Pieeja IaC (Infrastruktūra kā kods) sastāv ne tikai no koda, kas tiek glabāts repozitorijā, bet arī no cilvēkiem un procesiem, kas ieskauj šo kodu. Vai ir iespējams atkārtoti izmantot pieejas no programmatūras izstrādes līdz infrastruktūras pārvaldībai un aprakstam? Būtu laba ideja paturēt šo domu prātā, lasot rakstu.

Angielski versija

Šī ir mana atšifrējums izrādes par DevopsConf 2019-05-28.

Slaidi un video

• Angielski versija
• Krievu valodas versija
• Sausais brauciens 2019-04-24 SpbLUG
• Video (RU) no DevopsConf 2019. 05
• Video (RU) no DINS DevOps VAKARS 2019. gada 06. jūnijā
• Slaidi

Infrastruktūra kā bash vēsture

Pieņemsim, ka jūs nonākat pie jauna projekta, un viņi jums saka: “Mums ir Infrastruktūra kā kods". Realitātē izrādās Infrastruktūra kā bash vēsture vai piemēram Dokumentācija kā bash vēsture. Tā ir ļoti reāla situācija, piemēram, līdzīgu gadījumu savā runā aprakstīja Deniss Lisenko Kā nomainīt visu infrastruktūru un sākt mierīgi gulēt, viņš pastāstīja, kā viņi ieguva saskaņotu infrastruktūru projektam no bash history.

Ar zināmu vēlmi mēs to varam teikt Infrastruktūra kā bash vēsture tas ir kā kods:

1. reproducējamība: Varat ņemt bash vēsturi, palaist komandas no turienes, un, starp citu, kā izvadi var iegūt darba konfigurāciju.
2. versiju veidošana: jūs zināt, kas ieradās un ko viņi darīja, atkal nav fakts, ka tas novedīs pie darba konfigurācijas pie izejas.
3. stāsts: stāsts par to, kurš ko izdarīja. tikai jūs to nevarēsit izmantot, ja pazaudēsit serveri.

Ko darīt?

Infrastruktūra kā kods

Pat tāds dīvains gadījums kā Infrastruktūra kā bash vēsture var vilkt aiz ausīm Infrastruktūra kā kods, bet tad, kad gribēsim izdarīt ko sarežģītāku par veco labo LAMP serveri, nonāksim pie slēdziena, ka šis kods ir kaut kā jāpārveido, jāmaina, jāuzlabo. Tālāk mēs vēlētos apsvērt paralēles starp Infrastruktūra kā kods un programmatūras izstrāde.

D.R.Y.

Uzglabāšanas sistēmas izstrādes projektā bija apakšuzdevums periodiski konfigurējiet SDS: mēs izlaižam jaunu laidienu — tas ir jāizlaiž turpmākai pārbaudei. Uzdevums ir ārkārtīgi vienkāršs:

• piesakieties šeit, izmantojot ssh, un izpildiet komandu.
• kopējiet failu tur.
• labojiet konfigurāciju šeit.
• sākt pakalpojumu tur
• ...
• IENĀKUMS!

Aprakstītajai loģikai ar bash ir vairāk nekā pietiekami, it īpaši projekta sākuma stadijā, kad tas tikai sākas. Šis nav slikti, ka lieto bash, taču laika gaitā parādās pieprasījumi izvietot kaut ko līdzīgu, bet nedaudz atšķirīgu. Pirmā lieta, kas nāk prātā, ir copy-paste. Un tagad mums jau ir divi ļoti līdzīgi skripti, kas veic gandrīz vienu un to pašu. Laika gaitā skriptu skaits pieauga, un mēs saskārāmies ar faktu, ka instalācijas izvietošanai ir noteikta biznesa loģika, kas jāsinhronizē starp dažādiem skriptiem, tas ir diezgan sarežģīti.

Izrādās, ka ir tāda prakse kā D.R.Y. (Neatkārtojiet sevi). Ideja ir atkārtoti izmantot esošo kodu. Tas izklausās vienkārši, bet mēs to nenonācām uzreiz. Mūsu gadījumā tā bija banāla ideja: atdalīt konfigurācijas no skriptiem. Tie. biznesa loģika par to, kā instalācija tiek izvietota atsevišķi, konfigurācijas atsevišķi.

CIETS. par CFM

Laika gaitā projekts pieauga un dabisks turpinājums bija Ansible parādīšanās. Galvenais tās parādīšanās iemesls ir tas, ka komandai ir zināšanas un ka bash nav paredzēts sarežģītai loģikai. Ansible sāka ietvert arī sarežģītu loģiku. Lai sarežģīta loģika nepārvērstos haosā, programmatūras izstrādē ir izstrādāti koda organizēšanas principi CIETS. Tāpat, piemēram, Grigorijs Petrovs referātā “Kāpēc IT speciālistam vajadzīgs personīgais zīmols” izvirzīja jautājumu, ka cilvēks ir veidots tā, lai viņam būtu vieglāk operēt ar kādām sociālām vienībām, programmatūras izstrādē šīs ir objekti. Ja šīs divas idejas apvienosim un turpināsim tās attīstīt, pamanīsim, ka varam arī izmantot CIETS. lai turpmāk būtu vieglāk uzturēt un modificēt šo loģiku.

Vienotās atbildības princips

Katra klase veic tikai vienu uzdevumu.

Nav nepieciešams jaukt kodu un veidot monolītus dievišķus spageti monstrus. Infrastruktūrai vajadzētu sastāvēt no vienkāršiem ķieģeļiem. Izrādās, ja Ansible rotaļu grāmatu sadala mazos gabaliņos, izlasa Ansible lomas, tad tās ir vieglāk uzturēt.

Atvērtais slēgtais princips

Atvērts/slēgts princips.

• Atvērts paplašināšanai: nozīmē, ka entītijas darbību var paplašināt, izveidojot jaunus entītiju veidus.
• Slēgts izmaiņām: entītijas darbības paplašināšanas rezultātā nevajadzētu veikt nekādas izmaiņas kodā, kas izmanto šīs entītijas.

Sākotnēji mēs izvietojām testa infrastruktūru virtuālajās mašīnās, taču, tā kā izvietošanas biznesa loģika bija nošķirta no ieviešanas, mēs bez problēmām pievienojām izvēršanu baremetall.

Liskova aizstāšanas princips

Barbaras Liskovas aizstāšanas princips. objektiem programmā jābūt aizvietojamiem ar to apakštipu gadījumiem, nemainot pareizu programmas izpildi

Ja skatās plašāk, tad tā nav neviena konkrēta projekta iezīme, ko tur varētu pielietot CIETS., tas parasti ir par CFM, piemēram, citā projektā ir nepieciešams izvietot kastē ievietotu Java lietojumprogrammu virs dažādām Java, lietojumprogrammu serveriem, datu bāzēm, OS utt. Izmantojot šo piemēru, es apsvēršu turpmākos principus CIETS.

Mūsu gadījumā infrastruktūras komandā ir vienošanās, ka, ja esam instalējuši imbjava vai oraclejava lomu, tad mums ir java binārais izpildāmais fails. Tas ir nepieciešams, jo Iepriekšējās lomas ir atkarīgas no šīs uzvedības; viņi sagaida Java. Tajā pašā laikā tas ļauj aizstāt vienu Java ieviešanu/versiju ar citu, nemainot lietojumprogrammas izvietošanas loģiku.

Problēma šeit slēpjas apstāklī, ka Ansible to nav iespējams realizēt, kā rezultātā komandas iekšienē rodas kaut kādas vienošanās.

Interfeisa segregācijas princips

Interfeisa atdalīšanas princips: “Daudzas klientam specifiskas saskarnes ir labākas nekā viena vispārēja pielietojuma saskarne.

Sākotnēji mēģinājām visu lietojumprogrammu izvietošanas mainīgumu salikt vienā Ansible rokasgrāmatā, taču to bija grūti atbalstīt, un pieeja, kad mums ir norādīts ārējais interfeiss (klients sagaida portu 443), tad infrastruktūru var salikt no individuālajām ķieģeļi konkrētai īstenošanai.

Atkarības inversijas princips

Atkarības inversijas princips. Augstākā līmeņa moduļiem nevajadzētu būt atkarīgiem no zemāka līmeņa moduļiem. Abiem moduļu veidiem jābūt atkarīgiem no abstrakcijām. Abstrakcijām nevajadzētu būt atkarīgām no detaļām. Detaļai jābūt atkarīgai no abstrakcijām.

Šeit piemērs būs balstīts uz antirakstu.

1. Vienam no klientiem bija privāts mākonis.
2. Mēs pasūtījām virtuālās mašīnas mākoņa iekšpusē.
3. Taču mākoņa rakstura dēļ lietojumprogrammu izvietošana bija saistīta ar to, kurš hipervizors bija ieslēgts virtuālajā mašīnā.

Tie. Augsta līmeņa lietojumprogrammu izvietošanas loģika plūda ar atkarībām uz zemākiem hipervizora līmeņiem, un tas nozīmēja problēmas, atkārtoti izmantojot šo loģiku. Nedariet to šādā veidā.

Mijiedarbība

Infrastruktūra kā kods ir ne tikai kods, bet arī attiecības starp kodu un cilvēkiem, mijiedarbība starp infrastruktūras izstrādātājiem.

Autobusu faktors

Pieņemsim, ka jūsu projektā ir Vasja. Vasja zina visu par jūsu infrastruktūru, kas notiks, ja Vasja pēkšņi pazudīs? Tā ir ļoti reāla situācija, jo viņu var notriekti autobuss. Dažreiz tas notiek. Ja tā notiek un zināšanas par kodu, tā struktūru, kā tas darbojas, izskatu un parolēm netiek izplatītas starp komandu, tad var rasties vairākas nepatīkamas situācijas. Lai samazinātu šos riskus un izplatītu zināšanas komandā, varat izmantot dažādas pieejas

Pāris Devopsing

Tas nav kā kā joks, ka admini dzēra alu, mainīja paroles un pāru programmēšanas analogu. Tie. divi inženieri apsēžas pie viena datora, vienas tastatūras un kopā sāk izveidot infrastruktūru: izveidot serveri, rakstīt Ansible lomu utt. Izklausās jauki, bet mums tas nederēja. Taču šīs prakses īpašie gadījumi darbojās. Atnāk jauns darbinieks, viņa mentors kopā ar viņu uzņemas reālu uzdevumu, strādā un nodod zināšanas.

Vēl viens īpašs gadījums ir incidenta izsaukums. Problēmas laikā tiek savākta dežurētāju un iesaistīto grupa, tiek iecelts viens vadītājs, kurš dalās ar savu ekrānu un izsaka domu gājienu. Citi dalībnieki seko līdera domām, izspiego konsoles trikus, pārbauda, ​​vai nav palaiduši garām nevienu rindiņu žurnālā, un uzzina jaunas lietas par sistēmu. Šī pieeja darbojās biežāk nekā nē.

Kodu pārskatīšana

Subjektīvi bija efektīvāk izplatīt zināšanas par infrastruktūru un tās darbību, izmantojot kodu pārskatīšanu:

• Infrastruktūra ir aprakstīta ar kodu repozitorijā.
• Izmaiņas notiek atsevišķā filiālē.
• Apvienošanas pieprasījuma laikā varat redzēt infrastruktūras izmaiņu delta.

Šeit galvenais bija tas, ka recenzentus atlasīja pa vienam, pēc grafika, t.i. ar zināmu varbūtības pakāpi jūs iekāpsiet jaunā infrastruktūras daļā.

Koda stils

Ar laiku apskatu laikā sāka parādīties ķildas, jo... recenzentiem bija savs stils, un recenzentu rotācija tos kārtoja ar dažādiem stiliem: 2 atstarpes vai 4, camelCase vai snake_case. To nebija iespējams īstenot uzreiz.

• Pirmā doma bija ieteikt izmantot linteri, galu galā visi ir inženieri, visi ir gudri. Bet dažādi redaktori, OS, nav ērti
• Tas attīstījās par robotprogrammu, kas rakstīja, lai katras problemātiskās darbības gadījumā atslābtu, un pievienoja lintera izvadi. Taču vairumā gadījumu bija daudz svarīgākas lietas, ko darīt, un kods palika nelabots.

Zaļās celtniecības meistars

Laiks iet, un mēs esam nonākuši pie secinājuma, ka saistības, kas neiztur noteiktus pārbaudījumus, nevar ielaist meistarā. Voila! Mēs izgudrojām Green Build Master, kas programmatūras izstrādē tiek praktizēts jau ilgu laiku:

• Atsevišķā filiālē notiek izstrāde.
• Šajā pavedienā tiek veikti testi.
• Ja testi neizdodas, kods nenonāks galvenajā versijā.

Šī lēmuma pieņemšana bija ļoti sāpīga, jo... izraisīja daudz strīdu, bet tas bija tā vērts, jo... Atsauksmes sāka saņemt apvienošanās pieprasījumus bez stila atšķirībām, un laika gaitā problemātisko jomu skaits sāka samazināties.

IaC testēšana

Papildus stila pārbaudei varat izmantot arī citas lietas, piemēram, lai pārbaudītu, vai jūsu infrastruktūra patiešām var tikt izvietota. Vai arī pārbaudiet, vai infrastruktūras izmaiņas neradīs naudas zaudējumus. Kāpēc tas varētu būt vajadzīgs? Jautājums ir sarežģīts un filozofisks, labāk atbildēt ar stāstu, ka Powershell kaut kā bija automātiskais mērogošanas līdzeklis, kas nepārbaudīja robežnosacījumus => tika izveidots vairāk VM nekā nepieciešams => klients iztērēja vairāk naudas nekā plānots. Tas nav īpaši patīkami, taču būtu pilnīgi iespējams pieķert šo kļūdu agrākos posmos.

Varētu jautāt, kāpēc sarežģīto infrastruktūru padarīt vēl sarežģītāku? Infrastruktūras pārbaudes, tāpat kā kods, nav saistītas ar vienkāršošanu, bet gan par to, kā zināt, kā jūsu infrastruktūrai jādarbojas.

IaC testēšanas piramīda

IaC testēšana: statiskā analīze

Ja vienlaikus izvietojat visu infrastruktūru un pārbaudāt, vai tā darbojas, iespējams, atklāsiet, ka tas aizņem daudz laika un prasa daudz laika. Tāpēc pamatam ir jābūt tādam, kas darbojas ātri, to ir daudz, un tas aptver daudz primitīvu vietu.

Bašs ir viltīgs

Apskatīsim triviālu piemēru. atlasiet visus failus pašreizējā direktorijā un kopējiet uz citu vietu. Pirmā lieta, kas nāk prātā:

for i in * ; do 
    cp $i /some/path/$i.bak
done

Ko darīt, ja faila nosaukumā ir atstarpe? Nu, labi, mēs esam gudri, mēs zinām, kā izmantot pēdiņas:

for i in * ; do cp "$i" "/some/path/$i.bak" ; done

Labi padarīts? Nē! Ko darīt, ja direktorijā nekā nav, t.i. globēšana nedarbosies.

find . -type f -exec mv -v {} dst/{}.bak ;

Tagad labi izdarīts? Nē... Aizmirsu, kas var būt faila nosaukumā n.

touch x
mv x  "$(printf "foonbar")"
find . -type f -print0 | xargs -0 mv -t /path/to/target-dir

Statiskās analīzes rīki

Problēma no iepriekšējā soļa varētu tikt pieķerta, kad mēs aizmirsām citātus, jo dabā ir daudz līdzekļu, lai to novērstu Shellcheck, kopumā to ir daudz, un, visticamāk, zem sava IDE varat atrast līnijpārvadātāju savai stekam.

Valoda
Instruments

stipri iesist
Shellcheck

rubīns
RuboCop

pitons
Pylints

ansible
Ansible Lint

IaC testēšana: vienību testi

Kā redzējām no iepriekšējā piemēra, līkumi nav visvareni un nevar norādīt visas problēmzonas. Turklāt, pēc analoģijas ar testēšanu programmatūras izstrādē, mēs varam atsaukt atmiņā vienību testus. Kas uzreiz nāk prātā, ir šunīts, junit, rspec, pytest. Bet ko darīt ar ansible, chef, saltstack un citiem viņiem līdzīgiem?

Pašā sākumā mēs runājām par CIETS. un ka mūsu infrastruktūrai ir jāsastāv no maziem ķieģeļiem. Viņu laiks ir pienācis.

1. Infrastruktūra ir sadalīta mazos ķieģeļos, piemēram, Ansible lomas.
2. Ir izvietota sava veida vide, neatkarīgi no tā, vai tā ir doka vai virtuālā mašīna.
3. Šajā testa vidē mēs izmantojam savu Ansible lomu.
4. Mēs pārbaudām, vai viss strādāja, kā mēs gaidījām (mēs veicam testus).
5. Mēs izlemjam labi vai nē.

IaC testēšana: vienību testēšanas rīki

Jautājums, kādi ir CFM testi? Varat vienkārši palaist skriptu vai šim nolūkam varat izmantot gatavus risinājumus:

CFM
Instruments

Iespējams
Testinfra

Šefpavārs
Inspekcija

Šefpavārs
Serverspec

sāls kaudze
Goss

Piemērs testinfra, pārbaudot, ka lietotāji test1, test2 pastāv un ir grupā sshusers:

def test_default_users(host):
    users = ['test1', 'test2' ]
    for login in users:
        assert host.user(login).exists
        assert 'sshusers' in host.user(login).groups

Ko izvēlēties? Jautājums ir sarežģīts un neskaidrs, šeit ir piemērs izmaiņām projektos github 2018.–2019. gadam:

IaC testēšanas ietvari

Rodas jautājums: kā to visu apvienot un palaist? Var ņem un dari pats ja ir pietiekams skaits inženieru. Vai arī varat izmantot gatavus risinājumus, lai gan to nav ļoti daudz:

CFM
Instruments

Iespējams
molekula

Šefpavārs
Testa virtuve

Terraform
Terratest

Github projektu izmaiņu piemērs 2018.–2019. gadam:

Molekula vs. Testa virtuve

Sākotnēji mēs mēģināju izmantot testkitchen:

1. Paralēli izveidojiet virtuālo mašīnu.
2. Izmantojiet Ansible lomas.
3. Veiciet pārbaudi.

25-35 lomām tas strādāja 40-70 minūtes, kas bija ilgi.

Nākamais solis bija pāreja uz jenkins/docker/ansible/molecule. Idioloģiski viss ir vienāds

1. Lint rotaļu grāmatas.
2. Sakārtojiet lomas.
3. Palaist konteineru
4. Izmantojiet Ansible lomas.
5. Palaist testinfra.
6. Pārbaudiet idempotenci.

40 lomu pildīšana un duci pārbaudījumi sāka aizņemt apmēram 15 minūtes.

Tas, ko izvēlēties, ir atkarīgs no daudziem faktoriem, piemēram, izmantotā kaudzes, komandas pieredzes utt. šeit katrs pats izlemj, kā aizvērt vienības pārbaudes jautājumu

IaC testēšana: integrācijas testi

Nākamais solis infrastruktūras testēšanas piramīdā būs integrācijas testi. Tie ir līdzīgi vienības testiem:

1. Infrastruktūra ir sadalīta mazos ķieģeļos, piemēram, Ansible lomas.
2. Ir izvietota sava veida vide, neatkarīgi no tā, vai tā ir doka vai virtuālā mašīna.
3. Uz šo testa vidi attiecas daudz Iespējamās lomas.
4. Mēs pārbaudām, vai viss strādāja, kā mēs gaidījām (mēs veicam testus).
5. Mēs izlemjam labi vai nē.

Aptuveni runājot, mēs nepārbaudām atsevišķa sistēmas elementa veiktspēju kā vienību testos, mēs pārbaudām, kā serveris ir konfigurēts kopumā.

IaC testēšana: testi no beigām līdz beigām

Piramīdas augšpusē mūs sagaida testi no gala līdz beigām. Tie. Mēs nepārbaudām atsevišķa servera, atsevišķa skripta vai atsevišķas infrastruktūras elementa veiktspēju. Mēs pārbaudām, vai daudzi serveri ir savienoti kopā, mūsu infrastruktūra darbojas tā, kā mēs to sagaidām. Diemžēl es nekad neesmu redzējis gatavus kastes risinājumus, iespējams, tāpēc... Infrastruktūra bieži ir unikāla, un to ir grūti izveidot un izveidot testēšanas sistēmu. Rezultātā katrs rada savus risinājumus. Pieprasījums ir, bet atbildes nav. Tāpēc es jums pastāstīšu, kas ir, lai pamudinātu citus padomāt vai ieberzētu degunu par to, ka viss ir izdomāts jau sen pirms mums.

Projekts ar bagātu vēsturi. To izmanto lielās organizācijās, un, iespējams, katrs no jums ir ar to netieši krustojušies. Lietojumprogramma atbalsta daudzas datu bāzes, integrācijas utt. Zinot, kā infrastruktūra varētu izskatīties, ir daudz docker-compose failu, un zinot, kurus testus palaist un kurā vidē ir Jenkins.

Šī shēma darbojās diezgan ilgu laiku, līdz ietvaros pētniecība mēs neesam mēģinājuši to pārsūtīt uz Openshift. Konteineri paliek tie paši, bet palaišanas vide ir mainījusies (labdien, D.R.Y. vēlreiz).

Pētījuma ideja devās tālāk, un Openshift viņi atrada tādu lietu kā APB (Ansible Playbook Bundle), kas ļauj konteinerā apkopot zināšanas par infrastruktūras izvietošanu. Tie. ir atkārtojams, pārbaudāms zināšanu punkts par infrastruktūras izvietošanu.

Tas viss izklausījās labi, līdz mēs nokļuvām neviendabīgā infrastruktūrā: mums bija nepieciešams Windows testiem. Rezultātā zināšanas par to, ko, kur, kā izvietot un pārbaudīt, ir jenkins.

Secinājumi

Infrastruktūra kā kods ir

• Kods repozitorijā.
• Cilvēka mijiedarbība.
• Infrastruktūras testēšana.

saites

• Angļu versija
• Cross-post no personīgā emuāra
• Sausais brauciens 2019-04-24 SpbLUG
• Video (RU) no DevopsConf 2019. 05
• Video (RU) no DINS DevOps VAKARS 2019. gada 06. jūnijā
• Mācības, kas gūtas, rakstot vairāk nekā 300,000 XNUMX infrastruktūras koda rindiņu & teksta versija
• Infrastruktūras kā koda integrēšana nepārtrauktas piegādes cauruļvadā
• Infrastruktūras kā koda testēšana
• Efektīva Ansible lomu attīstība un uzturēšana
• Ansible nav bash!

Avots: www.habr.com