Pirms diviem gadiem es jau izveidoju ierakstu Vienkārša kļūmjpārlēce vietnei par okerr. Tagad notiek kāda projekta attīstība, un es arī publicēju okerr servera puses avota kods saskaņā ar atvērtā licence, tāpēc es nolēmu uzrakstīt šo īso pārskatu par Habr.

Kam tas varētu interesēt

Tas var jūs interesēt, ja strādājat nelielā komandā vai vienatnē. Jums nav uzraudzības, un jūs neesat pārliecināts, vai jums tas tiešām ir vajadzīgs. Vai nu jūs izmēģinājāt kādu populāru nopietnu uzraudzību “lielajiem zēniem”, bet tas jums kaut kā “nepacēlās”, vai arī tas darbojas gandrīz noklusējuma konfigurācijā un daudz nemainīja jūsu dzīvi. Un vēl – ja noteikti neplāno atvēlēt veselu darbinieku (vai pat nodaļu) monitoringa paneļa uzraudzībai vismaz pāris stundas dienā vai tā konfigurēšanai.

Kāpēc okerr ir neparasts

Tālāk es parādīšu interesantas okerras iezīmes, kas to atšķir no dažām citām uzraudzības sistēmām.

Okerr ir hibrīds monitorings

Iekšējās uzraudzības laikā uz uzraudzītajām iekārtām darbojas “aģents”, kas pārsūta datus uz uzraudzības serveri (piemēram, brīva vieta diskā). Ja serveris ir ārējs, tas veic pārbaudes tīklā (piemēram, ping vai vietnes pieejamība). Katrai pieejai ir savi ierobežojumi. Okers izmanto abas iespējas. Pārbaudes serveros veic ļoti viegls (30 Kb) aģents vai jūsu pašu skripti un lietojumprogrammas, un tīkla pārbaudes tiek veiktas, izmantojot okerr sensorus dažādās valstīs.

okerr ir ne tikai programmatūra, bet arī pakalpojums

Jebkuras uzraudzības servera daļa ir liela un sarežģīta, to ir grūti instalēt un konfigurēt, un tai ir nepieciešami resursi. Izmantojot okerr, jūs varat instalēt savu uzraudzības serveri (tas ir bezmaksas un atvērtā koda), vai arī varat vienkārši izmantot tikai klienta daļu un izmantot mūsu servera pakalpojumu. Arī bezmaksas.

Ja monitorings ļauj kompensēt un piesegt serveru un aplikāciju uzticamības trūkumu, tad rodas filozofisks jautājums – kas ir sargs? Kā monitorings mums pastāstīs par problēmu, ja tā pati kaut kādu iemeslu dēļ atsevišķi vai kopā ar citiem jūsu resursiem “nomira” (piemēram, nokrita kanāls uz datu centru)? Lietojot ārējo servisu okerr - šī problēma ir atrisināta - Jūs saņemsiet brīdinājumu pat tad, ja viss datu centrs ar Jūsu serveriem būs bez strāvas vai tam uzbruks zombiji.

Protams, pastāv risks, ka pats okerr serveris nebūs pieejams, tā ir taisnība (kā zināms, 90% uzticamības vienmēr tiek iegūti vienkārši un “bezmaksas”, 99% ar minimālu piepūli, un katri nākamie deviņi ir eksponenciāli grūtāk). Bet, pirmkārt, iespēja, ka tas notiks, ir mazāka, un, otrkārt, problēma var palikt nepamanīta tikai tad, ja tā sakrīt ar problēmām mūsu serveros. Ja mums ir 99.9% ticamība, bet jums ir 99.9% (ne pārāk lieli skaitļi), tad neatklātas kļūmes iespējamība ir 0.1% no 0.1% = 0.0001%. Pievienot trīs deviņus savai uzticamībai gandrīz bez piepūles un bez izmaksām ir ļoti labi!

Vēl viena pārraudzības kā pakalpojuma priekšrocība ir tā, ka mitināšanas pakalpojumu sniedzējs vai tīmekļa studija var instalēt okerr serveri un nodrošināt piekļuvi klientiem kā maksas vai bezmaksas papildu pakalpojumu. Jūsu konkurentiem ir tikai mitināšana un vietnes, bet jums ir uzticams mitināšana ar uzraudzību.

Okerr ir par rādītājiem

Indikators ir "spuldzīte". Tam ir divi galvenie stāvokļi - zaļš (OK) vai sarkans (ERR). Projektā ir daudz grupētu (piemēram, pēc servera) indikatoru. Projekta galvenajā lapā jūs uzreiz redzat, ka vai nu viss ir zaļš (un varat to aizvērt), vai arī kaut kas deg sarkanā krāsā un ir jālabo. Pārejot starp šiem stāvokļiem, tiek nosūtīts brīdinājums. Reizi dienā, kamēr to iestatāt, tiek nosūtīts projekta kopsavilkums.

Katram okerr indikatoram ir iebūvēti nosacījumi, ar kuriem tas maina stāvokli (Zabbix to sauc par trigeri). Piemēram, vidējai slodzei nevajadzētu būt lielākai par 2 (protams, tas ir konfigurējams). Un katrai iekšējai pārbaudei (vidēja slodze, disks brīvs, ...) ir sargsuns. Ja kāda iemesla dēļ mēs nesaņemam veiksmīgu apstiprinājumu noteiktajā laikā, tiek reģistrēta kļūda un tiek nosūtīts brīdinājums.

Mūsu parastais darba modelis ir pārbaudīt e-pastus no rīta un apskatīt kopsavilkumu starp citām vēstulēm (mēs to plānojam darba sākumā). Ja tajā viss ir kārtībā, mēs darām citas svarīgas lietas (bet, lai būtu droši, varam ātri apskatīt okerra informācijas paneli un pārliecināties, ka šajā brīdī viss ir zaļš). Ja pienāk brīdinājums, mēs reaģējam.

Protams, var vienkārši saglabāt “informatīvos” rādītājus (lai redzētu tīkla attēlu no monitoringa), taču tiek darīts viss, lai vienkārši, ērti un ātri izveidotu indikatorus tieši automātiskai uzraudzībai un brīdinājumu nosūtīšanai.

Mērķis, kuram tu iestati okerr, ir brīdinājumos, lai minūtē varētu izveidot indikatoru, tas varētu gadu “gulēt”, tikai pieņemt atjauninājumus un, kad pēc gada kaut kas saplīst, tas iedegas un sūta brīdinājums. Minūte, ko reiz pavadījāt indikatora izveidei, atmaksājās; jūs par problēmu uzzinājāt uzreiz, pirms neviens cits. Iespējams, ka viņi to salaboja, pirms kāds to pamanīja. Kaut kas ātri pacelts netiek uzskatīts par nokritušu!

Drošība

Būtu žēl, ja jūs iestatītu uzraudzību, lai palielinātu uzticamību, taču rezultātā jums tiek uzbrukts tīklā, un dažādos uzraudzības rīkos ir diezgan daudz tīkla ievainojamību (Zabbix, Nagios).

Aģents (okerrmod no iepakojuma okerruptate), kas darbojas sistēmā, nav tīkla serveris, bet gan klients. Tāpēc uzraudzītajā serverī nav papildu atvērtu portu, klients viegli darbojas aiz ugunsmūra vai NAT, un to ir ļoti grūti (es teiktu "neiespējami") uzlauzt tīklā, jo principā tas neklausās tīklā. kontaktligzda.

Pilns uzraudzības pārklājums

Tagad mūsu noteikums ir tāds, ka par visām tehniskajām problēmām mēs uzzinām no okerr. Ja pēkšņi noteikums tiek pārkāpts (okerr nebrīdināja par tā nenovēršamo iestāšanos (ja tas ir iespējams) vai ka tas jau ir noticis) - mēs pievienojam čekus okerr.

Ārējās pārbaudes

Diezgan tipisks komplekts:

ping
http statuss
SSL sertifikāta derīguma un svaiguma pārbaude (brīdinās, ja drīz beigsies derīguma termiņš)
atveriet TCP portu un tajā esošo reklāmkarogu
http grep (lapa [nedrīkst] saturēt konkrētu tekstu)
sha1 hash, lai uztvertu lapas izmaiņas.
DNS (DNS ierakstam ir jābūt noteiktai vērtībai)
WHOIS (brīdinās, ja domēns drīz sabojāsies)
Antispam DNSBL (resursdatora pārbaude pret 50+ pretsurogātpasta melnajiem sarakstiem vienlaikus)

Iekšējās pārbaudes

Arī diezgan standarta komplekts (bet viegli paplašināms).

df (brīva vieta diskā)
vidējā slodze
opentcp (atvērt TCP klausīšanās ligzdas — paziņos, ja kaut kas sākās vai avarēja)
uptime — tikai darbspējas laiks serverī. Paziņos, ja tas ir mainījies (t.i., serveris ir pārslogots)
klienta_ip
dirsize — mēs to izmantojam, lai izsekotu, kad mūsu virtuālās mašīnas rootfs pārsniedz atļauto lielumu, neieviešot stingrus ierobežojumus, un lietotāju mājas direktoriju lielumu
tukšs un nonempty - pārrauga failus, kuriem jābūt tukšiem (vai netukšiem). Piemēram, paša okerr servera kļūdu žurnālam jābūt tukšam, un, ja tajā ir kaut kāda rindiņa, es saņemšu paziņojumu un to pārbaudīšu. Bet pasta serverī mail.log NEDRĪKST būt tukšs (N minūtes pēc rotācijas). Un dažreiz tas mums bija tukšs pēc sistēmas atjaunināšanas, kad logrotate nevarēja pareizi restartēt rsyslog.
rindu skaits — rindiņu skaits failā (piemēram, wc -l). Mēs to izmantojam kā mīkstāku aizstājēju tukšām lapām, kad kļūdu žurnāls joprojām var augt, bet tikai lēni (piemēram, Googlebot sasniedz dažas aizvērtas lapas). 2 minūtēs ir 20 rindiņas. Ja tas ir augstāks, būs brīdinājums

Interesantas iekšējās pārbaudes

Ja līdz šim esi lasījis “pa diagonāli”, tagad būs interesantāk lasīt uzmanīgāk.

dublējumkopijas

Uzrauga dublējumkopijas direktorijā. Mūsu dublējuma failiem ir tādi nosaukumi kā “ServerName-20200530.tar.gz”. Katram serverim okerr tiek izveidots indikators ServerName-DATE.tar.gz (faktiskais datums mainās uz rindu “DATE”). Tiek uzraudzīta arī pati svaigas dublējuma klātbūtne un tās lielums (piemēram, tas nedrīkst būt mazāks par 90% no iepriekšējās dublējuma).

Kas jādara, lai pēc tam, kad esam sākuši to izveidot un ievietot šajā direktorijā, sāktu izsekot jaunu dublējumu? Nekas! Šī ir ļoti ērta pieeja, ja jums nav jādara nekas, jo:

Nedarīt neko ir diezgan ātri, tas ietaupa laiku
Ir grūti aizmirst nedarīt "neko"
Ir grūti izdarīt “neko” nepareizi, ar kļūdu. Nekas nav visuzticamākā metode

Ja pēkšņi pārstāj parādīties jauni dublējuma faili, tiks parādīts brīdinājums. Ja, piemēram, esat atspējojis kādu no serveriem un vairs nevajadzētu izveidot dublējumu, indikators būs jāizdzēš (izmantojot tīmekļa saskarni vai no čaulas, izmantojot API).

maxfilesz

Seko līdzi lielāko failu lielumam (parasti: /var/log/*). Tas ļauj novērst neparedzamas problēmas, piemēram, brutālās spēka paroles vai surogātpasta sūtīšanu caur serveri.

runstatus/runline

Šie ir divi svarīgi starpniekservera moduļi citu programmu darbināšanai serverī. Runstatus ziņo indikatoram programmas izejas kodu. Piemēram, okerr nav (nepieprasa) moduli, lai pārbaudītu, vai sistēmas pakalpojumi darbojas. Tas tiek darīts, izmantojot Runstatus (skatiet tālāk). Runline - ziņo serverim par rindu, ko programma ražo. Piemēram, temp_RUN="cat /sys/class/thermal/thermal_zone0/temp" mūsu servera Runline konfigurācijā izveido indikatoru servername:temp ar procesora temperatūru.

sql

Izpilda skaitlisku vaicājumu MySQL un ziņo par rezultātu indikatoram. Vienkāršā gadījumā varat veikt, piemēram, “SELECT 1” - tas pārbaudīs, vai DBVS kopumā darbojas.

Taču daudz interesantāka aplikācija ir, piemēram, pasūtījumu skaita izsekošana interneta veikalā. Ja zināt, ka jums ir 100 vai vairāk pasūtījumu stundā, varat iestatīt minimālo limitu līdz 100 vai 80. Ja jūsu pārdošanas apjomi pēkšņi samazināsies, jūs saņemsit brīdinājumu un varēsiet to izdomāt.

Ņemiet vērā, ka nav svarīgi, kāda neparedzama iemesla dēļ tas notika:

Serveris vienkārši nav pieejams (atslēgts vai bez tīkla), un brīdinājums nāca tāpēc, ka indikators bija “sapuvis”.
Serveris ir ar kaut ko pārslogots, darbojas lēni vai pazūd paketes, lietotājiem tas ir neērti un viņi aiziet, neveicot pirkumus
Serveris ir iekļauts surogātpasta sarakstos un no tā netiek pieņemts pasts, lietotāji nevar reģistrēties
Reklāmas kampaņas budžets ir beidzies, baneri negriežas.

Var būt dažādi iemesli, un tos visus nevar iepriekš paredzēt, un to ir tehniski grūti izsekot. Bet jūs varat ērti uzraudzīt gala parametru (pasūtījumus) un pēc tiem noteikt, ka situācija ir aizdomīga un ir pelnījusi, lai ar to būtu jārīkojas.

Loģiskie rādītāji

Ļauj izmantot Būla izteiksmes (Python sintakse), izmantojot moduli izvērtēt(raksts par Habrē). Izteikšanai ir pieejami projekta dati un tā rādītāji. Piemēram, iepriekš sadaļā par SQL pārbaudi jūs, iespējams, pamanījāt vājo vietu - dienas laikā mums var būt 100 pārdošanas gadījumu stundā, bet naktī - 20, un tas ir izplatīts, nevis problēma. Ko man darīt? Indikators naktī pastāvīgi panikas.

Varat izveidot divus indikatorus, dienu un nakti. Padariet abus “klusus” (tie nesūtīs brīdinājumus). Un izveidot loģisku indikatoru, kas prasa, lai dienas indikators būtu kārtībā pirms 20:00, un pēc 20:00 pietiek, lai nakts rādītājs būtu kārtībā.

Vēl viens loģiskā indikatora izmantošanas piemērs ir eskalācija. Piemēram, projekta vadītājs atsakās no brīdinājumiem (viņam tas nav jādara, administratoriem jāreaģē uz normālām problēmām), bet abonē loģisko indikatoru, kas kļūst sarkans, ja projektā kāds indikators netiek izlabots atvēlētajā laikā.

Tāpat ir iespējams iestatīt atļauto darba laiku, piemēram, no pulksten 3 līdz 5. Mums ir vienalga, ja šajā laikā avarē serveri un vietnes. Bet 5:00 viņiem ir jāstrādā. Ja tie nedarbojas jebkurā citā laikā - brīdinājums. Loģiskais indikators ļauj arī ņemt vērā servera dublēšanu. Ja jums ir 5 tīmekļa serveri, tad administratori var jebkurā laikā izslēgt 1-2 serverus. Bet, ja kaujā ir mazāk nekā 3 no 5 serveriem, būs brīdinājums.

Iepriekš minētie piemēri nav oker funkcijas, nevis daži līdzekļi, kas jāaktivizē un jākonfigurē. Okerrai nav visu šo funkciju, bet ir loģiskais modulis, kas ļauj ieviest šo funkcionalitāti (apmēram kā programmēšanas valodā - ja mums ir aritmētiskie operatori, tad mums nav nepieciešama īpaša funkcija 20% PVN aprēķināšanai no valodas, jūs vienmēr varat to izdarīt pats, lai tas atbilstu savām vajadzībām).

Logic Indicator, iespējams, ir viena no nedaudzajām salīdzinoši sarežģītajām tēmām okerr, taču labā ziņa ir tā, ka jums tas nav jāapgūst, kamēr tas nav nepieciešams. Bet tajā pašā laikā tie ievērojami paplašina iespējas, vienlaikus saglabājot pašu sistēmu diezgan vienkāršu.

Savu čeku pievienošana

Es tiešām vēlētos nodot domu, ka okerr nav tūkstošiem gatavu čeku komplekts visiem gadījumiem, bet gan tieši pretēji - pirmkārt - vienkāršs dzinējs ar vienkāršu iespēju izveidot savus čekus. Savu čeku izveide programmā okerr nav hakeru, sistēmu līdzizstrādātāju vai vismaz pieredzējušu okerr lietotāju uzdevums, bet gan izpildāms uzdevums jebkuram administratoram, kurš pirms mēneša pirmo reizi instalēja Linux.

Minimālās algas pārbaudes tiek veiktas, izmantojot moduli palaišanas statuss:

Šī rinda konfigurācijā palaišanas statuss paziņos, ja /bin/true pēkšņi nesākas vai atgriež kaut ko citu, nevis 0.

true_OK=/bin/true

Tikai viena rindiņa - un te jau esam mazliet paplašināts funkcionalitāte okerr.

Pat šādai pārbaudei jau ir sava vērtība: ja pēkšņi jūsu serveris avarē, atbilstošais indikators okerr serverī netiks savlaicīgi atjaunināts, un pēc laika parādīsies brīdinājums.

Šī pārbaude paziņos, ka apache2 serveris ir avarējis (nu, jūs nekad zināt...):

apache_OK="systemctl is-active --quiet apache2"

Tātad, ja jūs runājat jebkurā programmēšanas valodā un vismaz varat rakstīt čaulas skriptus, tad jau varat pievienot savus čekus.

Grūtāk - jūs varat uzrakstīt (jebkurā valodā) savu okerrmod moduli. Vienkāršākajā gadījumā tas izskatās šādi:

#!/usr/bin/python3

print("STATUS: OK")

Vai tas nav ļoti grūti? Modulim pašam jāveic pārbaude un jāizvada rezultāti uz STDOUT. Sarežģītāks modulis sniedz, piemēram, šo:

$ okerrmod --dump df
NAME: pi:df-/
TAGS: df
METHOD: numerical|maxlim=90
DETAILS: 49.52%, 13.9G/28.2G used, 13.0G free
STATUS: 49.52

NAME: pi:df-/boot
TAGS: df
METHOD: numerical|maxlim=90
DETAILS: 84.32%, 53.1M/62.9M used, 9.9M free
STATUS: 84.32

Tas vienlaikus atjaunina vairākus indikatorus (atdala ar tukšu rindiņu), vajadzības gadījumā tos izveido, norāda verifikācijas informāciju un tagu, pēc kura informācijas panelī ir viegli atrast nepieciešamos rādītājus.

Ir Telegram robots @OkerrBot. Nav nepieciešams pārblīvēt tālruni ar atsevišķām lietojumprogrammām (man nepatīk, ka Pyaterochka ir nepieciešama viena programma ar karti, Lentai cita, MTS trešā un tā tālāk visiem, visiem, visiem). Pietiek ar vienu telegrammu. Izmantojot telegrammu, jūs varat nekavējoties saņemt brīdinājumus, pārbaudīt projekta statusu un dot komandu vēlreiz pārbaudīt visus problemātiskos rādītājus. Izgājām no teātra/lidmašīnas, divas stundas neturējām pirkstu uz pulsa, ieslēdzām telefonu, nospiedām vienu pogu čatbotā un pārliecinājāmies, ka viss ir kārtībā.

Statusa lapas

Mūsdienās statusa lapas ir gandrīz obligātas jebkuram uzņēmumam, kuram ir IT, atbildīga attieksme pret uzticamību un kas izturas ar cieņu pret saviem klientiem/lietotājiem.

Iedomājieties situāciju – lietotājs vēlas kaut ko darīt, apskatīt informāciju vai veikt pasūtījumu, un kaut kas nedarbojas. Viņš nezina, kas notiek, kurā pusē ir problēma un kad tā tiks atrisināta. Varbūt jūsu uzņēmumam vienkārši ir nefunkcionējoša vietne? Vai arī tas salūza pirms sešiem mēnešiem, un tas tiks salabots pēc diviem gadiem? Bet tagad vajag nopirkt ledusskapi, tas jau ir ratos... Un pavisam cita lieta, kad cilvēks redz, ka ar tevi kaut kas nav kārtībā (vismaz skaidrs, ka problēma nav viņa pusē), ka problēma ir atklāta, ka jūs jau strādājat pie tās un varbūt pat pierakstāt aptuveno labošanas laiku. Lietotājs var abonēt un saņemt e-pasta paziņojumu, kad problēma ir novērsta un viņš var darīt to, ko vēlas (nopirkt ledusskapi).

Problēmas un dīkstāves gadās ikvienam. Taču lietotāji un partneri vairāk uzticas tiem, kuri ir pārredzamāki un atbildīgāki savā pieejā.

šeit ir 10 citu projektu apskats, kas ļauj izveidot statusa lapas. Šeit ir piemēri, kā izskatās šīs projekta lapas Pitons и dropbox. okerr statusa lapa.

Kļūmjpārlēce

Lai šis raksts nebūtu vēl garāks, es vēlreiz atsaukšos uz savu iepriekšējo rakstu - Vienkārša kļūmjpārlēce vietnei . Ja varat izveidot servera dublikātu, tad, izmantojot kļūmjpārlēci, jums principā nebūs ilgas dīkstāves — tiklīdz tiks konstatēta problēma, lietotāji automātiski tiks novirzīti uz strādājošu rezerves serveri. Un man šķiet, ka šī ir ļoti interesanta, spilgta funkcija, kas reti kur ir pieejama.

Zemas sistēmas prasības

Okerr serveriem mēs izmantojam mašīnas ar RAM no 2Gb. Tīkla sensoriem pietiek pat ar 512Mb. Klienta daļa parasti ir gandrīz nulle. (Plastmasas maisiņš okerruptate sver 26 Kb, taču ir nepieciešamas Python3 un standarta bibliotēkas). Klients darbojas no cron skripta, tāpēc tam nav pastāvīgas atmiņas patēriņa. Starp mūsu uzraudzītajām mašīnām mums ir sensori (īpaši lēti VPS ar 512 Mb RAM) un Raspberry Pi. Tas ir iespējams pat bez klienta daļas sūtīt atjauninājumus, izmantojot curl! (Skatīt zemāk)

Ņemot to vērā - okerr, iespējams visvairāk bezmaksas monitoringa sistēmu no pieejamajām, jo pat lai izmantotu kādu citu bezmaksas atvērtā pirmkoda sistēmu kā Zabbix vai Nagios, tai ir jāpiešķir resursi (serveris), un tā jau ir nauda. Turklāt joprojām ir nepieciešama servera apkope. Ar okerr šo daļu var noņemt. Vai arī jums tas nav jānoņem un jāizmanto savs serveris atkarībā no tā, kas jums patīk vislabāk.

API un integrācija patentētā programmatūrā

Vienkārša un atvērta arhitektūra. okerr ir diezgan vienkāršs API, ar kuru ir viegli strādāt. Jāizveido 1000 indikatori? To darīs viens čaulas skripts ar 3-4 rindiņām. Nepieciešams pārkonfigurēt 1000 indikatorus? Tas ir arī ļoti vienkārši. Piemēram, mēs vēlamies vēlreiz pārbaudīt visus mūsu HTTPS sertifikātus no Krievijas sensora:

#!/bin/sh

for indicator in `okerrclient --api-filter sslcert`
do
    echo set location for $indicator
    okerrclient --api-set location=ru retest=1 --name $indicator
done

Jūs varat atjaunināt indikatoru, izmantojot mūsu klienta moduli, pat bez tā, tikai izmantojot curl.

# short and nice (using okerrupdate and config file)
$ okerrupdate MyIndicator OK

# only curl is enough!
$ curl -d 'textid=MyProject&name=MyIndicator&secret=MySecret&status=OK' https://bravo.okerr.com/

Jūs varat atjaunināt indikatorus tieši no savas programmas. Piemēram, nosūtot sirdsdarbības signālus, lai okerr zinātu, ka tas darbojas, un izsauktu trauksmi, ja tas avarē vai sasalst. Starp citu, okerr komponenti tieši to arī dara – okerr uzrauga sevi, un gandrīz jebkura moduļa problēmas tiks atklātas un ģenerēs brīdinājumu par problēmu. (Un šī “gandrīz” gadījumā tie tiek pārbaudīti no cita servera)

Šeit ir kods (vienkāršots) mūsu telegrammas robotā:

from okerrupdate import OkerrProject, OkerrExc

op = OkerrProject()
uptimei = op.indicator("{}:telebot_uptime".format(hostname))
...
uptimei.update('OK', 'pid: {} Uptime: {} cmds: {}'.format(
        os.getpid(), dhms(uptime), commands_cnt))

Ir bibliotēka indikatoru atjaunināšanai no Python programmām okerruptate, citām valodām nav bibliotēku, taču varat izsaukt okerrupdate skriptu vai veikt HTTP pieprasījumu okerr serverim.

Kā okerr mums palīdz

Okers mainīja mūsu dzīvi. Patiešām. Iespējams, ka cita uzraudzības sistēma varētu darīt to pašu, taču darbs ar okerr mums ir viegls un vienkāršs, un tam ir visas nepieciešamās funkcijas (mēs pievienojām to, kas tai nebija). Starp citu, ja trūkst kādas funkcijas, jautājiet un es tās pievienošu (es nesolu, bet es gribu, lai okerr būtu labākā uzraudzības sistēma maziem un vidējiem projektiem). Vai vēl labāk, pievienojiet to pats — tas ir vienkārši.

Mums izdevās dzīvot pēc principa “uzzini par visām problēmām no kerras”. Ja pēkšņi rodas problēma, par kuru mēs neuzzinājām no okerr, mēs pievienojam čeku okerr. (šajā gadījumā ar “mēs” es domāju mūs kā sistēmas lietotājus, nevis līdzizstrādātājus). Sākumā tas bija izplatīts, bet tagad tas ir kļuvis ļoti reti.

Uzraudzība

Izmantojot okerr, mēs uzraugām žurnālu izmērus visos serveros. Pārdomāti ar acīm izlasīt katru baļķa rindiņu, protams, nav iespējams, bet vienkārši augšanas tempa uzraudzība jau dod daudz. Pateicoties tam, mēs atklājām surogātpasta sūtīšanu un brutālu paroļu meklēšanu, un, kad dažas lietojumprogrammas “kļūst trakas”, tām kaut kas neizdodas un tās atkārtojas atkal un atkal (katru reizi pievienojot žurnālam pāris rindiņas ).

SSL sertifikāti. Gandrīz uzreiz pēc palaišanas Ļaujšifrēt mūsu klients sāka saviem klientiem (apmēram tūkstotim) nodrošināt bezmaksas SSL sertifikātus. Un administrācijai tā izrādījās vienkārši elle! Fakts ir tāds, ka vietnes ir “tiešraidē”, klienti periodiski lūdz viņiem kaut ko darīt, programmētāji to dara. Viņi, piemēram, var pilnīgi brīvi pārsūtīt vietni uz citu DocumentRoot. Vai arī pievienojiet beznosacījuma pārrakstīšanu virtualhost konfigurācijai. Protams, pēc tam automātiskā sertifikātu atjaunošana sabojājas. Tagad visi SSL resursdatori ir automātiski pievienoti okerr, izmantojot citu mūsu noderīgo utilītu no pakotnes a2conf. Vienkārši palaižam a2okerr.py — un, ja serverī parādās vairākas jaunas vietnes, tās automātiski parādīsies okerr. Ja pēkšņi kāda iemesla dēļ sertifikāts netiek atjaunots, trīs nedēļas pirms sertifikāta derīguma termiņa beigām mēs esam zināmi, un mēs izdomāsim, kāpēc tas nav atjaunināts, tāds suns. a2certbot.py no tās pašas pakotnes - tas ļoti palīdz ar to (tas uzreiz pārbauda iespējamās problēmas - un uzraksta labi pārbaudīto, un kur, visticamāk, ir problēma).

Mēs uzraugām visu mūsu domēnu derīguma termiņu. Un visi mūsu pasta serveri, kas sūta pastu, tiek pārbaudīti arī vairāk nekā 50 dažādos melnajos sarakstos. (Un dažreiz viņi tajās iekrīt). Starp citu, vai zinājāt, ka arī Google pasta serveri ir iekļauti melnajā sarakstā? Pašpārbaudei mēs pievienojām mail-wr1-f54.google.com uzraudzītajiem serveriem, un tas joprojām ir SORBS melnajā sarakstā! (Šeit ir runa par “pretsurogātpasta izplatītāju” vērtību)

Dublējumkopijas - es jau rakstīju iepriekš, cik viegli ir tos uzraudzīt ar okerr. Taču mēs uzraugām gan jaunākās dublējumkopijas savā serverī, gan (izmantojot atsevišķu utilītu, kas izmanto okerr) dublējumkopijas, kuras augšupielādējam vietnē Amazon Glacier. Un, jā, problēmas ik pa laikam gadās. Nav brīnums, ka viņi skatījās.

Mēs izmantojam eskalācijas indikatoru. Tas parāda, vai kāda problēma nav novērsta ilgu laiku. Un es pats, risinot kādas problēmas, dažkārt varu par tām aizmirst. Eskalācija ir labs atgādinājums, pat ja uzraugāt sevi.

Kopumā uzskatu, ka mūsu darba kvalitāte ir palielinājusies par lielumu. Gandrīz nav dīkstāves (vai arī klientam nav laika to pamanīt. Tikai tsh!), savukārt darba apjoms ir kļuvis mazāks un darba apstākļi kļuvuši mierīgāki. No avārijas darbiem ar bedrīšu aizlāpīšanu ar lenti esam pārgājuši uz mierīgu un izmērītu darbu, kad jau iepriekš tiek prognozētas daudzas problēmas un ir laiks tās novērst. Arī radušās problēmas ir kļuvušas vieglāk labojamas: pirmkārt, par tām uzzinām, pirms klienti krīt panikā, otrkārt, nereti gadās, ka problēma ir saistīta ar neseno darbu (kamēr darīju vienu lietu, salauzu citu) - tāpēc ir karsts. Pēdām ir vieglāk ar to tikt galā.

Bet bija cits gadījums...

Vai zinājāt, ka populārajā Debian 9 (Stretch) tik populārā pakotne kā phpmyadmin joprojām (daudzus mēnešus!) ir ievainojamā statusā? (CVE-2019-6798). Kad ievainojamība parādījās, mēs to ātri pārklājām dažādos veidos. Bet es iestatīju drošības izsekošanas lapas uzraudzību programmā okerr, lai zinātu, kad iznāks “skaistais” risinājums (izmantojot SHA1 satura summu). Indikators mani raustīja vairākas reizes, lapa mainījās, bet, kā redzat, tas joprojām (kopš 2019. gada janvāra!) neliecina, ka problēma ir atrisināta. Varbūt, starp citu, kāds zina, kāda ir problēma, ka tik svarīga pakete joprojām ir neaizsargāta vairāk nekā gadu?

Citreiz līdzīgā situācijā: pēc SSH ievainojamības bija nepieciešams atjaunināt visus serverus. Un, uzstādot uzdevumu, jums ir jākontrolē izpilde. (Padotajiem ir tendence pārprast, aizmirst, apjukt un kļūdīties). Tāpēc vispirms visos serveros okerr pievienojām SSH versijas pārbaudi un, izmantojot okerr, pārliecinājāmies, ka atjauninājumi ir ieviesti visos serveros. (Ērti! Es izvēlējos šāda veida indikatoru, un uzreiz var redzēt, kuram serverim ir kura versija). Kad bijām pārliecināti, ka uzdevums ir izpildīts visos serveros, indikatorus noņēmām.

Pāris reizes bija situācija, ka rodas kāda problēma, kas pati par sevi pāriet. (iespējams, visiem pazīstams?). Līdz brīdim, kad pamanāt, līdz brīdim, kad pārbaudīsit — un nav ko pārbaudīt —, viss jau darbojas labi. Bet tad atkal saplīst. Tas notika, piemēram, ar produktiem, ko augšupielādējām vietnē Amazon Marketplace (MWS). Kādā brīdī ielādētais inventārs bija nepareizs (nepareizi preču daudzumi un nepareizas cenas). Mēs to izdomājām. Bet, lai to izdomātu, bija svarīgi nekavējoties uzzināt par problēmu. Diemžēl MWS, tāpat kā visi Amazon pakalpojumi, ir nedaudz lēns, tāpēc vienmēr bija kavēšanās, bet tomēr mēs varējām vismaz aptuveni saprast saikni starp problēmu un skriptiem, kas to izraisa (mēs pārbaudījām, iestrēgām to okerr un pārbaudīja, nekavējoties saņemot brīdinājumu).

Interesantu lietu nesen kolekcijai pievienoja kāds liels un dārgs Eiropas hoster, kuru izmanto mūsu klients. Pēkšņi VISI mūsu serveri pazuda no radara! Pirmkārt, pats klients (ātrāk nekā okerra!) pamanīja, ka vietne, ar kuru viņš strādāja, netiek atvērta, un par to uztaisīja biļeti. Bet neizdevās tikai viena vietne, bet visas! (Nataša, mēs visu pametām!). Šeit Okers sāka sūtīt garus pēdu aptinumus ar visiem indikatoriem, kas viņam iedegās. Panika, panika, skrienam riņķos (ko gan citu darīt?). Tad viss pieauga. Izrādās, ka datu centrā notika kārtējā apkope (reizi daudzos gados), un, protams, mūs vajadzēja brīdināt. Bet ar viņiem notika kāda veida problēma, un viņi mūs nebrīdināja. Nu, vairāk sirdslēkmes, mazāk sirdslēkmes. Bet pēc tam, kad viss ir atjaunots, jums viss ir jāpārbauda vēlreiz! Es nevaru iedomāties, kā es to darītu ar savām rokām. Okers visu pārbaudīja dažu minūšu laikā. Izrādījās, ka lielākā daļa serveru vienkārši īslaicīgi nebija pieejami, taču tie strādāja. Daži bija pārslogoti, bet arī piecēlās kājās. No visiem zaudējumiem mēs pazaudējām divus dublējumus, kurus pēc kroņa vajadzēja izveidot un ielādēt, kamēr šis pilnais banāns notika. Es pat neuztraucos tos izveidot, tikai dienu vēlāk ieradās brīdinājumi, ka viss ir kārtībā, ir parādījušies dublējumkopijas. Šis piemērs man ļoti patīk, jo okerr izrādījās ļoti noderīgs situācijā, par kuru iepriekš pat nebijām domājuši, bet tāds ir monitoringa mērķis - pretoties neparedzamajam.

Okerr sensoriem izmantojam lētāko iespējamo hostingu (kur kvalitāte un uzticamība nav svarīga, tie viens otru apdrošina). Tātad, mēs nesen atradām ļoti labu mitināšanu un ļoti lētu, kritēriji ir lieliski. Bet... reizēm izrādās, ka izejošie savienojumi no virtuālās mašīnas tiek veidoti no cita (kaimiņu) IP. Brīnumi. Client_ip modulis ar https://diagnostic.opendns.com/myip saņem nepareizu IP. Un no indikatora servera žurnāliem ir skaidrs, ka atjauninājums nāca arī no šīs kaimiņu IP. Tagad tiksim galā ar atbalstu. Labi, ka miera laikā to pamanījām. Bet, piemēram, bieži gadās, ka piekļuve tiek reģistrēta pēc IP baltā saraksta - un, ja serveris dažreiz mirgo šādi īsu brīdi - jūs varat mēģināt noķert šo problēmu ļoti ilgu laiku.

Nu, vēl viena lieta - tā kā mēs runājam par VPS mitināšanu - mēs vienmēr izmantojam lētus (hetzner, ovh, scaleway). Man ļoti patīk gan etalonu, gan stabilitātes ziņā. Mēs izmantojam arī daudz dārgāko Amazon EC2 citiem projektiem. Tātad, pateicoties okerr, mums ir savs informēts viedoklis. Viņi abi krīt. Un es neteiktu, ka mūsu novērojumu ilgajā periodā lēti hostingi, piemēram, hetzner, izrādījās ievērojami mazāk stabili nekā EC2. Tāpēc, ja neesat piesaistīts citām Amazon funkcijām, kāpēc maksāt vairāk? 🙂

Ko tālāk?

Ja šajā posmā es vēl neesmu jūs aizbiedējis no Okerr, tad izmēģiniet to! Jūs varat doties tieši uz šo saiti okerr demonstrācijas konts (Noklikšķiniet tagad!) Taču ņemiet vērā, ka visiem ir tikai viens demonstrācijas konts, tādēļ, ja kaut ko darāt, kāds cits tajā pašā kontā var vienlaikus traucēt jums. Vai (labāk) reģistrējieties, izmantojot saiti uz izbraukuma okerr - viss ir vienkārši, bez SMS. Ja jums nepatīk izmantot savu īsto e-pastu, varat izmantot vienreizējo e-pastu, piemēram, mailinator (iesaku getnada.com). Laika gaitā šādi konti var tikt dzēsti, taču tie būs piemēroti pārbaudei.

Pēc reģistrācijas jums tiks lūgts iziet apmācību (veikt vairākus ne pārāk sarežģītus treniņu uzdevumus). Sākotnējie limiti ir ļoti mazi, bet treniņiem vai vienam serverim ar tiem pietiek. Pēc apmācības pabeigšanas limiti (piemēram, maksimālais rādītāju skaits) tiks palielināti.

No dokumentācijas – pirmkārt WIKI servera pusē un klienta (okerrupdate wiki). Bet, ja kaut kas nav skaidrs, rakstiet uz support (at) okerr.com vai atstājiet biļeti - mēģināsim visu ātri atrisināt.

Ja lietojat to nopietni un ar šiem palielinātajiem limitiem nepietiek, rakstiet atbalsta dienestam un mēs to palielināsim (bez maksas).

Vai vēlaties instalēt okerr serveri savā serverī? Šeit okerr-dev repozitorijs. Mēs iesakām instalēt tīrā virtuālajā mašīnā, pēc tam varat to izdarīt vienkārši ar instalācijas skriptu. Jūsu virtuālajā mašīnā - bez ierobežojumiem :-). Nu atkal, ja kaut kas notiks, mēs vienmēr centīsimies palīdzēt.

Mēs vēlamies, lai šis projekts paceltos, lai, pateicoties mums, pasaule kļūtu uzticamāka. Pateicoties bezmaksas programmatūrai un pakalpojumiem, pasaule ir kļuvusi draudzīgāka un attīstās dinamiskāk. Avotus var glabāt bezmaksas github, pastam varat izmantot bezmaksas gmail. Mēs izmantojam bezmaksas svaigie darbi par atbalstu. Lai to izdarītu, jums nav jāmaksā par serveriem, jums nav jālejupielādē un jākonfigurē, kā arī jums nav jāatrisina dažādas darbības problēmas. Katram jaunam projektam, katrai komandai nekavējoties ir pasts, krātuves un CRM. Un tas viss ir ļoti kvalitatīvi un bez maksas un nekavējoties. Gribam, lai tā būtu arī uzraudzībā - mazie uzņēmumi un projekti varētu izmantot okerr bez maksas un pat dzimšanas un izaugsmes stadijā ir pieaugušo nopietnu projektu uzticamība.

Avots: www.habr.com

Pārskats par Okerr hibrīda uzraudzības sistēmu