Для этого нужен мониторинг. Т.е. вначале руками на 1-2 нодах убедились, что новая конфигурация работает, потом роллом раскатали ее на 1/3 кластера, подождали - работает (мониторинг не покраснел), раскатали остальной кластер. Если что-то покраснеет, то идти на ноду и руками смотреть-чинить

мммм

я скорее к тому, что если ты отвалил 10 случайных нод на кластере из 100 то для тебя это не должно быть проблемой

и если мониторинг не стрельнул можно лупить дальше не глядя

а если отвалил 10 то это не должно быть страшно, и уже чинишь и катишь повторно

и если мониторинг не стрельнул можно лупить дальше не глядя

Да-да, вот про это я и говорю :) как бы сделать автоматическое "дальше", но чтобы оно обновляло ноды поштучно. Если они обновятся все вместе - значит будет простой, это не желательно + может вывести некоторые ноды из строя т.к. на них пойдет слишком много трафика (если в процессе релиза не вырубить трафик вовсе)

выбираешь 10 случайных нод и по одной апдейтишь

это же стандартный канари

это уже всё реализовано за нас в "нормальных" системах.

если вы продолжаете жить с паппетом и хотите это делать на нём, то увы.

при таком апдейте слишком много связей с тем как мы хелсчекаем то что запускаем

а тут у нас получается как бы разрыв, стейт о том ок\не ок, собирает не та штука что "катит"

в общем решении то задача изи

это 2 таски в дженкинсе, первая выбирает 10 случайных тачек и запускает там агенты и просто смотрит на код возврата

если всё ок, запускается даунстрим таска которая катит на остальное

но только там дофига НО

Это костыли, жалко, что нет меджик-тула, вроде как паппет очень стар и должен уметь в такое (или это ништяки энтерпрайз-версии)

это уже всё реализовано за нас в "нормальных" системах.

Вы-таки ратуете за ансибль? :D

я ратую за докеры и номады

паппет умеет это из коробки

он предоставляет тебе базовые сущности чтобы посотрить FSM

дальше бери и строй

но паппет как бы не имеет централизованного оркестратора

поэтому то что ты хочешь, должно происходить через согасование стейта в центральном месте агентами

а логика будет скопирвоанна _на всех_ агентах

эту проблему и пытались решить через mco пошарив логику модуля на менеджера и агента

но вышло говно неюзабельное

но вышло говно неюзабельное

Ага, я уже мколлектив пробовал ковырять, очень страшная штука

Это конечно костыль, но может вам подойдет: pdsh -f 1 -w <list_of_nodes> puppet agent -t —environment=<new_env>; sleep 120

И следишь за мониторингом, как только, что то не так, останавливаешь

Еще есть gender - можно использовать группы типа web, db с pdsh и обновлять по ролям

ну или причесать всё в UI, например тут хорошая интеграция с паппетом:

https://www.theforeman.org/

https://www.theforeman.org/

Это заместо хиеры и гита?

не совсем

это уй со списками хостов, отчётами

что там ещё есть..

Но оно же по сути - enc

Только с веб-мордой и графиками

ну там много всего есть, ENC не обязательно использовать

у нас туда отправляются репорты, +удобный интерфейс для фактов и пр.

а статика в хиере

Неплохо придумано

фореман весь гибкий в плане использования, удобно что можно тригеррить запуск паппета на конкретной ноде

+весь бутстрапинг и провижен физических тачек на нём сделан

а фореман реально лучшая борда для фактов и репортов чем тот же паппетбоард ?

+весь бутстрапинг и провижен физических тачек на нём сделан

а, вот, эта фича тоже тащит, забыл про неё

Maxim а форман заведется с папет4 (2.4.0) ?

ну если сравнивать из free тулов, то лучше форемана для паппета я не видел

а, вот, эта фича тоже тащит, забыл про неё

это работает только если ты его используешь как ENC

Maxim а форман заведется с папет4 (2.4.0) ?

да, заведется, там есть таблица с поддерживаемыми версиями

+весь бутстрапинг и провижен физических тачек на нём сделан

я его никогда не юзала из-за того, что лишний функционал - я обычно cobbler'ом базовые системы ставлю

из соображений KISS

а панелька паппет эксплорер

если сравнивать по функционалу только в пределах паппета (без провайжинга физических машин и пр) , как фореман с этим?

слышала, там прям можно править код, прям из форемана,

а это можно отключить?

если всё в гите?

да, там можно оставить только UI для удобного просмотра репортов

ну и фактов, он удобно делает группировки и красивые графики рисует

а сравнивали с паппет эксплорером?

нет

у нас все железные сервера через фореман бутстрапятся, смысла особо нет в ещё одном UI

Кто-нибудь пробовал использовать PE-агент и CE-мастер? аиксы подвалили :(

create_resources('file', lookup('files')) create_resources('service', lookup('services')) files: /etc/file: ... notify: Service[test] services: test: ... Это я губу раскатал, да?

hiera про данные, а не про логику емнип

hiera про данные, а не про логику емнип

Так-то да

Так-то да

Потому что ты не синтаксис лукапиш а объекты определенных типов, и при том типов только простых

Но ты вытащив данные из хиеры можешь создать объект пользовательского типа и уже использовать

Но ты вытащив данные из хиеры можешь создать объект пользовательского типа и уже использовать

Оно работает, но я немного переиначил все

Покаж, зацением, закидаем )

Шучу

Заместо create_resources сделал $files.each |$res, $attrs| { file { $res: * => $attrs; } } $services.each |$res, $attrs| { File <| |> -> service { $res: * => $attrs; } } А в хиере files: /file1: .. services: srv.service: subscribe: File[/file1] .. И оно даже заработало

Но мне кажется, что так делать не стоит

А проверил что подписан на файл а не на класс ?

Что другие события из модуля не аффектят сервис?

Да

Из класса

Не, такое еще не проверял

Спасиб, завтра посмотрю

Я просто не оч понимаю вторую конструкцию

Ты чейнишь файлы на сервисы

Зачем там итератор если в сорсе чейна пусто

Ой

Взлетаю

Буду через 2 часа

А, ты про коллектор?

File <| |> -> service { name: ... } Значит, что Service[name] будет запилено только когда, когда отработают все ресурсы File, вообще все

https://puppet.com/docs/puppet/5.3/lang_collectors.html

Это да

Но коллектор ограничен треугольными скобочками

А дальше чейнинг который описывает вид сообщения которые проходят при изменении стейта объекта

Лучший новостной-инсайдерский канал в Telegram! ? https://t.me/SharkCIA Там Вы найдете: ? Ежедневный поток полезной информации. ? Аналитические статьи. ? Интересные факты. ? И многое другое! ? Целый путеводитель к успеху в вашем телефоне. ▪️Присоединяйся к каналу: ▪️https://t.me/SharkCIA

Лучший новостной-инсайдерский канал в Telegram! ? https://t.me/SharkCIA Там Вы найдете: ? Ежедневный поток полезной информации. ? Аналитические статьи. ? Интересные факты. ? И многое другое! ? Целый путеводитель к успеху в вашем телефоне. ▪️Присоединяйся к каналу: ▪️https://t.me/SharkCIA

@ptchol @polnoch ACHTUNG, SPAM!!!11

У кого-нибудь есть готовый солюшен под pci-dss? :3

докер ))