Как мы управляем инфраструктурой на более 1000 серверов при помощи Ansible

[Jay7]

Всегда впечатляет, сколько усилий люди прилагают к Ansible, чтобы он смог работать с большой инфрой. Снимаю шляпу, без иронии!

Но если вдруг вы устанете от отсутствия нормальных тестов логики, от jinja и логики в ямлях, от выстрелов в ногу глобальным стейтом, то обращайтесь. Построим вам хороший воркфлоу на Puppet, где разработчики смогут продолжать писать ямлы, но не для логики, а для описания желаемого состояния ;)

[inkvizitor68sl]

Всё ещё меньше усилий, чем переехать на Salt или Puppet -)

[toriniys]

Мы выбрали Ansible потому что он без агента, в начале нашей истории это было важно, а потому уже переписать все роли например на тот-же puppet было сложнее чем сделать свой ansible-agent, ну и команда уже привыкла к этому времени к нему.

[Jay7]

Спасибо за пояснения! Учитывая комментарии ниже стало понятно, почему был выбран такой путь :)

[fiftin]

[podvox23]

Я правильно понимаю, ansible-agent это аналог ansible-pull?

[toriniys]

В первой реализации когда он работал именно с Git у них логика схожа, но только он сам следит за изменениями и не будет отображать информацию по проекту и vault pass в ps.

[Tamerlan666]

Не очень понятно, чем именно ansible-pull не устроил? Зачем изобретать свой велосипед?

[rasperepodvipodvert]

По моему, вы переварили "кашу", и есть ее придётся только вам.

[bmurashin]

Мы тоже уже начинаем что-то подозревать))
В любом случае мы взяли ПО с открытым кодом, сделали на его основе что-то полезное (пусть и в ограниченном наборе сценариев) и вернули это сообществу открыв наработку - это важно само по себе

[toriniys]

мы с этим решением уже живем 2 года и полет пока нормальный, это все тот-же Asible только который работает на хосте и не дает большой нагрузки

[Ingtar]

Выбрали Ansible потому что он без агента.... И написали к нему агент :)

Очень круто на самом деле. Было бы интерено взглянуть на код агента и сервера, возможно он пригодится не только вам. Куда-то на гитхаб не думали выложить?

[toriniys]

 http://t.ly/MK_3

[jidckii]

Я так и не понял зачем было городить всё это, что в конце аж страшно за новых людей в проекте. Если можно было на 1м шаге просто ansible ставить puppet агента на хосты?

Ну очевидно же, что получился довольно страшный и запутанный велосипед?)

[toriniys]

у нас не было возможности на тот момент что-то ставить(тут уже внутренняя кухня )

для нашего проекта, где лежат все playbooks, после внедрения агента, ничего не поменялось и работает так-же прозрачно. Просто теперь ansible запускается локально, а на хост прилетают роли только для этого сервера и за счет того что мы парсим свою структуру проекта(ansible-server), он гарантирован унифицирован. Если кто-то сделает изменение не так как задумывалась структура проекта, то оно просто не будет работать и мы получим сообщение от своего сервера ansible

[budnikovsergey]

@toriniysа целевые хосты только линуксы? Или Windows тоже шатаете?

[toriniys]

только Linux

[fiftin]

Реально круто :) Мне нравится когда люди не переписывают все с нуля, а адаптируют существующие решения. Надеюсь ваш агент пригодится и другим.

P.S. Не понимаю душных комментаторов, которые не зная внутренней кухни, пытаются навязать свой опыт (Puppet).

[chemtech]

Спасибо. Можете сказать примерную разбивку этих 1000 серверов по группам? Сервера виртуальные или железные?

[toriniys]

у нас там и железные и виртуальные.

[chemtech]

А группы? например dev postgresql 3 сервера, hadoop 5 серверов. Какие группы серверов в этих 1000 серверах?

[toriniys]

у нас очень много разных групп, например кластера: kafka, airflow, и т.д
и отдельно по компонентам hadoop: hive, namenode и т.д

наша философия заключается в том что мы группы пытаемся создавать по назначению серверов, если это кластера то они так-же в отдельной группе