Национална служба за информације о сателитским подацима о животној средини (НЕСДИС) смањила је своје трошкове управљања конфигурацијом за Ред Хат Ентерприсе Линук (РХЕЛ) за 35% преласком са Пуппет Ентерприсе на Ансибле Товер. У овом видеу „како смо то урадили“, системски инжењер Мајкл Рау објашњава случај ове миграције, делећи корисне савете и лекције научене преласком са једног СЦМ-а на други.
У овом видеу ћете научити:
- како менаџменту оправдати изводљивост преласка са Пуппет Ентерприсеа на Ансибле Товер;
- које стратегије користити да би транзиција била што глаткија;
- савети за транскодирање ПЕ манифеста у Ансибле Плаибоок;
- Препоруке за оптималну уградњу Ансибле Товер-а.
Здраво свима, моје име је Мајкл Рау, ја сам виши системски инжењер у АцтиоНету, који ради за НЕСДИС услугу Националне управе за океане и атмосферу (НОАА). Данас ћемо причати о шишању жица – мом сопственом искуству преласка са Пуппет Ентерприсеа на Ансибле Товер. Тема ове презентације је да „погледам моје ожиљке“ који су остали након што сам направио ову транзицију раније током године. Желим да поделим оно што сам научио кроз овај процес. Дакле, када преузмете нешто попут овога, користећи моје искуство, можете направити транзицију без додатног рада.
Сличне слајдове видите на почетку сваке презентације на Ансибле Фест-у. Овај слајд оцртава историју аутоматизације моје компаније. Нисам нов у овоме јер користим Пуппет/Пуппет Ентерприсе од 2007. Почео сам да радим са Ансибле-ом 2016. године и као и многе друге кориснике овог производа, привукла ме је могућност „трикова“ коришћењем командне линије и једноставних скрипти (плејбоокс). Крајем 2017. обратио сам се свом руководству о јаким разлозима за прелазак у Ансибле Товер. За који минут ћу вам рећи о разлозима који су ме навели на овај корак. Након добијања сагласности менаџмента, требало је још неколико месеци да се план заврши, а ја сам прешао у јануар-фебруар ове године. Дакле, потпуно смо напустили Пуппет у корист Ансиблеа, и то је сјајна ствар.
Оно што ме највише привлачи код Ансибле-а је способност писања и коришћења улога и књига. Улоге су одличне за креирање различитих, али повезаних задатака и стављање свих података у вези са тим задацима на једно место. Плаибоок је ИАМЛ синтакса, датотека скрипте која описује радње за један или више хостова. О овим карактеристикама говорим корисницима, првенствено програмерима софтвера. Ансибле Товер вам даје могућност да кажете: „не, немате приступ љусци, али ја вам дајем могућност да покренете све Товер процесе и поново покренете услугу када вам затреба.“ Рећи ћу вам о радном окружењу и опреми коју користимо.
Ово је федерални ЛАН, 7 физичких локација повезаних преко МПЛС-а у облаку, 140 РХЕЛ сервера, од којих је 99% виртуелно (вСпхере), СуперМицро хардвер, НекентаСторе мрежно складиште, сет Цисцо, Ариста и Цумулус прекидача и Фортинет УТМ обједињено управљање претњама алати на сваком сајту.
Савезна мрежа значи да морам да користим све законом предвиђене мере безбедности информација. Имајте на уму да Пуппет Ентерприсе не подржава већину хардвера који користимо. Принуђени смо да користимо буџетски хардвер јер владине агенције имају проблема са финансирањем ове ставке трошкова. Због тога купујемо СуперМицро хардвер и састављамо нашу опрему од појединачних делова, чије одржавање је гарантовано државним уговорима. Користимо Линук и то је један од важних разлога за прелазак на Ансибле.
Наша историја са Пуппет-ом је следећа.
2007. године имали смо малу мрежу од 20-25 чворова, у коју смо поставили Пуппет. У основи, ови чворови су били само РедХат „кутије“. 2010. године почели смо да користимо веб интерфејс Пуппет Дасхбоард за 45 чворова. Како је мрежа наставила да се шири, прешли смо на ПЕ 2014 3.3. године, правећи потпуну транзицију са поновним писањем манифеста за 75 чворова. Ово је морало бити урађено јер Пуппет воли да мења правила игре, ау овом случају су потпуно променили језик. Годину дана касније, када је завршена подршка за верзију 3 Пуппет Ентерприсе-а, били смо приморани да пређемо на ПЕ 2015.2. Морали смо поново да препишемо манифест за нове сервере и купимо лиценцу са резервом од 100 чворова, иако смо тада имали само 85 чворова.
Прошле су само 2 године и поново смо морали да урадимо много посла да бисмо прешли на нову верзију ПЕ 2016.4. Купили смо лиценцу за 300 чворова, а имали смо само 130. Поново смо морали да направимо велике промене у манифесту јер је нова верзија језика имала другачију синтаксу од језика верзије из 2015. године. Као резултат тога, наш СЦМ је прешао са СВН контроле верзија на Битбуцкет (Гит). Ово је био наш „однос“ са Лутко.
Дакле, морао сам да објасним менаџменту зашто смо морали да пређемо на други СЦМ користећи следеће аргументе. Прва је висока цена услуге. Разговарао сам са момцима из РедХат-а и рекли су да је цена вођења мреже од 300 чворова са Ансибле Товер-ом упола нижа од цене Пуппет Ентерприсе-а. Ако такође купите Ансибле Енгине, цена ће бити приближно иста, али ћете добити много више функција од ПЕ. Пошто смо ми државна компанија која се финансира из савезног буџета, ово је прилично снажан аргумент.
Други аргумент је свестраност. Пуппет подржава само хардвер који има Пуппет агента. То значи да агент мора бити инсталиран на свим прекидачима и мора бити најновија верзија. А ако неки од ваших прекидача подржавају једну верзију, а неки другу, мораћете да инсталирате нову верзију ПЕ агента на њих како би сви могли да раде у истом СЦМ систему.
Ансибле Товер систем ради другачије јер нема агенте, али има модуле који подржавају Цисцо свичеве и све остале прекидаче. Овај СЦМ подржава Кубес ОС, Линук и 4.НЕТ УТМ. Ансибле Товер такође подржава НекентаСторе мрежне контролере за складиштење засноване на Иллумос кернелу, оперативном систему отвореног кода заснованом на Уник-у. Ово је врло мала подршка, али Ансибле Товер то ипак ради.
Трећи аргумент, који је веома важан и за мене и за нашу администрацију, јесте једноставност коришћења. Провео сам 10 година савладавајући Пуппет модуле и манифестни код, али сам научио Ансибле за недељу дана јер је са овим СЦМ-ом много лакше радити. Ако покрећете извршне датотеке, наравно, осим ако то не радите непотребно, онда интелигентни и прилагодљиви руковаоци раде са њима. Приручници засновани на ИАМЛ-у су лаки за учење и брзи за употребу. Они који никада раније нису чули за ИАМЛ могу једноставно да прочитају скрипте и лако разумеју како функционише.
Да будем искрен, Пуппет чини ваш посао програмера много тежим јер се заснива на коришћењу Пуппет Мастер-а. То је једина машина којој је дозвољено да комуницира са агентима лутке. Ако сте направили било какве измене у манифесту и желите да тестирате свој код, морате поново да напишете код за Пуппет Мастер, односно да конфигуришете датотеку Пуппет Мастер /етц/хостс да повеже све клијенте и покрене услугу Пуппет Сервер. Тек након овога ћете моћи да тестирате рад мрежне опреме на једном хосту. Ово је прилично болан поступак.
У Ансиблеу је све много једноставније. Све што треба да урадите је да развијете код за машину која може да комуницира преко ССХ-а са хостом који се тестира. Са овим је много лакше радити.
Следећа велика предност Ансибле Товер-а је могућност коришћења постојећег система подршке и одржавања постојеће хардверске конфигурације. Овај СЦМ користи све доступне информације о вашој инфраструктури и хардверу, виртуелним машинама, серверима, итд. без икаквих додатних корака. Може да разговара са вашим РХ Сателлите серверима, ако га имате, и даје вам интеграције које никада нећете добити са Пуппет-ом.
Друга важна ствар је детаљна контрола. Знате да је Пуппет модуларни систем, то је клијент-сервер апликација, тако да морате дефинисати постојеће аспекте свих ваших машина у једном дугачком манифесту. У овом случају, стање сваког појединачног елемента система мора се тестирати сваких пола сата - ово је подразумевани период. Овако ради Пуппет.
Торањ те спасава од тога. Можете покренути различите процесе на различитој опреми без ограничења; можете обављати основни посао, покретати друге важне процесе, поставити сигурносни систем и радити са базама података. У Пуппет Ентерприсеу можете учинити све што је тешко. Дакле, ако сте га конфигурисали на једном хосту, биће потребно време да промене ступе на снагу на преосталим хостовима. У Ансибле-у све промене ступају на снагу у исто време.
На крају, погледајмо сигурносни модул. Ансибле Товер га спроводи једноставно невероватно, са великом прецизношћу и пажњом. Корисницима можете дати приступ одређеним услугама или одређеним хостовима. Ово радим са својим запосленима који су навикли да раде на Виндовс-у, ограничавајући им приступ Линук љусци. Осигуравам да имају приступ Товер-у тако да могу само да обављају посао и покрећу само услуге које су им релевантне.
Хајде да погледамо ствари које треба да урадите унапред да бисте олакшали прелазак на Ансибле Товер. Пре свега, морате припремити опрему. Ако неки елементи ваше инфраструктуре већ нису у бази података, потребно је да их додате тамо. Постоје системи који не мењају своје карактеристике и стога их нема у бази података Пуппет, али ако их не додате тамо пре него што пређете у Товер, изгубићете низ предности. Ово може бити „прљава“, прелиминарна база података, али би требало да садржи информације о свој опреми коју имате. Због тога би требало да напишете динамичку хардверску скрипту која ће аутоматски убацити све промене инфраструктуре у базу података, а затим ће Ансибле знати који хостови треба да буду присутни на новом систему. Нећете морати да кажете овом СЦМ-у које сте хостове додали, а који више не постоје, јер ће он све то аутоматски знати. Што више података има у бази података, то ће Ансибле бити кориснији и флексибилнији. Ради као да једноставно чита бар код статуса хардвера из базе података.
Проведите неко време упознајући се са командном линијом у Ансиблеу. Покрените неке прилагођене команде да бисте тестирали хардверску скрипту, напишите и покрените неке једноставне, али корисне скрипте, користите Јиња2 шаблоне где је то прикладно. Покушајте да напишете улогу и скрипту за сложен процес у више корака користећи уобичајену хардверску конфигурацију која се често среће. Играјте се са овим стварима, тестирајте како то функционише. На овај начин ћете научити како да користите алате за креирање библиотеке који се користе у Товер-у. Већ сам рекао да ми је требало око 3 месеца да се припремим за транзицију. Мислим да ћете на основу мог искуства то моћи брже. Не сматрајте ово време изгубљеним, јер ћете касније искусити све предности обављеног посла.
Затим морате одлучити шта очекујете од Ансибле Товер-а, шта тачно овај систем треба да уради за вас.
Да ли треба да примените систем на голом хардверу, на голим виртуелним машинама? Или желите да задржите оригиналне услове рада и подешавања постојеће опреме? Ово је веома важан аспект за јавна предузећа, тако да морате бити сигурни да ћете моћи да мигрирате и примените Ансибле на постојећој конфигурацији. Идентификујте рутинске административне процесе које желите да аутоматизујете. Сазнајте да ли треба да примените одређене апликације и услуге на новом систему. Направите листу онога што желите да урадите и одредите приоритет.
Затим почните да пишете код скрипте и улоге које ће омогућити задатке које планирате да извршите. Комбинујте их у Пројекте, логичну колекцију релевантних књига. Сваки пројекат ће припадати засебном Гит спремишту или другом спремишту у зависности од тога који менаџер кода користите. Можете да управљате скриптама и директоријумима свезака тако што ћете их ручно поставити на путању базе пројекта на Товер серверу или тако што ћете их ставити у било који систем за управљање изворним кодом (СЦМ) који подржава Товер, укључујући Гит, Субверсион, Мерцуриал и Ред Хат Инсигхтс. У оквиру једног пројекта можете поставити онолико скрипти колико желите. На пример, направио сам један основни пројекат у који сам поставио скрипту за РедХат основне елементе, скрипту за језгро Линука и скрипте за остале основне линије. Дакле, у једном пројекту постојале су различите улоге и сценарији којима се управљало из једног Гит спремишта.
Покретање свих ових ствари кроз командну линију је добар начин да тестирате њихову функционалност. Ово ће вас припремити за инсталацију торња.
Хајде да причамо мало о транскодирању манифеста лутке, јер сам потрошио доста времена на ово док нисам схватио шта заправо треба да се уради.
Као што сам рекао раније, Пуппет чува сва подешавања и хардверске опције у једном дугачком манифесту, а овај манифест чува све што овај СЦМ треба да ради. Када вршите транзицију, не морате да трпате све своје задатке у једну листу; уместо тога, размислите о структури новог система: улогама, скриптама, ознакама, групама и шта би требало да иде тамо. Неки од елемената аутономне мреже треба да буду груписани у групе за које се могу креирати скрипте. Сложенији елементи инфраструктуре који укључују велики број ресурса, укључујући самосталне класе, могу се комбиновати у улоге. Пре миграције, морате одлучити о томе. Ако креирате велике улоге или сценарије који се не уклапају на један екран, требало би да користите ознаке да бисте могли да снимите одређене делове инфраструктуре.
18:00
Неки огласи 🙂
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, , јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији у Екуиник Тиер ИВ дата центру у Амстердаму? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом