Опыт прод работы почти год. Красивая, надёжная - образохранилка.
Плюсы:
быстро, красиво, trivi, rbac, logs, режим кластера, в 2.14 подвезли Ру язык, swagger
Минусы:
нет maven, npm, oci (хотя в доке есть), хромает визуал таблицы по образам, нет шедулера по тригеру квот, нельзя написать автоотчистку образов n дней после пуша, нельзя повесить тег прям на проект в автомате, сервисная инфа в виде всего hdd на репе - очень мало.
Эх, вот би добавили maven, npm, helm, go, py, apt , yu registry)))
Крч хорошая registry с SCA из коробки, если у Вас нет своего аггрегатора и визуализатора SCA от trivi то отличный вариант, задавайте вопросы так сказать.
Как бы не ставил её всегда упираюсь в одно - запросы, которая кидает кибана в ui к своему стору на внешку, на стороне приёма запроса 403 из-за Ру региона, как итог ломается вкладка с ui на отображалки, можно конечно вырезать телеметрию и запретить слать запросы с самой кибаны, но мы лишаемся визуализации в целом.
Очень долго сижу на стеке грейлога и +- всё устраивает, но хочется красивые дашбордики...
Использовал кстати 8 и 9 мажоры кибаны, как обходить такое вообще, может быть есть секретная мажорная версия на которой нет телеметрии и кибана может работать в Ру регионе?
Подскажите пожалуйста в таком случае через какое ПО рисуется арха у Вас? Вот как в статейке - https://habr.com/ru/companies/pt/articles/896652/. Пользуюсь базовым ПО в виде draw.io, но мне что-то подсказывает, что это не plantuml и не draw.io и не mermaid, спасибо!
Под FHS имеется в виду прикладной контекст ABP (ansible best practice). Спойлер - если мы даже через galaxy создаём рольку, то она создаётся по ABP. Hosts - статика, если нам нужна динамика, то есть group_vars, а если вопрос контекста в рольке - defaults | vars. Можно конечно же поменять всё в .cfg, но зачем изобретать велосипеды и писать инвентори прям в файл тасок, когда всё уже стандартизировано?
Мб в посте всё зависит от проприетарности системы. Могу рассказать как у нас, базовый ABP FHS, прослойка jenkins для запуска всех ролей с ui. Условно 40 ролек и 8 из них по HA инфре на ресурсы. Параметризацию указываем через экстра параметры на ui ручке, отладка и тп вся там же ведётся, awx тема, но требует модернизации всей инфры ролей, но и в jenkins всё на самом деле есть. Огромное преимущество, что масштабирование "ранеров" идёт через воркеры jenkins, можно кататься одновременной до n-worker ролей. Покрытие VCS всех объектов IAC инфры, а так же можно повесить огромное кол-во анализаторов в таком подходе.
Если мы придерживаемся архи, где 1 ресурс - 1 роль ансибла с полной структурой (не обязательно ломать всю структуру FHS), то и хранить этот IAC нужно в VCS в той же группе что и ресурс чтобы после подключения к CI/CD IAC инфры мы могли катать её по тегам и актуальной ветки.
На мой взгляд очень сильно ломать базою структуру и арху FHS - кощунство.
Правильно понял, что под каждую роль есть свой a-s контейнер? Мне кажется подобная история это создание дополнительных прослоек, которые нужно как-то регулировать и версионировать. При 40+ ролей уже начинается зоопарк в репе, а это для каждого объекта ещё нужно сделать связи в VCS (inventory, playbooks, roles, templates)))). Так же не ясно как тут вообще будет работать молекула.
Но всё равно респект, материал интересный, в очередной раз говорит про гибкость всеми нами любимого ansible.
Правильно понимаю, из твоего тейка следует, что переезд в облака большой скам для бизнеса, где бумага и факт расходятся? В облаках есть смысл до тех пор пока туда не тянут что-то серьёзное.
Никогда не понимал глобальной тенденции переезда в облака. Лучше иметь штат специалистов, которые будут держать инфру нежели штат юристов, которые будут судиться с продактами облаков. Если микростартап - вопросов нет, если крупная компания и используются не свои проприетарные, облачные решения - удачи.
Интересно когда наступает переход за грань, когда облачные решения для ООО "Мы бигтех" становятся убыточней своего ЦОД-а. А так же интересно как это всё сочетается с приказами ФСТЭК по безопасной разработке и безопасным ИИ моделям и 17 приказу)))
Представляю ехидное лицо яндекса, когда инфрашник случайно оставил негативный отзыв о них по какой либо из их услуг, теневой бан на всех площадках, отключение от метрик и облаков))))
Красота какая, правд не могу представить как в коммерцию можно завернуть, если, только не рейтинговая шкала удовлетворённости ребёнка в процессе урока/ в конце урока.
Катал по версии kubespray - 2.29.1 на астру 1.7, привет всем с 2025, ближайшего 26 получается:
Из предварительных установок требуется крч такое на все тачки (мастера, воркеры и тп): apt install iputils-ping
Так же для отработки сценария с ArgoCD - python3.7 -m pip install passlib
Поменялся механизм создания инвентори, теперь он просто по шаблону через cp -r /inventory/sample inventory/you_inv
Пока так же добавляются значения на ОС Астры в supported_os_distributions
Везде, где есть условие на Deb, впихнул условие на when: ansible_os_family == "Astra Linux" or ansible_os_family == "Debian"
Таска "Containerd | Unpack containerd archive" должна иметь when: ansible_os_family != "Astra Linux"
На астру нужно катать containerd с дефолтных реп иначе куча конфликтов. После таски пунктом выше, добавлены ниже такие таски (листинг)
Так же было сделано переназначение для переменной dhclienthookfile, в файле 0020-set_facts.yml
Опыт прод работы почти год. Красивая, надёжная - образохранилка.
Плюсы:
быстро, красиво, trivi, rbac, logs, режим кластера, в 2.14 подвезли Ру язык, swagger
Минусы:
нет maven, npm, oci (хотя в доке есть), хромает визуал таблицы по образам, нет шедулера по тригеру квот, нельзя написать автоотчистку образов n дней после пуша, нельзя повесить тег прям на проект в автомате, сервисная инфа в виде всего hdd на репе - очень мало.
Эх, вот би добавили maven, npm, helm, go, py, apt , yu registry)))
Крч хорошая registry с SCA из коробки, если у Вас нет своего аггрегатора и визуализатора SCA от trivi то отличный вариант, задавайте вопросы так сказать.
Квешн по поводу кибаны в докере.
Как бы не ставил её всегда упираюсь в одно - запросы, которая кидает кибана в ui к своему стору на внешку, на стороне приёма запроса 403 из-за Ру региона, как итог ломается вкладка с ui на отображалки, можно конечно вырезать телеметрию и запретить слать запросы с самой кибаны, но мы лишаемся визуализации в целом.
Очень долго сижу на стеке грейлога и +- всё устраивает, но хочется красивые дашбордики...
Использовал кстати 8 и 9 мажоры кибаны, как обходить такое вообще, может быть есть секретная мажорная версия на которой нет телеметрии и кибана может работать в Ру регионе?
Приятная статейка
Ля красота какая, понял всё описано, спасибо!
Принимаю Вашу силу)
Подскажите пожалуйста в таком случае через какое ПО рисуется арха у Вас? Вот как в статейке - https://habr.com/ru/companies/pt/articles/896652/. Пользуюсь базовым ПО в виде draw.io, но мне что-то подсказывает, что это не plantuml и не draw.io и не mermaid, спасибо!
Под FHS имеется в виду прикладной контекст ABP (ansible best practice). Спойлер - если мы даже через galaxy создаём рольку, то она создаётся по ABP. Hosts - статика, если нам нужна динамика, то есть group_vars, а если вопрос контекста в рольке - defaults | vars. Можно конечно же поменять всё в .cfg, но зачем изобретать велосипеды и писать инвентори прям в файл тасок, когда всё уже стандартизировано?
Мб в посте всё зависит от проприетарности системы. Могу рассказать как у нас, базовый ABP FHS, прослойка jenkins для запуска всех ролей с ui. Условно 40 ролек и 8 из них по HA инфре на ресурсы. Параметризацию указываем через экстра параметры на ui ручке, отладка и тп вся там же ведётся, awx тема, но требует модернизации всей инфры ролей, но и в jenkins всё на самом деле есть. Огромное преимущество, что масштабирование "ранеров" идёт через воркеры jenkins, можно кататься одновременной до n-worker ролей. Покрытие VCS всех объектов IAC инфры, а так же можно повесить огромное кол-во анализаторов в таком подходе.
Если мы придерживаемся архи, где 1 ресурс - 1 роль ансибла с полной структурой (не обязательно ломать всю структуру FHS), то и хранить этот IAC нужно в VCS в той же группе что и ресурс чтобы после подключения к CI/CD IAC инфры мы могли катать её по тегам и актуальной ветки.
На мой взгляд очень сильно ломать базою структуру и арху FHS - кощунство.
Правильно понял, что под каждую роль есть свой a-s контейнер? Мне кажется подобная история это создание дополнительных прослоек, которые нужно как-то регулировать и версионировать. При 40+ ролей уже начинается зоопарк в репе, а это для каждого объекта ещё нужно сделать связи в VCS (inventory, playbooks, roles, templates)))). Так же не ясно как тут вообще будет работать молекула.
Но всё равно респект, материал интересный, в очередной раз говорит про гибкость всеми нами любимого ansible.
Правильно понимаю, из твоего тейка следует, что переезд в облака большой скам для бизнеса, где бумага и факт расходятся? В облаках есть смысл до тех пор пока туда не тянут что-то серьёзное.
Никогда не понимал глобальной тенденции переезда в облака. Лучше иметь штат специалистов, которые будут держать инфру нежели штат юристов, которые будут судиться с продактами облаков. Если микростартап - вопросов нет, если крупная компания и используются не свои проприетарные, облачные решения - удачи.
Интересно когда наступает переход за грань, когда облачные решения для ООО "Мы бигтех" становятся убыточней своего ЦОД-а. А так же интересно как это всё сочетается с приказами ФСТЭК по безопасной разработке и безопасным ИИ моделям и 17 приказу)))
Представляю ехидное лицо яндекса, когда инфрашник случайно оставил негативный отзыв о них по какой либо из их услуг, теневой бан на всех площадках, отключение от метрик и облаков))))
Эх блин, жаль у нас онлифрендс заблочены, переходим реально в вебкам пацаны, запускаю процесс миграции отдела.