Предыдущий пост серии – Ansible: миграция RTFM 2.8 – logrotate, unattended-upgrades и Let’s Encrypt для Bastion хоста.
Сейчас Bastion запущен и настроен, сегодня надо выполнить настройку NGINX.
Как и прежние посты этой серии – это скорее заметки для себя по выполненным обновлениям плюс примеры настроек и действий.
План таков:
- обновить роль
commonи добавить монтирование диска для Bastion с данными для NGINX - обновить
nginxроль для копирования и использования конфигов из этого каталога
Ссылки на коммиты файлов, которые получились в результате написания этого поста:
hostsrtfm-blog-ansible-bastion-provision.ymlroles/nginx/templates/nginx.confroles/common/tasks/main.yml
По первому пункту: к Bastion во время создания окружения подключается EBS раздел, который будет содержать конфиги виртуалхостов.
Сейчас этот раздел пустой – ещё ничего не делалось:
/dev/xvdb – вот он.
Вообще хочется на Bastion использовать OpenBSD – люблю я *BSD ещё со времён FreeBSD 6.1, но пока закончить бы с настройкой вообще, а потом уже просто (угу…) обновить роли. Пока на всех хостах будет Debian.
Содержание
Создание раздела на /dev/xvdb
Начнём с диска.
Создаём раздел:
Проверям:
Создаём файловую систему:
Добавляем каталог /data (сейчас вручную, потом это будет выполняться Ansible):
Монтируем раздел:
Проверяем, пока тут ничего:
Ручная настройка NGINX
Создаём каталог для конфигов NGINX:
Перемещаем файл настроек виртуалхоста
Обновляем /etc/nginx/nginx.conf, добавляем этот каталог:
...
gzip on;
gzip_disable "msie6";
include /etc/nginx/conf.d/*.conf;
include /data/data-nginx.d/*.conf;
}
Проверяем, перечитываем конфиги:
Проверяем доступность хоста:
Ansible – разделение хостов
Теперь надо всё это вынести в роли Ansible.
Со времени последнего поста файл hosts немного изменился – добавился DB хост и команда для SSH для доступа к нему через Bastion хост (см. пост Ansible: подключение в приватную сеть через Bastion хост):
[rtfm-bastion-dev] dev.rtfm.co.ua [rtfm-db-dev] db.dev.rtfm.co.ua [rtfm-db-dev:vars] ansible_ssh_common_args='-o ProxyCommand="ssh -W %h:%p -q [email protected] -i {{ host_key }}"'
Теперь пора разделить задачи – часть будет выполняться на всех (logrotate, junattended-upgrades, common), часть – только на Bastion, DB или Services.
Сейчас в Jenkins это выполняется через --limit – --limit=${ansibleHostLimit} (скрипт полностью тут>>>):
...
sh "set +x && ansible-playbook --limit=${ansibleHostLimit} --extra-vars api_key=${AMPLIFY_API_KEY} --private-key=credentials/${ansiblePemFile} ${ansiblePlaybookFile}"
...
Наверно лучше будет сделать отдельные плейбуки для каждого из трёх хостов: в --limit будет передаваться Dev или Production, а в переменной ${ansiblePlaybookFile} – плейбук для Bastion, DB или Services.
Т.е., для выполнения на Dev Bastion – команда будет выглядеть так:
А для Production Bastion – так:
Dev и Prod будут иметь в hosts свои переменные.
И заодно переименуем файл плейбука:
Переменные хостов и монтирование диска
Что бы Ansbile монтировал определённый раздел – в hosts добавим переменную data_volume_id для хоста rtfm-bastion-dev, в которой укажем раздел:
[rtfm-bastion-dev] dev.rtfm.co.ua [rtfm-bastion-dev:vars] data_volume_id="/dev/xvdb1" ...
Каталог для монтирования у всех хостов будет один – /data, поэтому добавим блок [all:vars] в котором определим путь:
[all:vars] data_volume_mount_path="/data" ...
Монтирование раздела можно добавить в роль common, выносим её в начало списка плейбука rtfm-blog-ansible-bastion-provision.yml:
- hosts: all
become:
true
roles:
- role: common
# - role: thefinn93.letsencrypt
# letsencrypt_email: [email protected]
# letsencrypt_cert_domains:
# - "{{ inventory_hostname }}"
# letsencrypt_webroot_path: /var/www/html/
# letsencrypt_renewal_command_args: '--renew-hook "systemctl restart nginx"'
- role: nginx
- role: amplify
...
(с Let’s Encrypt пока не придумал, что делать, т.к. домен будет не один и светить их все в репозитории не хочется – пусть будет закомментирован)
Обновляем роль common, в файл tasks/main.yml добавляем монтирование диска:
- name: Mount data-volume "{{ data_volume_id }}" to "{{ data_volume_mount_path }}"
mount:
path: "{{ data_volume_mount_path }}"
src: "{{ data_volume_id }}"
state: mounted
fstype: ext4
...
Проверяем синтаксис:
На Dev хосте создадим тестовый файлик:
Отмонтируем раздел:
Запускаем выполнение:
Проверяем на хосте:
ОК, всё работает.
Обновление Jenkins
Что бы не забыть – сразу обновим Jenkins.
Сейчас задача одна, называется rtfm-blog-dev-ansible-provision – переименуем в rtfm-blog-bastion-dev-ansible-provision.
Затем обновим ANSIBLE_HOST_LIMIT со старого значения rtfm-dev на rtfm-bastion-dev (как в обновлённом hosts), и обновим имя файла плейбука с rtfm-blog-ansible-provision.yml на rtfm-blog-ansible-bastion-provision.yml:
Наверно – можно сейчас запушить все изменения.
Просмотреть лог красиво можно так:
(нагуглено тут>>>)
Пушим:
И проверяем билд:
Создание каталога /data и обновление роли nginx
Сейчас всё работает, т.к. сервер и каталог уже есть.
Если удалить стек и запустить создание всего с нуля – билд упадёт, т.к. каталога /data на сервере не будет.
На Dev хосте проверяем права на каталог:
Добавляем его создание в ту же роль common, перед монтированием диска:
- name: Create "{{ data_volume_mount_path }}" directory
file:
path: "{{ data_volume_mount_path }}"
state: directory
mode: 0755
recurse: yes
- name: Mount data-volume "{{ data_volume_id }}" to "{{ data_volume_mount_path }}"
mount:
...
В роли nginx меняем путь копирования файлов.
Сейчас задача выглядит так:
...
- name: Add NGINX {{ inventory_hostname }} virtualhost config
template:
src=templates/virtualhosts/{{ inventory_hostname }}.conf
dest=/etc/nginx/conf.d/{{ inventory_hostname }}.conf
...
Меняем dest с /etc/nginx/conf.d/ на {{ data_volume_mount_path }}/data-nginx.d/:
...
- name: Add NGINX {{ inventory_hostname }} virtualhost config
template:
src=templates/virtualhosts/{{ inventory_hostname }}.conf
dest={{ data_volume_mount_path }}/data-nginx.d/{{ inventory_hostname }}.conf
...
Проверяем:
(!810 – повторить из history команд)
Обновляем шаблон roles/nginx/templates/nginx.conf:
...
include /etc/nginx/conf.d/*.conf;
include {{ data_volume_mount_path }}/data-nginx.d/*.conf;
}
Запускаем:
Проверяем:
Ну – вроде всё…
Для полной проверки – удаляем весь CloudFormation стек:
Создаём его заново из Jenkins задачи:
И повторяем Ansible provision:
Проверяем:
Готово – на сегодня хватит 🙂
Что ещё надо сделать на Bastion:
- Let’s Encrypt
- exim config
- hostname config
- before-after reboot notify
- .bashrc, .vimrc
- dnsutils
- simple-backup
