dk
15.01.2018
08:26:18
Для этого нужен мониторинг. Т.е. вначале руками на 1-2 нодах убедились, что новая конфигурация работает, потом роллом раскатали ее на 1/3 кластера, подождали - работает (мониторинг не покраснел), раскатали остальной кластер.
Если что-то покраснеет, то идти на ноду и руками смотреть-чинить
ptchol
15.01.2018
08:26:35
мммм
я скорее к тому, что если ты отвалил 10 случайных нод на кластере из 100 то для тебя это не должно быть проблемой
и если мониторинг не стрельнул можно лупить дальше не глядя
Google
ptchol
15.01.2018
08:27:37
а если отвалил 10 то это не должно быть страшно, и уже чинишь и катишь повторно
dk
15.01.2018
08:30:45
и если мониторинг не стрельнул можно лупить дальше не глядя
Да-да, вот про это я и говорю :) как бы сделать автоматическое "дальше", но чтобы оно обновляло ноды поштучно. Если они обновятся все вместе - значит будет простой, это не желательно + может вывести некоторые ноды из строя т.к. на них пойдет слишком много трафика (если в процессе релиза не вырубить трафик вовсе)
ptchol
15.01.2018
08:32:27
выбираешь 10 случайных нод и по одной апдейтишь
это же стандартный канари
это уже всё реализовано за нас в "нормальных" системах.
если вы продолжаете жить с паппетом и хотите это делать на нём, то увы.
при таком апдейте слишком много связей с тем как мы хелсчекаем то что запускаем
а тут у нас получается как бы разрыв, стейт о том ок\не ок, собирает не та штука что "катит"
в общем решении то задача изи
это 2 таски в дженкинсе, первая выбирает 10 случайных тачек и запускает там агенты и просто смотрит на код возврата
если всё ок, запускается даунстрим таска которая катит на остальное
но только там дофига НО
dk
15.01.2018
09:28:55
Это костыли, жалко, что нет меджик-тула, вроде как паппет очень стар и должен уметь в такое (или это ништяки энтерпрайз-версии)
Google
dk
15.01.2018
09:29:20
ptchol
15.01.2018
09:48:55
я ратую за докеры и номады
паппет умеет это из коробки
он предоставляет тебе базовые сущности чтобы посотрить FSM
дальше бери и строй
но паппет как бы не имеет централизованного оркестратора
поэтому то что ты хочешь, должно происходить через согасование стейта в центральном месте агентами
а логика будет скопирвоанна _на всех_ агентах
эту проблему и пытались решить через mco пошарив логику модуля на менеджера и агента
но вышло говно неюзабельное
dk
15.01.2018
10:00:23
fatruden
15.01.2018
11:26:59
Это конечно костыль, но может вам подойдет:
pdsh -f 1 -w <list_of_nodes> puppet agent -t —environment=<new_env>; sleep 120
И следишь за мониторингом, как только, что то не так, останавливаешь
Еще есть gender - можно использовать группы типа web, db с pdsh и обновлять по ролям
Maxim
15.01.2018
11:31:30
ну или причесать всё в UI, например тут хорошая интеграция с паппетом:
https://www.theforeman.org/
dk
15.01.2018
11:37:59
Ivan
15.01.2018
11:38:33
не совсем
это уй со списками хостов, отчётами
что там ещё есть..
Google
dk
15.01.2018
11:39:08
Но оно же по сути - enc
Только с веб-мордой и графиками
Maxim
15.01.2018
11:39:21
ну там много всего есть, ENC не обязательно использовать
у нас туда отправляются репорты, +удобный интерфейс для фактов и пр.
а статика в хиере
dk
15.01.2018
11:40:39
Неплохо придумано
Maxim
15.01.2018
11:40:52
фореман весь гибкий в плане использования, удобно что можно тригеррить запуск паппета на конкретной ноде
+весь бутстрапинг и провижен физических тачек на нём сделан
ptchol
15.01.2018
14:33:51
а фореман реально лучшая борда для фактов и репортов чем тот же паппетбоард ?
Ivan
15.01.2018
14:34:38
JT
15.01.2018
14:35:35
Maxim а форман заведется с папет4 (2.4.0) ?
Maxim
15.01.2018
14:35:57
ну если сравнивать из free тулов, то лучше форемана для паппета я не видел
ptchol
15.01.2018
14:35:58
Maxim
15.01.2018
14:38:25
Xeniya MTS
18.01.2018
12:32:57
из соображений KISS
а панелька паппет эксплорер
если сравнивать по функционалу только в пределах паппета (без провайжинга физических машин и пр) , как фореман с этим?
слышала, там прям можно править код, прям из форемана,
а это можно отключить?
Google
Xeniya MTS
18.01.2018
12:34:35
если всё в гите?
Maxim
18.01.2018
12:34:53
да, там можно оставить только UI для удобного просмотра репортов
ну и фактов, он удобно делает группировки и красивые графики рисует
Xeniya MTS
18.01.2018
12:35:17
а сравнивали с паппет эксплорером?
Maxim
18.01.2018
12:35:25
нет
у нас все железные сервера через фореман бутстрапятся, смысла особо нет в ещё одном UI
dk
23.01.2018
14:43:39
Кто-нибудь пробовал использовать PE-агент и CE-мастер?
аиксы подвалили :(
create_resources('file', lookup('files'))
create_resources('service', lookup('services'))
files:
/etc/file:
...
notify: Service[test]
services:
test:
...
Это я губу раскатал, да?
AHPyXA
24.01.2018
13:33:36
hiera про данные, а не про логику емнип
dk
24.01.2018
13:34:35
ptchol
24.01.2018
17:03:11
Так-то да
Потому что ты не синтаксис лукапиш а объекты определенных типов, и при том типов только простых
Но ты вытащив данные из хиеры можешь создать объект пользовательского типа и уже использовать
dk
24.01.2018
17:04:31
ptchol
24.01.2018
17:05:03
Покаж, зацением, закидаем )
Шучу
dk
24.01.2018
17:07:52
Заместо create_resources сделал
$files.each |$res, $attrs| { file { $res: * => $attrs; } }
$services.each |$res, $attrs| { File <| |> -> service { $res: * => $attrs; } }
А в хиере
files:
/file1:
..
services:
srv.service:
subscribe: File[/file1]
..
И оно даже заработало
Но мне кажется, что так делать не стоит
ptchol
24.01.2018
17:12:24
А проверил что подписан на файл а не на класс ?
dk
24.01.2018
17:13:14
Что другие события из модуля не аффектят сервис?
ptchol
24.01.2018
17:13:18
Да
Google
ptchol
24.01.2018
17:13:24
Из класса
dk
24.01.2018
17:13:37
Не, такое еще не проверял
Спасиб, завтра посмотрю
ptchol
24.01.2018
17:14:44
Я просто не оч понимаю вторую конструкцию
Ты чейнишь файлы на сервисы
Зачем там итератор если в сорсе чейна пусто
Ой
Взлетаю
Буду через 2 часа
dk
24.01.2018
17:17:24
А, ты про коллектор?
File <| |> -> service { name: ... }
Значит, что Service[name] будет запилено только когда, когда отработают все ресурсы File, вообще все
https://puppet.com/docs/puppet/5.3/lang_collectors.html
ptchol
24.01.2018
19:30:16
Это да
Но коллектор ограничен треугольными скобочками
А дальше чейнинг который описывает вид сообщения которые проходят при изменении стейта объекта
KizzarU
24.01.2018
22:40:26
Лучший новостной-инсайдерский канал в Telegram!
? https://t.me/SharkCIA
Там Вы найдете:
? Ежедневный поток полезной информации.
? Аналитические статьи.
? Интересные факты.
? И многое другое!
? Целый путеводитель к успеху в вашем телефоне.
▪️Присоединяйся к каналу:
▪️https://t.me/SharkCIA
Anton
24.01.2018
22:41:49
dk
25.01.2018
08:51:47
У кого-нибудь есть готовый солюшен под pci-dss? :3
ptchol
25.01.2018
08:57:45
докер ))