Ansible to rule the world

by Aitzol Naberan

Our systems background

2001 ~ 2005: 3 shared servers
2005 ~ 2009: n VPS
2009 ~ today: m physical servers (20 < m < 30)
today ~ : ∞ cloud servers

Hasiera batean gertuko hosting enpresa batekin akordioa genuen. 3 zerbitzari asignatu ziguten eta guk bertan zope aplikazioak jartzen genituen Garai horretan ez genuen sysadmin lanik egiten. Bezeroek hostina kontratatzen zuten, eta guk aplikazioa online jarri
Gure beharrak handitu ahala eredu hau motz geratu zitzaigun (fakturazioan deskontrola, instalazioak isolatzeko lanak,...) Beste zerbaiten bila hasi eta Zettai (beranduago HighSpeedRails) izeneko EEBBtako enpresa bat aurkitu genuen. FreeBSDn oinarrtutako VPSak eskaintzen zizkiguten. VPS hauetan aurrekonfiguratutako Zope instantzia bat ematen ziguten, eta guk bertan sareratzen genituen gure garapenak. Garai horretan dagoeneko Plone garatzen hasiak ginen. Python/Zope/Plone hostatzeak eskaintzen espezializatutako hornitzaile bat, garapenaz besterik ez ginen arduratu behar BAPO!!
Pozik ginen, baina 2009an HSReko burua negozio horretaz aspertu eta enpresa itxiko zuela iragarri zuen.
Momentu horretan ez geneukan antzerako alternatibarik eta gure bezeroei hostina guk ekaintzea erabaki genuen.
Honetarako zerbitzari fisikoak erosten hasi ginen Dinahosting enpresa Galiziarrean. Oraindik zerbitzari birtualak eta antzerako enparauak ez ziren gaur beste ikusten, eta VPS askotan gure stack-a instalatzeko arazoak aurkitzen genituen.
Eta naiz eta ez izan gure lan ildo nagusia hosting enpresa batek egiten dituen lanak egiten hasi behar izan ginen: zerbitzariak prestatu, segurtasun kopiak, zerbitzu konfigurazioak,...
Google docs batean instalazio prozedurak dokumentatzen hasi ginen, baina guztia eskuz egiten genuen. Esku lan honek ezagutuko dituzuen arazoak dauzka, erroreak egiteko aukera handia, arazoren baten aurrean oso mugimendu aukera murritzak, toki askotan egin beharreko lan errepikakorretan zerbait egin gabe geratzeko aukera...
zerbitzari fisikoak momentu konkretu batean hartu beharreko erabakia izan ziren, baina bare-metalak baditu arazoak eta beti egon izan gara beste ereduei begira. Cloud ereduei gehienbat. Dena dela, ekonomikoki alternatibarik ez genuen aurkitzen, bezero txiki asko dauzkagu (ez proiektu erraldoi bat) eta horrelako kasuetan amazonen AWSren prezioek adibidez, bataz beste zerbitzari dedikatu batean eskaini genezakeena bikoizten zuten (AWSko kalkuluak ondo egin ezkero behintzat, ze nahiko lan...)
Backup eta zerbitzarietako HW arazo batzuen ondoren, ni ez nengoen gustora zerbitzari fisikoekin. Eta beste hornitzaile batzuk frogatzeari ekn genion, eta frogatu genituenen artean DigitalOcean izan zen gehien gustatu zitzaiguna, prezio onean eta guretzako eskala egokian eskaintzen zizkiguten SSD diskodun zerbitzariak. Hortaz pasa den urte hasieran edo oraindik martxan den migrazioa hasi genuen.

But...

This was meant to be a nightmare

Motzean esanda - bezero asko dauzkagu - +/- guk partizionatutako 30 zerbitzari izatera heldu gara - Migrazioa bukatzean bezero bakotzak bere zerbitzaritxoa izango du Egoera honetan ezinezkoa da eskuz aritzea zerbitzariak prestatzen. Automatizazioa derrigorrezkoa da, ez bakarrik instalazioan,baita ere konfigurazioetan (ssh gakoak, sistema eguneraketak, prozesu berrien ezarpenak...) ADB, migrazio honekin hasi baino lehen lankide baten ssh gakoa eguneratu beharra izan genuen, eta zerbitzariz zerbitzari, banan banan egin behar izan genuen. Prozesuak automatizatu behar genituela argi zegoen.

Automate, ok...

but WHAT to automate?

Application deployment

zc.buildout, fabric, ...

Already achieved

Gure garapenen sareratze automatizazioa nahiko landua geneukan dagoeneko. Buildout izeneko tresna bat erabiltzen dugu gure proiektu guztietan, honetaz gain zenbait kasu konkretuetan fabric ere erabili izan dugu. Tresna hauekin proiektuaren ingurune errepikakorrak lortzen ditugu (kode bertsioak, instalzio path-ak, ...)
Ezagutzen ez duzuenontzako zc.buildout edozein motako aplikazioren instalzioa automatizatzeko tresna da. Konfigurazioa fitxategi orokor batean eta errezeta deitzen diren python script-etabn oinarritzen da. Pycones 2014 aurkezpena
fabric aldiz sistema mailako lanak burutzeko python liburutegia da. Nolabait biak lan berdinetarako erabil daitezke, guk bien konbinazio bat darabilgu

Our needs

Server provisioning
Configuration update/change

Ansible to the rescue

Ansible

Ansible is a radically simple IT automation engine that automates cloud provisioning, configuration management, application deployment, intra-service orchestration, and many other IT needs.

Ansible

Write a YAML file
Run it
Everything done

Ansible example


---
- hosts: all
  tasks:
    - name: Add user setlem
      user: name=setlem state=present shell=/bin/bash

    - name: Ensure additional packages via apt
      apt: pkg=nginx state=present

Extending ansible: Ansible galaxy

pypi for ansible
Roles for almost anything: package configuration, application deployment, swap files, exim configuration, ...

Our ansible setup

We ended having 5 main configuration files for our servers:

Common setup
Setup for Plone project
Setup for Django projects (Common + Mysql)
Setup for WordPress projects (Common - nginx + Apache + PHP + Mysql)
apt package update (we use Debian)

Our first time

After some tests, we run it on production
4 servers with special firewall rules
10 servers with old ssh keys
n incorrectly configured exim mail servers

Dynamic inventories

Dynamic list of hosts
No need to keep a stone-writen list of hosts
Everything automated

One of the drawbacks of ansible is that we need to keep an updated "hosts" file, that says which are our servers.
Fortunately, ansible has an option to use the so called "dynamic inventories" that are no more than python scripts which provide ansible the list of hosts where it needs to run things.
For instance we have a script that connects to Digital Oceans' API and gets the IP addresses of our servers, so we do not need to keep un updated-everyday-growing list of servers.
It is just a python script, so you can do it for whichever provider you use (there are premade scripts for mayor Cloud providers)
So we even get one step ahead: we even automated the list of servers.

Current status

We create all our servers using Ansible
We regularly run Ansible to ensure that nobody has changed the configuration
We keep updating our Ansible config file to address a few glitches

(small) Problems

Server specific setups
Different firewall rules
Domain-dependant mailserver configuration
Project specific requirements

We also faced some problems, where we needed to keep some specific configuration in a given server.
At first we faced the firewall issue, and we fixed it writing a "file exists check" (if there is a specific-named file, upload it; otherwise upload the generic one).
To fix mail-server configuration, we wrote a role that makes a DNS check and writes a configuration file THIS IS PYTHON!!
Although you try to deploy equal servers, you will always have, at least in our kind of projects and clients, different configurations
You have to live with it.

Future developments

Automate Plone hotfix installing
Automate django deployments
Automate nginx configuration
Autocontained projects: server setup + application deployment (DevOps culture)

Ansible to rule the world

Our systems background

But...

Application deployment

Our needs

Ansible to the rescue

Ansible

Ansible

Ansible example

Extending ansible: Ansible galaxy

Our ansible setup

Our first time

Dynamic inventories

Current status

(small) Problems

Future developments

Q & A