Servera iestatīšana Rails lietojumprogrammas izvietošanai, izmantojot Ansible

Pirms neilga laika man vajadzēja uzrakstīt vairākas Ansible rokasgrāmatas, lai sagatavotu serveri Rails lietojumprogrammas izvietošanai. Un, pārsteidzoši, es neatradu vienkāršu soli pa solim rokasgrāmatu. Es negribēju kopēt kāda cita rokasgrāmatu, nesaprotot, kas notiek, un galu galā man bija jāizlasa dokumentācija, visu savācot pašam. Varbūt es kādam varu palīdzēt paātrināt šo procesu, izmantojot šo rakstu.

Vispirms ir jāsaprot, ka ansible nodrošina ērtu saskarni, lai veiktu iepriekš noteiktu darbību sarakstu attālajā serverī, izmantojot SSH. Šeit nav nekādas burvības, jūs nevarat instalēt spraudni un iegūt lietojumprogrammas izvietošanu bez dīkstāves, izmantojot dokstaciju, uzraudzību un citus jaukumus. Lai rakstītu rokasgrāmatu, jums jāzina, ko tieši vēlaties darīt un kā to izdarīt. Tāpēc mani neapmierina gatavas GitHub rokasgrāmatas vai raksti, piemēram: “Kopēt un palaist, tas darbosies.”

Kas mums vajadzīgs?

Kā jau teicu, lai uzrakstītu rokasgrāmatu, ir jāzina, ko un kā darīt. Izlemsim, kas mums vajadzīgs. Rails lietojumprogrammai mums būs nepieciešamas vairākas sistēmas pakotnes: nginx, postgresql (redis utt.). Turklāt mums ir nepieciešama īpaša rubīna versija. Vislabāk to instalēt caur rbenv (rvm, asdf...). To visu palaist kā root lietotājam vienmēr ir slikta ideja, tāpēc ir jāizveido atsevišķs lietotājs un jākonfigurē viņa tiesības. Pēc tam jums ir jāaugšupielādē mūsu kods serverī, jākopē nginx, postgres utt. konfigurācijas un jāuzsāk visi šie pakalpojumi.

Rezultātā darbību secība ir šāda:

1. Piesakieties kā root
2. instalēt sistēmas pakotnes
3. izveidot jaunu lietotāju, konfigurēt tiesības, ssh atslēgu
4. konfigurējiet sistēmas pakotnes (nginx utt.) un palaidiet tās
5. Mēs izveidojam lietotāju datu bāzē (jūs varat uzreiz izveidot datu bāzi)
6. Piesakieties kā jauns lietotājs
7. Instalējiet rbenv un ruby
8. Komplektētāja uzstādīšana
9. Lietojumprogrammas koda augšupielāde
10. Puma servera palaišana

Turklāt pēdējos posmus var veikt, izmantojot capistrano, vismaz no kastes var kopēt kodu izlaiduma direktorijos, pārslēgt laidienu ar simbolu pēc veiksmīgas izvietošanas, kopēt konfigurācijas no koplietotā direktorija, restartēt puma utt. To visu var izdarīt, izmantojot Ansible, bet kāpēc?

Failu struktūra

Ansible ir stingrs failu struktūra visiem failiem, tāpēc vislabāk to visu glabāt atsevišķā direktorijā. Turklāt nav tik svarīgi, vai tas būs pašā sliežu aplikācijā, vai atsevišķi. Varat glabāt failus atsevišķā git repozitorijā. Man personīgi visērtāk šķita izveidot iespējamu direktoriju sliedes lietojumprogrammas direktorijā /config un visu glabāt vienā repozitorijā.

Vienkārša rokasgrāmata

Playbook ir yml fails, kas, izmantojot īpašu sintaksi, apraksta, kas un kā Ansible jādara. Izveidosim pirmo rokasgrāmatu, kas neko nedara:

---
- name: Simple playbook
  hosts: all

Šeit mēs vienkārši sakām, ka mūsu rokasgrāmata saucas Simple Playbook un ka tā saturs ir jāizpilda visiem saimniekiem. Mēs varam to saglabāt /ansible direktorijā ar nosaukumu playbook.yml un mēģini skriet:

ansible-playbook ./playbook.yml

PLAY [Simple Playbook] ************************************************************************************************************************************
skipping: no hosts matched

Ansible saka, ka nezina nevienu saimniekdatoru, kas atbilstu visu sarakstu. Tie ir jānorāda īpašā sarakstā inventāra fails.

Izveidosim to tajā pašā iespējamajā direktorijā:

123.123.123.123

Tādā veidā mēs vienkārši norādām resursdatoru (ideālā gadījumā mūsu VPS resursdatoru testēšanai, vai arī varat reģistrēt localhost) un saglabājam to ar nosaukumu inventory.
Varat mēģināt palaist ansible, izmantojot uzskaites failu:

ansible-playbook ./playbook.yml -i inventory
PLAY [Simple Playbook] ************************************************************************************************************************************

TASK [Gathering Facts] ************************************************************************************************************************************

PLAY RECAP ************************************************************************************************************************************

Ja jums ir ssh piekļuve norādītajam resursdatoram, ansible izveidos savienojumu un apkopos informāciju par attālo sistēmu. (noklusējuma UZDEVUMS [Faktu apkopošana]), pēc kura tas sniegs īsu ziņojumu par izpildi (PLAY RECAP).

Pēc noklusējuma savienojumam tiek izmantots lietotājvārds, ar kuru esat pieteicies sistēmā. Visticamāk, tas nebūs saimniekdatorā. Rokasgrāmatas failā varat norādīt, kuru lietotāju izmantot, lai izveidotu savienojumu, izmantojot direktīvu remote_user. Arī informācija par attālo sistēmu jums bieži var būt nevajadzīga, un jums nevajadzētu tērēt laiku tās apkopošanai. Šo uzdevumu var arī atspējot:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

Mēģiniet vēlreiz palaist rokasgrāmatu un pārliecinieties, vai savienojums darbojas. (Ja norādījāt root lietotāju, tad, lai iegūtu paaugstinātas tiesības, ir jānorāda arī direktīva tapti: true. Kā rakstīts dokumentācijā: become set to ‘true’/’yes’ to activate privilege escalation. lai gan nav līdz galam skaidrs, kāpēc).

Varbūt jūs saņemsit kļūdu, ko izraisa fakts, ka ansible nevar noteikt Python tulku, tad varat to norādīt manuāli:

ansible_python_interpreter: /usr/bin/python3 

Jūs varat uzzināt, kur jums ir python, izmantojot komandu whereis python.

Sistēmas pakotņu instalēšana

Ansible standarta izplatīšanā ir iekļauti daudzi moduļi darbam ar dažādām sistēmas pakotnēm, tāpēc mums nav jāraksta bash skripti jebkāda iemesla dēļ. Tagad mums ir nepieciešams viens no šiem moduļiem, lai atjauninātu sistēmu un instalētu sistēmas pakotnes. Manā VPS ir Ubuntu Linux, tāpēc es izmantoju pakotņu instalēšanai apt-get и modulis tam. Ja jūs izmantojat citu operētājsistēmu, tad jums var būt nepieciešams cits modulis (atcerieties, es teicu sākumā, ka mums ir iepriekš jāzina, ko un kā mēs darīsim). Tomēr sintakse, visticamāk, būs līdzīga.

Papildināsim mūsu rokasgrāmatu ar pirmajiem uzdevumiem:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

Uzdevums ir tieši tas uzdevums, ko Ansible veiks attālajos serveros. Mēs piešķiram uzdevumam nosaukumu, lai mēs varētu izsekot tā izpildei žurnālā. Un mēs aprakstām, izmantojot konkrēta moduļa sintaksi, kas tam jādara. Šajā gadījumā apt: update_cache=yes - saka atjaunināt sistēmas pakotnes, izmantojot apt moduli. Otrā komanda ir nedaudz sarežģītāka. Mēs nododam pakotņu sarakstu apt modulim un sakām, ka tās ir state vajadzētu kļūt present, tas ir, mēs sakām, ka instalējiet šīs pakotnes. Līdzīgā veidā mēs varam likt viņiem tos dzēst vai atjaunināt, vienkārši mainot state. Lūdzu, ņemiet vērā, ka, lai sliedes darbotos ar postgresql, mums ir nepieciešama pakotne postgresql-contrib, kuru mēs tagad instalējam. Atkal, jums tas jāzina un jādara; ansible viens pats to nedarīs.

Mēģiniet vēlreiz palaist rokasgrāmatu un pārbaudiet, vai pakotnes ir instalētas.

Jaunu lietotāju izveide.

Lai strādātu ar lietotājiem, Ansible ir arī modulis - lietotājs. Pievienosim vēl vienu uzdevumu (jau zināmās rotaļu grāmatas daļas paslēpu aiz komentāriem, lai katru reizi nepārkopētu to pilnībā):

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: my_user
        shell: /bin/bash
        password: "{{ 123qweasd | password_hash('sha512') }}"

Mēs izveidojam jaunu lietotāju, iestatām tam shell un paroli. Un tad mēs saskaramies ar vairākām problēmām. Ko darīt, ja dažādu saimniekdatoru lietotājvārdiem ir jābūt atšķirīgiem? Un paroles glabāšana skaidrā tekstā rokasgrāmatā ir ļoti slikta ideja. Sākumā ievadīsim lietotājvārdu un paroli mainīgajos, un raksta beigās es parādīšu, kā šifrēt paroli.

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"

Mainīgie lielumi tiek iestatīti rokasgrāmatās, izmantojot dubultās cirtainās figūriekavas.

Mēs norādīsim mainīgo vērtības inventarizācijas failā:

123.123.123.123

[all:vars]
user=my_user
user_password=123qweasd

Lūdzu, ņemiet vērā direktīvu [all:vars] - tas saka, ka nākamais teksta bloks ir mainīgie (vari) un tie ir piemērojami visiem saimniekiem (visiem).

Arī dizains ir interesants "{{ user_password | password_hash('sha512') }}". Lieta tāda, ka ansible neinstalē lietotāju caur user_add tāpat kā jūs to darītu manuāli. Un tas saglabā visus datus tieši, tāpēc mums ir arī iepriekš jāpārvērš parole par jaucējkodu, ko šī komanda dara.

Pievienosim savu lietotāju sudo grupai. Tomēr pirms tam mums ir jāpārliecinās, ka šāda grupa pastāv, jo neviens to mūsu vietā nedarīs:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
        name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"

Viss ir pavisam vienkārši, mums ir arī grupu modulis grupu izveidei, kura sintaksi ļoti līdzinās apt. Tad pietiek reģistrēt šo grupu lietotājam (groups: "sudo").
Ir arī noderīgi šim lietotājam pievienot ssh atslēgu, lai mēs varētu pieteikties, izmantojot to bez paroles:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
      name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"
    - name: Deploy SSH Key
      authorized_key:
        user: "{{ user }}"
        key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
        state: present

Šajā gadījumā dizains ir interesants "{{ lookup('file', '~/.ssh/id_rsa.pub') }}" — tas kopē faila id_rsa.pub saturu (jūsu vārds var atšķirties), tas ir, ssh atslēgas publisko daļu un augšupielādē to lietotāja autorizēto atslēgu sarakstā serverī.

Lomas

Visus trīs lietojuma izveides uzdevumus var viegli klasificēt vienā uzdevumu grupā, un būtu ieteicams šo grupu glabāt atsevišķi no galvenās rokasgrāmatas, lai tā neizaugtu pārāk liela. Šim nolūkam Ansible ir lomas.
Atbilstoši pašā sākumā norādītajai faila struktūrai lomas jāievieto atsevišķā lomu direktorijā, katrai lomai ir atsevišķs direktorijs ar tādu pašu nosaukumu, iekšā uzdevumu, failu, veidņu utt direktorijā
Izveidosim faila struktūru: ./ansible/roles/user/tasks/main.yml (galvenais ir galvenais fails, kas tiks ielādēts un izpildīts, kad loma ir pievienota rokasgrāmatai; tai var pievienot citus lomu failus). Tagad visus ar lietotāju saistītos uzdevumus varat pārsūtīt uz šo failu:

# Create user and add him to groups
- name: Ensure a 'sudo' group
  group:
    name: sudo
    state: present

- name: Add a new user
  user:
    name: "{{ user }}"
    shell: /bin/bash
    password: "{{ user_password | password_hash('sha512') }}"
    groups: "sudo"

- name: Deploy SSH Key
  authorized_key:
    user: "{{ user }}"
    key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
    state: present

Galvenajā rokasgrāmatā ir jānorāda, lai izmantotu lietotāja lomu:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

  roles:
    - user

Tāpat var būt lietderīgi atjaunināt sistēmu pirms visiem citiem uzdevumiem; lai to izdarītu, varat pārdēvēt bloku tasks kurā tie ir definēti pre_tasks.

Notiek nginx iestatīšana

Mums jau vajadzētu būt instalētam Nginx; mums tas ir jākonfigurē un jāpalaiž. Darīsim to uzreiz lomā. Izveidosim faila struktūru:

- ansible
  - roles
    - nginx
      - files
      - tasks
        - main.yml
      - templates

Tagad mums ir nepieciešami faili un veidnes. Atšķirība starp tiem ir tāda, ka ansible kopē failus tieši tādus, kādi tie ir. Un veidnēm ir jābūt j2 paplašinājumam, un tās var izmantot mainīgas vērtības, izmantojot tās pašas dubultās krokainās figūriekavas.

Iespējosim nginx main.yml failu. Šim nolūkam mums ir sistēmas modulis:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

Šeit mēs ne tikai sakām, ka nginx ir jāsāk (tas ir, mēs to palaižam), bet mēs uzreiz sakām, ka tas ir jāiespējo.
Tagad kopēsim konfigurācijas failus:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'

Mēs izveidojam galveno nginx konfigurācijas failu (varat to ņemt tieši no servera vai uzrakstīt pats). Un arī mūsu lietojumprogrammas konfigurācijas fails direktorijā sites_available (tas nav nepieciešams, bet noderīgs). Pirmajā gadījumā mēs izmantojam kopēšanas moduli, lai kopētu failus (failam jābūt iekšā /ansible/roles/nginx/files/nginx.conf). Otrajā mēs nokopējam veidni, aizstājot mainīgo vērtības. Veidnei jābūt iekšā /ansible/roles/nginx/templates/my_app.j2). Un tas varētu izskatīties apmēram šādi:

upstream {{ app_name }} {
  server unix:{{ app_path }}/shared/tmp/sockets/puma.sock;
}

server {
  listen 80;
  server_name {{ server_name }} {{ inventory_hostname }};
  root {{ app_path }}/current/public;

  try_files $uri/index.html $uri.html $uri @{{ app_name }};
  ....
}

Pievērsiet uzmanību ieliktņiem {{ app_name }}, {{ app_path }}, {{ server_name }}, {{ inventory_hostname }} — tie ir visi mainīgie, kuru vērtības Ansible aizstās veidnē pirms kopēšanas. Tas ir noderīgi, ja izmantojat rokasgrāmatu dažādām saimnieku grupām. Piemēram, mēs varam pievienot mūsu inventāra failu:

[production]
123.123.123.123

[staging]
231.231.231.231

[all:vars]
user=my_user
user_password=123qweasd

[production:vars]
server_name=production
app_path=/home/www/my_app
app_name=my_app

[staging:vars]
server_name=staging
app_path=/home/www/my_stage
app_name=my_stage_app

Ja mēs tagad palaižam savu rokasgrāmatu, tā veiks norādītos uzdevumus abiem saimniekiem. Bet tajā pašā laikā iestudējuma saimniekam mainīgie atšķirsies no ražošanas mainīgajiem, un ne tikai lomās un rotaļu grāmatās, bet arī nginx konfigurācijās. {{ inventory_hostname }} nav jānorāda inventarizācijas failā - šis īpašs iespējamais mainīgais un tur tiek saglabāts saimniekdators, kuram pašlaik darbojas rokasgrāmata.
Ja vēlaties, lai inventāra fails būtu vairākiem saimniekiem, bet tas darbotos tikai vienai grupai, to var izdarīt ar šādu komandu:

ansible-playbook -i inventory ./playbook.yml -l "staging"

Vēl viena iespēja ir izveidot atsevišķus inventāra failus dažādām grupām. Vai arī varat apvienot abas pieejas, ja jums ir daudz dažādu saimniekdatoru.

Atgriezīsimies pie nginx iestatīšanas. Pēc konfigurācijas failu kopēšanas mums ir jāizveido saite vietnē sitest_enabled uz my_app.conf no vietnes sites_available. Un restartējiet nginx.

... # old code in mail.yml

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted

Šeit viss ir vienkārši - atkal pieejami moduļi ar diezgan standarta sintaksi. Bet ir viens punkts. Nav jēgas katru reizi restartēt nginx. Vai esat ievērojuši, ka mēs nerakstām tādas komandas kā: “dari to šādi”, sintakse vairāk izskatās pēc “šim vajadzētu būt šim stāvoklim”. Un visbiežāk tieši tā darbojas ansible. Ja grupa jau pastāv vai sistēmas pakotne jau ir instalēta, ansible to pārbaudīs un izlaidīs uzdevumu. Arī faili netiks kopēti, ja tie pilnībā sakrīt ar to, kas jau atrodas serverī. Mēs varam izmantot šo iespēju un restartēt nginx tikai tad, ja ir mainīti konfigurācijas faili. Šim nolūkam ir reģistra direktīva:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes
  register: restart_nginx

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'
  register: restart_nginx

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted
  when: restart_nginx.changed

Ja mainās kāds no konfigurācijas failiem, tiks izveidota kopija un mainīgais tiks reģistrēts restart_nginx. Un tikai tad, ja šis mainīgais ir reģistrēts, pakalpojums tiks restartēts.

Un, protams, galvenajai rokasgrāmatai jāpievieno nginx loma.

Postgresql iestatīšana

Mums ir jāiespējo postgresql, izmantojot systemd tāpat kā nginx, kā arī jāizveido lietotājs, kuru izmantosim, lai piekļūtu datubāzei un pašai datubāzei.
Izveidosim lomu /ansible/roles/postgresql/tasks/main.yml:

# Create user in postgresql
- name: enable postgresql and start
  systemd:
    name: postgresql
    state: started
    enabled: yes

- name: Create database user
  become_user: postgres
  postgresql_user:
    name: "{{ db_user }}"
    password: "{{ db_password }}"
    role_attr_flags: SUPERUSER

- name: Create database
  become_user: postgres
  postgresql_db:
    name: "{{ db_name }}"
    encoding: UTF-8
    owner: "{{ db_user }}"

Neaprakstīšu, kā inventāram pievienot mainīgos, tas jau ir darīts daudzas reizes, kā arī postgresql_db un postgresql_user moduļu sintaksi. Vairāk informācijas var atrast dokumentācijā. Šeit ir visinteresantākā direktīva become_user: postgres. Fakts ir tāds, ka pēc noklusējuma tikai postgres lietotājam ir piekļuve postgresql datubāzei un tikai lokāli. Šī direktīva ļauj mums izpildīt komandas šī lietotāja vārdā (ja mums, protams, ir piekļuve).
Tāpat, iespējams, failam pg_hba.conf būs jāpievieno rindiņa, lai ļautu jaunam lietotājam piekļūt datu bāzei. To var izdarīt tāpat kā mēs mainījām nginx konfigurāciju.

Un, protams, galvenajai rokasgrāmatai jāpievieno postgresql loma.

Rubīna instalēšana caur rbenv

Ansible nav moduļu darbam ar rbenv, bet tas tiek instalēts, klonējot git repozitoriju. Tāpēc šī problēma kļūst par visnestandarta problēmu. Izveidosim viņai lomu /ansible/roles/ruby_rbenv/main.yml un sāksim to aizpildīt:

# Install rbenv and ruby
- name: Install rbenv
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/rbenv.git dest=~/.rbenv

Mēs atkal izmantojam direktīvu kļūt_lietotājs, lai strādātu zem lietotāja, ko izveidojām šiem nolūkiem. Tā kā rbenv ir instalēts tā mājas direktorijā, nevis globāli. Un mēs arī izmantojam git moduli, lai klonētu repozitoriju, norādot repo un dest.

Tālāk mums ir jāreģistrē rbenv init programmā bashrc un jāpievieno rbenv uz PATH. Šim nolūkam mums ir lineinfile modulis:

- name: Add rbenv to PATH
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'export PATH="${HOME}/.rbenv/bin:${PATH}"'

- name: Add rbenv init to bashrc
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'eval "$(rbenv init -)"'

Pēc tam jums jāinstalē ruby_build:

- name: Install ruby-build
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/ruby-build.git dest=~/.rbenv/plugins/ruby-build

Un visbeidzot instalējiet rubīnu. Tas tiek darīts, izmantojot rbenv, tas ir, vienkārši ar bash komandu:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    rbenv install {{ ruby_version }}
  args:
    executable: /bin/bash

Mēs sakām, kuru komandu un ar ko izpildīt. Tomēr šeit mēs saskaramies ar faktu, ka ansible pirms komandu palaišanas nepalaiž bashrc ietverto kodu. Tas nozīmē, ka rbenv būs jādefinē tieši tajā pašā skriptā.

Nākamā problēma ir saistīta ar faktu, ka čaulas komandai nav stāvokļa no iespējamā viedokļa. Tas nozīmē, ka netiks veikta automātiska pārbaude, vai šī rubīna versija ir instalēta vai nav. To varam izdarīt paši:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    if ! rbenv versions | grep -q {{ ruby_version }}
      then rbenv install {{ ruby_version }} && rbenv global {{ ruby_version }}
    fi
  args:
    executable: /bin/bash

Atliek tikai instalēt komplektētāju:

- name: Install bundler
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    gem install bundler

Un atkal pievienojiet mūsu lomu ruby_rbenv galvenajai rokasgrāmatai.

Koplietotie faili.

Kopumā iestatīšanu varētu pabeigt šeit. Tālāk atliek tikai palaist capistrano, un tas pats nokopēs kodu, izveidos nepieciešamos direktorijus un palaiž lietojumprogrammu (ja viss ir pareizi konfigurēts). Tomēr capistrano bieži vien ir nepieciešami papildu konfigurācijas faili, piemēram, database.yml vai .env Tos var kopēt tāpat kā nginx failus un veidnes. Ir tikai viens smalkums. Pirms failu kopēšanas jums ir jāizveido tiem direktoriju struktūra, piemēram:

# Copy shared files for deploy
- name: Ensure shared dir
  become_user: "{{ user }}"
  file:
    path: "{{ app_path }}/shared/config"
    state: directory

mēs norādām tikai vienu direktoriju, un ansible automātiski izveidos vecāku direktorijus, ja nepieciešams.

Ansible Vault

Mēs jau esam saskārušies ar faktu, ka mainīgie var saturēt slepenus datus, piemēram, lietotāja paroli. Ja esat izveidojis .env pieteikuma fails un database.yml tad tādu kritisku datu jābūt vēl vairāk. Būtu labi tos paslēpt no ziņkārīgo acīm. Šim nolūkam to izmanto iespējamā velve.

Izveidosim failu mainīgajiem /ansible/vars/all.yml (šeit jūs varat izveidot dažādus failus dažādām saimniekdatoru grupām, tāpat kā inventāra failā: production.yml, staging.yml utt.).
Visi mainīgie, kas jāšifrē, ir jāpārsūta uz šo failu, izmantojot standarta yml sintaksi:

# System vars
user_password: 123qweasd
db_password: 123qweasd

# ENV vars
aws_access_key_id: xxxxx
aws_secret_access_key: xxxxxx
aws_bucket: bucket_name
rails_secret_key_base: very_secret_key_base

Pēc tam šo failu var šifrēt ar komandu:

ansible-vault encrypt ./vars/all.yml

Protams, šifrējot, jums būs jāiestata parole atšifrēšanai. Pēc šīs komandas izsaukšanas varat redzēt, kas būs failā.

Ar ansible-vault decrypt failu var atšifrēt, modificēt un pēc tam vēlreiz šifrēt.

Lai darbotos, fails nav jāatšifrē. Jūs to saglabājat šifrētā veidā un palaižat rokasgrāmatu ar argumentu --ask-vault-pass. Ansible pieprasīs paroli, izgūs mainīgos un izpildīs uzdevumus. Visi dati paliks šifrēti.

Pilnīga komanda vairākām saimniekdatoru grupām un ansible Vault izskatīsies apmēram šādi:

ansible-playbook -i inventory ./playbook.yml -l "staging" --ask-vault-pass

Bet es jums nesniegšu pilnu grāmatu un lomu tekstu, rakstiet to pats. Jo ansible ir tā - ja tu nesaproti, kas jādara, tad tas tavā vietā to nedarīs.

Avots: www.habr.com