Предыдущий пост серии — Ansible: миграция RTFM 2.8 – logrotate, unattended-upgrades и Let’s Encrypt для Bastion хоста.
Сейчас Bastion запущен и настроен, сегодня надо выполнить настройку NGINX.
Как и прежние посты этой серии — это скорее заметки для себя по выполненным обновлениям плюс примеры настроек и действий.
План таков:
- обновить роль и добавить монтирование диска для Bastion с данными для NGINX
- обновить роль для копирования и использования конфигов из этого каталога
Ссылки на коммиты файлов, которые получились в результате написания этого поста:
По первому пункту: к Bastion во время создания окружения EBS раздел, который будет содержать конфиги виртуалхостов.
Сейчас этот раздел пустой — ещё ничего не делалось:
/dev/xvdb — вот он.
Вообще хочется на Bastion использовать OpenBSD — люблю я *BSD ещё со времён FreeBSD 6.1, но пока закончить бы с настройкой вообще, а потом уже просто (угу…) обновить роли. Пока на всех хостах будет Debian.
Создание раздела на /dev/xvdb
Начнём с диска.
Создаём раздел:
Проверям:
Создаём файловую систему:
Добавляем каталог /data (сейчас вручную, потом это будет выполняться Ansible):
Монтируем раздел:
Проверяем, пока тут ничего:
Ручная настройка NGINX
Создаём каталог для конфигов NGINX:
Перемещаем файл настроек виртуалхоста
Обновляем /etc/nginx/nginx.conf, добавляем этот каталог:
...
gzip on;
gzip_disable "msie6";
include /etc/nginx/conf.d/*.conf;
include /data/data-nginx.d/*.conf;
}
Проверяем, перечитываем конфиги:
Проверяем доступность хоста:
Ansible — разделение хостов
Теперь надо всё это вынести в роли Ansible.
Со времени последнего поста файл hosts немного изменился — добавился DB хост и команда для SSH для доступа к нему через Bastion хост (см. пост Ansible: подключение в приватную сеть через Bastion хост):
[rtfm-bastion-dev]
dev.rtfm.co.ua
[rtfm-db-dev]
db.dev.rtfm.co.ua
[rtfm-db-dev:vars]
ansible_ssh_common_args='-o ProxyCommand="ssh -W %h:%p -q admin@dev.rtfm.co.ua -i {{ host_key }}"'
Теперь пора разделить задачи — часть будет выполняться на всех (logrotate, junattended-upgrades, common), часть — только на Bastion, DB или Services.
Сейчас в Jenkins это выполняется через — --limit=${ansibleHostLimit} (скрипт полностью ):
...
sh "set +x && ansible-playbook --limit=${ansibleHostLimit} --extra-vars api_key=${AMPLIFY_API_KEY} --private-key=credentials/${ansiblePemFile} ${ansiblePlaybookFile}"
...
Наверно лучше будет сделать отдельные плейбуки для каждого из трёх хостов: в --limit будет передаваться Dev или Production, а в переменной ${ansiblePlaybookFile} — плейбук для Bastion, DB или Services.
Т.е., для выполнения на Dev Bastion — команда будет выглядеть так:
А для Production Bastion — так:
Dev и Prod будут иметь в hosts свои переменные.
И заодно переименуем файл плейбука:
Переменные хостов и монтирование диска
Что бы Ansbile монтировал определённый раздел — в hosts добавим переменную data_volume_id для хоста rtfm-bastion-dev, в которой укажем раздел:
[rtfm-bastion-dev] dev.rtfm.co.ua [rtfm-bastion-dev:vars] data_volume_id="/dev/xvdb1" ...
Каталог для монтирования у всех хостов будет один — /data, поэтому добавим блок [all:vars] в котором определим путь:
[all:vars] data_volume_mount_path="/data" ...
Монтирование раздела можно добавить в роль common, выносим её в начало списка плейбука rtfm-blog-ansible-bastion-provision.yml:
- hosts: all
become:
true
roles:
- role: common
# - role: thefinn93.letsencrypt
# letsencrypt_email: notify@domain.kiev.ua
# letsencrypt_cert_domains:
# - "{{ inventory_hostname }}"
# letsencrypt_webroot_path: /var/www/html/
# letsencrypt_renewal_command_args: '--renew-hook "systemctl restart nginx"'
- role: nginx
- role: amplify
...
(с Let’s Encrypt пока не придумал, что делать, т.к. домен будет не один и светить их все в репозитории не хочется — пусть будет закомментирован)
Обновляем роль common, в файл tasks/main.yml добавляем монтирование диска:
- name: Mount data-volume "{{ data_volume_id }}" to "{{ data_volume_mount_path }}"
mount:
path: "{{ data_volume_mount_path }}"
src: "{{ data_volume_id }}"
state: mounted
fstype: ext4
...
Проверяем синтаксис:
На Dev хосте создадим тестовый файлик:
Отмонтируем раздел:
Запускаем выполнение:
Проверяем на хосте:
ОК, всё работает.
Обновление Jenkins
Что бы не забыть — сразу обновим Jenkins.
Сейчас задача одна, называется rtfm-blog-dev-ansible-provision — переименуем в rtfm-blog-bastion-dev-ansible-provision.
Затем обновим ANSIBLE_HOST_LIMIT со старого значения rtfm-dev на rtfm-bastion-dev (как в обновлённом hosts), и обновим имя файла плейбука с rtfm-blog-ansible-provision.yml на rtfm-blog-ansible-bastion-provision.yml:
Наверно — можно сейчас запушить все изменения.
Просмотреть лог красиво можно так:
(нагуглено )
Пушим:
И проверяем билд:
Создание каталога /data и обновление роли nginx
Сейчас всё работает, т.к. сервер и каталог уже есть.
Если удалить стек и запустить создание всего с нуля — билд упадёт, т.к. каталога /data на сервере не будет.
На Dev хосте проверяем права на каталог:
Добавляем его создание в ту же роль common, перед монтированием диска:
- name: Create "{{ data_volume_mount_path }}" directory
file:
path: "{{ data_volume_mount_path }}"
state: directory
mode: 0755
recurse: yes
- name: Mount data-volume "{{ data_volume_id }}" to "{{ data_volume_mount_path }}"
mount:
...
В роли nginx меняем путь копирования файлов.
Сейчас задача выглядит так:
...
- name: Add NGINX {{ inventory_hostname }} virtualhost config
template:
src=templates/virtualhosts/{{ inventory_hostname }}.conf
dest=/etc/nginx/conf.d/{{ inventory_hostname }}.conf
...
Меняем dest с /etc/nginx/conf.d/ на {{ data_volume_mount_path }}/data-nginx.d/:
...
- name: Add NGINX {{ inventory_hostname }} virtualhost config
template:
src=templates/virtualhosts/{{ inventory_hostname }}.conf
dest={{ data_volume_mount_path }}/data-nginx.d/{{ inventory_hostname }}.conf
...
Проверяем:
(!810 — повторить из history команд)
Обновляем шаблон roles/nginx/templates/nginx.conf:
...
include /etc/nginx/conf.d/*.conf;
include {{ data_volume_mount_path }}/data-nginx.d/*.conf;
}
Запускаем:
Проверяем:
Ну — вроде всё…
Для полной проверки — удаляем весь CloudFormation стек:
Создаём его заново из Jenkins задачи:
И повторяем Ansible provision:
Проверяем:
Готово — на сегодня хватит 🙂
Что ещё надо сделать на Bastion:
- Let’s Encrypt
- exim config
- hostname config
- before-after reboot notify
- .bashrc, .vimrc
- dnsutils
- simple-backup