🥇 באַשטעטיקן אַ סערווער פֿאַר דיפּלויינג אַ ראַילס אַפּלאַקיישאַן ניצן Ansible

ניט לאַנג צוריק איך דארף צו שרייַבן עטלעכע Ansible פּלייַבאָאָקס צו צוגרייטן די סערווער פֿאַר דיפּלויינג אַ ראַילס אַפּלאַקיישאַן. און, סאַפּרייזינגלי, איך קען נישט געפֿינען אַ פּשוט שריט-דורך-שריט מאַנואַל. איך האָב נישט געוואָלט נאָכמאַכן אַן אַנדערס שפּילבאָאָק אָן פֿאַרשטיין וואָס איז געשען, און צום סוף האָב איך געמוזט לייענען די דאַקיומענטאַציע, אַלײן אַלצדינג צונויפֿקלײַבן. טאָמער איך קענען העלפֿן עמעצער צו פאַרגיכערן דעם פּראָצעס מיט די הילף פון דעם אַרטיקל.

דער ערשטער זאַך צו פֿאַרשטיין איז אַז אַנסיבלע גיט איר אַ באַקוועם צובינד צו דורכפירן אַ פּרעדעפינעד רשימה פון אַקשאַנז אויף אַ ווייַט סערווער (s) דורך SSH. עס איז קיין מאַגיש דאָ, איר קענען נישט ינסטאַלירן אַ פּלוגין און באַקומען אַ נול דאַונטיים דיפּלוימאַנט פון דיין אַפּלאַקיישאַן מיט דאָקקער, מאָניטאָרינג און אנדערע גודיז אויס פון די קעסטל. אין סדר צו שרייַבן אַ פּלייַבאָאָק, איר מוזן וויסן וואָס פּונקט איר ווילן צו טאָן און ווי צו טאָן דאָס. דערפֿאַר בין איך נישט צופֿרידן מיט גרייט-געמאכט פּלייַבאָאָקס פֿון GitHub, אָדער אַרטיקלען ווי: "קאָפּי און לויפן, עס וועט אַרבעטן."

וואָס מיר דאַרפֿן?

ווי איך האב שוין געזאגט, צו שרייַבן אַ פּלייַבאָאָק איר דאַרפֿן צו וויסן וואָס איר ווילן צו טאָן און ווי צו טאָן דאָס. זאל ס באַשליסן וואָס מיר דאַרפֿן. פֿאַר אַ ראַיל אַפּלאַקיישאַן מיר דאַרפֿן עטלעכע סיסטעם פּאַקאַדזשאַז: nginx, postgresql (רעדיס, עטק). אין דערצו, מיר דאַרפֿן אַ ספּעציפיש ווערסיע פון רובין. עס איז בעסטער צו ינסטאַלירן עס דורך rbenv (rvm, asdf ...). פליסנדיק אַלע דעם ווי אַ וואָרצל באַניצער איז שטענדיק אַ שלעכט געדאַנק, אַזוי איר דאַרפֿן צו שאַפֿן אַ באַזונדער באַניצער און קאַנפיגיער זיין רעכט. נאָך דעם, איר דאַרפֿן צו צופֿעליקער אונדזער קאָד צו די סערווער, נאָכמאַכן די קאַנפיגיעריישאַנז פֿאַר nginx, postgres, עטק און אָנהייבן אַלע די סערוויסעס.

ווי אַ רעזולטאַט, די סיקוואַנס פון אַקשאַנז איז ווי גייט:

לאָגין ווי וואָרצל
ינסטאַלירן סיסטעם פּאַקאַדזשאַז
שאַפֿן אַ נייַע באַניצער, קאַנפיגיער רעכט, ssh key
קאַנפיגיער סיסטעם פּאַקאַדזשאַז (נגינקס עטק) און לויפן זיי
מיר מאַכן אַ באַניצער אין די דאַטאַבייס (איר קענט גלייך שאַפֿן אַ דאַטאַבייס)
לאָגין ווי אַ נייַע באַניצער
ינסטאַלירן rbenv און ruby
ינסטאַלירן די בונדלער
ופּלאָאַדינג די אַפּלאַקיישאַן קאָד
לאָנטשינג די Puma סערווער

דערצו, די לעצטע סטאַגעס קענען זיין דורכגעקאָכט מיט קאַפּיסטראַנאָ, אין מינדסטער אויס פון די קעסטל עס קענען נאָכמאַכן קאָד אין מעלדונג דיירעקטעריז, באַשטימען די מעלדונג מיט אַ סימלינק ביי מצליח דיפּלוימאַנט, נאָכמאַכן קאַנפיגיעריישאַנז פון אַ שערד וועגווייַזער, ריסטאַרט פּומאַ, עטק. אַלע דעם קענען זיין געטאן מיט Ansible, אָבער וואָס?

טעקע סטרוקטור

אַנסיבלע האט שטרענג טעקע סטרוקטור פֿאַר אַלע דיין טעקעס, אַזוי עס איז בעסטער צו האַלטן עס אַלע אין אַ באַזונדער וועגווייַזער. דערצו, עס איז נישט אַזוי וויכטיק צי עס וועט זיין אין די ריילז אַפּלאַקיישאַן זיך, אָדער סעפּעראַטלי. איר קענען קראָם טעקעס אין אַ באַזונדער גיט ריפּאַזאַטאָרי. פּערסנאַלי, איך געפֿונען עס מערסט באַקוועם צו שאַפֿן אַן אָנווענדלעך וועגווייַזער אין די / config וועגווייַזער פון די ריילז אַפּלאַקיישאַן און קראָם אַלץ אין איין ריפּאַזאַטאָרי.

פּשוט פּלייַבאָאָק

פּלייַבאָאָק איז אַ ימל טעקע וואָס, ניצן ספּעציעל סינטאַקס, באשרייבט וואָס Ansible זאָל טאָן און ווי. לאָמיר מאַכן די ערשטער פּלייַבאָאָק וואָס טוט גאָרנישט:

---
- name: Simple playbook
  hosts: all

דאָ מיר פשוט זאָגן אַז אונדזער פּלייַבאָאָק איז גערופן Simple Playbook און אַז זייַן אינהאַלט זאָל זיין עקסאַקיוטאַד פֿאַר אַלע מחנות. מיר קענען ראַטעווען עס אין / אַנסאַבאַל וועגווייַזער מיט דעם נאָמען playbook.yml און פּרובירן צו לויפן:

ansible-playbook ./playbook.yml

PLAY [Simple Playbook] ************************************************************************************************************************************
skipping: no hosts matched

Ansible זאגט אַז עס קען נישט קיין האָסץ וואָס גלייַכן די אַלע רשימה. זיי מוזן זיין ליסטעד אין אַ ספּעציעלע ינוואַנטאָרי טעקע.

זאל ס מאַכן עס אין דער זעלביקער אַנסאַבאַל וועגווייַזער:

123.123.123.123

דאָס איז ווי מיר פשוט ספּעציפיצירן די באַלעבאָס (יידילי דער באַלעבאָס פון אונדזער וופּס פֿאַר טעסטינג, אָדער איר קענען פאַרשרייַבן לאָקאַלהאָסט) און ראַטעווען עס אונטער דעם נאָמען inventory.
איר קענען פּרובירן צו לויפן אַנסאַבאַל מיט אַן ינוועראָרי טעקע:

ansible-playbook ./playbook.yml -i inventory
PLAY [Simple Playbook] ************************************************************************************************************************************

TASK [Gathering Facts] ************************************************************************************************************************************

PLAY RECAP ************************************************************************************************************************************

אויב איר האָבן ssh אַקסעס צו די ספּעסיפיעד באַלעבאָס, אַנסיבלע וועט פאַרבינדן און קלייַבן אינפֿאָרמאַציע וועגן די ווייַט סיסטעם. (פעליקייַט TASK [קלייַבן Facts]) נאָך וואָס עס וועט געבן אַ קורץ באַריכט אויף דער דורכפירונג (PLAY RECAP).

דורך פעליקייַט, די קשר ניצט די נאמען אונטער וואָס איר זענט לאָגד אין די סיסטעם. עס רובֿ מסתּמא וועט נישט זיין אויף דער באַלעבאָס. אין די פּלייַבאָאָק טעקע, איר קענען ספּעציפיצירן וואָס באַניצער צו נוצן צו פאַרבינדן מיט די רימאָוט_וסער דירעקטיוו. אויך, אינפֿאָרמאַציע וועגן אַ ווייַט סיסטעם קען אָפט זיין ומנייטיק פֿאַר איר און איר זאָל נישט וויסט צייט צו זאַמלען עס. די אַרבעט קענען אויך זיין פאַרקריפּלט:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

פּרוּווט לויפן די פּלייַבאָאָק ווידער און מאַכן זיכער אַז די קשר איז ארבעטן. (אויב איר ספּעציפיצירט די וואָרצל באַניצער, איר אויך דאַרפֿן צו ספּעציפיצירן די ווערן: אמת דירעקטיוו אין סדר צו געווינען עלעוואַטעד רעכט. ווי געשריבן אין די דאַקיומענטיישאַן: become set to ‘true’/’yes’ to activate privilege escalation. כאָטש עס איז נישט גאָר קלאָר וואָס).

טאָמער איר וועט באַקומען אַ טעות געפֿירט דורך די פאַקט אַז אַנסיבלע קען נישט באַשליסן די פּיטהאָן יבערזעצער, דעמאָלט איר קענען ספּעציפיצירן עס מאַניואַלי:

ansible_python_interpreter: /usr/bin/python3

איר קענען געפֿינען אויס ווו איר האָבן פּיטהאָן מיט דעם באַפֿעל whereis python.

ינסטאָלינג סיסטעם פּאַקאַדזשאַז

די נאָרמאַל פאַרשפּרייטונג פון Ansible כולל פילע מאַדזשולז פֿאַר ארבעטן מיט פאַרשידן סיסטעם פּאַקאַדזשאַז, אַזוי מיר טאָן ניט האָבן צו שרייַבן באַש סקריפּס פֿאַר קיין סיבה. איצט מיר דאַרפֿן איינער פון די מאַדזשולז צו דערהייַנטיקן די סיסטעם און ינסטאַלירן סיסטעם פּאַקאַדזשאַז. איך האָבן ובונטו לינוקס אויף מיין וופּס, אַזוי צו ינסטאַלירן פּאַקאַדזשאַז איך נוצן apt-get и מאָדולע פֿאַר עס. אויב איר נוצן אַ אַנדערש אָפּערייטינג סיסטעם, איר קען דאַרפֿן אַ אַנדערש מאָדולע (געדענקען, איך געזאגט אין די אָנהייב אַז מיר דאַרפֿן צו וויסן אין שטייַגן וואָס און ווי מיר וועלן טאָן). אָבער, די סינטאַקס וועט רובֿ מסתּמא זיין ענלעך.

זאל ס העסאָפע אונדזער פּלייַבאָאָק מיט די ערשטער טאַסקס:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  become: true
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

אַרבעט איז פּונקט די אַרבעט וואָס Ansible וועט דורכפירן אויף ווייַט סערווערס. מיר געבן די אַרבעט אַ נאָמען אַזוי מיר קענען שפּור זייַן דורכפירונג אין די קלאָץ. און מיר באַשרייַבן, ניצן די סינטאַקס פון אַ ספּעציפיש מאָדולע, וואָס עס דאַרף צו טאָן. אין דעם פאַל apt: update_cache=yes - זאגט צו דערהייַנטיקן סיסטעם פּאַקאַדזשאַז ניצן די פיייק מאָדולע. די צווייטע באַפֿעל איז אַ ביסל מער קאָמפּליצירט. מיר פאָרן אַ רשימה פון פּאַקאַדזשאַז צו די פיייק מאָדולע און זאָגן אַז זיי זענען state זאָל ווערן present, דאָס איז, מיר זאָגן ינסטאַלירן די פּאַקאַדזשאַז. אין אַ ענלעך וועג, מיר קענען זאָגן זיי צו ויסמעקן זיי, אָדער דערהייַנטיקן זיי דורך פשוט טשאַנגינג state. ביטע טאָן אַז פֿאַר ריילז צו אַרבעטן מיט postgresql, מיר דאַרפֿן די postgresql-contrib פּעקל, וואָס מיר ינסטאַלירן איצט. ווידער, איר דאַרפֿן צו וויסן און טאָן דאָס; אַנסיבלע אויף זיך וועט נישט טאָן דאָס.

פּרוּווט לויפן די פּלייַבאָאָק ווידער און קאָנטראָלירן אַז די פּאַקאַדזשאַז זענען אינסטאַלירן.

קריייטינג נייַ ניצערס.

צו אַרבעטן מיט יוזערז, Ansible אויך האט אַ מאָדולע - באַניצער. לאָמיר צוגעבן נאָך אַ אַרבעט (איך האָב באַהאַלטן די שוין באַוווסט טיילן פון די פּלייַבאָאָק הינטער די באַמערקונגען אַזוי נישט צו נאָכמאַכן עס אין גאנצן יעדער מאָל):

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: my_user
        shell: /bin/bash
        password: "{{ 123qweasd | password_hash('sha512') }}"

מיר מאַכן אַ נייַע באַניצער, שטעלן אַ סטשעלל און פּאַראָל פֿאַר אים. און דעמאָלט מיר לויפן אין עטלעכע פּראָבלעמס. וואָס אויב די באַניצער נעמען זאָל זיין אַנדערש פֿאַר פאַרשידענע מחנות? און סטאָרינג די פּאַראָל אין קלאָר טעקסט אין די פּלייַבאָאָק איז אַ זייער שלעכט געדאַנק. צו אָנהייבן מיט, לאָמיר שטעלן די נאמען און פּאַראָל אין וועריאַבאַלז, און אין די סוף פון דעם אַרטיקל איך וועט ווייַזן ווי צו ענקריפּט די פּאַראָל.

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"

וועריאַבאַלז זענען שטעלן אין פּלייַבאָאָקס ניצן טאָפּל געגרייַזלט ברייסאַז.

מיר וועלן אָנווייַזן די וואַלועס פון די וועריאַבאַלז אין די ינוואַנטאָרי טעקע:

123.123.123.123

[all:vars]
user=my_user
user_password=123qweasd

ביטע טאָן די דירעקטיוו [all:vars] - עס זאגט אַז דער ווייַטער בלאָק פון טעקסט איז וועריאַבאַלז (וואַרס) און זיי זענען אָנווענדלעך צו אַלע מחנות (אַלע).

דער פּלאַן איז אויך טשיקאַווע "{{ user_password | password_hash('sha512') }}". די זאַך איז אַז אַנסיבלע טוט נישט ינסטאַלירן די באַניצער דורך user_add ווי איר וואָלט טאָן עס מאַניואַלי. און עס סאַוועס אַלע דאַטן גלייַך, וואָס איז וואָס מיר מוזן אויך גער די פּאַראָל אין אַ האַש אין שטייַגן, וואָס איז וואָס דעם באַפֿעל טוט.

לאָמיר לייגן אונדזער באַניצער צו די סודאָ גרופּע. אָבער, איידער דעם מיר דאַרפֿן צו מאַכן זיכער אַז אַזאַ אַ גרופּע יגזיסץ ווייַל קיין איינער וועט טאָן דאָס פֿאַר אונדז:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
        name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"

אַלץ איז גאַנץ פּשוט, מיר אויך האָבן אַ גרופּע מאָדולע פֿאַר קריייטינג גרופּעס, מיט אַ סינטאַקס זייער ענלעך צו פיייק. דערנאָך עס איז גענוג צו פאַרשרייַבן דעם גרופּע צו דער באַניצער (groups: "sudo").
עס איז אויך נוציק צו לייגן אַ ssh שליסל צו דעם באַניצער אַזוי אַז מיר קענען קלאָץ אין ניצן עס אָן אַ פּאַראָל:

---
- name: Simple playbook
  # ...
  tasks:
    # ...
    - name: Ensure a 'sudo' group
      group:
      name: sudo
        state: present
    - name: Add a new user
      user:
        name: "{{ user }}"
        shell: /bin/bash
        password: "{{ user_password | password_hash('sha512') }}"
        groups: "sudo"
    - name: Deploy SSH Key
      authorized_key:
        user: "{{ user }}"
        key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
        state: present

אין דעם פאַל, די פּלאַן איז טשיקאַווע "{{ lookup('file', '~/.ssh/id_rsa.pub') }}" - עס קאַפּיז די אינהאַלט פון די id_rsa.pub טעקע (דיין נאָמען קען זיין אַנדערש), דאָס איז, דער ציבור טייל פון די ssh שליסל און ופּלאָאַדס עס צו דער רשימה פון אָטערייזד שליסלען פֿאַר די באַניצער אויף די סערווער.

ראָלעס

אַלע דריי טאַסקס פֿאַר שאפן נוצן קענען לייכט זיין קלאַסאַפייד אין איין גרופּע פון טאַסקס, און עס וואָלט זיין אַ גוטע געדאַנק צו קראָם די גרופּע סעפּעראַטלי פון די הויפּט פּלייַבאָאָק אַזוי אַז עס וועט נישט וואַקסן צו גרויס. פֿאַר דעם צוועק, Ansible האט ראָלע.
לויט דער טעקע סטרוקטור וואָס איז אנגעוויזן אין די אָנהייב, די ראָלעס מוזן זיין געשטעלט אין אַ באַזונדער ראָלע Directory, פֿאַר יעדער ראָלע עס איז אַ באַזונדער וועגווייַזער מיט די זעלבע נאָמען, אין די טאַסקס, טעקעס, טעמפּלאַטעס, עטק.
לאָמיר מאַכן אַ טעקע סטרוקטור: ./ansible/roles/user/tasks/main.yml (מיין איז די הויפּט טעקע וואָס וועט זיין לאָודיד און עקסאַקיוטאַד ווען אַ ראָלע איז קאָננעקטעד צו די פּלייַבאָאָק; אנדערע ראָלע טעקעס קענען זיין קאָננעקטעד צו עס). איצט איר קענען אַריבערפירן אַלע טאַסקס שייַכות צו דער באַניצער צו דעם טעקע:

# Create user and add him to groups
- name: Ensure a 'sudo' group
  group:
    name: sudo
    state: present

- name: Add a new user
  user:
    name: "{{ user }}"
    shell: /bin/bash
    password: "{{ user_password | password_hash('sha512') }}"
    groups: "sudo"

- name: Deploy SSH Key
  authorized_key:
    user: "{{ user }}"
    key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
    state: present

אין די הויפּט פּלייַבאָאָק, איר מוזן ספּעציפיצירן צו נוצן די באַניצער ראָלע:

---
- name: Simple playbook
  hosts: all
  remote_user: root
  gather_facts: no

  tasks:
    - name: Update system
      apt: update_cache=yes
    - name: Install system dependencies
      apt:
        name: git,nginx,redis,postgresql,postgresql-contrib
        state: present

  roles:
    - user

אויך, עס קען זיין זינען צו דערהייַנטיקן די סיסטעם איידער אַלע אנדערע טאַסקס; צו טאָן דאָס, איר קענען רענאַמע דעם בלאָק tasks אין וואָס זיי זענען דיפיינד אין pre_tasks.

באַשטעטיקן nginx

מיר זאָל שוין האָבן נגינקס אינסטאַלירן; מיר דאַרפֿן צו קאַנפיגיער עס און לויפן עס. זאל ס טאָן עס רעכט אַוועק אין דער ראָלע. לאָמיר מאַכן אַ טעקע סטרוקטור:

- ansible
  - roles
    - nginx
      - files
      - tasks
        - main.yml
      - templates

איצט מיר דאַרפֿן טעקעס און טעמפּלאַטעס. דער חילוק צווישן זיי איז אַז אַנסיבלע קאַפּיז די טעקעס גלייַך, ווי איז. און טעמפּלאַטעס מוזן האָבן די j2 פאַרלענגערונג און זיי קענען נוצן בייַטעוודיק וואַלועס מיט די זעלבע טאָפּל געגרייַזלט ברייסאַז.

זאל ס געבן nginx אין main.yml טעקע. פֿאַר דעם מיר האָבן אַ סיסטעם מאָדולע:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

דאָ מיר זאָגן ניט בלויז אַז nginx מוזן זיין סטאַרטעד (דאָס איז, מיר קאַטער עס), אָבער מיר גלייך זאָגן אַז עס מוזן זיין ענייבאַלד.
איצט לאָזן אונדז נאָכמאַכן די קאַנפיגיעריישאַן טעקעס:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'

מיר מאַכן די הויפּט nginx קאַנפיגיעריישאַן טעקע (איר קענען נעמען עס גלייַך פון די סערווער, אָדער שרייַבן עס זיך). און אויך די קאַנפיגיעריישאַן טעקע פֿאַר אונדזער אַפּלאַקיישאַן אין די זייטלעך_אַוואַילאַבלע וועגווייַזער (דאָס איז ניט נייטיק אָבער נוציק). אין דער ערשטער פאַל, מיר נוצן די קאָפּיע מאָדולע צו צייכענען טעקעס (די טעקע מוזן זיין אין /ansible/roles/nginx/files/nginx.conf). אין די רגע, מיר נאָכמאַכן די מוסטער, פאַרבייַטן די וואַלועס פון די וועריאַבאַלז. דער מוסטער זאָל זיין אין /ansible/roles/nginx/templates/my_app.j2). און עס קען זיין עפּעס ווי דאָס:

upstream {{ app_name }} {
  server unix:{{ app_path }}/shared/tmp/sockets/puma.sock;
}

server {
  listen 80;
  server_name {{ server_name }} {{ inventory_hostname }};
  root {{ app_path }}/current/public;

  try_files $uri/index.html $uri.html $uri @{{ app_name }};
  ....
}

באַצאָלן ופמערקזאַמקייַט צו די ינסערץ {{ app_name }}, {{ app_path }}, {{ server_name }}, {{ inventory_hostname }} - דאָס זענען אַלע וועריאַבאַלז וועמענס וואַלועס Ansible וועט פאַרבייַטן די מוסטער איידער קאַפּיינג. דאָס איז נוציק אויב איר נוצן אַ פּלייַבאָאָק פֿאַר פאַרשידענע גרופּעס פון מחנות. פֿאַר בייַשפּיל, מיר קענען לייגן אונדזער ינוואַנטאָרי טעקע:

[production]
123.123.123.123

[staging]
231.231.231.231

[all:vars]
user=my_user
user_password=123qweasd

[production:vars]
server_name=production
app_path=/home/www/my_app
app_name=my_app

[staging:vars]
server_name=staging
app_path=/home/www/my_stage
app_name=my_stage_app

אויב מיר איצט קאַטער אונדזער פּלייַבאָאָק, עס וועט דורכפירן די ספּעסיפיעד טאַסקס פֿאַר ביידע מחנות. אָבער אין דער זעלביקער צייט, פֿאַר אַ סטאַגינג באַלעבאָס, די וועריאַבאַלז וועט זיין אַנדערש פון די פּראָדוקציע אָנעס, און ניט בלויז אין ראָלעס און פּלייַבאָאָקס, אָבער אויך אין nginx קאַנפיגיעריישאַנז. {{ inventory_hostname }} טאָן ניט דאַרפֿן צו זיין ספּעסיפיעד אין די ינוואַנטאָרי טעקע - דאָס ספּעציעלע וועריאַבאַלז און דער באַלעבאָס פֿאַר וואָס די פּלייַבאָאָק איז איצט פליסנדיק איז סטאָרד דאָרט.
אויב איר ווילן צו האָבן אַ ינוואַנטאָרי טעקע פֿאַר עטלעכע מחנות, אָבער בלויז לויפן פֿאַר איין גרופּע, דאָס קען זיין געטאן מיט די פאלגענדע באַפֿעל:

ansible-playbook -i inventory ./playbook.yml -l "staging"

אן אנדער אָפּציע איז צו האָבן באַזונדער ינוואַנטאָרי טעקעס פֿאַר פאַרשידענע גרופּעס. אָדער איר קענען פאַרבינדן די צוויי אַפּראָוטשיז אויב איר האָבן פילע פאַרשידענע מחנות.

לאָמיר גיין צוריק צו באַשטעטיקן nginx. נאָך קאַפּיינג די קאַנפיגיעריישאַן טעקעס, מיר דאַרפֿן צו שאַפֿן אַ סימלינק אין sitest_enabled צו my_app.conf פֿון sites_available. און ריסטאַרט nginx.

... # old code in mail.yml

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted

אַלץ איז פּשוט דאָ - ווידער אַנסאַבאַל מאַדזשולז מיט אַ פערלי נאָרמאַל סינטאַקס. אבער עס איז איין פונט. עס איז קיין פונט צו ריסטאַרטינג nginx יעדער מאָל. האָבן איר באמערקט אַז מיר טאָן ניט שרייַבן קאַמאַנדז ווי: "טאָן דאָס ווי דאָס", די סינטאַקס קוקט מער ווי "דאָס זאָל האָבן דעם שטאַט". און רובֿ אָפט דאָס איז פּונקט ווי אַנסאַבאַל אַרבעט. אויב די גרופּע שוין יגזיסץ, אָדער די סיסטעם פּעקל איז שוין אינסטאַלירן, אַנסיבלע וועט קאָנטראָלירן פֿאַר דעם און האָפּקען די אַרבעט. אויך, טעקעס וועט נישט זיין קאַפּיד אויב זיי גאָר גלייַכן וואָס איז שוין אויף די סערווער. מיר קענען נוצן דעם און ריסטאַרט nginx בלויז אויב די קאַנפיגיעריישאַן טעקעס זענען טשיינדזשד. עס איז אַ רעגיסטרירן דירעקטיוו פֿאַר דעם:

# Copy nginx configs and start it
- name: enable service nginx and start
  systemd:
    name: nginx
    state: started
    enabled: yes

- name: Copy the nginx.conf
  copy:
    src: nginx.conf
    dest: /etc/nginx/nginx.conf
    owner: root
    group: root
    mode: '0644'
    backup: yes
  register: restart_nginx

- name: Copy template my_app.conf
  template:
    src: my_app_conf.j2
    dest: /etc/nginx/sites-available/my_app.conf
    owner: root
    group: root
    mode: '0644'
  register: restart_nginx

- name: Create symlink to sites-enabled
  file:
    src: /etc/nginx/sites-available/my_app.conf
    dest: /etc/nginx/sites-enabled/my_app.conf
    state: link

- name: restart nginx
  service:
    name: nginx
    state: restarted
  when: restart_nginx.changed

אויב איינער פון די קאַנפיגיעריישאַן טעקעס ענדערונגען, אַ קאָפּיע וועט זיין געמאכט און די בייַטעוודיק וועט זיין רעגיסטרירט restart_nginx. און בלויז אויב די וועריאַבאַלז איז רעגיסטרירט, די סערוויס וועט זיין ריסטאַרטיד.

און, פון קורס, איר דאַרפֿן צו לייגן די nginx ראָלע צו די הויפּט פּלייַבאָאָק.

באַשטעטיקן postgresql

מיר דאַרפֿן צו געבן Postgresql ניצן systemd אין די זעלבע וועג ווי מיר האָבן מיט nginx, און אויך שאַפֿן אַ באַניצער וואָס מיר וועלן נוצן צו אַקסעס די דאַטאַבייס און די דאַטאַבייס זיך.
לאָמיר מאַכן אַ ראָלע /ansible/roles/postgresql/tasks/main.yml:

# Create user in postgresql
- name: enable postgresql and start
  systemd:
    name: postgresql
    state: started
    enabled: yes

- name: Create database user
  become_user: postgres
  postgresql_user:
    name: "{{ db_user }}"
    password: "{{ db_password }}"
    role_attr_flags: SUPERUSER

- name: Create database
  become_user: postgres
  postgresql_db:
    name: "{{ db_name }}"
    encoding: UTF-8
    owner: "{{ db_user }}"

איך וועל נישט באַשרייַבן ווי צו לייגן וועריאַבאַלז צו ינוואַנטאָרי, דאָס איז שוין געטאן פילע מאָל, ווי געזונט ווי די סינטאַקס פון די postgresql_db און postgresql_user מאַדזשולז. מער אינפֿאָרמאַציע קענען זיין געפֿונען אין די דאַקיומענטיישאַן. די מערסט טשיקאַווע דירעקטיוו דאָ איז become_user: postgres. דער פאַקט איז אַז דורך פעליקייַט, בלויז דער פּאָסטגרעס באַניצער האט אַקסעס צו די פּאָסטגרעסקל דאַטאַבייס און בלויז לאָוקאַלי. דער דירעקטיוו אַלאַוז אונדז צו ויספירן קאַמאַנדז אויף ביכאַף פון דעם באַניצער (אויב מיר האָבן אַקסעס, פון לויף).
אויך, איר קען האָבן צו לייגן אַ שורה צו pg_hba.conf צו לאָזן אַ נייַע באַניצער אַקסעס צו די דאַטאַבייס. דעם קענען זיין געטאן אין די זעלבע וועג ווי מיר טשיינדזשד די nginx config.

און דאָך איר דאַרפֿן צו לייגן די postgresql ראָלע צו די הויפּט פּלייַבאָאָק.

ינסטאָלינג רובי דורך rbenv

Ansible טוט נישט האָבן מאַדזשולז פֿאַר ארבעטן מיט rbenv, אָבער עס איז אינסטאַלירן דורך קלאָונינג אַ גיט ריפּאַזאַטאָרי. דעריבער, דעם פּראָבלעם ווערט די מערסט ניט-נאָרמאַל. לאָמיר מאַכן פֿאַר איר אַ ראָלע /ansible/roles/ruby_rbenv/main.yml און לאמיר אנהייבן אויספילן:

# Install rbenv and ruby
- name: Install rbenv
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/rbenv.git dest=~/.rbenv

מיר ווידער נוצן די word_user דירעקטיוו צו אַרבעטן אונטער דער באַניצער וואָס מיר באשאפן פֿאַר די צוועקן. זינט rbenv איז אינסטאַלירן אין זיין היים וועגווייַזער, און נישט גלאָובאַלי. און מיר אויך נוצן די גיט מאָדולע צו קלאָון די ריפּאַזאַטאָרי, ספּעציפיצירן רעפּאָ און דעסט.

דערנאָך, מיר דאַרפֿן צו רעגיסטרירן rbenv init אין bashrc און לייגן rbenv צו PATH דאָרט. פֿאַר דעם מיר האָבן די lineinfile מאָדולע:

- name: Add rbenv to PATH
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'export PATH="${HOME}/.rbenv/bin:${PATH}"'

- name: Add rbenv init to bashrc
  become_user: "{{ user }}"
  lineinfile:
    path: ~/.bashrc
    state: present
    line: 'eval "$(rbenv init -)"'

דערנאָך איר דאַרפֿן צו ינסטאַלירן ruby_build:

- name: Install ruby-build
  become_user: "{{ user }}"
  git: repo=https://github.com/rbenv/ruby-build.git dest=~/.rbenv/plugins/ruby-build

און לעסאָף ינסטאַלירן רובין. דאָס איז דורכגעקאָכט דורך רבנב, דאָס הייסט, פשוט מיט דער באַפעל באַש:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    rbenv install {{ ruby_version }}
  args:
    executable: /bin/bash

מיר זאָגן וואָס באַפֿעל צו ויספירן און מיט וואָס. אָבער, דאָ מיר טרעפן די פאַקט אַז אַנסיבלע קען נישט לויפן די קאָד קאַנטיינד אין bashrc איידער פליסנדיק די קאַמאַנדז. דעם מיטל אַז rbenv וועט זיין דיפיינד גלייַך אין די זעלבע שריפט.

דער ווייַטער פּראָבלעם איז רעכט צו דעם פאַקט אַז די שאָל באַפֿעל האט קיין שטאַט פון אַ אַנסאַבאַל פונט פון מיינונג. אַז איז, עס וועט זיין קיין אָטאַמאַטיק טשעק צי די ווערסיע פון רובי איז אינסטאַלירן אָדער נישט. מיר קענען טאָן דאָס זיך:

- name: Install ruby
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    if ! rbenv versions | grep -q {{ ruby_version }}
      then rbenv install {{ ruby_version }} && rbenv global {{ ruby_version }}
    fi
  args:
    executable: /bin/bash

אַלע וואָס בלייבט איז צו ינסטאַלירן בונדלער:

- name: Install bundler
  become_user: "{{ user }}"
  shell: |
    export PATH="${HOME}/.rbenv/bin:${PATH}"
    eval "$(rbenv init -)"
    gem install bundler

און ווידער, לייגן אונדזער ראָלע ruby_rbenv צו די הויפּט פּלייַבאָאָק.

שערד טעקעס.

אין אַלגעמיין, די סעטאַפּ קען זיין געענדיקט דאָ. ווייַטער, אַלע וואָס בלייבט איז צו לויפן קאַפּיסטראַנאָ און עס וועט נאָכמאַכן די קאָד זיך, מאַכן די נייטיק דיירעקטעריז און קאַטער די אַפּלאַקיישאַן (אויב אַלץ איז קאַנפיגיערד ריכטיק). אָבער, קאַפּיסטראַנאָ אָפט ריקווייערז נאָך קאַנפיגיעריישאַן טעקעס, אַזאַ ווי database.yml אָדער .env זיי קענען זיין קאַפּיד פּונקט ווי טעקעס און טעמפּלאַטעס פֿאַר nginx. עס איז בלויז איין סאַטאַלטי. איידער קאַפּיינג טעקעס, איר דאַרפֿן צו שאַפֿן אַ וועגווייַזער סטרוקטור פֿאַר זיי, עפּעס ווי דאָס:

# Copy shared files for deploy
- name: Ensure shared dir
  become_user: "{{ user }}"
  file:
    path: "{{ app_path }}/shared/config"
    state: directory

מיר ספּעציפיצירן בלויז איין וועגווייַזער און אַנסיבלע וועט אויטאָמאַטיש שאַפֿן פאָטער אָנעס אויב נייטיק.

אַנסיבלע וואָלט

מיר האָבן שוין געפֿונען דעם פאַקט אַז וועריאַבאַלז קענען אַנטהאַלטן סוד דאַטן אַזאַ ווי די פּאַראָל פון די באַניצער. אויב איר האָט באשאפן .env טעקע פֿאַר די אַפּלאַקיישאַן, און database.yml דעמאָלט עס מוזן זיין אפילו מער אַזאַ קריטיש דאַטן. עס וואָלט זיין גוט צו באַהאַלטן זיי פון פּריינג אויגן. פֿאַר דעם צוועק עס איז געניצט אַנסאַבאַל וואָלט.

זאל ס מאַכן אַ טעקע פֿאַר וועריאַבאַלז /ansible/vars/all.yml (דאָ איר קענען מאַכן פאַרשידענע טעקעס פֿאַר פאַרשידענע גרופּעס פון מחנות, פּונקט ווי אין די ינוואַנטאָרי טעקע: production.yml, staging.yml, עטק).
אַלע וועריאַבאַלז וואָס מוזן זיין ינקריפּטיד מוזן זיין טראַנספערד צו דעם טעקע מיט נאָרמאַל ימל סינטאַקס:

# System vars
user_password: 123qweasd
db_password: 123qweasd

# ENV vars
aws_access_key_id: xxxxx
aws_secret_access_key: xxxxxx
aws_bucket: bucket_name
rails_secret_key_base: very_secret_key_base

נאָך וואָס די טעקע קענען זיין ינקריפּטיד מיט די באַפֿעל:

ansible-vault encrypt ./vars/all.yml

געוויינטלעך, ווען ענקריפּטינג, איר וועט דאַרפֿן צו שטעלן אַ פּאַראָל פֿאַר דעקריפּטיאָן. איר קענען זען וואָס וועט זיין ין דער טעקע נאָך רופן דעם באַפֿעל.

דורך מיטל פון ansible-vault decrypt די טעקע קענען זיין דעקריפּטיד, מאַדאַפייד און דעמאָלט ינקריפּטיד ווידער.

איר טאָן ניט דאַרפֿן צו דעקריפּט די טעקע צו אַרבעטן. איר קראָם עס ינקריפּטיד און לויפן די פּלייַבאָאָק מיט די אַרגומענט --ask-vault-pass. Ansible וועט פרעגן פֿאַר די פּאַראָל, צוריקקריגן די וועריאַבאַלז און ויספירן די טאַסקס. אַלע דאַטן וועט זיין ינקריפּטיד.

די גאַנץ באַפֿעל פֿאַר עטלעכע גרופּעס פון מחנות און אַנסאַבאַל וואָלט וועט קוקן עפּעס ווי דאָס:

ansible-playbook -i inventory ./playbook.yml -l "staging" --ask-vault-pass

אָבער איך וועל נישט געבן איר די פול טעקסט פון פּלייַבאָאָקס און ראָלעס, שרייַבן עס זיך. ווייַל אַנסאַבאַל איז אַזוי - אויב איר טאָן ניט פֿאַרשטיין וואָס דאַרף צו זיין געטאן, עס וועט נישט טאָן דאָס פֿאַר איר.

מקור: www.habr.com

באַשטעטיקן אַ סערווער צו צעוויקלען אַ ראַילס אַפּלאַקיישאַן ניצן Ansible