Not So Frequently Asked Questions

Continuem amb la ratxa dels posts de rundeck. Vam veure al post anterior com moure el rundeck d’un servidor a un altre, i vam veure que son uns quants fitxerets que s’han de tocar (les claus ssh, la configuracio del rundeck, la definició dels projectes, la definició dels jobs…). Doncs aprofitant aquella informació, i per ajudar en les tasques de backup, he creat un shell-script que s’encarrega de gestionar les còpies de seguretat de rundeck, tant el backup com el restore. El podreu trobar a github: https://github.com/ersiko/rundeck-backup i aqui mateix a la pàgina del projecte rundeck-backup

El funcionament es ben fàcil. Per fer un backup, tan sols s’ha de fer:

[[email protected] ~]# ./rundeck-backup.sh backup rundeck.tar.gz
OK - backup finished successfully using /root/rundeck-backup.tar.gz


Si no posem res, el backup es guardarà amb la data del dia:

[[email protected] ~]# ./rundeck-backup.sh backup
OK - backup finished successfully using /root/rundeck-backup-20130327.tar.gz


I per restaurar, tan fàcil com:

[[email protected] ~]# ./rundeck-backup.sh restore
Rundeck service is not running, so jobs can't be restored. Do you want to start rundeck? (y/N) y
S'està iniciant el rundeckd: [ FET ]
OK - restore finished successfully using /root/rundeck-backup-20130327.tar.gz


També té altres opcions per cobrir totes les circumstàncies que se m’han acudit:

[[email protected] ~]# ./rundeck-backup.sh -h
rundeck_backup - v1.00
Copyleft (c) 2013 Tomàs Núñez Lirola under GPL License
This script deals with rundeck backup/recovery.

I estaria be conserver el fitxer “know_hosts” de l’usuari rundeck:

cp getent passwd rundeck|cut -d":" -f6/.ssh/known_hosts rundeck-backup

for project in rundeck-backup/projects/*;do cp grep project.ssh-keypath $project/etc/project.properties|cut -d"=" -f 2 $project;done


I per extreure de la base de dades la definicio dels jobs, haurem de fer una crida rd-jobs list per cadascun dels projectes, exportant així la definició xml:


for project in rundeck-backup/projects/*;do rd-jobs list -f rundeck-backup/basename $project.xml -p basename $project;done


Amb això tenim un backup complet de la nostra instal·lació. Ara enviem aquest directori rundeck-backup al servidor destí (si, obvi, pero ho poso també :P)

scp -r rundeck-backup [email protected]:.


I ara ens connectem al nou servidor. Donem per suposat que al nou servidor tenim rundeck instal·lat (i si no, en un post anterior vam parlar de com fer-ho), per tant l’únic que haurem de fer es distribuir els fitxers on toca. Primer les claus:


for project in rundeck-backup/projects/*;do filename=grep project.ssh-keypath $project/etc/project.properties|cut -d"=" -f 2;cp $project/basename $filename $filename;done


I després la resta de fitxers

cp -a rundeck-backup/rundeck/ /etc/
cp -a rundeck-backup/projects/ /var/rundeck/
cp -a rundeck-backup/logs/ /var/lib/rundeck/
cp rundeck-backup/known_hosts getent passwd rundeck|cut -d":" -f6/.ssh/known_hosts

Amb això ja tindrem la configuració del rundeck i la definició dels projectes, pero faltaran els jobs. Recordem que al servidor antic també s’estan executant, i no volem que s’executin als dos servidors alhora. Tampoc no volem deshabilitar-los al servidor antic fins que no estem segurs que està tot correcte al servidor nou, perquè no volem que cap d’ells es quedi sense executar. Per aconseguir les dues coses farem que els jobs simulin la seva execució, pero realmente no executin res. Això es fa canviant el valor service.NodeExecutor.default.provider del fitxer /var/rundeck/projects/$PROJECT/etc/project.properties, de jsch-ssh a stub. En una sola línia seria:

sed /var/rundeck/projects/*/etc/project.properties -e 's/jsch-ssh/stub/g' -i

Amb això ja estem segurs que el servidor nou no executarà res fins que nosaltres volguem. Ara ja podem importar els jobs sense risc:

for project in rundeck-backups/projects/*;do rd-jobs load -f rundeck-backup/basename $project.xml -p basename $project;done


Amb els jobs carregats ja ho tenim tot. Ara podem entrar a l’interface web i comprovar que tot és correcte: que els usuaris tenen acces a on toca, que els jobs estan ben configurats, etc, etc. Un cop estem segurs ja podem anar movent projecte a projecte (o tots de cop, com es vulgui) només canviant el valor que parlavem abans (service.NodeExecutor.default.provider). Al servidor vell canviem “jsch-ssh” per “stub” i al nou a l’inrevés, “stub” per “jsch-ssh”. Jugant amb aquests valors estem tranquils que si trobem que hi ha qualsevol problema amb algun projecte, sempre podrem tornar aquest projecte (o tots, per assegurar) al servidor vell mentre el solucionem.

I ja ho tenim! L’únic que podriem fer ara és canviar al DNS el nom per continuar accedint al rundeck amb la mateixa URL, pero això ja és al gust de cadascú.

Quan tenim moltes màquines i necessitem executar tasques periòdiques, el cron se’ns queda petit, perquè està repartit per tots els servidors i no hi ha manera senzilla de, per exemple, comprovar quin ha estat el resultat de l’execució d’una tasca a tots els servidors, o quines tasques s’estaven executant entre les 16:33 i les 16:36, o per calcular a quina hora hi ha programades menys coses a l’arquitectura per posar una tasca nova. O milers de coses.

Per centralitzar aquesta informació hi ha algunes alternatives. Fa poc que ha aparegut chronos i té bona pinta, però jo fa un temps que estic fent servir rundeck i estic força content.

Funciona d’una manera molt senzilla: té un servidor programat en java amb una interface grails per l’acces web i un programador quartz per la programació dels esdeveniments. Aquest servidor es connecta via ssh a les màquines per executar-hi les tasques configurades. Això ens permet tenir un cron centralitzat (el que buscàvem originàriament en aquest article), però també podriem fer-lo servir com un sudo centralitzat (podem decidir quin usuari pot executar quina comanda a quins servidors, tot des de la consola web, sense donar-li acces ssh), i també ens permet tenir una consola shell centralitzada per executar una comanda a molts servidors alhora, a l’estil del terminator o més aviat del fabric .

Un cop fetes les presentacions, passem a l’acció i comencem a instal·lar-lo a la nostra RedHat. Per començar hem de tenir en compte que el rundeck s’executa amb l’usuari rundeck, per tant no té privilegis, i per tant no pot funcionar al port 80. Per tal de que funcioni de manera ràpida per aquest exemple, farem un proxypass amb apache. Comencem instal·lant l’apache:


# yum install httpd


Editarem el fitxer /etc/httpd/conf/httpd.conf i afegirem dues línies:


ProxyPass / http://localhost:4440/
ProxyPassReverse / http://localhost:4440/


Així l’apache reenviarà tot el trànsit que rebi al port 80 al port 4440, on el tractarà el rundeck.
Ara les dades. Per defecte el rundeck fa servir un fitxer de text com a base de dades (antigament feia servir hsql, ara fa servir h2). Això està bé, però a partir de cert punt se’ns quedarà petit. Per evitar-ho, voldrem fer servir una base de dades mysql. Primer l’haurem d’instal·lar


yum install mysql mysqld
chkconfig mysqld on


El podem tunejar al gust tocant el my.cnf amb les tipiques default-storage-engine=innodb, innodb_file_per_table, etc, etc. Després hem de crear una base de dades pel rundeck i un usuari amb permisos


[[email protected] rundeck]# mysql -p
Enter password: Welcome to the MySQL monitor. Commands end with ; or g.
Your MySQL connection id is 18536
Server version: 5.5.30 MySQL Community Server (GPL) by Remi

mysql> quit
Bye


Ara instal·lem el rundeck, instal·lant primer el repositori oficial del programa, i després el programa en si:


wget http://repo.rundeck.org/latest.rpm
rpm -Uvh latest.rpm
yum install rundeck


I configurem la base de dades al fitxer /etc/rundeck/rundeck-config.properties, comentant la linia existent i afegint-ne unes altres:


#dataSource.url = jdbc:h2:file:/var/lib/rundeck/data/rundeckdb
dataSource.url = jdbc:mysql://localhost/rundeck
dataSource.username = rundeck
dataSource.password = password


I ara l’engegem


/etc/init.d/rundeck start


Podem comprovar que està fent servir la base de dades perque hi haurà creat les seves taules:


[[email protected] rundeck]# mysql -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or g.
Your MySQL connection id is 31
Server version: 5.5.30 MySQL Community Server (GPL) by Remi

Database changed
mysql> show tables;
+----------------------------+
| Tables_in_rundeck |
+----------------------------+
| auth_token |
| base_report |
| execution |
| node_filter |
| notification |
| rdoption |
| rdoption_values |
| rduser |
| report_filter |
| scheduled_execution |
| scheduled_execution_filter |
| workflow |
| workflow_step |
| workflow_workflow_step |
+----------------------------+
14 rows in set (0.00 sec)


Ja tenim el servidor en marxa. Ara haurem d’exportar la clau publica ssh per poder executar comandes a les maquines desti:


[[email protected] .ssh]# su - rundeck
[[email protected] ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/var/lib/rundeck/.ssh/id_rsa): project1_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in project1_rsa.
Your public key has been saved in project1_rsa.pub.
The key fingerprint is:
f6:be:e5:0r:b2:zd:9b:89:1e:2c:6f:fc:od:e5:a5:00 [email protected]
[[email protected] ~]$ ssh-copy-id -i /var/lib/rundeck/.ssh/project1_rsa [email protected]
[email protected]'s password:
0
The authenticity of host 'server2 (222.333.444.555)' can't be established.
RSA key fingerprint is b6:6z:34:2o:04:2f:j1:71:1e:12:b3:fd:e2:f2:79:cf.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'server2-es,222.333.444.555' (RSA) to the list of known hosts.
Now try logging into the machine, with "ssh [email protected]'", and check in:

[[email protected] ~]$ ssh [email protected] whoami
user


Continueu amb mi, que ja gairebé estem. Ara podem entrar a la web amb l’usuari admin i password admin:

I el primer que farà serà demanar-nos que creem un projecte, i aquí posem les dades que hem generat abans

Quan generem el projecte, apareixerem a la pàgina del mateix, on podrem executar comandes en local:

Ara falta l’últim pas: donar d’alta els servidors remots on executar les comandes. Tal i com hem configurat en la creació del projecte, ho posarem en el fitxer /etc/rundeck/servers/project1 en el següent format:



I un cop ho tinguem ja podrem fer-ho servir sense reiniciar. Nomes cal que apretem el boto “show all nodes”

I amb això ja ho tenim. A partir d’aquí es molt senzill. Des d’aquesta consola podrem executar comandes remotament, i des de la pestanya “jobs” podrem començar a crear jobs.

Hi ha més coses que es poden configurar. Per exemple, per canviar el logo de rundeck pel de la nostra empresa, ho podem posar al fitxer /etc/rundeck/rundeck-config.properties

rundeck.gui.title = Programador de tareas de la nostra empresa
rundeck.gui.logo = logo.jpg
rundeck.gui.logo-width = 68
rundeck.gui.logo-heigh = 31


O si volem crear més usuaris, els haurem d’afegir al fitxer /etc/rundeck/realm.properties

admin: MD5:5a527f8fegf916h8485dj6681ff8d7a6a,user,admin,architect,deploy,build
newuser: MD5:0cddh73e3g6108a7fh5f3716a9jf97and4e56ff,user


I els permisos d’accés es gestionen al fitxer /etc/rundeck/admin.aclpolicy.

I amb això ja tenim la base per poder començar a jugar amb el rundeck.

El graphite és una eina molt bona per fer gràfiques. Et permet ràpidament fer-ne de molt completes i aplicant un munt de funcions per treure les dades exactament com les vols. Els paràmetres de configuració de cada gràfica (dades a mostrar, dimensions de la gràfica, llegenda, funcions, etc) estan a la pròpia URL, per tant si volem compartir una gràfica en concret nomes hem de compartir la URL. Però el propi graphite té un sistema per guardar gràfiques y tenir-les a mà a l’apartat “My Graphs” o “User Graphs” que es bastant còmode. Per poder guardar les gràfiques primer ens hem d’autenticar (s’han d’assignar a algun usuari!) i, evidentment, per autenticar-nos hem de tenir un usuari. I a l’anterior post que explicava com instal·lar-lo no ho explicava.

Els usuaris, gràfiques i dashboards estan guardats al fitxer /opt/graphite/storage/graphite.db, que és una base de dades sqlite . Podem mirar el contingut (requereix tenir instal·lat el client sqlite3):

$ cd /opt/graphite/webapp/graphite
$ python manage.py dbshell
Error: You appear not to have the 'sqlite3' program installed or on your path.
$ sudo apt-get install sqlite3
(...)
Processing triggers for man-db ...
Setting up sqlite3 (3.7.3-1) ...
$ python manage.py dbshell
SQLite version 3.7.3
Enter ".help" for instructions
Enter SQL statements terminated with a ";"
sqlite> .databases
seq name file
--- --------------- ----------------------------------------------------------
0 main /opt/graphite/storage/graphite.db
sqlite> .table
account_mygraph auth_user_groups
account_profile auth_user_user_permissions
account_variable dashboard_dashboard
account_view dashboard_dashboard_owners
account_window django_admin_log
auth_group django_content_type
auth_group_permissions django_session
auth_message events_event
auth_permission tagging_tag
auth_user tagging_taggeditem
sqlite> ^D
$

En comptes de tocar aquestes dades nosaltres mateixos (que requeriria que entenguessim exactament el que fan, i ara mateix no tinc l’interes :P), voldrem fer-ho a través del graphite (o millor dit, a través del seu framework, django). En primer lloc necessitem un superusuari, que es crea des de la línia de comandes:


$ cd /opt/graphite/webapp/graphite
$ python manage.py createsuperuser
Username: tomas
E-mail address: [email protected]
Password: xxxxxx
Password (again): xxxxxx
Superuser created successfully.
$


Ara podem entrar amb aquest nom d’usuari i contrassenya al login que apareix a la part superior del graphite.

Un cop autenticats, podrem anar a l’interfície d’administració accedint a “/admin/“, http://your-graphite-server.tld/admin/, i aqui podrem donar d’alta tants usuaris com volguem.