в итоге так ни к чему не пришли

надо кроном делать

день прошел, но как делать бекап правильно или лучше, так и не решил

это я понял. 1) cron, ansible, запуск backup_container который сделает dump и запушет на s3 bucket.

1) запускатся раз в сутки cron таск для ansible 2) ansible коннектится к каждому серверу и запускает ток 1-одну таску, запускает он просто backup_container. А так же перебрасывает временный доступ, для s3 bucket в этот контейнер, без которого он не сможет получить к нему доступа. 3) контейнер делает dump базы при помощи xtrabackup 4) заливает dump на s3

------

можно без всего этого, но тогда с prod servera, можно будет коннектится ко всем бекапам на моем бакете (но только к тем, которые пренадлежат этому сайту).

поэтому я и решил через ansible это запускать и опрокидывать доступ временный к s3, на прод сервер

да нормальная схема

какая именно, это то что с ansible?

или которая без

вот еще думаю, как мне делать notify, в случаи если письмо или log, окажется с ошибкой. new relic не пользовался я только слышал про него.

new relic, мне казалось что он платный

да есть халявный план

правда что он из себя представляет я не згнаю

и что он может

Grep error && curl api.telegram.org

он тут сейчас не очень актуален

Привет

Нахер те почта 2017й год на дворе

я не знаю, я спрашиваю советов как это лучше сделать

сделай крон таску которая запустит ансибл, который сделает сбор бэкапов и зальет куда надо.

лучше - через jenkins, но ты ведь не хочешь

колхозно - как я предложил

стоп стоп, а зачем ansible собирать все бекапы, если я могу залить бекапы прямо с prod на s3.

"у меня просто все на gitlab" "надо копировать базы данных" почему-то ржал в полтретьего ночи, чуть соседей не перебудил :)

все равно мне надо делать dump

это уже нюансы)

так что там с почтой

отбились от темы этой

у тебя две абстракци - 1) запустить ансибл, 2) сделать логи

для собирания логов пишешь плэйбук, для запуска плэйбука делаешь таску в кроне

с почтой щас пацаны не шкварятся. чатботы, хипстота, мессенджеры :)

я не знаю как еще проще

порядок не понятен, когда что делает

отдельный плейбук для сборки логов?

у тебя бэкап сервер ходит по нодам и забирает дампы, а потом заливает их в s3, верно?

ничего он не собирает, в этом нет смысла. он прямо с prod заливает на s3 bucket. --- backup server -> просто отправляет данные с доступом, на prod, чтоб он смог залить на s3.

но можно и собирать бекапы, но это еще больше операций

доступ на s3, у prod есть только когда, backup сервер коннектиться к prod серверу по ssh

чот я завис

просто я думаю что если я буду собирать бекапы, это будет еще медленее

как это блять работает?)

=================

смотри давай еще раз попробую, може я накосячил где.

стой стой

в ansible же есть ansible-vault

да

я могу отправить доступ к s3 в окружение контейнера

а как у тебя сделано так, что доступ от прода до s3 появляется когда бэкап зашел по ssh?

через iptables?

плюс какие-то скрипты?

пока не придумал, ssh там же нет у s3. тогда только перекидывать доступы, которые будут хранится в ansible-vault

так бы я агента мог перенаправить, если был бы ssh

SSH Agent Forwarding

в s3 же нет возможности сделать ssh? ведь так

один бэкап-сервер и кучка прод-серверов?

я не работал с s3

да, мне же надо ток запустить комманду, чтоб backup_container сделал свое дело.

но вообще после я хотел, чтоб он с s3 выкачивал бекапы куда-нибудь еще

мне все элементарно видится. на бэкап сервере по крону запускается ансибл, который пробегает по всему списку прод-серверов и запускает там пуш файла на s3

ключи, пароли передаются из плэйбука

да

типо того

ну и все

сам прод по сути пушит, тогда мне не придется выкачивать бекапы к себе

после завершения работы, контейнер отключается

ERROR: S client not available

ну ты же не хочешь проду отдавать ключи до s3?

не хочу

отдавай их бэкап-сервером через ансибл и все

я так и хотел, просто я не уверен делают ли подобное.

хотел удостовериться

желание на самом деле странное, но реализуемое

мне казалось что это проще

видимо есть причины не отдавать ключи проду

мне кажется*

ну мало ли роот доступ кто-то получит, чтоб бекапы не затерли мне

у тебя по сути ансибл с бэкапа будет ходить по ssh на прод-ноды и запускать там команду пуша на s3

да

по поводу почту или систему какую-нибудь, которая может поставить меня в известность что случилась ошибка. как-то можно сделать? --- мне этот момент не очень понятен. мы вначале думали через почту делать, теперь я так понял это уже не актуально. ---

@namelessmatt

может быть отдельное устройство или телефон, на который будут приходить все уведомления с ошибками?

а выхлоп выполнения плэйбука на почту не пойдет?

так плейбук просто запустит docker container

а что в контейнере будет он не узнает

можно на почту, но я просто не понял, то на почту норм идея, то не очень

допустим на почту cron будет отсылать.

то как мне получить уведомления, если среди писем будет ошибка

плейбук пойдет на ноду, и запустит там контейнер. если итерация не отработает, это зафиксируется в выхлопе

никак

только открыть письмо и глянуть выхлоп

это самое простое решение для уведомлений, ты же не хочешь джэнкинс

но можно в ансибле-плэйбуке обрабатывать эти события и слать почту им

вот поэтому и нужен дженкинс, который будет сам ловить фейлы

говорят же человеку, как сделать, а он костыли сидит выдумывает

ы

самое забавное, что скорее всего он еще из этого ничего не будет делать

так я же спрашивал про jenkins

а так, зашел почесать