Pavedienu pārgriešana: migrēšana no Puppet Enterprise uz Ansible Tower. 1. daļa

Nacionālais vides satelītu datu informācijas dienests (NESDIS) ir samazinājis Red Hat Enterprise Linux (RHEL) konfigurācijas pārvaldības izmaksas par 35%, pārejot no Puppet Enterprise uz Ansible Tower. Šajā videoklipā “kā mēs to paveicām” sistēmu inženieris Maikls Rau izskaidro šīs migrācijas gadījumu, daloties ar noderīgiem padomiem un mācībām, kas gūtas, pārejot no viena SCM uz citu.

No šī video jūs uzzināsit:

• kā pamatot vadībai iespējamību pāriet no Puppet Enterprise uz Ansible Tower;
• kādas stratēģijas izmantot, lai pāreja būtu pēc iespējas vienmērīgāka;
• padomi PE manifestu pārkodēšanai Ansible Playbook;
• Ieteikumi optimālai Ansible Tower uzstādīšanai.

Sveiki visiem, mani sauc Maikls Rau. Es esmu vecākais sistēmu inženieris uzņēmumā ActioNet, kas strādā Nacionālās okeānu un atmosfēras administrācijas (NOAA) NESDIS dienestā. Šodien mēs runāsim par stīgu apgriešanu — mana pieredze, migrējot no Puppet Enterprise uz Ansible Tower. Šīs prezentācijas tēma ir “paskatīties uz manām rētām”, kas palikušas pēc tam, kad es veicu šo pāreju gada sākumā. Es vēlos dalīties ar to, ko esmu iemācījies šajā procesā. Tātad, kad jūs uzņematies kaut ko līdzīgu, izmantojot manu pieredzi, varat veikt pāreju bez papildu darba.

Katras Ansible Fest prezentācijas sākumā ir redzami šim līdzīgi slaidi. Šajā slaidā ir izklāstīta mana uzņēmuma automatizācijas vēsture. Es neesmu iesācējs šajā jomā, jo es izmantoju Puppet/Puppet Enterprise kopš 2007. gada. Es sāku strādāt ar Ansible 2016. gadā, un, tāpat kā daudzus citus šī produkta lietotājus, mani piesaistīja iespēja “mānīt”, izmantojot komandrindu un vienkāršus skriptus (playbooks). 2017. gada beigās es vērsos pie savas vadības, lai uzzinātu, kādi ir nopietni iemesli pārcelties uz Ansible Tower. Pēc minūtes es jums pastāstīšu par iemesliem, kas mani pamudināja spert šo soli. Pēc vadības piekrišanas saņemšanas plāna pabeigšana prasīja vēl vairākus mēnešus, un pāreju veicu šī gada janvārī-februārī. Tātad, mēs pilnībā atteicāmies no Puppet par labu Ansible, un tā ir lieliska lieta.

Mani visvairāk uzrunā Ansible spēja rakstīt un izmantot lomas un rotaļu grāmatas. Lomas ir lieliski piemērotas atsevišķu, bet saistītu uzdevumu izveidei un visu ar šiem uzdevumiem saistīto datu ievietošanai vienuviet. Rokasgrāmata ir YAML sintakse, skripta fails, kas apraksta darbības vienam vai vairākiem saimniekiem. Es pastāstu lietotājiem par šīm funkcijām, galvenokārt programmatūras izstrādātājiem. Ansible Tower sniedz jums iespēju pateikt: "nē, jums nav čaulas piekļuves, bet es dodu jums iespēju palaist visus Tower procesus un restartēt pakalpojumu, kad tas ir nepieciešams." Pastāstīšu par darba vidi un izmantojamo tehniku.

Šis ir federālais LAN, 7 fiziskas vietnes, kas savienotas, izmantojot mākoņa MPLS, 140 RHEL serveri, no kuriem 99% ir virtuāli (vSphere), SuperMicro aparatūra, NexentaStore tīkla krātuve, Cisco, Arista un Cumulus slēdžu komplekts un Fortinet UTM vienota draudu pārvaldība. rīki katrā vietnē.

Federālais tīkls nozīmē, ka man ir jāizmanto visi likumā paredzētie informācijas drošības pasākumi. Ņemiet vērā, ka Puppet Enterprise neatbalsta lielāko daļu mūsu izmantotās aparatūras. Mēs esam spiesti izmantot budžeta aparatūru, jo valsts aģentūrām ir problēmas ar šīs izdevumu pozīcijas finansēšanu. Tāpēc mēs pērkam SuperMicro aparatūru un komplektējam savas iekārtas no atsevišķām daļām, kuru apkopi garantē valsts līgumi. Mēs izmantojam Linux, un tas ir viens no svarīgākajiem iemesliem, lai pārietu uz Ansible.

Mūsu vēsture ar Puppet ir šāda.

2007. gadā mums bija neliels 20–25 mezglu tīkls, kurā mēs izvietojām Puppet. Būtībā šie mezgli bija tikai RedHat “kastes”. 2010. gadā mēs sākām izmantot Puppet Dashboard tīmekļa saskarni 45 mezgliem. Tā kā tīkls turpināja paplašināties, 2014. gadā mēs pārgājām uz PE 3.3, veicot pilnīgu pāreju ar manifesta pārrakstīšanu 75 mezgliem. Tas bija jādara, jo Lellei patīk mainīt spēles noteikumus, un šajā gadījumā viņi pilnībā mainīja valodu. Gadu vēlāk, kad beidzās Puppet Enterprise 3. versijas atbalsts, mēs bijām spiesti migrēt uz PE 2015.2. Mums bija vēlreiz jāpārraksta manifests jaunajiem serveriem un jāiegādājas licence ar 100 mezglu rezervi, lai gan tajā laikā mums bija tikai 85 mezgli.

Ir pagājuši tikai 2 gadi, un mums atkal bija daudz jāstrādā, lai migrētu uz jauno PE 2016.4 versiju. Mēs iegādājāmies licenci 300 mezgliem, kuriem bija tikai 130. Mums atkal bija jāveic būtiskas izmaiņas manifestā, jo jaunajai valodas versijai bija atšķirīga sintakse nekā 2015. gada versijas valodai. Tā rezultātā mūsu SCM pārgāja no SVN versijas kontroles uz Bitbucket (Git). Tādas bija mūsu “attiecības” ar Puppet.

Tāpēc man bija jāpaskaidro vadībai, kāpēc mums bija jāpāriet uz citu SCM, izmantojot šādus argumentus. Pirmā ir pakalpojuma augstā cena. Es runāju ar RedHat puišiem, un viņi teica, ka 300 mezglu tīkla darbības izmaksas ar Ansible Tower ir puse no Puppet Enterprise izmaksām. Ja iegādājaties arī Ansible Engine, izmaksas būs aptuveni tādas pašas, taču jūs iegūsit daudz vairāk funkciju nekā PE. Tā kā mēs esam valsts uzņēmums, ko finansē no federālā budžeta, tas ir diezgan spēcīgs arguments.

Otrs arguments ir daudzpusība. Puppet atbalsta tikai aparatūru, kurai ir Puppet aģents. Tas nozīmē, ka aģents ir jāinstalē visos slēdžos, un tam ir jābūt jaunākajai versijai. Un, ja daži no jūsu slēdžiem atbalsta vienu versiju, bet daži atbalsta citu, jums tajos būs jāinstalē jauna PE aģenta versija, lai tie visi varētu darboties vienā SCM sistēmā.

Ansible Tower sistēma darbojas savādāk, jo tai nav neviena aģenta, taču tai ir moduļi, kas atbalsta Cisco slēdžus un visus citus slēdžus. Šis SCM atbalsta Qubes OS, Linux un 4.NET UTM. Ansible Tower atbalsta arī NexentaStore tīkla krātuves kontrolierus, kuru pamatā ir Illumos kodols, atvērtā koda Unix operētājsistēma. Tas ir ļoti mazs atbalsts, taču Ansible Tower to dara jebkurā gadījumā.

Trešais arguments, kas ir ļoti svarīgs gan man, gan mūsu administrācijai, ir lietošanas ērtums. Es pavadīju 10 gadus, apgūstot Puppet moduļus un manifesta kodu, bet es apguvu Ansible nedēļas laikā, jo ar šo SCM ir daudz vieglāk strādāt. Ja palaižat izpildāmos failus, protams, ja vien to nedarāt bez vajadzības, tad ar tiem strādā inteliģenti un atsaucīgi apstrādātāji. Uz YAML balstītas rokasgrāmatas ir viegli apgūstamas un ātri lietojamas. Tie, kas nekad nav dzirdējuši par YAML, var vienkārši izlasīt skriptus un viegli saprast, kā tas darbojas.

Godīgi sakot, Puppet padara jūsu kā izstrādātāja darbu daudz grūtāku, jo tā pamatā ir Puppet Master izmantošana. Tā ir vienīgā mašīna, kam atļauts sazināties ar Leļļu aģentiem. Ja esat veicis izmaiņas manifestā un vēlaties pārbaudīt savu kodu, jums ir jāpārraksta Puppet Master kods, tas ir, jākonfigurē Puppet Master /etc/hosts fails, lai savienotu visus klientus un startētu Puppet Server pakalpojumu. Tikai pēc tam jūs varēsiet pārbaudīt tīkla aprīkojuma darbību vienā resursdatorā. Šī ir diezgan sāpīga procedūra.
Ansible viss ir daudz vienkāršāk. Viss, kas jums jādara, ir izstrādāt kodu mašīnai, kas var sazināties, izmantojot SSH, ar testējamo resursdatoru. Ar to ir daudz vieglāk strādāt.

Nākamā lielā Ansible Tower priekšrocība ir iespēja izmantot esošo atbalsta sistēmu un uzturēt esošo aparatūras konfigurāciju. Šajā SCM bez papildu darbībām tiek izmantota visa pieejamā informācija par jūsu infrastruktūru un aparatūru, virtuālajām mašīnām, serveriem utt. Tas var sazināties ar jūsu RH Satellite serveriem, ja jums tādi ir, un nodrošina integrāciju, ko nekad neiegūsit, izmantojot Puppet.

Vēl viena svarīga lieta ir detalizēta kontrole. Jūs zināt, ka Puppet ir modulāra sistēma, tā ir klienta-servera lietojumprogramma, tāpēc jums ir jādefinē visu savu mašīnu esošie aspekti vienā garā manifestā. Šajā gadījumā katra atsevišķa sistēmas elementa stāvoklis ir jāpārbauda ik pēc pusstundas - tas ir noklusējuma periods. Šādi darbojas Lelle.

Tornis glābj jūs no tā. Jūs varat bez ierobežojumiem palaist dažādus procesus dažādās iekārtās, varat veikt pamata darbus, palaist citus svarīgus procesus, iestatīt drošības sistēmu un strādāt ar datu bāzēm. Leļļu uzņēmumā varat darīt visu, kas ir grūts. Tātad, ja to konfigurējāt vienā resursdatorā, paies laiks, līdz izmaiņas stāsies spēkā atlikušajos saimniekdatoros. Programmā Ansible visas izmaiņas stājas spēkā vienlaikus.

Visbeidzot, apskatīsim drošības moduli. Ansible Tower to īsteno vienkārši pārsteidzoši, ar lielu precizitāti un rūpību. Varat piešķirt lietotājiem piekļuvi noteiktiem pakalpojumiem vai konkrētiem resursdatoriem. Es to daru ar saviem darbiniekiem, kuri ir pieraduši strādāt ar Windows, ierobežojot viņu piekļuvi Linux apvalkam. Es nodrošināju, ka viņiem ir piekļuve Tower, lai viņi varētu veikt tikai darbu un sniegt tikai viņiem atbilstošus pakalpojumus.

Apskatīsim lietas, kas jums jādara pirms laika, lai atvieglotu pāreju uz Ansible Tower. Pirmkārt, jums ir jāsagatavo aprīkojums. Ja daži jūsu infrastruktūras elementi vēl nav iekļauti datu bāzē, tie ir jāpievieno. Ir sistēmas, kas nemaina to raksturlielumus un tāpēc nav Puppet datu bāzē, taču, ja jūs tās nepievienosiet tur pirms pārcelšanās uz Tower, jūs zaudēsiet vairākas priekšrocības. Tā var būt “netīra”, provizoriska datu bāze, taču tajā ir jābūt informācijai par visu jūsu rīcībā esošo aprīkojumu. Tāpēc jums vajadzētu uzrakstīt dinamisku aparatūras skriptu, kas automātiski nosūtīs visas infrastruktūras izmaiņas datu bāzē, un tad Ansible zinās, kuriem resursdatoriem vajadzētu būt jaunajā sistēmā. Jums nebūs jāpasaka šim SCM, kurus saimniekdatorus esat pievienojis un kuri vairs nepastāv, jo tas visu to uzzinās automātiski. Jo vairāk datu būs datu bāzē, jo noderīgāks un elastīgāks būs Ansible. Tas darbojas tā, it kā tas vienkārši nolasītu aparatūras statusa svītrkodu no datu bāzes.

Pavadiet kādu laiku, iepazīstoties ar Ansible komandrindu. Palaidiet dažas pielāgotas komandas, lai pārbaudītu aparatūras skriptu, uzrakstiet un palaidiet dažus vienkāršus, bet noderīgus rokasgrāmatas skriptus, vajadzības gadījumā izmantojiet Jinja2 veidnes. Mēģiniet uzrakstīt lomu un skriptu sarežģītam, daudzpakāpju procesam, izmantojot parastu, bieži sastopamu aparatūras konfigurāciju. Spēlējiet ar šīm lietām, pārbaudiet, kā tas darbojas. Tādā veidā jūs uzzināsit, kā izmantot tornī izmantotos bibliotēkas izveides rīkus. Es jau teicu, ka man bija nepieciešami apmēram 3 mēneši, lai sagatavotos pārejai. Es domāju, ka, pamatojoties uz manu pieredzi, jūs to varēsit izdarīt ātrāk. Neuzskatiet šo laiku par velti, jo vēlāk jūs izjutīsiet visas padarītā darba priekšrocības.

Tālāk jums jāizlemj, ko jūs sagaidāt no Ansible Tower, ko tieši šai sistēmai vajadzētu darīt jūsu labā.

Vai sistēma ir jāizvieto uz tukšas aparatūras, uz tukšām virtuālajām mašīnām? Vai arī vēlaties saglabāt esošo iekārtu sākotnējos darbības apstākļus un iestatījumus? Tas ir ļoti svarīgs aspekts valsts uzņēmumiem, tāpēc jums ir jābūt pārliecinātam, ka varēsit migrēt un izvietot Ansible savā esošajā konfigurācijā. Nosakiet parastos administratīvos procesus, kurus vēlaties automatizēt. Uzziniet, vai jaunajā sistēmā ir jāizvieto konkrētas lietojumprogrammas un pakalpojumi. Izveidojiet sarakstu ar to, ko vēlaties darīt, un piešķiriet tam prioritāti.

Pēc tam sāciet rakstīt skripta kodu un lomas, kas ļaus veikt plānotos uzdevumus. Apvienojiet tos projektos — atbilstošo rokasgrāmatu loģiskā kolekcijā. Katrs projekts piederēs atsevišķai Git krātuvei vai citai krātuvei atkarībā no izmantotā koda pārvaldnieka. Varat pārvaldīt rokasgrāmatu skriptus un rokasgrāmatu direktorijus, manuāli ievietojot tos Tower servera Project Base Path vai ievietojot rokasgrāmatu jebkurā avota koda pārvaldības (SCM) sistēmā, ko atbalsta Tower, tostarp Git, Subversion, Mercurial un Red Hat. Ieskati. Viena projekta ietvaros varat ievietot tik daudz skriptu, cik vēlaties. Piemēram, es izveidoju vienu pamata projektu, kurā ievietoju skriptu RedHat pamata elementiem, skriptu Linux kodolam un skriptus pārējām bāzes līnijām. Tādējādi vienā projektā bija dažādas lomas un scenāriji, kas tika pārvaldīti no viena Git repozitorija.

Visu šo lietu palaišana, izmantojot komandrindu, ir labs veids, kā pārbaudīt to funkcionalitāti. Tas sagatavos jūs torņa uzstādīšanai.

Parunāsim nedaudz par Puppet manifesta pārkodēšanu, jo es tam pavadīju daudz laika, līdz sapratu, kas patiesībā ir jādara.

Kā jau teicu iepriekš, Puppet saglabā visus iestatījumus un aparatūras opcijas vienā garā manifestā, un šajā manifestā tiek saglabāts viss, kas šim SCM būtu jādara. Veicot pāreju, jums nav jāsaliek visi uzdevumi vienā sarakstā; tā vietā padomājiet par jaunās sistēmas struktūru: lomām, skriptiem, tagiem, grupām un tam, kas tajā jāiekļauj. Daži autonomie tīkla elementi ir jāsagrupē grupās, kurām var izveidot skriptus. Sarežģītākus infrastruktūras elementus, kas ietver lielu skaitu resursu, tostarp autonomas klases, var apvienot lomās. Pirms migrācijas jums tas ir jāizlemj. Ja veidojat lielas lomas vai scenārijus, kas neietilpst vienā ekrānā, izmantojiet tagus, lai varētu tvert noteiktas infrastruktūras daļas.

18:00

Pavedienu pārgriešana: migrēšana no Puppet Enterprise uz Ansible Tower. 2. daļa

Dažas reklāmas 🙂

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, mākoņa VPS izstrādātājiem no 4.99 USD, unikāls sākuma līmeņa serveru analogs, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2697 v3 (6 kodoli) 10GB DDR4 480GB SSD 1Gbps no 19$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2x lētāk Equinix Tier IV datu centrā Amsterdamā? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com