Terraform modeļi, lai cīnītos pret haosu un manuālu rutīnu. Maksims Kostrikins (Ikstens)

Šķiet, ka Terraform izstrādātāji piedāvā diezgan ērtu labāko praksi darbam ar AWS infrastruktūru. Ir tikai nianse. Laika gaitā palielinās vidi skaits, un katrai no tām ir savas funkcijas. Blakus esošajā reģionā parādās gandrīz lietojumprogrammu kopas kopija. Un Terraform kods ir rūpīgi jāpārkopē un jārediģē atbilstoši jaunajām prasībām vai jāveido sniegpārsliņā.

Mans ziņojums par Terraform modeļiem, lai cīnītos pret haosu un manuālu rutīnu lielos un garos projektos.

Video:

Man ir 40, IT jomā strādāju 20 gadus. Es strādāju Ixtens 12 gadus. Mēs nodarbojamies ar e-komercijas virzītu izstrādi. Un es praktizēju DevOps praksi 5 gadus.

Mans stāsts būs par manu pieredzi projektā uzņēmumā, kura nosaukumu neteikšu, slēpjoties aiz neizpaušanas līguma.

Cipari uz slaida ir norādīti, lai saprastu projekta mērogu. Un viss, ko es teikšu tālāk, ir saistīts ar Amazon.

Es pievienojos šim projektam pirms 4 gadiem. Un infrastruktūras atjaunošana ritēja pilnā sparā, jo projekts bija audzis. Un modeļi, kas tika izmantoti, vairs nebija piemēroti. Un, ņemot vērā visu plānoto projekta izaugsmi, bija jānāk klajā ar kaut ko jaunu.

Paldies Matvejam, kurš vakar mums pastāstīja, kas notika Dodo Pizza. Lūk, kas šeit notika pirms 4 gadiem.

Atnāca izstrādātāji un sāka veidot infrastruktūras kodu.

Acīmredzamākie iemesli, kāpēc tas bija nepieciešams, bija laiks, lai pārdotu. Bija nepieciešams nodrošināt, lai DevOps komanda izlaišanas laikā nebūtu sastrēgums. Un cita starpā Terraform un Puppet tika izmantoti pašā pirmajā līmenī.

Terraform ir atvērtā koda projekts no HashiCorp. Un tiem, kas pat nezina, kas tas ir, daži nākamie slaidi.

Infrastruktūra kā kods nozīmē, ka mēs varam aprakstīt savu infrastruktūru un lūgt dažiem robotiem pārliecināties, ka mēs saņemam mūsu aprakstītos resursus.

Piemēram, mums ir nepieciešama virtuālā mašīna. Mēs aprakstīsim un pievienosim vairākus nepieciešamos parametrus.

Pēc tam mēs konsolē konfigurēsim piekļuvi Amazon. Un mēs lūgsim Terraform plānu. Terraform plānā būs teikts: "Labi, mēs varam darīt šīs lietas jūsu resursiem." Un tiks pievienots vismaz viens resurss. Un nekādas izmaiņas nav gaidāmas.

Kad esat ar visu apmierināts, varat lūgt Terraform pieteikties, un Terraform izveidos jums instanci, un jūs saņemsiet virtuālo mašīnu savā mākonī.

Tālāk mūsu projekts attīstās. Mēs tur pievienojam dažas izmaiņas. Lūdzam vairāk gadījumu, pievienojam 53 ierakstus.

Un mēs atkārtojam. Lūdzu plānojiet. Mēs redzam, kādas izmaiņas ir plānotas. Mēs piesakāmies. Un tā attīstās mūsu infrastruktūra.

Terraform izmanto to, ko sauc par stāvokļa failiem. Tas nozīmē, ka viņš saglabā visas Amazon veiktās izmaiņas failā, kurā katram jūsu aprakstītajam resursam ir atbilstoši Amazon izveidotie resursi. Tādējādi, mainoties resursa aprakstam, Terraform precīzi zina, kas ir jāmaina Amazon.

Šie stāvokļa faili sākotnēji bija tikai faili. Un mēs tos uzglabājām Gitā, kas bija ārkārtīgi neērti. Kāds vienmēr aizmirsa veikt izmaiņas, un radās daudzi konflikti.

Tagad ir iespējams izmantot aizmugursistēmu, t.i., Terraform ir norādīts, kurā spainī un ar kādu atslēgu jāsaglabā stāvokļa fails. Un pati Terraform parūpēsies par šī stāvokļa faila iegūšanu, veicot visas burvju darbības un atgriežot gala rezultātu.

Mūsu infrastruktūra attīstās. Šeit ir mūsu kods. Un tagad mēs vēlamies ne tikai izveidot virtuālo mašīnu, bet arī testa vidi.

Terraform ļauj izveidot tādu lietu kā moduli, tas ir, aprakstīt to pašu kādā mapē.

Un, piemēram, testējot, izsauciet šo moduli un iegūstiet to pašu, it kā mēs būtu izpildījuši Terraform piemērot pašā modulī. Testēšanai būs šis kods.

Ražošanai mēs tur varam nosūtīt dažas izmaiņas, jo testēšanā mums nav vajadzīgi lieli gadījumi, ražošanā lielie gadījumi vienkārši noder.

Un tad es atgriezīšos pie projekta. Tas bija grūts uzdevums, plānotā infrastruktūra bija ļoti liela. Un vajadzēja kaut kā visu kodu novietot tā, lai tas būtu ērti visiem: gan tiem, kas veic šī koda apkopi, gan tiem, kas veic izmaiņas. Un bija plānots, ka jebkurš izstrādātājs varētu iet un salabot infrastruktūru pēc vajadzības savai platformas daļai.

Šis ir direktoriju koks, ko HashiCorp iesaka pats, ja jums ir liels projekts un ir lietderīgi sadalīt visu infrastruktūru dažos mazos gabaliņos un aprakstīt katru daļu atsevišķā mapē.

Ņemot vērā plašu resursu bibliotēku, testēšanā un ražošanā varat izsaukt aptuveni vienu un to pašu.

Mūsu gadījumā tas nebija pilnībā piemērots, jo izstrādātāju vai testēšanas testa kaudze bija jāiegūst kaut kā vienkāršāk. Bet es negribēju iet cauri mapēm un lietot tās vajadzīgajā secībā un uztraukties, ka datubāze palielināsies, un tad palielināsies gadījums, kas izmanto šo datu bāzi. Tāpēc visa pārbaude tika uzsākta no vienas mapes. Tur tika izsaukti tie paši moduļi, bet viss tika izdarīts vienā piegājienā.

Terraform rūpējas par visām atkarībām. Un tas vienmēr izveido resursus secībā, lai jūs varētu iegūt IP adresi, piemēram, no jaunizveidotas instances un iegūt šo IP adresi maršruta53 ierakstā.

Turklāt platforma ir ļoti liela. Un testa kaudzes palaišana, pat ja uz stundu, pat ja uz 8 stundām, ir diezgan dārgs pasākums.

Un mēs automatizējām šo lietu. Un Dženkinsa darbs ļāva mums vadīt steku. Tajā bija nepieciešams palaist izvilkšanas pieprasījumu ar izmaiņām, kuras izstrādātājs vēlas pārbaudīt, norādīt visas nepieciešamās opcijas, komponentus un izmērus. Ja viņš vēlas veikt veiktspējas pārbaudi, viņš var veikt vairāk gadījumu. Ja viņam tikai jāpārbauda, ​​vai atveras kāda veidlapa, tad viņš varētu sākt ar minimālo algu. Un arī norādiet, vai klasteris ir vajadzīgs vai nē, utt.

Un tad Dženkinss nospieda čaulas skriptu, kas nedaudz mainīja kodu Terraform mapē. Es noņēmu nevajadzīgos failus un pievienoju nepieciešamos failus. Un tad ar vienu Terraform pieteikšanos kaudze tika palielināta.

Un tad bija citi soļi, kuros es nevēlos iedziļināties.

Sakarā ar to, ka testēšanai mums vajadzēja nedaudz vairāk iespēju nekā ražošanā, mums bija jāveido moduļu kopijas, lai šajās kopijās varētu pievienot tās funkcijas, kas bija nepieciešamas tikai testēšanai.

Un tā sagadījās, ka testēšanas laikā es gribu pārbaudīt tās izmaiņas, kas galu galā nonāks ražošanā. Bet patiesībā tika pārbaudīta viena lieta, un ražošanā tika izmantota nedaudz cita. Un bija neliels pārtraukums modelī, ka ražošanā visas izmaiņas piemēroja operācijas komanda. Un dažreiz izrādījās, ka tās izmaiņas, kurām vajadzēja pāriet no testēšanas uz ražošanu, palika citā versijā.

Turklāt radās tāda problēma, ka tika pievienots jauns pakalpojums, kas nedaudz atšķīrās no kāda jau esošā. Un tā vietā, lai pārveidotu esošu moduli, mums bija jāizveido tā kopija un jāpievieno nepieciešamās izmaiņas.

Būtībā Terraform nav īsta valoda. Šī ir deklarācija. Ja vajag kaut ko deklarēt, tad deklarējam. Un tas viss darbojas.

Kādā brīdī, kad tika apspriests viens no maniem vilkšanas pieprasījumiem, viens no maniem kolēģiem teica, ka nevajag veidot sniegpārslas. Es prātoju, ko viņš ar to domāja. Ir zinātnisks fakts, ka pasaulē nav divu vienādu sniegpārslu, tās visas nedaudz atšķiras. Un, tiklīdz es to dzirdēju, es uzreiz sajutu visu Terraform koda smagumu. Tā kā, kad bija jāpāriet no versijas uz versiju, Terraform prasīja pārraušanas ķēdes izmaiņas, t.i., kods vairs nebija savietojams ar nākamo versiju. Un mums bija jāveic izvilkšanas pieprasījums, kas aptvēra gandrīz pusi no infrastruktūras failiem, lai infrastruktūru pārnestu uz nākamo Terraform versiju.

Un pēc tādas sniegpārsliņas parādīšanās viss Terraform kods, ko bijām pārvērtuši par lielu, lielu sniega kaudzi.

Ārējam izstrādātājam, kurš ir ārpus operācijas, tam nav lielas nozīmes, jo viņš veica izvilkšanas pieprasījumu, sākās viņa resurss. Un tas arī viss, tas vairs nav viņu rūpes. Un DevOps komandai, kas pārliecinās, ka viss ir kārtībā, ir jāveic visas šīs izmaiņas. Un šo izmaiņu izmaksas ļoti, ļoti pieauga ar katru papildu sniegpārsliņu.

Ir stāsts par to, kā students seminārā ar krītu uz tāfeles uzzīmē divus perfektus apļus. Un skolotājs ir pārsteigts, kā viņam izdevās tik gludi zīmēt bez kompasa. Students atbild: "Ļoti vienkārši, divus gadus pavadīju armijā, griežot gaļas mašīnā."

Un no četriem gadiem, kad esmu bijis iesaistīts šajā projektā, es nodarbojos ar Terraform apmēram divus gadus. Un, protams, man ir daži triki, daži padomi, kā vienkāršot Terraform kodu, strādāt ar to kā programmēšanas valodu un samazināt slogu izstrādātājiem, kuriem šis kods ir jāatjaunina.

Pirmā lieta, ar ko es vēlētos sākt, ir Symlinks. Terraform ir daudz atkārtota koda. Piemēram, zvans pakalpojumu sniedzējam gandrīz katrā vietā, kur mēs veidojam infrastruktūras daļu, ir vienāds. Un ir loģiski to ievietot atsevišķā mapē. Un visur, kur pakalpojumu sniedzējam ir jāizveido simboliskās saites uz šo failu.

Piemēram, ražošanā jūs izmantojat uzņemšanās lomu, kas ļauj iegūt piekļuves tiesības kādam ārējam Amazon kontam. Un, mainot vienu failu, visiem atlikušajiem resursu kokā būs nepieciešamās tiesības, lai Terraform zinātu, kuram Amazon segmentam piekļūt.

Kur neizdodas Symlinks? Kā jau teicu, Terraform ir valsts faili. Un viņi ir ļoti, ļoti forši. Bet lieta ir tāda, ka Terraform vispirms inicializē aizmugursistēmu. Un viņš nevar izmantot nekādus mainīgos šajos parametros, tie vienmēr ir jāraksta tekstā.

Un rezultātā, kad kāds izveido jaunu resursu, viņš daļu koda kopē no citām mapēm. Un viņš var kļūdīties ar atslēgu vai spaini. Piemēram, viņš no smilšu kastes izgatavo smilšu kastes lietu un pēc tam to ražo. Un tā var izrādīties, ka ražošanā esošais spainis tiks izmantots no smilšu kastes. Protams, viņi to ātri atradīs. To būs iespējams kaut kā labot, bet tomēr tā ir laika un zināmā mērā resursu izšķiešana.

Ko mēs varam darīt tālāk? Pirms darba ar Terraform, tas ir jāinicializē. Inicializācijas laikā Terraform lejupielādē visus spraudņus. Kādā brīdī tie sadalījās no monolīta uz vairāk mikropakalpojumu arhitektūru. Un vienmēr ir jādara Terraform init, lai tas izvilktu visus moduļus, visus spraudņus.

Un jūs varat izmantot čaulas skriptu, kas, pirmkārt, var iegūt visus mainīgos. Apvalka skripts nekādā veidā nav ierobežots. Un, otrkārt, ceļi. Ja mēs vienmēr izmantosim repozitorijā esošo ceļu kā stāvokļa faila atslēgu, tad attiecīgi kļūda šeit tiks novērsta.

Kur es varu iegūt datus? JSON fails. Terraform ļauj rakstīt infrastruktūru ne tikai hcl (HashiCorp konfigurācijas valodā), bet arī JSON.

JSON ir viegli nolasāms no čaulas skripta. Attiecīgi kādā vietā var ievietot konfigurācijas failu ar spaini. Un izmantojiet šo spaini gan Terraform kodā, gan čaulas skriptā inicializēšanai.

Kāpēc ir svarīgi, lai Terraform būtu spainis? Jo ir tāda lieta kā attālā stāvokļa faili. Tas ir, kad es piesaistu kādu resursu, lai pateiktu Amazon: “Lūdzu, paaugstiniet instanci”, man ir jānorāda daudz nepieciešamo parametru.

Un šie identifikatori tiek glabāti kādā citā mapē. Un es varu iet un teikt: "Terraform, lūdzu, atveriet šī resursa stāvokļa failu un saņemiet man šos identifikatorus." Un tādējādi starp dažādiem reģioniem vai vidēm parādās zināma apvienošanās.

Ne vienmēr ir iespējams izmantot attālā stāvokļa failu. Piemēram, jūs izveidojāt VPC ar roku. Un Terraform kods, kas veido VPC, rada tik dažādus VPC, ka tas prasīs ļoti ilgu laiku un jums būs jāpielāgo viens otram, tāpēc varat izmantot šādu triku.

Tas ir, izveidojiet moduli, kas, šķiet, veido VPC un it kā dod jums identifikatorus, taču patiesībā ir vienkārši fails ar kodētām vērtībām, ko var izmantot, lai izveidotu to pašu gadījumu.

Ne vienmēr ir nepieciešams saglabāt statusa failu mākonī. Piemēram, testējot moduļus, varat izmantot aizmugursistēmas inicializēšanu, kur fails testēšanas laikā vienkārši tiks saglabāts diskā.

Tagad nedaudz par testēšanu. Ko jūs varat pārbaudīt Terraform? Iespējams, daudz kas ir iespējams, bet es runāšu par šīm 4 lietām.

HashiCorp ir izpratne par to, kā Terraform kods ir jāformatē. Un Terraform fmt ļauj formatēt rediģēto kodu saskaņā ar šo uzskatu. Attiecīgi testos noteikti jāpārbauda, ​​vai formatējums atbilst HashiCorp novēlētajam, lai nebūtu jāmaina iekavās utt.

Nākamais ir Terraform validēt. Tas palīdz tikai pārbaudīt sintaksi — vai visas iekavas ir savienotas pārī. Kas šeit ir svarīgs? Mūsu infrastruktūra ir ļoti plaša. Tajā ir daudz dažādu tēti. Un katrā no tiem ir jāpalaiž Terraform validate.

Attiecīgi, lai paātrinātu testēšanu, mēs paralēli palaižam vairākus procesus, izmantojot paralēli.

Paralēli ir ļoti forša lieta, izmantojiet to.

Bet katru reizi, kad Terraform inicializē, tas dodas uz HashiCorp un jautā: “Kādas ir jaunākās spraudņa versijas? Un spraudnis, kas man ir kešatmiņā — vai tas ir pareizais vai nepareizais? Un tas palēninājās ik uz soļa.

Ja pateiksit Terraform, kur atrodas spraudņi, tad Terraform sacīs: “Labi, iespējams, tas ir jaunākais, kas tur ir. Es nekur neiešu, nekavējoties sākšu apstiprināt jūsu Terraform kodu.

Lai aizpildītu mapi ar nepieciešamajiem spraudņiem, mums ir ļoti vienkāršs Terraform kods, kas vienkārši ir jāinicializē. Šeit, protams, ir jānorāda visi pakalpojumu sniedzēji, kas kaut kādā veidā piedalās jūsu kodā, pretējā gadījumā Terraform sacīs: "Es nezinu noteiktu pakalpojumu sniedzēju, jo tas nav kešatmiņā."

Nākamais ir Terraform plāns. Kā jau teicu, attīstība ir cikliska. Mēs veicam izmaiņas kodā. Un tad jānoskaidro, kādas izmaiņas ir paredzētas infrastruktūrā.

Un, kad infrastruktūra ir ļoti, ļoti liela, jūs varat mainīt vienu moduli, salabot kādu testa vidi vai noteiktu reģionu un izjaukt kādu blakus esošo. Tāpēc Terraform plāns būtu jāveido visai infrastruktūrai un jāparāda, kādas izmaiņas ir plānotas.

To var izdarīt gudri. Piemēram, mēs uzrakstījām Python skriptu, kas atrisina atkarības. Un atkarībā no tā, kas tika mainīts: Terraform modulis vai tikai konkrēts komponents, tas veido plānus visām saistītajām mapēm.

Terases plāni ir jāsagatavo pēc pieprasījuma. Tā vismaz mēs darām.

Protams, ir labi veikt testus par katru izmaiņu, par katru apņemšanos, taču plāni ir diezgan dārga lieta. Un izvilkšanas pieprasījumā mēs sakām: "Lūdzu, iedodiet man plānus." Robots sāk darboties. Un nosūta komentāros vai pievieno visus plānus, kas tiek gaidīti no jūsu izmaiņām.

Plāns ir diezgan dārga lieta. Tas prasa laiku, jo Terraform dodas uz Amazon un jautā: "Vai šī instance joprojām pastāv? Vai šai automātiskajai skalai ir tieši tādi paši parametri? Un, lai to paātrinātu, varat izmantot tādu parametru kā refresh=false. Tas nozīmē, ka Terraform lejupielādēs stāvokli no S3. Un tā ticēs, ka valsts precīzi atbildīs Amazones valstij.

Šāds Terraform plāns paiet daudz ātrāk, bet valstij ir jāatbilst tavai infrastruktūrai, t.i., kaut kur, kaut kad jāsāk Terraform refresh. Terraform atsvaidzināšana dara tieši to: stāvoklis atbilst faktiskajā infrastruktūrā esošajam.

Un mums ir jārunā par drošību. Šeit mums bija jāsāk. Vietā, kur jūs izmantojat Terraform un Terraform darbojas jūsu infrastruktūrā, ir ievainojamība. Tas ir, jūs būtībā izpildāt kodu. Un, ja izvilkšanas pieprasījumā ir ietverts kāds ļaunprātīgs kods, to var izpildīt infrastruktūrā, kurai ir pārāk liela piekļuve. Tāpēc esiet piesardzīgs, kur izmantojat Terraform plānu.

Nākamā lieta, par ko es vēlētos runāt, ir lietotāja datu pārbaude.

Kas ir lietotāja dati? Amazon, kad mēs veidojam instanci, mēs varam nosūtīt noteiktu vēstuli ar instanci - meta datus. Kad instancē sākas, parasti mākoņa iniciators vienmēr ir pieejams šajos gadījumos. Cloud init nolasa šo vēstuli un saka: "Labi, šodien es esmu slodzes balansētājs." Un saskaņā ar šīm derībām viņš veic dažas darbības.

Bet diemžēl, kad mēs piemērojam Terraform plānu un Terraform, lietotāja dati izskatās kā šāda veida skaitļu putra. Tas ir, viņš vienkārši nosūta jums hash. Un viss, ko jūs varat apskatīt plānā, ir tas, vai būs kādas izmaiņas, vai hash paliks nemainīgs.

Un, ja jūs tam nepievēršat uzmanību, kāds bojāts teksta fails var nonākt Amazon, reālajā infrastruktūrā.

Alternatīvi, izpildot, varat norādīt nevis visu infrastruktūru, bet tikai veidni. Un kodā sakiet: "Lūdzu, parādiet šo veidni manā ekrānā." Tā rezultātā jūs varat iegūt izdruku par to, kā jūsu dati izskatīsies vietnē Amazon.

Vēl viena iespēja ir izmantot moduli, lai ģenerētu lietotāja datus. Jūs lietosit šo moduli. Jūs saņemat failu diskā. Salīdziniet to ar atsauci. Un līdz ar to, ja kāds puisis nolemj nedaudz labot lietotāja datus, tad jūsu testi teiks: “Labi, šeit un tur ir dažas izmaiņas – tas ir normāli.”

Nākamā lieta, par ko es vēlētos runāt, ir Terraformu automatizācija.

Protams, ir diezgan biedējoši, ka Terraform tiek lietots automātiski, jo kas zina, kādas izmaiņas tur ir notikušas un cik tās var būt postošas ​​dzīvajai infrastruktūrai.

Testa vidē tas viss ir normāli. Tas ir, darbs, kas rada testa vidi, ir tas, kas nepieciešams visiem izstrādātājiem. Un tāds izteiciens kā “viss man izdevās” nav smieklīgs mēms, bet gan pierādījums tam, ka cilvēks apmulsa, pacēla steku un veica dažus testus šai stekai. Un viņš pārliecinājās, ka tur viss ir kārtībā, un teica: "Labi, kods, ko es izlaižu, ir pārbaudīts."

Ražošanā, smilškastes un citās uzņēmējdarbībai svarīgākās vidēs jūs varat daļēji izmantot dažus resursus diezgan droši, jo tā rezultātā neviens nemirst. Tās ir: automātiskās mērogošanas grupas, drošības grupas, lomas, maršruts53, un saraksts tur var būt diezgan liels. Bet sekojiet līdzi notiekošajam, lasiet automatizētos lietojumprogrammu pārskatus.

Ja ir bīstami vai biedējoši pieteikties, piemēram, ja tie ir daži pastāvīgi resursi no datu bāzes, tad saņemiet ziņojumus, ka kādā infrastruktūras daļā ir nepielietotas izmaiņas. Un inženieris uzraudzībā sāk pieteiktos darbus vai veic to no savas pults.

Amazon ir tāda lieta kā Pārtraukt aizsardzību. Un tas dažos gadījumos var pasargāt no izmaiņām, kas jums nav nepieciešamas. Tas ir, Terraform devās uz Amazon un teica: "Man ir jānogalina šis gadījums, lai izveidotu citu." Un Amazon saka: “Atvainojiet, ne šodien. Mums ir Pārtraukt aizsardzību."

Un glazūra uz kūkas ir koda optimizācija. Strādājot ar Terraform kodu, modulim ir jānodod ļoti liels skaits parametru. Šie ir parametri, kas nepieciešami, lai izveidotu kādu resursu. Un kods pārvēršas lielos parametru sarakstos, kas jāpārsūta no moduļa uz moduli, no moduļa uz moduli, it īpaši, ja moduļi ir ligzdoti.

Un to ir ļoti grūti lasīt. Ir ļoti grūti to pārskatīt. Un ļoti bieži izrādās, ka daži parametri tiek pārskatīti, un tie nav īsti nepieciešami. Un tas maksā laiku un naudu, lai to vēlāk labotu.

Tāpēc es iesaku jums izmantot šādu lietu kā sarežģītu parametru, kas ietver noteiktu vērtību koku. Tas ir, jums ir nepieciešama sava veida mape, kurā jums ir visas vērtības, kuras vēlaties iegūt kādā vidē.

Un, izsaucot šo moduli, jūs varat iegūt koku, kas tiek ģenerēts vienā kopējā modulī, tas ir, kopējā modulī, kas darbojas vienādi visai infrastruktūrai.

Šajā modulī varat veikt dažus aprēķinus, izmantojot tik nesenu Terraform līdzekli kā vietējie iedzīvotāji. Un tad ar vienu izvadi norādiet kādu sarežģītu parametru, kas var ietvert masīva jaucējvārdus utt.

Šeit ir beigušies visi labākie atradumi. Un es gribētu pastāstīt stāstu par Kolumbu. Kad viņš meklēja naudu savai ekspedīcijai, lai atklātu Indiju (kā viņš toreiz domāja), neviens viņam neticēja un uzskatīja, ka tas nav iespējams. Tad viņš teica: "Pārliecinieties, ka ola nenokrīt." Visi baņķieri, ļoti bagāti un, iespējams, gudri cilvēki, mēģināja kaut kā novietot olu, un tā turpināja krist. Tad Kolumbs paņēma olu un to nedaudz paspieda. Čaumala saburzīja un ola palika nekustīga. Viņi teica: "Ak, tas ir pārāk viegli!" Un Kolumbs atbildēja: "Jā, tas ir pārāk vienkārši. Un, kad es atvēršu Indiju, visi izmantos šo tirdzniecības ceļu."

Un tas, ko es jums tikko teicu, iespējams, ir diezgan vienkāršas un triviālas lietas. Un, kad jūs uzzināsit par tiem un sākat tos lietot, tas notiek lietu kārtībā. Tāpēc izmantojiet priekšrocības. Un, ja jums tās ir pilnīgi normālas lietas, tad vismaz zināt, kā olu novietot tā, lai tā nenokristu.

Apkoposim:

• Centieties izvairīties no sniegpārslām. Un jo mazāk sniegpārslu, jo mazāk resursu jums būs nepieciešams, lai veiktu izmaiņas visā lielajā infrastruktūrā.
• Pastāvīgas izmaiņas. Tas ir, ja kodā tiek veiktas dažas izmaiņas, jums ir pēc iespējas ātrāk jāsaskaņo infrastruktūra ar šīm izmaiņām. Nevajadzētu būt situācijai, kad kāds ierodas apskatīt Elasticsearch divus vai trīs mēnešus vēlāk, sastāda Terraform plānu un ir daudz izmaiņu, kuras viņš nebija gaidījis. Un, lai visu sakārtotu, ir vajadzīgs daudz laika.
• Testi un automatizācija. Jo vairāk jūsu kods ir pārklāts ar testiem un funkcijām, jo ​​​​lielāka ir pārliecība, ka visu darāt pareizi. Un automātiskā piegāde daudzkārt palielinās jūsu pārliecību.
• Testa un ražošanas vides kodam jābūt gandrīz vienādam. Praktiski, jo ražošana joprojām ir nedaudz atšķirīga un joprojām būs dažas nianses, kas iziet ārpus testa vides. Bet tomēr plus vai mīnus to var nodrošināt.
• Un, ja jums ir daudz Terraform koda un ir nepieciešams daudz laika, lai šis kods būtu atjaunināts, nekad nav par vēlu pārveidot un uzlabot to.

• Nemainīga infrastruktūra. AMI piegāde pēc grafika.
• Maršruta 53 struktūra, ja jums ir daudz ierakstu un vēlaties, lai tie būtu konsekventā secībā.
• Cīņa ar API ātruma ierobežojumiem. Tas ir tad, kad Amazon saka: "Tas ir viss, es nevaru pieņemt vairāk pieprasījumu, lūdzu, uzgaidiet." Un puse biroja gaida, kad varēs uzsākt savu infrastruktūru.
• Atklājiet gadījumus. Amazon nav lēts pasākums, un spots ļauj ietaupīt diezgan daudz. Un tur par to var izstāstīt veselu reportāžu.
• Drošības un IAM lomas.
• Meklējot pazaudētos resursus, kad Amazonē ir nezināmas izcelsmes gadījumi, viņi ēd naudu. Pat ja gadījumi maksā 100–150 USD mēnesī, tas ir vairāk nekā USD 1 gadā. Šādu resursu atrašana ir ienesīgs bizness.
• Un rezervēti gadījumi.

Tas man ir viss. Terraform ir ļoti foršs, jūs to izmantojat. Paldies!

jautājumi

Paldies par ziņojumu! Jūsu stāvokļa fails ir S3, bet kā atrisināt problēmu, ka vairāki cilvēki var paņemt šo stāvokļa failu un mēģināt paplašināt?

Pirmkārt, mēs nesteidzamies. Otrkārt, ir karodziņi, kuros mēs ziņojam, ka strādājam pie kāda koda daļas. Tas ir, neskatoties uz to, ka infrastruktūra ir ļoti liela, tas nenozīmē, ka kāds pastāvīgi kaut ko izmanto. Un, kad bija aktīva fāze, tā bija problēma; mēs saglabājām stāvokļa failus Git. Tas bija svarīgi, pretējā gadījumā kāds izveidoja valsts failu, un mums tie bija manuāli jāsaliek kopā, lai viss turpinātos. Tagad tādas problēmas nav. Kopumā Terraform šo problēmu atrisināja. Un, ja kaut kas nemitīgi mainās, tad varat izmantot slēdzenes, kas novērš jūsu teikto.

Vai izmantojat atvērtā pirmkoda vai uzņēmuma?

Nav uzņēmuma, t.i., viss, ko varat iet un lejupielādēt bez maksas.

Mani sauc Staņislavs. Es gribēju veikt nelielu papildinājumu. Jūs runājāt par Amazon funkciju, kas ļauj padarīt gadījumu nenogalināmu. Tas ir arī pašā Terraformā; Life Second blokā varat norādīt izmaiņu aizliegumu vai iznīcināšanas aizliegumu.

Laiks bija ierobežots. Labs punkts.

Es arī gribēju jautāt divas lietas. Pirmkārt, jūs runājāt par testēšanu. Vai izmantojāt kādus testēšanas rīkus? Es dzirdēju par Test Kitchen spraudni. Varbūt ir kaut kas vairāk. Un es arī gribētu jautāt par Vietējām vērtībām. Kā tie būtiski atšķiras no ievades mainīgajiem? Un kāpēc es nevaru kaut ko parametrēt tikai caur Vietējām vērtībām? Es mēģināju izdomāt šo tēmu, bet kaut kā es nevarēju to izdomāt pats.

Mēs varam runāt sīkāk ārpus šīs telpas. Mūsu testēšanas rīki ir pilnībā pašu izgatavoti. Tur nav ko pārbaudīt. Kopumā ir iespējas, kad automatizētie testi paņem infrastruktūru kaut kur, pārbauda, ​​vai tā ir kārtībā, un pēc tam visu iznīcina ar ziņojumu, ka jūsu infrastruktūra joprojām ir labā stāvoklī. Mums tas nav, jo katru dienu tiek palaisti testa skursteņi. Un ar to pietiek. Un, ja kaut kas sāk plīst, tas sāks lūzt, mums to nepārbaudot kaut kur citur.

Par vietējām vērtībām turpināsim sarunu ārpus telpas.

Sveiki! Paldies par ziņojumu! Ļoti informatīvs. Jūs teicāt, ka jums ir daudz tāda paša veida koda, lai aprakstītu infrastruktūru. Vai esat apsvēris iespēju ģenerēt šo kodu?

Lielisks jautājums, paldies! Lieta ir tāda, ka, izmantojot infrastruktūru kā kodu, mēs pieņemam, ka mēs skatāmies uz kodu un saprotam, kāda infrastruktūra slēpjas aiz šī koda. Ja tiek ģenerēts kods, tad mums ir jāiedomājas, kāds kods tiks ģenerēts, lai saprastu, kāda veida infrastruktūra tur būs. Vai nu mēs ģenerējam kodu, veicam to, un būtībā notiek tas pats. Tā nu mēs gājām pa ceļu, ko uzrakstījām, mēs to saņēmām. Plus ģeneratori parādījās nedaudz vēlāk, kad sākām tos ražot. Un mainīties jau bija par vēlu.

Vai esat kaut ko dzirdējuši par jsonnet?

Nē.

Paskaties, šī ir ļoti forša lieta. Es redzu konkrētu gadījumu, kad to var pielietot un ģenerēt datu struktūru.

Ģeneratori ir labi, ja tie ir, kā jokā par skūšanās mašīnu. Tas ir, pirmo reizi seja ir atšķirīga, bet pēc tam visiem ir viena un tā pati seja. Ģeneratori strādā ļoti labi. Bet diemžēl mūsu sejas ir nedaudz atšķirīgas. Tā ir problēma.

Vienkārši paskaties. Paldies!

Mani sauc Maksims, es esmu no Sberbank. Jūs nedaudz runājāt par to, kā mēģināt Terraform padarīt līdzvērtīgu programmēšanas valodai. Vai nav vieglāk izmantot Ansible?

Tās ir ļoti dažādas lietas. Jūs varat izveidot resursus pakalpojumā Ansible, un Puppet var izveidot resursus pakalpojumā Amazon. Bet Terraform ir taisni uzasināta.

Vai jums ir tikai Amazon?

Nav tā, ka mums ir tikai Amazon. Mums ir gandrīz tikai Amazon. Bet galvenā iezīme ir tā, ka Terraform atceras. Ja programmā Ansible sakāt: “Dodiet man 5 gadījumus”, tas palielināsies, un tad jūs sakāt: “Un tagad man vajag 3.” Un Terraform sacīs: "Labi, es nogalināšu 2", un Ansible sacīs: "Labi, šeit ir 3 jums." Kopā 8.

Sveiki! Paldies par ziņojumu! Bija ļoti interesanti dzirdēt par Terraform. Uzreiz gribu izteikt nelielu komentāru par to, ka Terraform joprojām nav stabila izlaiduma, tāpēc izturieties pret Terraform ļoti piesardzīgi.

Laba karote vakariņām. Tas ir, ja jums ir nepieciešams risinājums, tad dažreiz jūs atliekat to, kas ir nestabils utt., bet tas darbojas un mums palīdzēja.

Jautājums ir šāds. Jūs izmantojat Remote backend, jūs izmantojat S 3. Kāpēc jūs neizmantojat oficiālo aizmugursistēmu?

Oficiālā?

Terraforma mākonis.

Kad viņš parādījās?

Apmēram pirms 4 mēnešiem.

Ja tas būtu parādījies pirms 4 gadiem, tad es droši vien būtu atbildējis uz jūsu jautājumu.

Jau ir iebūvēta funkcija un slēdzenes, un jūs varat saglabāt stāvokļa failu. Pamēģināt. Bet es arī neesmu pārbaudījis.

Mēs braucam ar lielu vilcienu, kas brauc lielā ātrumā. Un jūs nevarat vienkārši paņemt dažas automašīnas un izmest tās.

Jūs runājāt par sniegpārslām, kāpēc neizmantojāt zaru? Kāpēc tas tā neizdevās?

Mūsu pieeja ir tāda, ka visa infrastruktūra atrodas vienā repozitorijā. Terraform, Puppet, visi skripti, kas kaut kā ir saistīti ar šo, tie visi ir vienā repozitorijā. Tādā veidā mēs varam nodrošināt, ka pakāpeniskas izmaiņas tiek pārbaudītas viena pēc otras. Ja tas būtu zaru ķekars, tad šādu projektu būtu gandrīz neiespējami uzturēt. Paiet seši mēneši, un tie tik ļoti atšķiras, ka tas ir tikai sava veida sods. Tas ir tas, no kā es gribēju izvairīties pirms pārstrukturēšanas.

Tātad tas nedarbojas?

Tas vispār nedarbojas.

Atzarā izgriezu mapes slaidu. Tas ir, ja jūs to darāt katram testa kaudzei, piemēram, komandai A ir sava mape, komandai B ir sava mape, tad arī tas nedarbojas. Mēs izveidojām vienotu testa vides kodu, kas bija pietiekami elastīgs, lai būtu piemērots ikvienam. Tas ir, mēs apkalpojām vienu kodu.

Sveiki! Mani sauc Jura! Paldies par ziņojumu! Jautājums par moduļiem. Jūs sakāt, ka izmantojat moduļus. Kā atrisināt problēmu, ja vienā modulī ir veiktas izmaiņas, kas nav saderīgas ar citas personas veiktajām izmaiņām? Vai jūs kaut kā veidojat moduļu versijas vai mēģināt nodrošināt wunderwaffle, lai tas atbilstu divām prasībām?

Tā ir liela sniega kaudzes problēma. Tas ir tas, no kā mēs ciešam, ja kādas nekaitīgas izmaiņas var sabojāt kādu infrastruktūras daļu. Un tas būs pamanāms tikai pēc kāda ilga laika.

Tas ir, tas vēl nav atrisināts?

Jūs izgatavojat universālus moduļus. Izvairieties no sniegpārslām. Un viss izdosies. Ziņojuma otrā puse ir par to, kā no tā izvairīties.

Sveiki! Paldies par ziņojumu! Es gribētu precizēt. Aizkulisēs bija liela kaudze, pēc kuras es nācu. Kā tiek integrēta leļļu un lomu sadale?

Lietotāja dati.

Tas ir, jūs vienkārši izspļāvāt failu un kaut kā to izpildāt?

Lietotāja dati ir piezīme, t.i., kad mēs izveidojam attēla klonu, Dēmons tur paceļas un, mēģinot saprast, kas viņš ir, nolasa piezīmi, ka viņš ir slodzes balansētājs.

Tas ir, vai tas ir kaut kāds atsevišķs process, kas tiek atdots?

Mēs to neizdomājām. Mēs to izmantojam.

Sveiki! Man tikai jautājums par Lietotāja datiem. Teicāt, ka tur ir problēmas, kāds var kaut ko nosūtīt ne uz vietu. Vai ir kāds veids, kā saglabāt lietotāja datus tajā pašā Git, lai vienmēr būtu skaidrs, uz ko attiecas User-dati?

Mēs ģenerējam lietotāja datus no veidnes. Tas ir, tur tiek izmantots noteikts skaits mainīgo. Un Terraform ģenerē gala rezultātu. Tāpēc jūs nevarat vienkārši apskatīt veidni un pateikt, kas notiks, jo visas problēmas ir saistītas ar to, ka izstrādātājs domā, ka viņš šajā mainīgajā nodod virkni, bet tur tiek izmantots masīvs. Un viņš - bam un es - tā un tā, tā un tā, nākamā rinda, un viss salūza. Ja tas ir jauns resurss un cilvēks to paņem un redz, ka kaut kas nedarbojas, tad tas ātri tiek atrisināts. Un, ja šī automātiskās mērogošanas grupa tiek atjaunināta, kādā brīdī automātiskās mērogošanas grupas gadījumi tiek aizstāti. Un blīkšķ, kaut kas nestrādā. Tas sāp.

Izrādās, ka vienīgais risinājums ir pārbaudīt?

Jā, jūs redzat problēmu, pievienojat pārbaudes darbības. Tas ir, izvadi var arī pārbaudīt. Varbūt tas nav tik ērti, bet varat arī atzīmēt dažas — pārbaudiet, vai šeit ir norādīti lietotāja dati.

Mani sauc Timurs. Ļoti forši, ka ir ziņojumi par to, kā pareizi organizēt Terraform.

Es pat neesmu sācis.

Domāju, ka varbūt nākamajā konferencē būs. Man ir vienkāršs jautājums. Kāpēc jūs cietatkodējat vērtību atsevišķā modulī, nevis izmantojat tfvars, t.i., kāpēc modulis ar vērtībām ir labāks par tfvars?

Tas ir, vai man šeit būtu jāraksta (slaids: Ražošana/vide/settings.tf): domēns = mainīgais, domēna vpcnetwork, mainīgais vpcnetwork un stvars — vai es varu iegūt to pašu?

Tieši to mēs darām. Mēs atsaucamies, piemēram, uz iestatījumu avota moduli.

Būtībā tas ir tāds tfvars. Tfvars ir ļoti ērts testēšanas vidē. Man ir tfvars lieliem gadījumiem, maziem. Un es iemetu vienu failu mapē. Un es dabūju to, ko gribēju. Griezot infrastruktūru, gribam, lai visu būtu iespējams apskatīt un uzreiz saprast. Un tā sanāk, ka vajag paskatīties te, tad paskaties tfvars.

Vai ir iespējams visu atrast vienuviet?

Jā, tfvars ir tad, kad jums ir viens kods. Un tas tiek izmantots vairākās dažādās vietās ar dažādām niansēm. Tad tu mestu tfvars un saņemtu savas nianses. Un mēs esam infrastruktūra kā kods tās tīrākajā formā. Paskatījos un sapratu.

Sveiki! Vai esat saskārušies ar situācijām, kad mākoņa pakalpojumu sniedzējs traucē Terraform izveidotajam? Pieņemsim, ka mēs rediģējam metadatus. Ir ssh atslēgas. Un Google pastāvīgi ievieto savus metadatus un atslēgas. Un Terraform vienmēr raksta, ka tai ir izmaiņas. Pēc katra skrējiena, pat ja nekas nemainās, viņš vienmēr saka, ka tagad atjauninās šo lauku.

Ar atslēgām, bet jā, daļu infrastruktūras šī lieta skar, t.i., Terraform neko nevar mainīt. Mēs arī ar savām rokām neko nevaram mainīt. Pagaidām ar to dzīvosim.

Tas ir, jūs esat saskāries ar kaut ko līdzīgu, bet neko neesat izdomājis, kā viņš to dara un dara pats?

Diemžēl jā.

Sveiki! Mani sauc Starkovs Staņislavs. Pasts. ru Grupa. Kā atrisināt atzīmes ģenerēšanas problēmu vietnē..., kā to nodot iekšā? Kā es saprotu, izmantojot User - data, lai norādītu resursdatora nosaukumu, iestatiet Puppet on? Un jautājuma otrā daļa. Kā atrisināt šo problēmu SG, t.i., kad ģenerējat SG simtiem viena veida gadījumu, kāds ir to pareizais nosaukums?

Tos gadījumus, kas mums ir ļoti svarīgi, mēs tos skaisti nosaucam. Tie, kas nav vajadzīgi, ir piezīme, ka šī ir automātiskās skalas grupa. Un teorētiski jūs varat to pielakt un iegūt jaunu.

Kas attiecas uz marķējuma problēmu, tad šādas problēmas nav, bet ir šāds uzdevums. Un tagus lietojam ļoti, ļoti intensīvi, jo infrastruktūra ir liela un dārga. Un mums ir jāskatās, kur nauda aiziet, tāpēc atzīmes ļauj mums izjaukt, kas kur aizgāja. Un attiecīgi šeit tiek tērēts kaut kas tāds, kas nozīmē daudz naudas.

Par ko vēl bija jautājums?

Kad SG izveido simtiem gadījumu, vai tie ir kaut kā jānošķir?

Nē, nevajag. Katrā gadījumā ir aģents, kas ziņo, ka man ir problēma. Ja aģents ziņo, tad aģents par viņu zina un vismaz viņa IP adrese pastāv. Var jau aizbēgt. Otrkārt, mēs izmantojam Consul for Discovery, kur Kubernetes nav. Un Consul parāda arī instances IP adresi.

Tas ir, vai jūs koncentrējaties tieši uz IP, nevis uz resursdatora nosaukumu?

Nav iespējams orientēties pēc resursdatora nosaukuma, t.i., to ir daudz. Ir instanču identifikatori - AE utt. Var kaut kur atrast, var iemest meklēšanā.

Sveiki! Es sapratu, ka Terraform ir laba lieta, kas pielāgota mākoņiem.

Ne tikai.

Tieši šis jautājums mani interesē. Ja jūs nolemjat pāriet, teiksim, uz Bare Metal masveidā ar visām jūsu instancēm? Vai radīsies kādas problēmas? Vai arī tomēr būs jāizmanto citi produkti, piemēram, tas pats Ansible, kas šeit tika minēts?

Ansible ir nedaudz par kaut ko citu. Tas ir, Ansible jau darbojas, kad instance ir sākusies. Un Terraform darbojas pirms instances sākuma. Pāreja uz Bare Metal - nē.

Ne tagad, bet bizness nāks un teiks: "Nāc."

Pārslēgšanās uz citu mākoni - jā, taču šeit ir nedaudz atšķirīgs triks. Terraform kods ir jāraksta tā, lai ar mazāku piepūli varētu pārslēgties uz kādu citu mākoni.

Sākotnēji tika izvirzīts uzdevums, ka visa mūsu infrastruktūra ir agnostiska, t.i., jebkuram mākonim ir jābūt piemērotam, taču kādā brīdī bizness padevās un teica: “Labi, tuvāko N gadu laikā mēs nekur nebrauksim, varam izmantot servisus. no Amazon"

Terraform ļauj izveidot Front-End darbus, konfigurēt PagerDuty, datu dokumentu utt. Tam ir daudz astes. Viņš var praktiski kontrolēt visu pasauli.

Paldies par ziņojumu! Es arī izmantoju Terraform jau 4 gadus. Vienmērīgas pārejas posmā uz Terraform, uz infrastruktūru, uz deklaratīvu aprakstu mēs saskārāmies ar situāciju, kad kāds kaut ko dara ar roku, bet jūs mēģināt izveidot plānu. Un tur man radās sava veida kļūda. Kā tiekat galā ar šādām problēmām? Kā jūs atrodat zaudētos resursus, kas ir uzskaitīti?

Galvenokārt ar rokām un acīm, ja reportāžā redzam ko dīvainu, tad analizējam, kas tur notiek, vai vienkārši nogalinām. Kopumā izvilkšanas pieprasījumi ir izplatīta lieta.

Ja ir kļūda, vai jūs atceļat? Vai esat mēģinājuši to darīt?

Nē, tas ir cilvēka lēmums tajā brīdī, kad viņš redz problēmu.

Avots: www.habr.com