Как правильно использовать Puppet?

Question

[Дмитрий Лабутин]

Присматриваемся к Puppet.
Возник такой вопрос.
Скажем, все настроено. С помощью Puppet все машины сконфигурированы.
Настало время что-то поменять в конфигах. НО это нужно сначала протестировать.
Сразу вопрос - где? В отдельной копии боевой инфраструктуре? Да, это идеальный вариант.
Но, например, копии инфраструктуры нет.
И, например, у меня есть парк однотипных нод из 10 штук. Я хочу протестить измененный конфиг nginx на одной из этих нод.
И вот тут у меня вопросы :)
Я меняют конфиг. Puppet ведь должен заметить, что конфиг отличается от эталонного и его мне перезальет? Или нет?
Или мне на этой ноде нужно остановить puppet agent, поиграть с конфигом. Внести эти же изменения на puppet master'е и он разольется всем остальным? Так? Или все совсем по-другому?

Заодно задам более простой вопрос. В введении написано, что puppet agent раз в 30 минут ходит к мастеру с вопросом, не поменялись ли настройки и если что, их у себя меняет. Это значит, что ноды могут в разное время применить новые настройки. Наверняка же можно сделать так, чтобы новые настройки того же nginx на всех нодах применились одновременно? Если это есть в доках, то просто скажите мне "читай мануал, там это есть" :)

Answer 1

[Виктор Ведмич]

Я рекомендовал бы вам добавить к вашему папету еще hiera, про нее была статья habrahabr.ru/post/242657
Она позволить вам более гибко управлять вашими серверами.
В вашем случае вам нужно будет ли создать 1 yaml файл для конкретной ноды и переписать локацию нового конфига.

Comments

[Дэн Иванов]

Великолепная статья. Но позвольте один вопрос. Сталкивались ли вы со следующей проблемой. К примеру у Вас есть роли backend и frontend, к обоим хостам имею доступ определенные пользователи. Все пользователи объявлены в глобальном хэше $users, а для каждой роли есть наборы пользователей в виде $backend_users{ ab => $users['ab'], bc => $users['bc'], $frontend_users{ bc => $users['bc'] } В production это 2 разных хоста, на dev среде, эти роли совмещены на одном хосте. В результате при вызове create_resources, получаем duplicate decloration, а в связи с тем что это функция, проверить существование пользователя через if defined[] непонятно как (ну не перечисляя всех пользователей конечно). Что делать ?

[Виктор Ведмич]

ptchol: Я советовал бы посмотреть в сторону Virtual Resources. Опять же статья с хабра habrahabr.ru/post/242123/. Или у вас и это не получилось.

[Дэн Иванов]

Виктор Ведмич не совсем понимаю, как это может помочь. Ресурс нужно реализовывать в обоих ролях. Теги тоже не совсем понятно как помогут, по этой же причине.

[Виктор Ведмич]

Вот смотрите тут распасано про юзеров https://docs.puppetlabs.com/guides/virtual_resourc... Они объявляют их и после добавляют в несколько классов (ролей) - и если он уже создан не будет ошибки, нет то создаст.

[Виктор Ведмич]

Так все верно, у вас будут виртуальные ресурсы которые можно вызывать по нескольку раз https://docs.puppetlabs.com/guides/virtual_resourc... вот тут хороший пример на эту тему. Возможно в вашем случае это почему-то не работает, давайте разберем почему именно.

[Дэн Иванов]

Виктор Ведмич: работает. Некоторое время назад тестировал почему то не канало :) видимо прозрел :) Спасибо !

[Виктор Ведмич]

Да не за что. У меня такое тоже бывает - головой пробиваешь стену, а через несколько дней видишь дверь )

Answer 2

[Дэн Иванов]

С "оркестрейшеном" у puppet все плохо.
Был puppet-kick, но его выпилили, теперь есть mcollective, который позволит вам дернуть агента на всех нодах и применить конфигурацию. Но имхо это из пушки по воробьям.
Мы по прежнему по старинке, через pssh дергаем на нужной группе нод 'puppet agent -t'.
Применить конфиг на отдельном сервере, из коробки я думаю врядли получится. Нужно придумать что то свое :).
Ну или конечно же, Вы всегда можете нагородить

if $::fqdn in $testing_nginx_servers {
    $config = new_config
  else {
    $config = stable_config
  }
  ::nginx::vhost { 'server.com' :
    template      => $config
    server_name   => "${::fqdn} ${title}",
    document_root => '/var/www/server.com',
    ssl_keys      => 'server.com'
  }

А где нить в site.pp объявить

$testing_nginx_servers = [ 'web-1.server.com', 'web-2.server.com' ]

В конце концов вы можете раскатывать конфиг, но не релоадить nginx :).

На тему ansible vs puppet. Субъективно, ansible, массовый раннер скриптов :). К тому же на состояние полугодовалой давности довольно тормозной.

Puppet подразумевает, что накатка изменений, не влияет критично на Ваше окружение, и может происходить в фоне. Тоесть для ряда пакетов Вы написали 'ensure => latest', и не паритесь, обновляется оно сам по себе когда нада +\- 30 минут и всё. Внесли изменения в конфигу, проверили на одном серваке, и уверенны что через полчаса это будет везде. Сейчас скажу глупость, но о "схеме" его работы можно сказать что он "согласован в конечном счете", и этот "конечный счет" определяется получасовым таймаутом обновления (как в DNS :) )

Может быть уже неактуально, но вот здесь человек сравнивал ansible \ salt в качестве альтернатив для переезда.

Если привлекает YAML в puppet есть hiera, для экспорта ресурсов с нод, есть puppetdb (к примеру что бы при добавлении backend серверов, их адреса попали в необходимый upstream у nginx, без прямого прописывания их в конфиге).

Если напрягает что нету всяких "циклов", то это решается во первых при помощи define, или в свежем синтаксисе есть each / slise / reduce / filter, который позволяет удобно работать с со всякими списками параметров, плюс очень много чего полезного реализовано в stdlib.

Puppet декларативен, и если вы не хотите мирится с отсутствием возможностей перезаписать переменную / параметры ресурса / класса, то Вам будет сложно с ним, иначе не вижу ничего плохого в этом выборе.

Comments

[Олег Клещук]

Все верно. Единственное, я у себя конструкцию вида

$testing_nginx_servers = [ 'web-1.server.com', 'web-2.server.com' ]

запретил использовать под страхом кукареканья на столе )))
Ибо потом через месяц концов не найти, почему на одних нодах применяются манифесты, н других нет. Надо протестировать - легче и правильнее создать тестовое окружение и загнать туда две-три ноды.

[Дэн Иванов]

r10k который Вы упомянул ниже сложен для понимания, когда начинаешь "пробовать" паппет в первый раз. После того как осваиваешься и появляются более конкретные пожелания к системе, становится понятно что к чему.
Моему примеру предшествует комментарий "Вы всегда можете нагородить", я надеялся что это даст понять человеку то что это не очень правильное решение но допустимое в критичных ситуациях.
Мы живем кстати без r10k с 2мя ветками всего лишь. И норм. А для тестов есть тестовое окружение на проекте, которое используется не только разработчиками для тестирования но и админами.

Answer 3

[Олег Клещук]

Для этого в паппете есть окружения.

Создаете новое окружение с нужными вам настройками, загоняете одну - две - несколько нод в это окружение, проверяете. Потом переносите изменения в продакшн окружение, возвращаете ноды обратно в прод.

При использовании r10k - это очень удобно делать прямо ветками в гите - создаете новую ветку, деплоите ее как отдельный environment, потом мерж.

Answer 4

[Пума Тайланд]

В конфиге паппета примените новый конфиг только для однной ноды а не для всех, там же можно прописывать конкретные ноды.
В целом рекомендую вам переходить на ansible он пободрее и поинтереснее

Comments

[Пума Тайланд]

Ну паппет работает по технологии поп а ансибл по пуш, удобно в ручную применить измененный конфиг для одного сервера через скажем ansible playbook myserver, ну и в целом в сто раз приятнее с ним работать к сожалению чем с шефом и паппетом , он как бы глоток свежего воздуха в этих системах

[Олег Клещук]

Ansible ни разу не заменяет паппет. Он его прекрасно дополняет.

[Пума Тайланд]

Олег Клещук: ахахахаха ну вы насмешили , держать две опчти одинаковые системы, разработанные можно сказать одним и тем же человеком это только в конторах где денег не меряно.

[Олег Клещук]

Пума Тайланд: не понял иронии. В отличии от puppet - ansible не предусматривает приведения систем к конечному виду. Зато, является отличным автоматизатором рутины. То есть при помощи паппета легко привести конфигурацию к некоему стандарту. А ансиблом - выполнять рутинные скриптовые задачи.

[Пума Тайланд]

Олег Клещук: а кто вам такое сказал? почему по вашему предусматривает? вот сосед у меня к примеру переписал все рецепты с паппета на ансибл и у него приводит все к конечному виду. К сожалению тут вы путаете инструменты.

[Олег Клещук]

Пума Тайланд: А вообще вы правы похоже. У меня почему-то было четкое ощущение, что ansible это что-то вроде сильно развитого фабрика. Сейчас посмотрел - нет, оно довольно далеко ушло вперед, что интересно )

[Пума Тайланд]

Олег Клещук: так его разрабатывает разработчик паппета на замену паппету.

[Олег Клещук]

Пума Тайланд: ну то, что это пишет кто-то из девелоперов паппета еще ни о чем не говорит само по себе. ))) Там же философия изначально была близка скорее все-таки к фабрику - питон внтури, скрипт - сиречь плейбук, по ssh обходим все ноды и проигрываем там playbook по шагам. При этом графа ресурсов нет, как смогли, так и выполнили. Сейчас я смотрю, все это дело наелось стероидов и начало играть мускулами. Интересно, надо будет посмотреть, что выйдет.

[Пума Тайланд]

Олег Клещук: насколько помню это главный разработчик паппета, а не кто то из девелоперов.

[Дэн Иванов]

Ansible создал разраб cobbler а не паппета.
Ансибл уступает скоростью развертывания, аналогичный плейбук паппетом раскатывается быстрее, а повторные чеки вообще не стоит сравнивать.

[Пума Тайланд]

Дэн Иванов: Посмотрел его профиль на линкедине , все таки он работал в паппете продукт менеджером, так что каюсь, про коблер не знаю.
ну не быстрее, либо вы не делаете оптимизаций чтобы его ускорить.

Answer 5

[Дмитрий Лабутин]

Мы в состоянии, когда еще не внедрили puppet. Но вроде читали сравнения в том числе и с ansible. Может не то читали? :) Можете привести доводы в ползу ansible? Не хотелось бы потом пожалеть о выборе puppet.

Comments

[Олег Клещук]

Повторюсь еще раз - не надо выбирать между ansible и puppet - они несколько разными вещами занимаются. Выбирайте между puppet и chef например )))

[Олег Клещук]

Олег Клещук: вот меня поправили выше, все таки можно их сравнивать )))