວນຫຼາຍແລ້ວ, ນີ້ແມ່ນວິທີທີ່ ansible ເຮັດວຽກ. ຖ້າກຸ່ມມີຢູ່ແລ້ວ, ຫຼືຊຸດລະບົບຖືກຕິດຕັ້ງແລ້ວ, ansible ຈະກວດເບິ່ງນີ້ແລະຂ້າມຫນ້າວຽກ. ນອກຈາກນັ້ນ, ໄຟລ໌ຈະບໍ່ຖືກຄັດລອກຖ້າພວກເຂົາກົງກັບສິ່ງທີ່ຢູ່ໃນເຄື່ອງແມ່ຂ່າຍແລ້ວ. ພວກເຮົາສາມາດໃຊ້ປະໂຫຍດຈາກສິ່ງນີ້ແລະ restart nginx ພຽງແຕ່ຖ້າໄຟລ໌ການຕັ້ງຄ່າໄດ້ຖືກປ່ຽນແປງ. ມີຄໍາສັ່ງລົງທະບຽນສໍາລັບການນີ້:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes
  register: restart_nginx

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'
  register: restart_nginx

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted
  when: restart_nginx.changed

ຖ້າຫນຶ່ງໃນໄຟລ໌ການຕັ້ງຄ່າປ່ຽນແປງ, ສໍາເນົາຈະຖືກເຮັດແລະຕົວແປຈະຖືກລົງທະບຽນ restart_nginx. ແລະພຽງແຕ່ຖ້າຕົວແປນີ້ໄດ້ຖືກລົງທະບຽນແລ້ວບໍລິການຈະຖືກເລີ່ມຕົ້ນໃຫມ່.

ແລະ, ແນ່ນອນ, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມບົດບາດ nginx ກັບ playbook ຕົ້ນຕໍ.

ການຕັ້ງຄ່າ postgresql

ພວກເຮົາຈໍາເປັນຕ້ອງເປີດໃຊ້ postgresql ໂດຍໃຊ້ systemd ຄືກັນກັບທີ່ພວກເຮົາໄດ້ເຮັດກັບ nginx, ແລະຍັງສ້າງຜູ້ໃຊ້ທີ່ພວກເຮົາຈະໃຊ້ເພື່ອເຂົ້າເຖິງຖານຂໍ້ມູນແລະຖານຂໍ້ມູນຂອງມັນເອງ.
ໃຫ້ສ້າງບົດບາດ /ansible/roles/postgresql/tasks/main.yml:

# Create user in postgresql
- name: enable postgresql and start
  systemd:
    name: postgresql
    state: started
    enabled: yes

- name: Create database user
  become_user: postgres
  postgresql_user:
    name: "{{ db_user }}"
    password: "{{ db_password }}"
    role_attr_flags: SUPERUSER

- name: Create database
  become_user: postgres
  postgresql_db:
    name: "{{ db_name }}"
    encoding: UTF-8
    owner: "{{ db_user }}"

ຂ້າພະເຈົ້າຈະບໍ່ອະທິບາຍວິທີການເພີ່ມຕົວແປໃນສິນຄ້າຄົງຄັງ, ນີ້ໄດ້ເຮັດແລ້ວຫຼາຍຄັ້ງ, ເຊັ່ນດຽວກັນກັບ syntax ຂອງໂມດູນ postgresql_db ແລະ postgresql_user. ຂໍ້ມູນເພີ່ມເຕີມສາມາດພົບໄດ້ໃນເອກະສານ. ຄໍາແນະນໍາທີ່ຫນ້າສົນໃຈທີ່ສຸດຢູ່ທີ່ນີ້ແມ່ນ become_user: postgres. ຄວາມຈິງແລ້ວແມ່ນວ່າໂດຍຄ່າເລີ່ມຕົ້ນ, ພຽງແຕ່ຜູ້ໃຊ້ postgres ສາມາດເຂົ້າເຖິງຖານຂໍ້ມູນ postgresql ແລະພຽງແຕ່ຢູ່ໃນທ້ອງຖິ່ນ. ຄໍາສັ່ງນີ້ອະນຸຍາດໃຫ້ພວກເຮົາປະຕິບັດຄໍາສັ່ງໃນນາມຂອງຜູ້ໃຊ້ນີ້ (ຖ້າພວກເຮົາເຂົ້າເຖິງ, ແນ່ນອນ).
ນອກຈາກນັ້ນ, ທ່ານອາດຈະຕ້ອງເພີ່ມແຖວໃສ່ pg_hba.conf ເພື່ອໃຫ້ຜູ້ໃຊ້ໃຫມ່ເຂົ້າເຖິງຖານຂໍ້ມູນ. ນີ້ສາມາດເຮັດໄດ້ໃນລັກສະນະດຽວກັນທີ່ພວກເຮົາໄດ້ປ່ຽນການຕັ້ງຄ່າ nginx.

ແລະແນ່ນອນ, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມບົດບາດ postgresql ກັບ playbook ຕົ້ນຕໍ.

ການຕິດຕັ້ງ ruby ​​​​ຜ່ານ rbenv

Ansible ບໍ່ມີໂມດູນສໍາລັບການເຮັດວຽກກັບ rbenv, ແຕ່ມັນຖືກຕິດຕັ້ງໂດຍ cloning git repository. ດັ່ງນັ້ນ, ບັນຫານີ້ກາຍເປັນບັນຫາທີ່ບໍ່ມີມາດຕະຖານທີ່ສຸດ. ຂໍໃຫ້ສ້າງບົດບາດຂອງນາງ /ansible/roles/ruby_rbenv/main.yml ແລະໃຫ້ເລີ່ມຕົ້ນຕື່ມມັນອອກ:

# Install rbenv and ruby
- name: Install rbenv
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/rbenv.git dest=~/.rbenv

ພວກເຮົາອີກເທື່ອຫນຶ່ງນໍາໃຊ້ຄໍາແນະນໍາກາຍເປັນຜູ້ໃຊ້ເພື່ອເຮັດວຽກພາຍໃຕ້ຜູ້ໃຊ້ທີ່ພວກເຮົາສ້າງເພື່ອຈຸດປະສົງເຫຼົ່ານີ້. ເນື່ອງຈາກ rbenv ຖືກຕິດຕັ້ງຢູ່ໃນໄດເລກະທໍລີເຮືອນຂອງມັນ, ແລະບໍ່ແມ່ນທົ່ວໂລກ. ແລະພວກເຮົາຍັງໃຊ້ໂມດູນ git ເພື່ອ clone repository, ລະບຸ repo ແລະ dest.

ຕໍ່ໄປ, ພວກເຮົາຈໍາເປັນຕ້ອງລົງທະບຽນ rbenv init ໃນ bashrc ແລະເພີ່ມ rbenv ກັບ PATH ຢູ່ທີ່ນັ້ນ. ສໍາລັບນີ້ພວກເຮົາມີໂມດູນ lineinfile:

- name: Add rbenv to PATH
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'export PATH="${HOME}/.rbenv/bin:${PATH}"'

- name: Add rbenv init to bashrc
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'eval "$(rbenv init -)"'

ຫຼັງຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງໄດ້ຕິດຕັ້ງ ruby_build:

- name: Install ruby-build
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/ruby-build.git dest=~/.rbenv/plugins/ruby-build

ແລະສຸດທ້າຍຕິດຕັ້ງ ruby. ນີ້ແມ່ນເຮັດໄດ້ໂດຍຜ່ານ rbenv, ນັ້ນແມ່ນ, ພຽງແຕ່ມີຄໍາສັ່ງ bash:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    rbenv install {{ ruby_version }}
  args:
    executable: /bin/bash

ພວກເຮົາເວົ້າວ່າຄໍາສັ່ງໃດທີ່ຈະປະຕິບັດແລະດ້ວຍອັນໃດ. ຢ່າງໃດກໍຕາມ, ໃນທີ່ນີ້ພວກເຮົາພົບຄວາມຈິງທີ່ວ່າ ansible ບໍ່ໄດ້ດໍາເນີນການລະຫັດທີ່ມີຢູ່ໃນ bashrc ກ່ອນທີ່ຈະດໍາເນີນການຄໍາສັ່ງ. ນີ້ຫມາຍຄວາມວ່າ rbenv ຈະຕ້ອງຖືກກໍານົດໂດຍກົງໃນສະຄິບດຽວກັນ.

ບັນຫາຕໍ່ໄປແມ່ນເນື່ອງມາຈາກຄວາມຈິງທີ່ວ່າຄໍາສັ່ງ shell ບໍ່ມີສະຖານະຈາກຈຸດທີ່ບໍ່ສາມາດເຂົ້າໃຈໄດ້. ນັ້ນແມ່ນ, ຈະບໍ່ມີການກວດສອບອັດຕະໂນມັດວ່າ Ruby ຮຸ່ນນີ້ຖືກຕິດຕັ້ງຫຼືບໍ່. ພວກເຮົາສາມາດເຮັດໄດ້ດ້ວຍຕົວເຮົາເອງ:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    if ! rbenv versions | grep -q {{ ruby_version }}
      then rbenv install {{ ruby_version }} && rbenv global {{ ruby_version }}
    fi
  args:
    executable: /bin/bash

ສິ່ງທີ່ຍັງເຫຼືອແມ່ນການຕິດຕັ້ງ bundle:

- name: Install bundler
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    gem install bundler

ແລະອີກເທື່ອຫນຶ່ງ, ເພີ່ມບົດບາດຂອງພວກເຮົາ ruby_rbenv ໃສ່ປື້ມຫຼິ້ນຕົ້ນຕໍ.

ໄຟລ໌ທີ່ແບ່ງປັນ.

ໂດຍທົ່ວໄປແລ້ວ, ການຕິດຕັ້ງສາມາດສຳເລັດໄດ້ທີ່ນີ້. ຕໍ່ໄປ, ທັງຫມົດທີ່ຍັງເຫຼືອແມ່ນເພື່ອດໍາເນີນການ capistrano ແລະມັນຈະຄັດລອກລະຫັດຕົວມັນເອງ, ສ້າງໄດເລກະທໍລີທີ່ຈໍາເປັນແລະເປີດຕົວແອັບພລິເຄຊັນ (ຖ້າທຸກສິ່ງທຸກຢ່າງຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ). ຢ່າງໃດກໍຕາມ, capistrano ມັກຈະຕ້ອງການໄຟລ໌ການຕັ້ງຄ່າເພີ່ມເຕີມ, ເຊັ່ນ: database.yml ຫຼື .env ພວກເຂົາສາມາດຖືກຄັດລອກຄືກັນກັບໄຟລ໌ແລະແມ່ແບບສໍາລັບ nginx. ມີພຽງແຕ່ຫນຶ່ງ subtlety. ກ່ອນທີ່ຈະຄັດລອກໄຟລ໌, ທ່ານຈໍາເປັນຕ້ອງສ້າງໂຄງສ້າງໄດເລກະທໍລີສໍາລັບພວກມັນ, ບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້:

# Copy shared files for deploy
- name: Ensure shared dir
  become_user: "{{ user }}"
  file:
    path: "{{ app_path }}/shared/config"
    state: directory

ພວກເຮົາລະບຸພຽງແຕ່ຫນຶ່ງໄດເລກະທໍລີແລະ ansible ຈະສ້າງຕົວແມ່ໂດຍອັດຕະໂນມັດຖ້າຈໍາເປັນ.

Ansible Vault

ພວກເຮົາໄດ້ພົບແລ້ວຄວາມຈິງທີ່ວ່າຕົວແປສາມາດມີຂໍ້ມູນລັບເຊັ່ນລະຫັດຜ່ານຂອງຜູ້ໃຊ້. ຖ້າທ່ານໄດ້ສ້າງ .env ໄຟລ໌ສໍາລັບຄໍາຮ້ອງສະຫມັກ, ແລະ database.yml ຫຼັງຈາກນັ້ນ, ຕ້ອງມີຂໍ້ມູນທີ່ສໍາຄັນຫຼາຍກວ່າເກົ່າ. ມັນຈະເປັນການດີທີ່ຈະປິດບັງພວກເຂົາຈາກຕາ prying. ສໍາລັບຈຸດປະສົງນີ້, ມັນຖືກນໍາໃຊ້ vault ansible.

ໃຫ້ສ້າງໄຟລ໌ສໍາລັບຕົວແປ /ansible/vars/all.yml (ທີ່ນີ້ທ່ານສາມາດສ້າງໄຟລ໌ທີ່ແຕກຕ່າງກັນສໍາລັບກຸ່ມເຈົ້າພາບທີ່ແຕກຕ່າງກັນ, ຄືກັນກັບຢູ່ໃນໄຟລ໌ສິນຄ້າຄົງຄັງ: production.yml, staging.yml, ແລະອື່ນໆ).
ທຸກຕົວແປທີ່ຕ້ອງຖືກເຂົ້າລະຫັດຕ້ອງຖືກໂອນໄປຫາໄຟລ໌ນີ້ໂດຍໃຊ້ syntax yml ມາດຕະຖານ:

# System vars
user_password: 123qweasd
db_password: 123qweasd

# ENV vars
aws_access_key_id: xxxxx
aws_secret_access_key: xxxxxx
aws_bucket: bucket_name
rails_secret_key_base: very_secret_key_base

ຫຼັງຈາກນັ້ນ, ໄຟລ໌ນີ້ສາມາດຖືກເຂົ້າລະຫັດດ້ວຍຄໍາສັ່ງ:

ansible-vault encrypt ./vars/all.yml

ຕາມທໍາມະຊາດ, ເມື່ອເຂົ້າລະຫັດ, ທ່ານຈະຕ້ອງຕັ້ງລະຫັດຜ່ານສໍາລັບການຖອດລະຫັດ. ທ່ານສາມາດເບິ່ງສິ່ງທີ່ຈະຢູ່ໃນໄຟລ໌ຫຼັງຈາກໂທຫາຄໍາສັ່ງນີ້.

ດ້ວຍຄວາມຊ່ວຍເຫຼືອຂອງ ansible-vault decrypt ໄຟລ໌ສາມາດຖືກຖອດລະຫັດ, ແກ້ໄຂແລະຫຼັງຈາກນັ້ນເຂົ້າລະຫັດອີກເທື່ອຫນຶ່ງ.

ທ່ານບໍ່ ຈຳ ເປັນຕ້ອງຖອດລະຫັດໄຟລ໌ເພື່ອເຮັດວຽກ. ທ່ານເກັບຮັກສາມັນເຂົ້າລະຫັດລັບແລະດໍາເນີນການ playbook ດ້ວຍການໂຕ້ຖຽງ --ask-vault-pass. Ansible ຈະຮ້ອງຂໍໃຫ້ມີລະຫັດຜ່ານ, ດຶງເອົາຕົວແປ, ແລະປະຕິບັດຫນ້າວຽກ. ຂໍ້ມູນທັງໝົດຈະຍັງຄົງຖືກເຂົ້າລະຫັດໄວ້.

ຄໍາສັ່ງຄົບຖ້ວນສົມບູນສໍາລັບຫຼາຍໆກຸ່ມຂອງ hosts ແລະ vault ansible ຈະມີລັກສະນະເຊັ່ນນີ້:

ansible-playbook -i inventory ./playbook.yml -l "staging" --ask-vault-pass

ແຕ່ຂ້ອຍຈະບໍ່ໃຫ້ບົດເລື່ອງເຕັມຂອງ playbooks ແລະພາລະບົດບາດ, ຂຽນມັນເອງ. ເນື່ອງຈາກວ່າ ansible ເປັນແບບນັ້ນ - ຖ້າທ່ານບໍ່ເຂົ້າໃຈສິ່ງທີ່ຕ້ອງເຮັດ, ມັນຈະບໍ່ເຮັດສໍາລັບທ່ານ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com