Automatizovaná správa systémov

Dominik Rehák, xrehak2@fi.muni.cz

Prečo?

• s rastúcim počtom rôznych spravovaných systémov je ťažšie udržovať obecné skripty
• popis stavu systému textovými súbormi
  • systém sa týmto sám dokumentuje
  • v spojení s verzovacím systémom dostupná história systému, možnosť vrátiť sa k starším konfiguráciam
• jednoduchá paralelná exekúcia
• možnosť nakonfigurovať systém okamžite po vytvorení inštancie (Vagrant, OpenStack...)

Nástroje

• vo funkcionalite často veľmi podobné
• model server-agent vs agentless
  • server-agent - robustnejší, ale komplikovanejšia počiatočná inštalácia
  • agentless - jednoduchšia inštalácia, nízky/nulový footprint na klientovi, ale je potrebné udržovať aktívne spojenie
• open source, ak nie je uvedené inak
  • proprietárne nástroje často zviazané so špecifickým proprietárnym produktom

CFEngine

• "prvý" nástroj na automatizovanú správu systémov
  • vznik v r. 1993, stále aktívne vyvíjaný
• "konvergentné operátory" - konfigurácia popisuje žiadaný stav systému
• "idempotencia" - opakované spustenia nič nemenia
• portabilita - podporované rôzne UNIXy
• model server-agent
• konfigurácia - vlastný deklaratívny jazyk

Ukážka 1: konfigurácia CFEngine (vytvorenie lokálnych uživateľov)

body common control
{
  inputs => { "$(sys.libdir)/stdlib.cf" };
}

bundle agent main
{
  vars:
  "users" slist => { "adam", "eva" };
  users:
    "$(users)"
    policy => "present",
    home_dir => "/home/$(users)",
    group_primary => "users",
    groups_secondary => { "security", "webadmin" },
    shell => "/bin/bash/",
    home_bundle => setup_home_dir("$(users)");
}

bundle agent setup_home_dir(user)
{
  vars:
    "keys" slist => { "id_rsa", "id_rsa.pub" };
  files:
    "/home/$(user)/." create => "true";
    "/home/$(user)/.ssh/." create => "true";
    "/home/$(user)/.ssh/$(keys)" copy_from => local_cp("/tmp/$(keys)");
}

synctool

• jednoduchý - primárne na synchronizáciu konfiguračných súborov a spúšťanie skriptov
  • skripty v ľubovoľnom jazyku
• bez agenta
• využíva rsync + SSH
• vývoj ukončený v r. 2019 (Python 2)

Puppet

• model server-agent - obojsmerná komunikácia, agent môže bežať ako daemon a udržovať systém v rovnakom stave
• spojenie cez REST API
• konfigurácia - vlastný deklaratívny jazyk
• modulárna štruktúra
  • Puppet Forge - repozitár modulov
• Puppet Enterprise - webové rozhranie (platený produkt)

Ukážka 2: konfigurácia Puppet (pravidlá pre firewall)

class my_firewall::pre {
  Firewall {
    require => undef,
  }
     firewall { '000 accept all icmp':
       proto  => 'icmp',
       action => 'accept',
     }
     firewall { '001 accept all to lo interface':
       proto   => 'all',
       iniface => 'lo',
       action  => 'accept',
     }
     firewall { '002 reject local traffic not on loopback interface':
       iniface     => '! lo',
       proto       => 'all',
       destination => '127.0.0.1/8',
       action      => 'reject',
     }
     firewall { '003 accept related established rules':
       proto  => 'all',
       state  => ['RELATED', 'ESTABLISHED'],
       action => 'accept',
     }
   }

Chef

• server-agent alebo standalone režim
• konfigurácia - vlastný jazyk založený na Ruby

Ansible

• bez agenta (na cieľových systémoch potrebný Python)
• využíva SSH
• konfigurácia - YAML
• modulárna štruktúra
  • Ansible Galaxy - repozitár kolekcií
• Ansible Tower - webové rozhranie (platený produkt)

Proprietárne nástroje

• System Center Configuration Manager (Microsoft)
• Apple Remote Desktop
• Red Hat Satellite
• Landscape (Canonical)
• HP OpenView
• Micro Focus ZENworks (Novell)

Ansible (detailne)

Štruktúra

• inventory
  • súbor s informáciami o spravovaných systémoch
  • v najjednoduchšej forme zoznam FQDN / IP adries (formát INI)
  • cez YAML možné štruktúrovanie a rozdelenie systémov do (pod)skupín
• module
  • modul obsluhujúci jeden konkrétny aspekt systému
  • každý modul má svoju špecifickú konfiguráciou
  • vstavané do Ansiblu, ale je možné napísať a pridať vlastné
• task
  • najmenšia "exekučná jednotka"
  • popisuje jedno spustenie modulu s príslušnou konfiguráciou
• play
  • sekvencia taskov s daným poradím spustenia
• playbook
  • súbor obsahujúci zoznam playov
  • ak jeden z taskov zlyhá, zvyšné sa na danom systéme preskakujú
• collection
  • balík obsahujúci moduly, pluginy, playbooky...
  • distribuovaný cez Ansible Galaxy

Najčastejšie príkazy

ansible(1) - spustí jeden task na zadaných systémoch

• ansible <pattern> [-m <module>] [-a "<module options>"]
  • príklad: ansible all -m ping - paralelne spustí modul ping na všetkých systémoch v inventári a vypíše výsledky
  • -u <user> - pripojí sa ako zadaný užívateľ a spustí modul
  • --become-user <user> - pripojí sa, zmení aktuálneho užívateľa na zadaného a spustí modul
  • -m <module> - modul, ktorý spustiť; implicitne command
  • -a <args> - predá argumenty zadanému modulu; ak nie je uvedený žiadny modul, implicitný modul command ich spustí ako príkaz
  • príklad: ansible all -u root -a "echo ahoj :)" - spustí príkaz echo s argumentmi ahoj :) na všetkých systémoch

ansible-playbook(1) - spustí playbook na zadaných systémoch

• ansible-playbook <playbook> [options]
  • príklad: ansible-playbook playbook.yml -u root

ansible-galaxy(1) - spravuje lokálne kolekcie

• ansible-galaxy collection install [namespace.collection]
  • príklad: ansible-galaxy collection install community.postgresql

Ukážka 3: inventár Ansiblu, formát YAML (/etc/ansible/hosts)

all:  # implicitná skupina, nie je nutné ju definovať
  children:  # definuje podskupiny v skupine
    redhat:
      hosts:  # definuje systémy v skupine
        199.19.225.75:  # IP / FQDN
        209.141.43.37:  # každá položka musí byť slovník - ak treba, aj prázdny (':' na konci)
    debian:
      hosts:
        debian1:  # alias pre IP adresu - môžeme ním v rámci Ansiblu adresovať stroj
          ansible_host: 205.185.115.4
        debian2:
          ansible_host: 205.185.116.236

Ukážka 4: playbook pre uvedený inventár (playbook.yml)

- name: Prologue  # názov "playu" - jednej sekvencie taskov v playbooku
  hosts: all
  tasks:
  - name: Greet  # názov tasku
    command: echo ahoj :)  # modul, ktorý sa spustí a jeho argumenty
  # command v playbookoch sám o sebe nevypíše nič
  # ak nutne potrebujeme vidieť výstup, je treba uložiť si ho do premennej...
  - name: Get the time
    command: date
    register: date
  # ...a z tej vybrať štandartný výstup a vypísať ho modulom "debug"
  - name: Tell the time
    debug:
      var: date.stdout

- name: RedHat
  hosts: redhat  # spustí play iba na systémoch v skupine "redhat"
  tasks:
  - name: Update all packages
    dnf:
      name: "*"  # ekvivalent `dnf -y update`
      state: latest
  - name: Ensure EPEL is installed
    dnf:
      name: epel-release
      state: present  # ak balík nie je nainštalovaný, pokúsi sa ho nainštalovať

- name: Debian
  hosts: debian
  tasks:
  - name: Update all packages
    apt:
      update_cache: yes  # nie je default
      name: "*"  # ekvivalent `apt-get update`
      state: latest

- name: Services
  hosts: all
  tasks:
  - name: Ensure cups is installed
  # package je všeobecný wrapper nad špecializovanejšími modulmi (apt, dnf, pacman...)
  # v porovnaní s nimi vie oveľa menej, prakticky len nainštalovať/odstrániť balíky
    package:
      name: cups
      state: present  # ak balík nie je nainštalovaný, pokúsi sa ho nainštalovať
  - name: Ensure cups is running
    systemd:
      name: cups
      state: started

Použité zdroje a užitočná dokumentácia

• CFEngine
  • Wikipedia (en)
  • Manage local users (ukážka 1)
• synctool
  • oficiálne stránky
  • dokumentácia
• Puppet
  • Wikipedia (en)
  • dokumentácia
    • Manage firewall rules (ukážka 2)
• Chef
  • Wikipedia (en)
• Ansible
  • How Ansible Works
  • User Guide
    • How to build your inventory
    • Patterns: targeting hosts and groups
    • Index of all Modules