"Ой, я случайно запушил в production"

неа =) сложная система прав + большая часть делается в хаере. если нужно именно код - пулл реквэсты

Это по-любому :) но тех, кто с правами все равно тянет пушить прямо в прод

Это по-любому :) но тех, кто с правами все равно тянет пушить прямо в прод

пускай пушат. Глобальный коллапс не смогут устроить, только разве что свое поломать. Ну а свое - сами себе злые буратинки

iptables.yaml какой-нибудь сломают, принесутся на сервера дефолтные параметры уровня "открыть 22 порт". А если и дефолт сломается...

iptables.yaml какой-нибудь сломают, принесутся на сервера дефолтные параметры уровня "открыть 22 порт". А если и дефолт сломается...

У нас так не работает. базовый профиль могут приносить только компетентные люди. На свои ноды - могут приносить такое только после ревью. Косячат конечно, но живем нормально. Правда иногда постгресы или мускули по всему миру периодически перезапускаем =)

можно, в планах. Но пока - переход на puppet4, апдэйп puppetdb, переход на puppet 5 hiera 5 и опять апгрэйд puppetdb. И только потом r10k и прочее =)

А сразу на 5 нет?

Ты поднимаешь еще один NTP сервер, прописываешь его в includes/ntp.yaml и он раскатывается по конфигам на все ноды

Это не удобно если ты живёшь в облачках / с виртуалками и у тебя к примеру полиси регулируется иптейблс правилами между группами

Вобще как не странно я тут согласен с товарищем Павловым, если уж завязываться на паппет то и на все это с экспортируемыми ресурсами, виртуальными ресами и т д

Я вообще года полтора жил так, все было офигенно а человеческие ошибки всегда и у всех бывают, для этого у нас есть концепция хаос инжиниринга

Что бы забарывать это эффективно а не регламентами и увольнениями

Это хорошо, когда у всей команды есть хорошая экспертиза по паппетам

Просто я сталкивался с inplace-конфигурациями с chattr+i на конфиги (а то щас придет ентот паппет и все мне тут сломает, а в гит лень и вообще некогда) и манифестами такого уровня: package { "postgresql-server": ensure => "latest" } ~> service { "postgresql": ensure => running }

С постгресом это вообще эпик, конечно

Внезапный двойной рестарт

А сразу на 5 нет?

puppetdb не дает сразу на 5.

puppetdb не дает сразу на 5.

я о том, что можно оттестировать на лабе деплой

и сделать через тот же puppet —apply

перейти в за несколько часов, всё равно модули переписывать

можно сразу на 5й переписывать

и сделать через тот же puppet —apply

Понимаешь, у нам манифестов ООООООчень много. у нас все деплоится паппетом. дефопсы не имеют рутового доступа. Соответственно при переходе на новый паппет всплывают артефакты. вот сейчас все только перевели на 4 версию, обновим puppetdb (естественно тестируя все на песочнице) и если у нас ничего не разваливается - начинаем поднимать версию puppetdb. потом дальше до puppet5

Это хорошо, когда у всей команды есть хорошая экспертиза по паппетам

мы кстати решили проблему с монгой

перейти в за несколько часов, всё равно модули переписывать

Постепенно подпиливать проще, чем с нуля переписывать

да там не так много ломающих изменений

да там не так много ломающих изменений

Но все же они есть =) переход с 3 на 4 дал нам боли очень много. А так же пол года работы практически "не вынимая" ....

Но все же они есть =) переход с 3 на 4 дал нам боли очень много. А так же пол года работы практически "не вынимая" ....

Интересно, что будет во время перехода 4->5 :)

Как раз вопрос про автолукап :)

ну вот и посмотрим =)

Но все же они есть =) переход с 3 на 4 дал нам боли очень много. А так же пол года работы практически "не вынимая" ....

это смотря с какой тройки ехли

если до 3.4 то уверен что да

rpm -qa | grep puppet puppet-server-3.8.7-1.el7.noarch puppetdb-2.3.8-1.el7.noarch puppetdb-terminus-2.3.8-1.el7.noarch puppet-3.8.7-1.el7.noarch

ну вот и посмотрим =)

А зачем вам вообще паппет? Ведь можно перевести все на микросервисы. Контейнеры будут собирать контейнеры в поды, поды будут на нодах, ноды будут на железках и скейлится средствами контейнеров, которые также будут подавать на нужные ноды вланы и запускать пхе-наливщики+ансиблы, наступит сингулярность, CaaS и благодать.

А зачем вам вообще паппет? Ведь можно перевести все на микросервисы. Контейнеры будут собирать контейнеры в поды, поды будут на нодах, ноды будут на железках и скейлится средствами контейнеров, которые также будут подавать на нужные ноды вланы и запускать пхе-наливщики+ансиблы, наступит сингулярность, CaaS и благодать.

У нас это тоже есть ?

я ехал с 3.8.7 на 4.2 и не было боли

У нас это тоже есть ?

Ну вот, тем более, что есть

Ну вот, тем более, что есть

А железо руками конфигурить?

А железо руками конфигурить?

Ансиблом наливать новые ноды кубера и приносить конфиги на сетевое оборудование? конфигурация в гитлабе с ci, создающем контейнер со слепком репы и ансиблом и создающим благодать

Наливка по пхе

А сборку железок придется все-таки руками, но можно попробовать что-нибудь с этим придумать

@ptchol правильно я говорю?

железок ?

ну кикстарт вон взять

коблер

или ещё чо

ваще как бы если у вас не парк в 1к машин а сотня другая то как бы вам особая автоматизация и не нужна

Тестовые виртуалки не удаляете? :)

Тестовые виртуалки не удаляете? :)

Это прод. у тестовых отдельно все

Суровое количество

Суровое количество

При всем этом еще и зоопарк =)

HPUX есть?

HPUX есть?

Нет, но есть солярка и OMG - винда

Нет, но есть солярка и OMG - винда

Это фореман или паппетборда?

Это фореман или паппетборда?

фореман

Страшное дело

Страшное дело

там только репорты. ENC не используем

А каталоги? :) по крону?

Я щас паппетборду превращаю в консоль

А каталоги? :) по крону?

Нене, runinterval + splay

Я про экспорт каталогов в фореман

Насколько я помню, с отключенным функционалом классификатора, он каталоги можно принимать только скриптом-костылем по крону

Каталог не экспортится. а вот репорты - у форемана есть скрипт, node.rb, который на каждом мастере запущен

Насколько я помню, с отключенным функционалом классификатора, он каталоги можно принимать только скриптом-костылем по крону

демоном он работает, сам смотрит за появлением новых репортов и шлет их

И отдельно надо его кормить скриптом-репортером (в довесок к тому, который отправляет в бд)

И отдельно надо его кормить скриптом-репортером (в довесок к тому, который отправляет в бд)

ну вот я про него и говорю. а про паппетовый каталог он ничего не знает. только факты отображает и картинки ресует.

А можно пилить борду :)

ps ax | grep node 32444 pts/2 S+ 0:00 grep --color=auto node 45432 ? Sl 1638:54 ruby /root/bin/node.rb --push-facts-parallel --watch-facts

А можно пилить борду :)

Можно, но зачем если есть Foreman ? Да и я лучше займусь RND каталога чем пилить борды

Правда, моя поделка проприетарная :( может, потом перепишу в опенсорсы

Что-то как-т о у вас маловато нод =)

Это одна нода

ааа

а я думаг график - это кол-во репортов от всех

Тестовое хозяйство

Можно делать выборки нод в инвентори (по группам и рандомно - мышкой выделяя) и пускать агенты на них в удобном режиме

Можно делать выборки нод в инвентори (по группам и рандомно - мышкой выделяя) и пускать агенты на них в удобном режиме

паппетран через mco ???

паппетран через mco ???

Я не готов к такой боли, просто спец ssh-юзер со специальным шеллом

Я не готов к такой боли, просто спец ssh-юзер со специальным шеллом

MCO боль ? О_о у меня таска на внедрение. С этого момента поподробнее про боль пожалуйста =)

MCO боль ? О_о у меня таска на внедрение. С этого момента поподробнее про боль пожалуйста =)

ActiveMQ и глубокая интеграция с паппетами же

ActiveMQ и глубокая интеграция с паппетами же

Говорят можно раббит. Но я AMQ больше люблю если честно, Но раббит у нас уже есть. ну а про глубокую интеграцию - так это же очень хорошо.

:) спасибо за бдительность

Тук, кто может подсказать как вытянуть мне верхние ключи из хеша?

Нужно получить app1 и app2 uwsgi::app: app1: uid: 'test0' gid: 'test1' app2: uid: 'test2' port: '123'

app1/2 ?

эм? Мне нужно создать файлы app1 и app2

Как мне указать это в file { ?

lookup('uwsgi::app').each | $app, $app_params | { file { $app: * => $app_params } }

keys()

lookup('uwsgi::app').each | $app, $app_params | { file { $app: * => $app_params } }

Cпасибо)