znhv Apr 12 at 17:12

Как настроить автоматический откат в Ansible

Medium

3 min

6.1K

DevOps*System administration*IT Infrastructure*

Tutorial

+10

Comments 14

chemtech Apr 12 at 17:18

Можно еще проверять конфиг

- name: "Validate configs"
  ansible.builtin.shell: nginx nginx -t

aborouhin Apr 12 at 18:02

ansible.builtin.shell

На этом месте ansible-lint Вам строго укажет, что использовать shell, когда можно обойтись command, - не комильфо :)

Constantin Apr 12 at 23:51

И конфиг затем обновлять не рестартом, а релоадом сервиса. Так он сессии рвать не будет.

dok2d Apr 14 at 10:50

nginx -s reload

Официальная документация

andreymal Apr 12 at 19:06

Сами-то свой плейбук пробовали запускать?

Теперь, если Nginx не запустится, Ansible сам вернёт старую конфигурацию и перезапустит сервис.

Абсолютно нет, потому что handler'ы отработают только после полного завершения плейбука — намного позже чем выполнение этого block

znhv Apr 12 at 19:50

Спасибо за замечание — вы абсолютно правы: по умолчанию Ansible действительно запускает хендлеры в конце плейбука — и если использовать notify без flush_handlers, то nginx перезапустится слишком поздно, и rescue не сработает вовремя.

Этот нюанс я учёл и обновил статью — теперь в примерах после notify добавлен шаг meta: flush_handlers, чтобы перезапуск происходил сразу, а не в конце.

andreymal Apr 12 at 19:56

Но свой плейбук вы так и не попробовали запустить, потому что он теперь выдаёт другую ошибку "dict object has no attribute"

(и даже если её исправить, потом будут ещё третья и четвёртая ошибки, про которые я специально не стану ничего писать, чтобы вы всё-таки сами запустили свой плейбук)

PaperBread Apr 14 at 14:57

По ответу там такое ощущение, что нейросетке скормили. Негоже серьёзным господам проверять плейбуки.

Markscheider Apr 12 at 20:49

А раскатить с --check и потом посмотреть выдачу (не ругается ли ансибл) не проще? Ошибки в конфиге nginx, по крайней мере, так вполне себе ловятся...

andreymal Apr 12 at 21:03

Чтобы nginx отловил ошибку в конфиге, нужно записать новый конфиг, чего в режиме --check делаться естественно не будет

NekoYos Apr 13 at 00:20

Я думал что все для nginx делают хендлеры сначала nginx -t, и если успешно то уже nginx -s reload. А systrmctl restart nginx даже вручную никто не делает. Для puppet, terraform у меня такой же подход - встроенными средствами самого приложения сделать валидацию и только если она успешна то принимать конфигурацию

Tibor128 Apr 13 at 07:41

Ну есть же у модуля параметр validate, и не нужно городить блоки. Блоки безусловно отличная и очень полезная штука, но в данном конкретном примере лучше вписывается validate

GAlex1980 Apr 13 at 13:39

Возможно, я не совсем понимаю Ansible... Но, где там создание резервной копии перед обновлением конфигурации?

Thomas_Hanniball Apr 13 at 15:43

Но, где там создание резервной копии перед обновлением конфигурации?

backup: true в блоке ansible.builtin.copy. Перед тем как копируется новый конфиг, старый будет переименован с указанием даты в названии. Таким образом в папке будет 2 конфига, один новый, а второй - это переименованный старый.

Если захочется восстановить конфигурацию, то новый файл удаляется, а старый обратно переименовывается в nginx.conf