Verhindern Sie die gleichzeitige setzt mit Ansible

Jemand auf mein team kann SSH in unserem speziellen deploy server und von dort aus ausführen einer Ansible playbook zu drücken neuen code zu Maschinen.

Wir sind besorgt über das, was passiert, wenn zwei Menschen versuchen zu tun, setzt gleichzeitig. Wir möchten es so machen, dass das playbook wird scheitern, wenn jemand anderes gerade läuft es.

Vorschläge, wie dies zu tun? Die standard-Lösung ist die Verwendung eines pid-Datei, aber Ansible nicht über eine integrierte Unterstützung für diese.

InformationsquelleAutor James Koppel | 2014-02-19
  1. 18

    Könnten Sie schreiben ein wrapper für ansible-Befehle wie folgt :

    ansible-playbook() {
  lock="/tmp/ansible-playbook.lock"

  # Check if lock exists, return if yes
  if [ -e $lock ]; then
    echo "Sorry, someone is running already ansible from `cat $lock`"
    return
  fi

  # Install signal handlers
  trap "rm -f $lockfile; trap - INT TERM EXIT; return" INT TERM EXIT

  # Create lock file, saving originating IP
  echo $SSH_CLIENT | cut -f1 -d' ' > $lock

  # Run ansible with arguments passed at the command line
  `which ansible-playbook` "$@"

  # Remove lock file
  rm $lock

  # Remove signal handlers
  trap - INT TERM EXIT
}

    Definieren diese Funktion im ~/.bashrc Benutzer auf das bereitstellen von Feld-und Sie sind gesetzt.
    Sie können das gleiche tun für die ansible Befehl, wenn Sie wünschen, aber angesichts der Frage bin ich nicht sicher, es ist erforderlich.

    EDIT: Umgeschrieben, mit der signal-handler zu verhindern lock-Datei baumelt herum, wenn Benutzer drücken Sie Strg-C.

    EDIT2: Tippfehler

    • Wow. Dieses Skript wird meistens verhindern, dass zwei Instanzen laufen, aber nicht vollständig, durch die zeitliche Lücke zwischen dem testen und dem anlegen der lock-Datei. Man braucht eine Atomare operation, zu wirklichen Schutz, und obwohl ich bin aus dem Datum mit *nix, ich denke, dass ein Skript nicht. Ich nehme an, RunDeck erwähnt in der nächsten Antwort, was erforderlich ist, die über IPC (Semaphore, etc.).
    • In der Theorie, ja, es gibt keine 100%. Sie senken könnte, die Lücke mehr etwas wie [ -e $lock ] || (echo $SSH_CLIENT | cut -f1 -d' ' > $lock) (und passen Sie das Skript entsprechend), die dauert weniger als eine Millisekunde. In der Praxis klingt ganz vernünftig. Oder schreiben Sie die lock-Datei mit eingeschränkten Berechtigungen, so kann ein anderer Benutzer nicht überschreiben. Alles in allem ist dies natürlich ein hack am besten. Rundeck sieht cool aus.
    • Herde mit -c ist eine option, ist hier, wie so flock -x $HOME/.ansible_lock -c 'ansible-playbook ...'
    InformationsquelleAutor leucos
  2. 27

    Ich persönlich verwende RunDeck ( http://rundeck.org/ ) als wrapper um meine Ansible playbooks hat mehrere Gründe:

    • Können Sie ein RunDeck 'job', um nur in der Lage sein, um ausgeführt werden zu einem bestimmten Zeitpunkt (oder zu laufen wie viele Male in der gleichen Zeit, wie Sie wollen)
    • Können Sie Benutzer in das system so, dass die überwachung, wer hat ausführen, was klar und deutlich aufgelistet
    • Können Sie zusätzliche Variablen mit Nebenbedingungen auf, was verwendet werden kann (die Angabe einer Liste von Optionen)
    • Sein eine ganze Menge billiger als Ansible Tower (RunDeck ist frei)
    • Es verfügt über eine vollständige API für die Ausführung von jobs pragmatisch von build-Systemen
    • Sie nicht schreiben müssen, kompliziert bash-Wrapper um das ansible-playbook-Befehl
    • SSH kann zu einem Lackmustest der " etwas muss ein ansible-Skript geschrieben - ich glaube nicht, dass SSH-Zugriff, außer voll auf break - /fix-Situationen, und wir sind glücklicher SA als Ergebnis
    • Schliesslich, und das ist definitiv Weg, bis es in die "nice to have" - Kategorie können Sie planen, RunDeck jobs, die ausgeführt werden ansible playbooks in eine sehr einfache Möglichkeit für jeden, der meldet sich auf der Konsole um zu sehen, was ausgeführt wird, wenn

    Gibt es viele weitere gute Gründe, natürlich, aber meine Finger sind müde von der Eingabe 😉

    • Gibt es irgendwelche details online darüber, wie Sie diese einrichten?
    • Nicht vollständig, als noch - ich war abgelenkt durch die Arbeit in letzter Zeit, so dass mein blog nicht ganz an diesem Punkt noch - rundeck hat die Möglichkeit zu konfigurieren, dass ein job nur ausgeführt werden, wenn es nicht bereits ausgeführt wird in der Konfiguration pro Auftrag und gibt die entsprechenden 4XX-code zu sagen, ob ein job bereits ausgeführt wird, wenn die option gesetzt ist (wenn Sie die API verwenden, das ist eine wichtige Information, wissen)
    • RunDeck sieht aus wie jenkins zu mir.
    InformationsquelleAutor PhillipHolmes
  3. 11

    Lege ich diese in mein main playbook, nach 

        hosts: all.

    lock_file_path: Dies ist eine Datei, deren Existenz anzeigt, dass es eine aktuell laufende ansible bereitstellen, oder es war ein deploy vor, dass du abgebrochen aus irgendeinem Grund.

    force_ignore_lock: Diese standardmäßig auf false zurücksetzen, indem Sie eine option flag, das kannst du im command-line-wrapper zu ansible. Sie ermöglicht es, ansible, weiterhin mit dem bereitstellen.

    , Was dieser tut,

    pre_tasks

    Den ersten pre_task überprüft, ob die lock_file_path vorhanden ist, und nimmt das Ergebnis in einem register genannt lock_file.

    Die nächste Aufgabe, die dann prüft, ob die Datei vorhanden ist, und wenn die person, die Bereitstellung entschieden hat, Sie zu ignorieren (hoffentlich nach der Kommunikation mit anderen team-mates). Wenn nicht, wird der Auftrag schlägt fehl, mit einer hilfreichen Fehlermeldung.

    Wenn der Benutzer wählt, um sich mit der Bereitstellung auch wenn es eine lock_file mit der nächsten Aufgabe löscht die zuvor erstellte lock_file und eine neue erstellt. Die anderen Aufgaben, die in der ausgewählten Rolle dann weiter glücklich.

    post_tasks

    Dies ist ein hook aufgerufen, unmittelbar nachdem alle Aufgaben in der Bereitstellung abgeschlossen wurden. Die Aufgabe, hier löscht die lock_file, sodass die nächste person bereitstellen glücklich, ohne Probleme.

    vars:
  lock_file_path=/tmp/ansible-playbook-{{ansible_ssh_user}}.lock

pre_tasks: 
   - stat: path={{lock_file_path}}
     register: lock_file

   - fail: msg="Sorry, I found a lockfile, so I'm assuming that someone was already running ansible when you started this deploy job. Add -f to your deploy command to forcefully continue deploying, if the previous deploy was aborted."
   when: lock_file.stat.exists|bool and not force_ignore_lock|bool

   - file: path={{lock_file_path}} state=absent
     sudo: yes
     when: "{{force_ignore_lock}}"

   - file: path={{lock_file_path}} state=touch
     sudo: yes

post_tasks:
   - file: path={{lock_file_path}} state=absent
     sudo: yes
    • Wenn der ansible Ausführung unterbrochen wird, können Sie Ende-up mit permanent gesperrt Maschine. Die Existenz einer lock-Datei ist nicht genug, es muss ein Weg, um zu erkennen, ob das eine veraltete sperren oder nicht.
    • Dies ist der Grund, warum ich Hinzugefügt ist: when: lock_file.stat.exists|bool and not force_ignore_lock|bool. Dies nutzt die force_ignore_lock variable, die gesetzt werden können, in einem Kommandozeilen-flag auf ein wrapper-Skript geschrieben wie z.B. python verwenden klicken. Beispiel: `
    • Beispiel: @deploy.command() @click.option('--force', help="Ignore the lock file that prevents parallel deploys, \ if a previous deploy was aborted.", is_flag=True, default=False) def backend(api_server, force): """Deploys the backend application.""" if force: ignore_lock = 'true' else: ignore_lock = 'false' extra_vars = { 'force_ignore_lock': ignore_lock } call_ansible(api_server, 'api_server.yml', json.dumps(extra_vars))
    InformationsquelleAutor poppingtonic
  4. 8

    Haben Sie als Einstellung maxsyslogins in Grenzen.conf? Eingeschränkt werden kann dies durch die Gruppe.

    # for a group called 'deployers'
@deployers        -       maxsyslogins      1

    Dieser ist ein bisschen schwerer als das, was Sie gefragt haben. Sie möchten möglicherweise versuchen Sie es auf einem VM-ersten. Beachten Sie, dass niemand von Anwender Zugriff haben wird, wenn es alle anderen Benutzer auf dem system an alle, die 1 begrenzen, der nicht nur zählt, Anwender. Auch, wenn Sie als Benutzer multiplex-Ihre ssh-verbindungen (ControlMaster auto), Sie werden immer noch in der Lage, log-in, mehrere Male; es ist anderen Nutzern, die würde gesperrt werden.

    • Ich hatte eigentlich Gegoogelt um etwas zu tun, genau das als mögliche Lösung, aber konnte ihn nicht finden. Danke!
    InformationsquelleAutor bazzargh
  5. 5

    Können Sie den flock Befehl, die wickeln Sie den Befehl mit einem Dateisystem-basierten flock(2):

    $ flock /tmp/ansible-playbook.lock ansible-playbook foo bar baz

    Wrap aber es passt Ihre Anwender am besten. Dies hinterlässt einen anhaltenden Sperrdatei in /tmp, aber beachten Sie, dass es nicht sicher zu löschen[1]. Es ist atomar, und sehr einfach.

    [1]
A: flock /tmp/foo.lock -c "echo running; sleep 5; rm /tmp/foo.lock"
B: flock /tmp/foo.lock -c "echo running; sleep 5; rm /tmp/foo.lock"
   B blocks waiting for lock on /tmp/foo.lock
A: Finish, deleting /tmp/foo.lock
B: Runs, using lock on now deleted /tmp/foo.lock
C: flock /tmp/foo.lock -c "echo running; sleep 5; rm /tmp/foo.lock"
   Creates new /tmp/foo.lock, locks it and runs immediately, parallel with B
    InformationsquelleAutor Matthew Booth
  6. 5

    Wrapper-Skripts sind nicht nützlich, wenn Aufträge ausgeführt werden, die von mehreren build-hosts. Für diese Art von Fällen, die sperren zu, die gehandhabt werden, indem das playbook.

    Ansible hat jetzt eine wait_for Modul, das verwendet werden kann für die Verriegelung. Hier ein kurzes Beispiel (ohne Berücksichtigung von stale locks):

    vars:
  lock_file: "{{ deploy_dir }}/.lock"
pre_tasks:
  - name: check for lock file
    wait_for:
      path: "{{ lock_file }}"
      state: absent
  - name: create lock file
    file:
      path: "{{ lock_file }}"
      state: touch
post_tasks:
  - name: remove lock file
    file:
      path: "{{ lock_file }}"
      state: absent

    Ansible prüfen, ob die lock-Datei für eine konfigurierbare timeout-Zeit, und dann aufgeben, wenn es nicht entfernt wird, in diesem Zeitraum.

    InformationsquelleAutor Ioan Rogers
  7. 0

    Können Sie auch einfache Variante des wrapper:

    # Check lock file - if exists then exit. Prevent running multiple ansible instances in parallel
while kill -0 $(cat /tmp/ansible_run.lock 2> /dev/null) &> /dev/null; do
  echo "Ansible is already running. Please wait or kill running instance."
  sleep 3
done
# Create lock file
echo $$ > /tmp/ansible_run.lock

ansible-playbook main.yml

# Remove lock
rm -f /tmp/ansible_run.lock
    InformationsquelleAutor gmy
  8. 0

    Ich würde schauen in eine distributed-lock-Mechanismus wie Tierpfleger, dass ich so eine Rolle, da es eine znode Modul. Verteilt für hohe Verfügbarkeit und schreiben der lock-out der Ziel-Knoten.

    Die Rolle zu schreiben, wäre ein znode des Ziel-namens unter /deployment/ am Anfang und würde es löschen, nach. Wenn die Sperre bereits vorhanden ist, können Sie scheitern und werfen Sie eine Nachricht in einem block.

    InformationsquelleAutor Baptiste Mille-Mathias
Schreibe einen Kommentar