Tuvojās Jaunais gads. Bērni visā valstī jau bija sūtījuši vēstules Ziemassvētku vecītim vai sarūpējuši sev dāvanas, un viņu galvenais izpildītājs, viens no lielākajiem mazumtirgotājiem, gatavojās izpārdošanas apoteozei. Decembrī tā datu centra slodze palielinās vairākas reizes. Tāpēc uzņēmums nolēma modernizēt datu centru un ekspluatācijā nodot vairākus desmitus jaunu serveru, nevis iekārtas, kurām tuvojās kalpošanas laika beigas. Ar to pasaka beidzas uz virpuļojošu sniegpārslu fona, un sākas trilleris.

Iekārtas objektā ieradās vairākus mēnešus pirms pārdošanas maksimuma. Operāciju dienests, protams, zina, kā un ko konfigurēt serveros, lai tos ievestu ražošanas vidē. Bet mums vajadzēja to automatizēt un novērst cilvēcisko faktoru. Turklāt serveri tika nomainīti pirms uzņēmumam kritisko SAP sistēmu kopas migrācijas.

Jaunu serveru nodošana ekspluatācijā bija stingri saistīta ar termiņu. Un tā pārvietošana nozīmēja apdraudēt gan miljardu dāvanu nosūtīšanu, gan sistēmu migrāciju. Pat komanda, kuras sastāvā bija Tēvs Frosts un Ziemassvētku vecītis, nevarēja mainīt datumu - SAP sistēmu noliktavas pārvaldīšanai varat nodot tikai reizi gadā. No 31. decembra līdz 1. janvārim uz 20 stundām darbu pārtrauc mazumtirgotāja milzīgās noliktavas, kopumā 15 futbola laukumu lielumā. Un tas ir vienīgais laika periods sistēmas pārvietošanai. Ieviešot serverus, mums nebija vietas kļūdām.

Teikšu skaidri: mans stāsts atspoguļo rīkus un konfigurācijas pārvaldības procesu, ko izmanto mūsu komanda.

Konfigurācijas pārvaldības komplekss sastāv no vairākiem līmeņiem. Galvenā sastāvdaļa ir CMS sistēma. Rūpnieciskajā darbībā viena līmeņa neesamība neizbēgami novestu pie nepatīkamiem brīnumiem.

OS instalācijas pārvaldība

Pirmais līmenis ir sistēma operētājsistēmu instalēšanas pārvaldībai fiziskajos un virtuālajos serveros. Tas rada pamata OS konfigurācijas, novēršot cilvēcisko faktoru.

Izmantojot šo sistēmu, mēs saņēmām standarta servera gadījumus ar OS, kas piemērota turpmākai automatizācijai. “Ielešanas” laikā viņi saņēma minimālo vietējo lietotāju un publisko SSH atslēgu komplektu, kā arī konsekventu OS konfigurāciju. Mēs varējām būt pārliecināti, ka pārvaldīsim serverus, izmantojot SPS, un bijām pārliecināti, ka OS līmenī nav nekādu pārsteigumu.

Instalācijas pārvaldības sistēmas "maksimālais" uzdevums ir automātiski konfigurēt serverus no BIOS/programmaparatūras līmeņa uz OS. Šeit daudz kas ir atkarīgs no aprīkojuma un iestatīšanas uzdevumiem. Attiecībā uz neviendabīgu aprīkojumu varat apsvērt REDFISH API. Ja visa aparatūra ir no viena ražotāja, tad bieži vien ērtāk ir izmantot gatavus pārvaldības rīkus (piemēram, HP ILO Amplifier, DELL OpenManage u.c.).

Lai instalētu OS uz fiziskajiem serveriem, mēs izmantojām labi zināmo Cobbler, kas definē instalācijas profilu kopu, kas saskaņota ar darbības dienestu. Pievienojot infrastruktūrai jaunu serveri, inženieris sasaistīja servera MAC adresi ar nepieciešamo profilu programmā Cobbler. Pirmoreiz startējot tīklā, serveris saņēma pagaidu adresi un jaunu OS. Pēc tam tas tika pārsūtīts uz mērķa VLAN/IP adresēšanu un turpināja darbu tur. Jā, VLAN maiņa prasa laiku un prasa saskaņošanu, taču tā nodrošina papildu aizsardzību pret nejaušu servera instalēšanu ražošanas vidē.

Mēs izveidojām virtuālos serverus, pamatojoties uz veidnēm, kas sagatavotas, izmantojot HashiСorp Packer. Iemesls bija tas pats: lai novērstu iespējamās cilvēka kļūdas, instalējot OS. Bet, atšķirībā no fiziskajiem serveriem, Packer novērš vajadzību pēc PXE, tīkla sāknēšanas un VLAN izmaiņām. Tas ir padarījis vienkāršāku un vienkāršāku virtuālo serveru izveidi.

Rīsi. 1. Operētājsistēmu instalēšanas vadīšana.

Noslēpumu pārvaldīšana

Jebkura konfigurācijas pārvaldības sistēma satur datus, kas ir jāslēpj no parastajiem lietotājiem, bet ir nepieciešami sistēmu sagatavošanai. Tās ir vietējo lietotāju un pakalpojumu kontu paroles, sertifikātu atslēgas, dažādi API marķieri utt. Tos parasti sauc par “noslēpumiem”.

Ja jau pašā sākumā nenosakāt, kur un kā uzglabāt šos noslēpumus, tad atkarībā no informācijas drošības prasību nopietnības ir iespējamas šādas glabāšanas metodes:

• tieši konfigurācijas kontroles kodā vai failos repozitorijā;
• specializētos konfigurācijas pārvaldības rīkos (piemēram, Ansible Vault);
• CI/CD sistēmās (Jenkins/TeamCity/GitLab/u.c.) vai konfigurācijas pārvaldības sistēmās (Ansible Tower/Ansible AWX);
• noslēpumus var pārsūtīt arī “manuāli”. Piemēram, tie ir izvietoti noteiktā vietā, un pēc tam tos izmanto konfigurācijas pārvaldības sistēmas;
• dažādas iepriekš minēto kombinācijas.

Katrai metodei ir savi trūkumi. Galvenais no tiem ir pieejas noslēpumiem politikas trūkums: nav iespējams vai grūti noteikt, kas var izmantot noteiktus noslēpumus. Vēl viens trūkums ir piekļuves audita un pilna dzīves cikla trūkums. Kā ātri nomainīt, piemēram, publisko atslēgu, kas ierakstīta kodā un vairākās saistītās sistēmās?

Mēs izmantojām centralizēto slepeno krātuvi HashiCorp Vault. Tas mums ļāva:

• glabā noslēpumus drošībā. Tie ir šifrēti, un pat ja kāds iegūs piekļuvi Vault datu bāzei (piemēram, atjaunojot to no dublējuma), viņš nevarēs nolasīt tur glabātos noslēpumus;
• organizēt politikas par piekļuvi noslēpumiem. Lietotājiem un lietojumprogrammām ir pieejami tikai tiem “piešķirtie” noslēpumi;
• audita piekļuvi noslēpumiem. Visas darbības ar noslēpumiem tiek ierakstītas Vault audita žurnālā;
• organizēt pilnvērtīgu “dzīves ciklu” darbam ar noslēpumiem. Tos var izveidot, atsaukt, noteikt derīguma termiņu utt.
• viegli integrējams ar citām sistēmām, kurām nepieciešama piekļuve noslēpumiem;
• kā arī izmantot pilnīgu šifrēšanu, vienreizējas OS un datu bāzes paroles, pilnvaroto centru sertifikātus utt.

Tagad pāriesim pie centrālās autentifikācijas un autorizācijas sistēmas. Bez tā varēja iztikt, taču lietotāju administrēšana daudzās saistītās sistēmās ir pārāk nenozīmīga. Mēs esam konfigurējuši autentifikāciju un autorizāciju, izmantojot LDAP pakalpojumu. Pretējā gadījumā Vault būtu nepārtraukti jāizsniedz un jāseko līdzi lietotāju autentifikācijas marķieriem. Un lietotāju dzēšana un pievienošana pārvērstos par meklējumu “vai es visur izveidoju/izdzēsu šo lietotāja kontu?”

Mēs pievienojam mūsu sistēmai vēl vienu līmeni: noslēpumu pārvaldība un centrālā autentifikācija/autorizācija:

Rīsi. 2. Noslēpumu pārvaldība.

Konfigurācijas pārvaldība

Mēs nonācām pie kodola – CMS sistēmas. Mūsu gadījumā šī ir Ansible un Red Hat Ansible AWX kombinācija.

Ansible vietā var izmantot Chef, Puppet, SaltStack. Mēs izvēlējāmies Ansible, pamatojoties uz vairākiem kritērijiem.

• Pirmkārt, tā ir daudzpusība. Gatavu moduļu komplekts vadībai rada iespaidu. Un, ja jums ar to nepietiek, varat meklēt GitHub un Galaxy.
• Otrkārt, pārvaldītajās iekārtās nav jāinstalē un jāatbalsta aģenti, jāpierāda, ka tie netraucē slodzei, un jāapstiprina “grāmatzīmju” neesamība.
• Treškārt, Ansible ir zema barjera ienākšanai. Kompetents inženieris burtiski uzrakstīs darba rokasgrāmatu pirmajā darba dienā ar produktu.

Taču ar Ansible vien ražošanas vidē mums nepietika. Pretējā gadījumā rastos daudzas problēmas ar piekļuves ierobežošanu un administratoru darbības auditēšanu. Kā ierobežot piekļuvi? Galu galā katrai nodaļai vajadzēja pārvaldīt (lasi: palaist Ansible playbook) “savu” serveru komplektu. Kā ļaut tikai noteiktiem darbiniekiem vadīt noteiktas Ansible rokasgrāmatas? Vai arī kā izsekot, kurš palaidis rokasgrāmatu, neiestatot daudz vietējo zināšanu par serveriem un aprīkojumu, kurā darbojas Ansible?

Lauvas tiesu no šādiem jautājumiem atrisina Red Hat Ansible tornis, vai viņa atvērtā pirmkoda augšupējais projekts Iespējamais AWX. Tāpēc mēs to izvēlējāmies klientam.

Un vēl viens pieskāriens mūsu CMS sistēmas portretam. Iespējamā rokasgrāmata ir jāglabā kodu krātuvju pārvaldības sistēmās. Mums tas ir GitLab CE.

Tātad pašas konfigurācijas pārvalda Ansible/Ansible AWX/GitLab kombinācija (skat. 3. att.). Protams, AWX/GitLab ir integrēts ar vienu autentifikācijas sistēmu, un Ansible playbook ir integrēts ar HashiCorp Vault. Konfigurācijas nonāk ražošanas vidē tikai caur Ansible AWX, kurā ir norādīti visi “spēles noteikumi”: kurš ko var konfigurēt, kur iegūt CMS konfigurācijas pārvaldības kodu utt.

Rīsi. 3. Konfigurācijas pārvaldība.

Testu vadība

Mūsu konfigurācija ir parādīta koda formā. Tāpēc mēs esam spiesti spēlēt pēc tādiem pašiem noteikumiem kā programmatūras izstrādātāji. Mums vajadzēja organizēt izstrādes, nepārtrauktas testēšanas, piegādes un konfigurācijas koda pielietošanas procesus ražošanas serveriem.

Ja tas netiek izdarīts nekavējoties, konfigurācijai rakstītās lomas vai nu vairs netiks atbalstītas un modificētas, vai arī vairs netiktu palaists ražošanā. Šo sāpju zāles ir zināmas, un tas ir sevi pierādījis šajā projektā:

• uz katru lomu attiecas vienības testi;
• testi tiek palaisti automātiski ikreiz, kad tiek veiktas izmaiņas kodā, kas pārvalda konfigurācijas;
• izmaiņas konfigurācijas pārvaldības kodā tiek izlaistas ražošanas vidē tikai pēc sekmīgas visu testu nokārtošanas un koda pārskatīšanas.

Kodu izstrāde un konfigurācijas pārvaldība ir kļuvusi mierīgāka un paredzamāka. Lai organizētu nepārtrauktu testēšanu, mēs izmantojām GitLab CI/CD rīku komplektu un paņēmām Iespējamā molekula.

Ikreiz, kad notiek izmaiņas konfigurācijas pārvaldības kodā, GitLab CI/CD izsauc Molecule:

• tā pārbauda koda sintaksi,
• paceļ Docker konteineru,
• piemēro modificēto kodu izveidotajam konteineram,
• pārbauda lomu idempotencei un veic šī koda testus (detalitāte šeit ir iespējamā loma līmenī, skatiet 4. attēlu).

Mēs piegādājām konfigurācijas ražošanas vidē, izmantojot Ansible AWX. Operāciju inženieri piemēroja konfigurācijas izmaiņas, izmantojot iepriekš noteiktas veidnes. AWX neatkarīgi “pieprasīja” jaunāko koda versiju no GitLab galvenās filiāles katru reizi, kad tā tika izmantota. Tādā veidā mēs izslēdzām nepārbaudīta vai novecojuša koda izmantošanu ražošanas vidē. Protams, kods iekļuva galvenajā zarā tikai pēc testēšanas, pārskatīšanas un apstiprināšanas.

Rīsi. 4. Automātiska lomu pārbaude GitLab CI/CD.

Ir arī problēma, kas saistīta ar ražošanas sistēmu darbību. Reālajā dzīvē ir ļoti grūti veikt konfigurācijas izmaiņas, izmantojot tikai CMS kodu. Avārijas situācijas rodas, kad inženierim jāmaina konfigurācija “šeit un tagad”, negaidot koda rediģēšanu, testēšanu, apstiprināšanu utt.

Rezultātā manuālu izmaiņu dēļ viena veida aprīkojuma konfigurācijā parādās neatbilstības (piemēram, sysctl iestatījumi HA klastera mezglos tiek konfigurēti atšķirīgi). Vai arī faktiskā aprīkojuma konfigurācija atšķiras no CMS kodā norādītās.

Tāpēc papildus nepārtrauktai testēšanai mēs pārbaudām ražošanas vidēs konfigurācijas neatbilstības. Mēs izvēlējāmies vienkāršāko variantu: CMS konfigurācijas koda palaišanu “sausās darbības” režīmā, tas ir, neveicot izmaiņas, bet paziņojot par visām neatbilstībām starp plānoto un faktisko konfigurāciju. Mēs to ieviesām, periodiski palaižot visas Ansible rokasgrāmatas ar opciju “— check” ražošanas serveros. Kā vienmēr, Ansible AWX ir atbildīgs par rokasgrāmatas palaišanu un atjaunināšanu (skatiet 5. attēlu):

Rīsi. 5. Pārbauda Ansible AWX konfigurācijas neatbilstības.

Pēc pārbaudēm AWX nosūta administratoriem neatbilstības ziņojumu. Viņi izpēta problemātisko konfigurāciju un pēc tam labo to, izmantojot pielāgotas rokasgrāmatas. Tādā veidā mēs uzturam konfigurāciju ražošanas vidē, un CMS vienmēr ir atjaunināta un sinhronizēta. Tas novērš nepatīkamus “brīnumus”, kad CMS kods tiek izmantots “ražošanas” serveros.

Tagad mums ir svarīgs testēšanas slānis, kas sastāv no Ansible AWX/GitLab/Molecule (6. attēls).

Rīsi. 6. Testu vadība.

Grūti? Es nestrīdos. Bet šāds konfigurācijas pārvaldības komplekss ir kļuvis par visaptverošu atbildi uz daudziem jautājumiem, kas saistīti ar servera konfigurācijas automatizāciju. Tagad mazumtirgotāja standarta serveriem vienmēr ir stingri noteikta konfigurācija. CMS, atšķirībā no inženiera, neaizmirsīs pievienot nepieciešamos iestatījumus, izveidot lietotājus un veikt desmitiem vai simtiem nepieciešamo iestatījumu.

Mūsdienās serveru un vides iestatījumos nav “slepeno zināšanu”. Visas nepieciešamās funkcijas ir atspoguļotas rokasgrāmatā. Vairs nav radošuma un neskaidru norādījumu: “Instalējiet to kā parasto Oracle, taču jums ir jānorāda pāris sysctl iestatījumi un jāpievieno lietotāji ar nepieciešamo UID. Pajautājiet puišiem, kas strādā, viņi zina'.

Iespēja atklāt konfigurācijas neatbilstības un proaktīvi tās labot nodrošina sirdsmieru. Bez konfigurācijas pārvaldības sistēmas tas parasti izskatās savādāk. Problēmas krājas, līdz kādu dienu tās “izšauj” ražošanā. Pēc tam tiek veikta apskate, konfigurācijas tiek pārbaudītas un labotas. Un cikls atkārtojas vēlreiz

Un, protams, mēs paātrinājām serveru palaišanu no vairākām dienām līdz stundām.

Pašā Vecgada vakarā, kad bērni priecīgi izsaiņoja dāvanas un pieaugušie izteica vēlmes, zvanot, mūsu inženieri migrēja SAP sistēmu uz jauniem serveriem. Pat Ziemassvētku vecītis teiks, ka vislabākie brīnumi ir tie, kas ir labi sagatavoti.

PS Mūsu komanda bieži saskaras ar faktu, ka klienti vēlas pēc iespējas vienkāršāk atrisināt konfigurācijas pārvaldības problēmas. Ideālā gadījumā kā uz burvju mājienu – ar vienu instrumentu. Bet dzīvē viss ir sarežģītāk (jā, sudraba lodes atkal netika piegādātas): jums ir jāizveido viss process, izmantojot klienta komandai ērtus rīkus.

Autors: Sergejs Artemovs, nodaļas arhitekts DevOps risinājumi "Reaktīvās informācijas sistēmas"

Avots: www.habr.com