Крик души

Попробуй ещё раз. Насколько я помню, у puppet отличная документация

В дополнение к сказанному, эта технология ещё и полудохлая.

Ну сейчас актуальнее ansible. Но неосиляторам везде сложно

А что такое этот puppet? Очевидно, он никому не нужен, зачем ты ковыряешься в фекалиях?

Один наш заказчик использует и нахваливает, мол, просто работает, и всё тут.

Я так понял, утилита для работы с PDF.

https://ru.wikipedia.org/wiki/Puppet может быть

У паппета принципиально иной подход к деплою чем у ансибла, более event-driven, что ли. Это контрастирует с прижившимися практиками CI/CD и вызывает диссонанс у утят.

С доками вроде было неплохо. Нужно больше практических примеров и меньше эмоций в ОП, чтобы говорить более предметно.

первым я изучил ансибл. Боженька ты мой, какие светлые воспоминания. Всё логично, стройно и подробнейшим образом расписано.

омг. попробуй NixOS

система управления конфигурациями, конкурент ансибла, проигрывающий ему вчистую

Он просто работает если настроил.

[долгое описание секса с мертвой стюардессой]
Я кончил.

Аминь.

Puppet это довольно интересный хотя и не самый редкий случай в IT, когда каждое конкретное проектное решение имеет смысл, оно мне в общем-то нравится, я понимаю идею и согласен с ней, а всё вместе — такое дерьмище, что даже трёхметровой палкой его тыкать не хочется.

лорчую, закапывай. Где мой 2008й с этим папетом.

Встречал мнение, что до определённого уровня сложности, лезть дальше ансибла лишено всякого смысла.

У puppet есть только 1 плюс - скорость. Стандартная обвязка sshd+fail2ban+apt+nrpe , раскинуть конфиги и передернуть службы у puppet занимает 10с, у Ansible 30s.
И это ничего не устанавливая в apt, только проверка графов.

Я кончил.

Не забудь вытереть за собой и помыть писюн.

По сабжу: для больших инфраструктур одна из лучших технологий, какие есть. По моему мнению - лучшая, но это уже больше спор о вкусах.

Похоже, ты просто не осилил. И да, на вайтишечных курсах такому не учат, т.к. у вайтишников нет базы для понимания того, что это вообще такое и как его готовить.

┌─[15:59][leave][puppet] 
└╼ find modules/ -type f |wc -l
18177

┌─[15:59][leave][hiera] 
└╼ find node/ -type f |wc -l
5470

гыгы. Но он реально сложный, тут не поспоришь.

Вот вышла версия паппета номер 2 и там появилась функция А - окей, авторы описали эту функцию в доке к верссии 2. Затем вышла версия паппет номер 3 - и в документации к верссии 3 будет только функция Б, функция А останется в доках ко второй версии. И приходится постоянно прыгать между версиями, а их на минуточку 7 и промежуточные релизы.

Так это же в любом Линуксе так, чего ты удивляешься?

А,блин, ты про систему оркестрации...

Аксиома Эскобара: https://klink0v.livejournal.com/710645.html

Советую NixOS, да.

Да, именно на скорость мне и указали в моей текущей команде. Насчёт ансибля сказали «делает 4 соединения для любого и каждого применения».

Советую NixOS, да.

А GUIX ?

Что там про остальные Chef, Salt, etc. ?

Про остальное ничего не сказали.

Это ты еще шеф не тролал... а так... всё говно, включая ансиблю...

Соль слегка получше всего остального, но тоже легаси говнище.

Шеф - вынос мозга, Паппет не особо retrocompatible, у обоих свой галимый синтакс.

Ансибля хренова тем, что нихрена не скалиться, даже если вбухать бабла в ансиблю товер, потому что оно не мастер-клиент, а односторонний пуш. Если серваки измеряются в сотнях, то еще терпимо, если в тысячах, ансибля слишком медленная и не тянет стандарты безопасности.

Для SoC2 и прочего, даже с товером, оно хреново, потому что любое изменение файла не видно «мастером», а плейбуки для enforcement, запускаются по расписанию, тоесть у кулхацкера дофига времени поиметь контору, что недопустимо для SoC2.

Соль хороша тем, что если знаешь ансиблю, то можешь читать соль. Интеграция для AWS там писана башевым сисадмином и они не вкуривают, что кому-то пожет понадобится больше одного AWS аккаунта, без поддержки мустера или мультимастера на аккаунт. Тоесть, что бы один мультимастер правил всем.

Так же их саппорт не может вкурить, почему гит ветка для дева, ветка для прода, ветка для стейджа и т.д., не есть хорошо и почему лучше использовать гит теги для деплоя на разные кластера... Ну и то как они советуют организовывать солевой код у меня лично вызывает спонтанную блевоту и геморой.

Щас их ещё Вмварь купил и все более менее нормальные инжЫЫЫнеры свалили в закат. Вмварьский саппорт не может вкурить банальные темплейты и прочие слс и заставляют ждать «эскалейшн» до менее тупого «инжЫнера».

Если выбирать между ансиблей товер, паппетом, шефом и солью, соль самая менее геморойная, но оно взлетит только если вместо «костылей» умеешь запиливать «моторизированные инвалидные коляски» потому что многие солевые фичи запиленны искренне через жопу, людьми с частичным или полным отсутствием головного мозга, застрявшими в прошлом 10 лет назад.

Если у тебя один акк в клауде и одна «бизнес линия», дефолт может и прокатит.

Если же от 1к серваков, несколько разных бизнес линий и всё это должно рулиться одним кодом, а не веткой гита на каждое окружение каждой бизнес линии, то нужно серьезно включать мозгу и перепиливать их хрень. В общем, питон тебе в руки, если хочешь пользоваться солью.

ЗЫ: у меня был полный доступ к «высшей линии сапорта для продакшена, 24х7». Челы реально застряли в прошлом лет так 10 назад.

Ансибля хренова тем, что нихрена не скалиться, даже если вбухать бабла в ансиблю товер, потому что оно не мастер-клиент, а односторонний пуш. Если серваки измеряются в сотнях, то еще терпимо, если в тысячах, ансибля слишком медленная и не тянет стандарты безопасности.

Не помогает даже если есть несколько нод ansible tower ?

Для SoC2 и прочего, даже с товером, оно хреново, потому что любое изменение файла не видно «мастером», а плейбуки для enforcement, запускаются по расписанию, тоесть у кулхацкера дофига времени поиметь контору, что недопустимо для SoC2.

Так у puppet вроде также по расписанию, агент тащит изменения с сервера

а еще ансибля жрет ЦПУ. Попробуй запушить на 20 серваков в параллели и проверь htop. В то же время puppetmaster пережевывает 200 серваков и не жужжит. А еще в puppetmaster можно прикрутить nginx cache для отдачи статики. Ансибля же считает md5 каждый раз при пуше.

Когда я тыкал палочкой в ансибл, а было это с год назад, документация была организована не удобно, поиск по ней только через гугл, приходилось ковырять найденные на гитхабе примеры того как люди делают примерно то, что мне нужно

Не помогает даже если есть несколько нод ansible tower ?

Не помогает, потому что для каждого телодвижения надо открыть ссш соединение, считать что там на серваке происходит, а потом принять решение пропустить или профискить. Это всё долго.

У соли миньон знает когда что изменилось и ему не нужно лишних телодвижений, что бы знать, что менять. Так же миньон кеширует слс («плейбук») от мастера и если нет изменений кода в слс, быстро деплоит, потому что вся инфа уже есть локально, её не надо пересылать через ссш.

Так же на товер ноде есть лимит на соединения ссш. Если у тебя больше 100-200 серваков, это мега геморой. Тебе там еще про загрузку проца написали, ещё один минус изза чего оно плохо скалится.

Так у puppet вроде также по расписанию, агент тащит изменения с сервера

Всё у чего есть клиент, намного быстрее безклиентовой версии, потому что у клиента вся инфа есть локально. Плюс клиенты работают через свой протокол, это быстрее, чем ссш.

ЗЫ: в соли есть всякие реакторы с беконами, так что если миньон сдох, мой мастер его рестартанет через ссш. В случае с ансиблей, если отвалился ссш, ты теряешь контроль над серваком. В случае с клиентом, ты может рестартануть клиент через ссш или профискить ссш через клиент.

Приятно было читать кого-то, кто видел прод. Правда тема паппета у тебя совсем не раскрыта - но это, видимо, потому, что тебе он всьерьез не попадался.

А ансибл вполне тебе гут как вспомогательная тулза при наличии паппета, им удобно автомейшн простой скриптовать, пускаемый с того же дженкинса, для которого лень отдельные скрипты писать.

С паппетом работала давно и недолго. Помню что оно не ретро-компатибль и что я задолбалась писать какой-то там модуль для АДа.

А ансибл вполне тебе гут как вспомогательная тулза при наличии паппета, им удобно автомейшн простой скриптовать, пускаемый с того же дженкинса, для которого лень отдельные скрипты писать.

ИМХО, тут неправильно всё. У тебя 3 тулзы, которые надо поддерживать и нет single source of truth. Плюс дженкинс чем-то тоже надо деплоить, добавляем 4ю тулзу... не ручками же его поднимать... фи...

Если у тебя неправильный конфиг, то как минимум 2 места, где может быть косяк. Если оно затемплейтено, это двойная работа ковыряния кода.

В случае с солью, у меня один репозиторий, если шось криво встало, одно место, где надо копать. Поддерживать надо 2 тулзы - соль и террафом. Телодвижение для деплоя соли только одно - запустить терраформ...

...что меня тоже бесит, потому что если соль упала, оно должно самоуничтожится и задеплоится без участвования жалких кожаных мешков... но что поделать, у меня поменялось начальство + я ушла в декрет и правильно допилить не получилось...

Когда терраформ кончил, соль авто-деплоится через юзер дату (что для мастера, что для миньонов). В случае деплоя мастера дальше идет какая-то магия с ДНС, поэтому клиенты автоматом подключаются к новой соли, не заметив, что она новая.

Аутентикация клиентов не автоаксепт, что-то что-то параметр стор + КМС в Амазоне... самописное правда.

В твоем случае, что бы что-то задеплоить, надо использовать паппет, ансиблю и дженкинс. Тоесть мой деплой, от силы 5 минут моего внимания и дальше я на серваках нифига не делаю. Иногда добавляю что-то в код, когда админы просят. В твоем случае, тебе надо тыкать в разные кнопочки в разных ситуациях, это слишком много телодвижений. Патчится оно тоже само, правда не в проде (смотреть выше про начальство и декрет), так что 99% админской работы по инфраструктуре - автоматизировано.

А Дженкинс - фу... не срослось у меня с ним... там кликать надо, а если что-то отвалилось, траблшутить геморой.

ИМХО, тут неправильно всё. У тебя 3 тулзы, которые надо поддерживать и нет single source of truth. Плюс дженкинс чем-то тоже надо деплоить, добавляем 4ю тулзу… не ручками же его поднимать… фи…

Single source of truth - git, в том числе для терраформа, паппета и ансибла. Дженкинс паппетом поднимается. Ансибл существует только в виде плейбуков, используемых там, где скрипт ваять - слишком. И да, женя - JasC. Много всего (больше, чем перечислил), но насчёт single source of truth ты не права.

Почему? У тебя как минимум 2 репы, для паппета и для ансибля, тоесть 2 source of truth.

Почему? У тебя как минимум 2 репы, для паппета и для ансибля, тоесть 2 source of truth.

Хотя бы потому, что ты не разобралась (ну, я и не пытался тебе это обьяснить, тащемта), как, что и для чего используется, а ты уже - «все говно». Некрасиво, ну.

Что касается деплоя, то он в общем случае проводится изменением тэга с версией.

как, что и для чего используется, а ты уже - «все говно».

Ну... мой сетап соли тоже говно. Всё говно, потому что оно всё легаси, даже с наикрасивейшими костылями, крашенными в любимый оттенок розового, самыми гламурными соплями :D

Но да, меня коробит, когда 2 разные системы автоматизации что-то делают на одном серваке. Это как-бэ намекает на порочность автоматизации. Автоматизация должна быть идеальна.

В идеале, всегда можно запихать рандомный скрипт на мастер и поставить его на реактор (хз есть ли он в паппете) или расписание и в этом случае, дженкинс с ансиблей - лишние.

меня коробит, когда 2 разные системы автоматизации что-то делают на одном серваке

А они и не делают. Серваки менеджатся только паппетом. Если тебе так уж интересно, ансибл используется локально на слейвах жени.

Автоматизация должна быть идеальна.

Идеальность автоматизации измеряется кодифицированностью и покрытием. Всё остальное - от лукавого.

Зачем тебе Женя то?

Идеальность автоматизации измеряется кодифицированностью и покрытием. Всё остальное - от лукавого.

Ты забыл про качество размазанного по сервакам кода :3

To make a mistake is human. To propagate an error to all systems automatically is DevOps.

А Guix не советую.

А Guix не советую.

Почему? Чем он хуже NixOS, если устраивает пакетная база Libre?

А в расчёт покрытия входит покрытие тестов тестами?

1. В плане фич системы сборки практически одинаковые, т.к. guix это буквально форк nix
2. Нужно знать схему, это не «json с функциями» как nix lang, который при желании можно изучить за час, а при нежелании спокойно копипастить
3. Выше порог входа для контрибуций
4. Меньше репа, nixpkgs же в принципе самый большой
5. Не работает из коробки на реальном железе
6. Околонулевая популярность из-за вышеперечисленного

Зачем тебе Женя то?

Для запуска релизов у девопсов (тэг - финальная операция, собственно сам релиз, а женя занимается pre-flight checks), ну а лично мне - например, для апгрейда нижележащих сервисов вроде кафки и измирала без даунтайма. Ну и провижнинг онпрема, конечно.

У нас очень много железа и повторяемость провижнинга до моего проихода была большой головной болью. Я планомерно иду к тому, чтобы также тэгом на серийный номер можно было запустить весь процесс, уже пару итераций осталось.

провижнинг онпрема
много железа

Тогда молчу. Онпрем тот ещё геморой, который я уже много лет не трогаю.

У меня GUIX работает основной системой на домашнем компе. Доволен, всё работает, жрать не просит, возможность откатиться на предыдущую версию программы однажды пригодилась. Опыта промышленной эксплуатации не имею.

Нужно знать схему, это не «json с функциями» как nix lang, который при желании можно изучить за час

Неправда ваша, схема, на том уровне, который здесь нужен, за тот же час и учится.

Тогда молчу. Онпрем тот ещё геморой, который я уже много лет не трогаю.

Вот и наши девопсы благодаря мне - уже не трогают, всё за них пайплайн делает. Но так как у нас прод - latency critical (SLA 120ms) - то облачка идут нервно курить в сторонке. Ну и дороже они получаются от 2 до 4 раз в зависимости от того, перепилить под нейтив или оставить как есть.

Ну и дороже они получаются от 2 до 4 раз

А облака вообще не имеет смысла использовать, если от них требуется только автоматизация создания виртуалок. Полагаю, тут надо действовать по принципу «всё или ничего». Так что если влазить в эту отрасль, то сразу завязываться на все технологии, что они могут предоставить. И тогда уже деньги совсем по другом считать приходится.

Согласен. Ну а в нашем случае - очень дорого и очень медленно.

уже не трогают, всё за них пайплайн делает

В смысле девопсы не использовали пайплайны?...

latency critical (SLA 120ms) - то облачка идут нервно курить в сторонке.

У нас тоже всякие SLA, AWS норм если по регионам нормально распределять.

Ну и дороже они получаются от 2 до 4 раз в зависимости от того, перепилить под нейтив или оставить как есть.

Смотря как впиливать продукт в облака. Если так же, как и онпрем, смысла нет. Видела как админы пихают ДБ в ec2 и прочие извращения. В общем, при правильнов впихе всё норм... если у вас там какой нибудь Чебурашки нет и прочих «СеверноКорейноКитайских» ограничений.

У меня GUIX работает основной системой на домашнем компе. Доволен, всё работает, жрать не просит, возможность откатиться на предыдущую версию программы однажды пригодилась. Опыта промышленной эксплуатации не имею.

Btw., откатиться можно на любом дистре с помощью zfs rollback.

Не работает из коробки на реальном железе

От железа же зависит, вот у меня к примеру, Devuan c Libre ядром:

uname -a
Linux workstation 4.19.197-gnu #1.0 SMP Tue Sep 27 12:35:59 EST 1983 x86_64 GNU/Linux

Почему-то работает?