Kā sākt Ansible testēšanu, pēc gada pārstrukturējiet projektu un nekļūstiet traki

Šis ir atšifrējums izrādes par DevOps-40, 2020:

Sākot ar otro apņemšanos, jebkurš kods kļūst mantots, jo sākotnējās idejas sāk atšķirties no skarbās realitātes. Tas nav ne labi, ne slikti, tas ir dots, ar kuru grūti strīdēties un ar ko ir jāsadzīvo. Daļa no šī procesa ir pārstrukturēšana. Infrastruktūras pārstrukturēšana kā kods. Sāksim stāstu par to, kā gada laikā pārveidot Ansible un nekļūt traks.

Mantojuma dzimšana

1. diena: paciente nulle

Reiz bija nosacīts projekts. Tajā bija Dev izstrādes komanda un Ops inženieri. Viņi atrisināja to pašu problēmu: kā izvietot serverus un palaist lietojumprogrammu. Problēma bija tā, ka katra komanda šo problēmu atrisināja savā veidā. Projektā tika nolemts izmantot Ansible, lai sinhronizētu zināšanas starp Dev un Ops komandām.

89. diena: mantojuma dzimšana

Pašiem to nemanot, gribējās to izdarīt pēc iespējas labāk, taču tas izrādījās mantojums. Kā tas notiek?

• Mums šeit ir steidzams uzdevums, veiksim netīro uzlaušanu un pēc tam to izlabosim.
• Jums nav jāraksta dokumentācija, un viss ir skaidrs, kas šeit notiek.
• Es zinu Ansible/Python/Bash/Terraform! Paskaties, kā es varu izvairīties!
• Es esmu Full Stack Overflow Developer un nokopēju šo no stackoverflow. Es nezinu, kā tas darbojas, bet tas izskatās lieliski un atrisina problēmu.

Rezultātā var iegūt nesaprotamu koda veidu, kuram nav dokumentācijas, nav skaidrs, ko tas dara, vai tas ir vajadzīgs, bet problēma ir tā, ka jums tas ir jāizstrādā, jāpārveido, jāpievieno kruķi un balsti , padarot situāciju vēl sliktāku.

- hosts: localhost
  tasks:
    - shell: echo -n Z >> a.txt && cat a.txt
      register: output
      delay: 1
      retries: 5
      until: not output.stdout.find("ZZZ")

109. diena: problēmas apzināšanās

Sākotnēji iecerētais un ieviestais IaC modelis vairs neatbilst lietotāju/biznesa/citu komandu prasībām, un laiks izmaiņu veikšanai infrastruktūrā vairs nav pieņemams. Šajā brīdī rodas izpratne, ka ir pienācis laiks rīkoties.

IaC pārstrukturēšana

139. diena: vai jums tiešām ir nepieciešama pārstrukturēšana?

Pirms steidzaties uz refraktoru, jums ir jāatbild uz vairākiem svarīgiem jautājumiem:

1. Kāpēc jums tas viss ir vajadzīgs?
2. Vai tev ir laiks?
3. Vai pietiek ar zināšanām?

Ja jūs nezināt, kā atbildēt uz jautājumiem, tad pārstrukturēšana beigsies, pirms tā pat sāksies, vai arī tā var tikai pasliktināties. Jo bija pieredze ( Ko es uzzināju, pārbaudot 200 000 infrastruktūras koda līniju), tad projektā tika saņemts lūgums pēc palīdzības, lai salabotu lomas un pārklātu tās ar testiem.

149. diena: Refaktoringa sagatavošana

Pirmā lieta ir sagatavoties. Izlemiet, ko mēs darīsim. Lai to izdarītu, mēs sazināmies, atrodam problēmzonas un izdomājam veidus, kā tās atrisināt. Mēs kaut kā ierakstām iegūtos jēdzienus, piemēram, rakstu saplūstot, lai tad, kad rodas jautājums "kas ir labākais?" vai "kas ir pareizi?" Mēs neesam apmaldījušies. Mūsu gadījumā mēs palikām pie idejas sadali un valdi: mēs sadalām infrastruktūru mazos gabaliņos/ķieģeļos. Šī pieeja ļauj paņemt izolētu infrastruktūras gabalu, saprast, ko tā dara, pārklāt to ar testiem un mainīt to, nebaidoties kaut ko salauzt.

Izrādās, infrastruktūras testēšana kļūst par stūrakmeni un šeit ir vērts pieminēt infrastruktūras testēšanas piramīdu. Tieši tāda pati ideja, kas ir izstrādes stadijā, bet infrastruktūrai: mēs pārejam no lētiem ātrajiem testiem, kas pārbauda vienkāršas lietas, piemēram, ievilkumus, uz dārgiem pilnvērtīgiem testiem, kas izvieto visu infrastruktūru.

Iespējamie testēšanas mēģinājumi

Pirms mēs turpinām aprakstīt, kā mēs aptvērām Ansible testus projektā, es aprakstīšu mēģinājumus un pieejas, kuras man bija iespēja izmantot agrāk, lai izprastu pieņemto lēmumu kontekstu.

Diena Nr.-997: SDS nodrošināšana

Pirmo reizi es testēju Ansible saistībā ar SDS (Software Defined Storage) izstrādes projektu. Par šo tēmu ir atsevišķs raksts
Kā salauzt velosipēdus ar kruķiem, pārbaudot savu sadalījumu, bet īsi sakot, mēs nonācām pie apgrieztas testēšanas piramīdas un testēšanā vienai lomai pavadījām 60-90 minūtes, kas ir ilgs laiks. Pamatā bija e2e testi, t.i. mēs izvietojām pilnvērtīgu instalāciju un pēc tam to pārbaudījām. Vēl sarežģītāk bija viņa paša velosipēda izgudrojums. Bet jāatzīst, ka šis risinājums darbojās un ļāva nodrošināt stabilu izlaišanu.

Diena Nr. -701: Izpētes virtuve

Ansible testēšanas idejas izstrāde bija gatavu instrumentu izmantošana, proti, testa virtuve / virtuve-ci un inspec. Izvēli noteica zināšanas par Rubīnu (sīkāku informāciju skatiet rakstā par Habré: Vai YML programmētāji sapņo par Ansible testēšanu?) strādāja ātrāk, apmēram 40 minūtes 10 lomām. Mēs izveidojām virtuālo mašīnu pakotni un veicām testus.

Kopumā risinājums darbojās, taču neviendabīguma dēļ bija daži nosēdumi. Kad pārbaudāmo cilvēku skaits tika palielināts līdz 13 pamata lomām un 2 meta lomām, apvienojot mazākas lomas, tad pēkšņi testi sāka darboties 70 minūtes, kas ir gandrīz 2 reizes ilgāk. Bija grūti runāt par XP (extreme programming) praksi, jo... neviens nevēlas gaidīt 70 minūtes. Tas bija iemesls pieejas maiņai

Diena # -601: Ansible un molekula

Konceptuāli tas ir līdzīgs testkitchen, tikai mēs pārcēlām lomu testēšanu uz docker un mainījām steku. Rezultātā laiks tika samazināts līdz stabilām 20-25 minūtēm 7 lomām.

Palielinot pārbaudīto lomu skaitu līdz 17 un izveidojot 45 lomas, mēs to paveicām 28 minūtēs 2 Dženkinsa vergiem.

167. diena: Ansible testu pievienošana projektam

Visticamāk, pārstrukturēšanas uzdevumu nebūs iespējams veikt steigā. Uzdevumam jābūt izmērāmam, lai to varētu sadalīt mazos gabaliņos un ar tējkaroti pa gabalu apēst ziloni. Ir jābūt izpratnei par to, vai tu virzies pareizajā virzienā, cik ilgi iet.

Vispār ir vienalga, kā tas tiks darīts, var rakstīt uz lapiņas, uz skapja var uzlīmēt uzlīmes, Jirā var izveidot uzdevumus vai arī atvērt Google dokumentus un pierakstīt pašreizējo statusu tur. Kājas aug no tā, ka process nav tūlītējs, tas būs garš un nogurdinošs. Maz ticams, ka kāds vēlas, lai jūs pārņemtu idejas, nogurtu un kļūtu pārņemts pārstrukturēšanas laikā.

Refaktorēšana ir vienkārša:

• Ēd.
• Gulēt.
• Kods.
• IaC tests.
• Atkārtot

un mēs to atkārtojam, līdz sasniedzam paredzēto mērķi.

Iespējams, ka nevar uzreiz sākt visu testēt, tāpēc mūsu pirmais uzdevums bija sākt ar šķielēšanu un sintakses pārbaudi.

181. diena: Green Build Master

Linting ir neliels pirmais solis ceļā uz Green Build Master. Tas gandrīz neko neizjauks, taču ļaus jums atkļūdot procesus un izveidot zaļās versijas pakalpojumā Jenkins. Ideja ir komandā attīstīt ieradumus:

• Sarkanie testi ir slikti.
• Es atnācu kaut ko salabot un tajā pašā laikā padarīt kodu mazliet labāku nekā tas bija pirms jums.

193. diena: no plūkšanas līdz vienību testiem

Kad esat izveidojis koda ievadīšanas procesu galvenajā versijā, varat sākt pakāpeniskas uzlabošanas procesu - aizstājot šķiedru ar palaišanas lomām, jūs pat varat to izdarīt bez idempotences. Jums ir jāsaprot, kā piemērot lomas un kā tās darbojas.

211. diena: no vienības līdz integrācijas testiem

Kad lielākā daļa lomu ir pārklātas ar vienību pārbaudēm un viss ir izkliedēts, varat pāriet uz integrācijas testu pievienošanu. Tie. pārbaudot nevis vienu ķieģeli infrastruktūrā, bet gan to kombināciju, piemēram, pilnas instances konfigurāciju.

Izmantojot jenkins, mēs ģenerējām daudzus posmus, kuros paralēli tika sadalītas lomas/spēļu grāmatas, tad vienību testi konteineros un visbeidzot integrācijas testi.

Jenkins + Docker + Ansible = testi

1. Pārbaudiet repo un ģenerējiet veidošanas posmus.
2. Paralēli izpildiet savārstījumu rokasgrāmatas posmus.
3. Paralēli izpildiet pūkas lomu posmus.
4. Paralēli palaist sintakses pārbaudes lomu posmus.
5. Paralēli palaist pārbaudes lomu posmus.
   1. Lint loma.
   2. Pārbaudiet atkarību no citām lomām.
   3. Pārbaudiet sintaksi.
   4. Izveidojiet docker instanci
   5. Palaidiet molecule/default/playbook.yml.
   6. Pārbaudiet idempotenci.
6. Palaidiet integrācijas testus
7. apdare

271. diena: Autobusu faktors

Sākumā pārstrukturēšanu veica neliela divu vai trīs cilvēku grupa. Viņi pārskatīja kodu galvenajā versijā. Laika gaitā komanda attīstīja zināšanas par to, kā rakstīt kodu, un koda pārskatīšana veicināja zināšanu izplatīšanu par infrastruktūru un tās darbību. Šeit galvenais bija tas, ka recenzentus atlasīja pa vienam, pēc grafika, t.i. ar zināmu varbūtības pakāpi jūs iekāpsiet jaunā infrastruktūras daļā.

Un šeit vajadzētu būt ērti. Ir ērti veikt apskatu, redzēt, kāda uzdevuma ietvaros tas tika veikts, un diskusiju vēsturi. Mums ir integrēti jenkins + bitbucket + jira.

Bet kā tāds apskats nav brīnumlīdzeklis; kaut kā mēs nokļuvām galvenajā kodā, kas lika mums veikt flopa testus:

- get_url:
    url: "{{ actk_certs }}/{{ item.1 }}"
    dest: "{{ actk_src_tmp }}/"
    username: "{{ actk_mvn_user }}"
    password: "{{ actk_mvn_pass }}"
  with_subelements:
    - "{{ actk_cert_list }}"
    - "{{ actk_certs }}"
  delegate_to: localhost

- copy:
    src: "{{ actk_src_tmp }}/{{ item.1 }}"
    dest: "{{ actk_dst_tmp }}"
  with_subelements:
    - "{{ actk_cert_list }}"
    - "{{ actk_certs }}"

Tad viņi to salaboja, bet nogulsnes palika.

get_url:
    url: "{{ actk_certs }}/{{ actk_item }}"
    dest: "{{ actk_src_tmp }}/{{ actk_item }}"
    username: "{{ actk_mvn_user }}"
    password: "{{ actk_mvn_pass }}"
  loop_control:
    loop_var: actk_item
  with_items: "{{ actk_cert_list }}"
  delegate_to: localhost

- copy:
    src: "{{ actk_src_tmp }}/{{ actk_item }}"
    dest: "{{ actk_dst_tmp }}"
  loop_control:
    loop_var: actk_item
  with_items: "{{ actk_cert_list }}"

311. diena: testu paātrināšana

Laika gaitā testu bija vairāk, būves darbojās lēnāk, sliktākajā gadījumā līdz pat stundai. Uz viena no retro bija tāda frāze kā "labi, ka ir testi, bet tie ir lēni." Tā rezultātā mēs atteicāmies no integrācijas testiem virtuālajās mašīnās un pielāgojām tos Docker, lai padarītu to ātrāku. Mēs arī aizstājām testinfra ar piemērotu verificētāju, lai samazinātu izmantoto rīku skaitu.

Stingri sakot, bija pasākumu kopums:

1. Pārslēdzieties uz doku.
2. Noņemiet lomu testēšanu, kas tiek dublēta atkarību dēļ.
3. Palieliniet vergu skaitu.
4. Testa darbības secība.
5. Spēja plūkt ALL lokāli ar vienu komandu.

Rezultātā tika apvienots arī jenkins Pipeline

1. Ģenerējiet veidošanas posmus.
2. Lint visu paralēli.
3. Paralēli palaist pārbaudes lomu posmus.
4. Pabeigt.

Gūtās atziņas

Izvairieties no globālajiem mainīgajiem

Ansible izmanto globālos mainīgos, veidlapā ir daļējs risinājums private_role_vars, bet tā nav panaceja.

Ļaujiet man sniegt jums piemēru. Ļaujiet mums role_a и role_b

# cat role_a/defaults/main.yml
---
msg: a

# cat role_a/tasks/main.yml
---
- debug:
    msg: role_a={{ msg }}

# cat role_b/defaults/main.yml
---
msg: b

# cat role_b/tasks/main.yml
---
- set_fact:
    msg: b
- debug:
    msg: role_b={{ msg }}

- hosts: localhost
  vars:
    msg: hello
  roles:
    - role: role_a
    - role: role_b
  tasks:
    - debug:
        msg: play={{msg}}

Smieklīgi ir tas, ka rotaļu grāmatu rezultāts būs atkarīgs no lietām, kas ne vienmēr ir acīmredzamas, piemēram, lomu saraksta secība. Diemžēl tāda ir Ansible būtība, un labākais, ko var darīt, ir izmantot kaut kādu vienošanos, piemēram, lomas ietvaros izmantot tikai šajā lomā aprakstīto mainīgo.

BAD: izmantojiet globālo mainīgo.

# cat roles/some_role/tasks/main.yml
---
debug:
  var: java_home

LABA: V defaults definēt nepieciešamos mainīgos un vēlāk izmantot tikai tos.

# cat roles/some_role/defaults/main.yml
---
r__java_home:
 "{{ java_home | default('/path') }}"

# cat roles/some_role/tasks/main.yml
---
debug:
  var: r__java_home

Prefiksa lomu mainīgie

BAD: izmantojiet globālo mainīgo.

# cat roles/some_role/defaults/main.yml
---
db_port: 5432

LABA: Mainīgo lomās izmantojiet mainīgos ar prefiksu ar lomas nosaukumu; tādējādi, aplūkojot inventāru, būs vieglāk saprast, kas notiek.

# cat roles/some_role/defaults/main.yml
---
some_role__db_port: 5432

Izmantojiet cilpas vadības mainīgo

BAD: izmantojiet standarta mainīgo cilpās item, ja šis uzdevums/rokasgrāmata ir kaut kur iekļauta, tas var izraisīt neparedzētu rīcību

---
- hosts: localhost
  tasks:
    - debug:
        msg: "{{ item }}"
      loop:
        - item1
        - item2

LABA: atkārtoti definējiet mainīgo cilpas caur loop_var.

---
- hosts: localhost
  tasks:
    - debug:
        msg: "{{ item_name }}"
      loop:
        - item1
        - item2
      loop_control:
        loop_var: item_name

Pārbaudiet ievades mainīgos

Mēs vienojāmies izmantot mainīgos prefiksus; nebūtu lieki pārbaudīt, vai tie ir definēti tā, kā mēs sagaidām, un, piemēram, tos nav ignorējusi tukša vērtība

LABA: pārbaudiet mainīgos.

- name: "Verify that required string variables are defined"
  assert:
    that: ahs_var is defined and ahs_var | length > 0 and ahs_var != None
    fail_msg: "{{ ahs_var }} needs to be set for the role to work "
    success_msg: "Required variables {{ ahs_var }} is defined"
  loop_control:
    loop_var: ahs_var
  with_items:
    - ahs_item1
    - ahs_item2
    - ahs_item3

Izvairieties no jaukšanas vārdnīcām, izmantojiet plakanu struktūru

Ja loma kādā no tās parametriem sagaida jaucējumu/vārdnīcu, tad, ja vēlamies mainīt kādu no pakārtotajiem parametriem, mums vajadzēs ignorēt visu jaucējkodu/vārdnīcu, kas palielinās konfigurācijas sarežģītību.

BAD: izmantojiet hash/vārdnīcu.

---
user:
  name: admin
  group: admin

LABA: izmantojiet plakanu mainīgo struktūru.

---
user_name: admin
user_group: "{{ user_name }}"

Izveidojiet idempotas rotaļu grāmatas un lomas

Lomām un rotaļu grāmatām jābūt idempotentām, jo samazina konfigurācijas novirzi un bailes kaut ko salauzt. Bet, ja izmantojat molekulu, tā ir noklusējuma darbība.

Izvairieties no komandu čaulas moduļu izmantošanas

Izmantojot čaulas moduli, tiek iegūta obligāta apraksta paradigma, nevis deklaratīvā paradigma, kas ir Ansible kodols.

Pārbaudiet savas lomas, izmantojot molekulu

Molekula ir ļoti elastīga lieta, apskatīsim dažus scenārijus.

Molekula Vairāki gadījumi

В molecule.yml sadaļā platforms varat aprakstīt daudzus saimniekdatorus, kurus varat izvietot.

---
    driver:
      name: docker
    platforms:
      - name: postgresql-instance
        hostname: postgresql-instance
        image: registry.example.com/postgres10:latest
        pre_build_image: true
        override_command: false
        network_mode: host
      - name: app-instance
        hostname: app-instance
        pre_build_image: true
        image: registry.example.com/docker_centos_ansible_tests
        network_mode: host

Attiecīgi šie saimnieki pēc tam var būt converge.yml izmantot:

---
- name: Converge all
  hosts: all
  vars:
    ansible_user: root
  roles:
    - role: some_role

- name: Converge db
  hosts: db-instance
  roles:
    - role: some_db_role

- name: Converge app
  hosts: app-instance
  roles:
    - role: some_app_role

Iespējamais pārbaudītājs

Molekulā ir iespējams izmantot ansible, lai pārbaudītu, vai instance ir pareizi konfigurēta, turklāt kopš 3. izlaiduma tas ir bijis noklusējuma iestatījums. Tas nav tik elastīgs kā testinfra/inspec, taču mēs varam pārbaudīt, vai faila saturs atbilst mūsu cerībām:

---
- name: Verify
  hosts: all
  tasks:
    - name: copy config
      copy:
        src: expected_standalone.conf
        dest: /root/wildfly/bin/standalone.conf
        mode: "0644"
        owner: root
        group: root
      register: config_copy_result

    - name: Certify that standalone.conf changed
      assert:
        that: not config_copy_result.changed

Vai arī izvietojiet pakalpojumu, pagaidiet, līdz tas kļūs pieejams, un veiciet dūmu pārbaudi:

---
  - name: Verify
    hosts: solr
    tasks:
      - command: /blah/solr/bin/solr start -s /solr_home -p 8983 -force
      - uri:
          url: http://127.0.0.1:8983/solr
          method: GET
          status_code: 200
        register: uri_result
        until: uri_result is not failed
        retries: 12
        delay: 10
      - name: Post documents to solr
        command: /blah/solr/bin/post -c master /exampledocs/books.csv

Ievietojiet sarežģītu loģiku moduļos un spraudņos

Ansible atbalsta deklaratīvu pieeju, tāpēc, veicot koda sazarošanu, datu pārveidošanu, čaulas moduļus, kods kļūst grūti lasāms. Lai cīnītos pret to un padarītu to viegli saprotamu, nebūtu lieki cīnīties ar šo sarežģītību, izveidojot savus moduļus.

Apkopojiet padomus un ieteikumus

1. Izvairieties no globālajiem mainīgajiem.
2. Prefiksa lomu mainīgie.
3. Izmantojiet cilpas vadības mainīgo.
4. Pārbaudiet ievades mainīgos.
5. Izvairieties no jaukšanas vārdnīcām, izmantojiet plakanu struktūru.
6. Izveidojiet idempotas rotaļu grāmatas un lomas.
7. Izvairieties no komandu čaulas moduļu izmantošanas.
8. Pārbaudiet savas lomas, izmantojot molekulu.
9. Ievietojiet sarežģītu loģiku moduļos un spraudņos.

Secinājums

Jūs nevarat vienkārši iet un pārveidot infrastruktūru projektā, pat ja jums ir IaC. Tas ir ilgs process, kas prasa pacietību, laiku un zināšanas.

Informācija

• Slaidi Kā pārbaudīt Ansible un neapjukt
• Video Kā pārbaudīt Ansible un neapjukt
• Ko es uzzināju, pārbaudot 200 000 infrastruktūras koda līniju
• Iespējama: 120 VM konfigurācijas migrācija no Coreos uz Centos 18 mēnešos
• Kā salauzt velosipēdus ar kruķiem, pārbaudot savu sadalījumu
• Pārbaudi mani, vai vari vai YML programmētāji sapņo par Ansible testēšanu?
• Lielisku IaC testēšanas rakstu, runu un saišu saraksts
• krusta stabs
• Angielski versija

UPD1 2020.05.01. 20:30 — Varat izmantot galveno rokasgrāmatu profilēšanu callback_whitelist = profile_tasks lai saprastu, kas tieši darbojas ilgu laiku. Tad ejam cauri Ansible paātrinājuma klasika. Var arī mēģināt mitogēns
UPD2 2020.05.03. 16:34 Sākot no Angielski versija

Avots: www.habr.com