Powershell DSCからAnsibleに切り替える価値はありますか？その方法

DevOps / SREは主にLinuxとKubernetesに関連付けられているため、WindowsでのIaCについてはほとんど書かれていません。この状況を改善し、WindowsベースのIaCの管理に使用できるツールを比較することにしました。この記事は、Windowsインフラストラクチャを使用して管理方法を選択する開発者、およびPowershell DSCまたはAnsibleを既に実装しているが、その決定に疑問がある開発者に役立ちます。以下に私たちの経験を共有し、あなたに伝えます：

• Windowsでインフラストラクチャを管理する場合のPowershellDSCの動作とAnsibleとの違い。
• Ansibleに切り替えた理由。
• 彼らが直面した問題とその解決方法。
• Ansibleに切り替えた後の期待と現実の比較。
• 誰がPowershellDSCを選択し、誰がAnsibleを選択する必要があります。

PowerShellDSCが最初に選択された理由

Mindboxは、主にWindowsインフラストラクチャ（Hyper-V、IIS、MS SQL Server）にもかかわらず、開発されたDevOps / SRE文化を持っています。同社は徐々にLinuxとオープンソースに移行していますが、それでもWindowsが普及しています。



このインフラストラクチャを管理するために、彼らはインフラストラクチャコードを使用することを計画しました。それを記述し、リポジトリに保存してから、ツールを使用してコードを実際のインフラストラクチャに変換します。Ansibleは最も人気のあるコードベースのインフラストラクチャ管理ツールですが、伝統的にLinuxの世界に関連付けられてきました。ネイティブでWindows固有のものが必要だったため、PowerShellDSCを選択しました。

PowershellDSCのしくみ

PowerShell Desired State Configuration（DSC）は、Windowsにすぐに付属するサービスであり、構成ファイルを使用してインフラストラクチャを管理するのに役立ちます。 PowerShellのインフラストラクチャコードを入力として受け入れ、システムを構成するコマンドに内部的に変換します。 Windowsコンポーネントのインストール、レジストリキーの変更、ファイルの作成、サービスの構成などの簡単な操作に加えて、PowerShellスクリプトが通常行う多くのことを実行できます。たとえば 、DNS構成の完全なサイクルまたは 高可用性MS SQLServerインスタンス。







図への便利なリンク：

DSCドキュメントの簡単な構成の例

データファイルの使用方法

SQL Server- Windows Server 2019

DSC pull server SQL Windows Server 2019

DSC Ansible

, DSC

DSCからの期待はすべての点で満たされていませんでした。また、作業中にDSCでは対応できない新たなニーズが発生しました。



開発者は、SREの助けなしに自分でツールを使用することはできません。ほとんどすべてのチームがSREを持っていますが、IaCツールは、開発者がSREを使用して、30分以内で使用できるように十分に単純である必要があります。 DSCを使用すると、宣言型コードだけでなく、Powershell構造も使用できます。これは、保守が困難なコードやインフラストラクチャの障害につながるコードを作成する可能性が高いことを意味します。たとえば、不適切なパラメータを使用してアプリケーションを不適切な環境にデプロイします。



ローリングする前にドライラン構成をスキップすることはできません。どの変更が適用され、どの変更が適用されないかを正確に確認します。



DSCが構文とコードスタイルのチェックを整理することは困難です。検証ツールはほとんどなく、更新されていません。 Ansibleではすでにこれを行っています。



DSCプッシュモードでは、タスクのステータスを追跡する便利な方法はありません。構成がエラーで適用された場合は、診断のために追加のアクションを実行する必要があります。コマンドを実行して構成アプリケーションのステータスを取得し、イベントログを確認します。複数のサーバーでエラーが発生した場合は、時間がかかります。



プルモードが有利になることはありませんでした。その中で、構成は非同期的に適用されます-ストラップと松葉杖なしで新しい構成の適用がいつ完了するかを正確に知ることは不可能です。 サーバーを構成する



2つの異なるIaCツールの乱用。AnsibleはDSCと同じことを行うことができ、Linuxホストとネットワーク機器の構成にはすでにAnsibleを使用しています。

どのようにしてDSCからAnsibleに切り替える予定でしたか

最初は、約1か月間、タスクは単純に見えました。作業の3つの段階を特定しました。

• Ansibleを使用してWindowsホストに接続する方法を学びます。
• Ansibleモジュールを使用してDSC構成を書き換えます。
• DSCプルサーバー、そのデータベース、およびその他のアーティファクトを削除します。

これがDSCでのワークフローと、Ansibleでのワークフローの編成方法です。AnsibleOnAnsible









での役割の標準構造で



は、何かを構成してインストールする複雑なコードを役割コードに分離し、役割を別々に分割することを計画しました。リポジトリ。メインのAnsibleリポジトリでは、ロールの呼び出し、ロールパラメータのオーバーライド、およびグループごとのサーバーのリストのみを残す必要があります。したがって、SREだけでなく、開発者は、インフラストラクチャコードのロジックを詳しく調べなくても、必要なサーバーにロールをデプロイしたり、パラメーターを微調整したりできます。開発者は、SREレビュー後にのみロールコードを修正できます。

Ansibleに切り替えるときに直面した問題とその解決方法

仕事が始まったとき、私たちは自分たちが間違っていることに気づきました。仕事は簡単ではありませんでした。リポジトリだけで問題はありませんでしたし、それ以外はたくさん調べて開発を改善しなければなりませんでした。

WinRMまたはSSH

最初の驚きは、接続タイプの選択でした。Windowsの場合、WinRMとSSHの2つがあります。AnsibleのWinRMの実行には時間がかかることが判明しました。そうは言っても、 AnsibleはWindows Server2019でOpenSSHをそのまま使用することを推奨していません。そして新しい解決策を見つけました。

1. ギャラクシーから役割をフォークして作り直しました。
2. 私たちは、この役割に挑戦するだけのプレイブックを書きました。これは、WinRMを介してホストに接続する唯一のプレイブックです。
3. Prometheus Blackbox Exporterは、標準ツールとしてポート22 / tcpおよびOpenSSHバージョンを監視します。
   
   
   
   - alert: SSHPortDown

  expr: probe_success{job=~".*-servers-ssh",instance!~".*domain..ru"} == 0

  for: 1d

  annotations:

   summary: "Cannot reach {{`{{ $labels.instance }}`}} with SSH"
   
   
   
   
4. LDAP- , Windows- :
   
   
   
   plugin: ldap_inventory

domain: 'ldaps://domain:636'

search_ou: "DC=domain,DC=ru"

ldap_filter: "(&(objectCategory=computer)(operatingSystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"

validate_certs: False

exclude_hosts:

 - db-

account_age: 15

fqdn_format: True
   
   
   
   
5. OpenSSH , Windows- SSH .
6. OpenSSH . Packer, Ansible:
   
   
   
   "type": "shell-local",

"tempfile_extension": ".ps1",

"execute_command": ["powershell.exe", "{{.Vars}} {{.Script}}"],

"env_var_format": "$env:%s=\"%s\"; ",

"environment_vars": [

"packer_directory={{ pwd }}",

"ldap_machine_name={{user `ldap_machine_name`}}",

"ldap_username={{user `ldap_username`}}",

"ldap_password={{user `ldap_password`}}",

"ansible_playbooks={{user `ansible_playbooks`}}",

"github_token={{user `github_token`}}"

],

"script": "./scripts/run-ansiblewithdocker.ps1"


   
   
   
   

Ansibleのコードを書き直しているときに、定期的にコードの重複が発生しました。たとえば、ほとんどすべてのDSC構成にはwindows_exporter設定が含まれていました 。唯一の違いは、エクスポーターが使用する必要のあるコレクター







でした。重複したコードを取り除くために、windows_exporterを別のAnsibleロールに移動し、この設定のパラメーターをホストグループ変数に移動しました。

セカンドホップ認証

おそらく、セカンドホップ認証は、WindowsでAnsibleの使用を開始した人が直面する最も一般的な問題です。 この設計では、デフォルトで追加の設定なしにリモートリソースで認証用の資格情報を委任できないため、アクセス拒否エラーが発生します。たとえば、エラーを回避するには、 new_credentialsが役立ちます。ただし、Ansibleがwin_dscモジュールを介してDSCリソースを呼び出すことができるという事実を利用することをお勧めします。ファイルDSCリソースを呼び出します。これは、デフォルトでコンピューターアカウントで実行されます。この場合、Kerberos委任は必要ありません。



- name: Custom modules loaded into module directory

   win_copy:

    src: '\\share\dsc\modules'

    dest: 'C:\Program Files\WindowsPowerShell\Modules'

    remote_src: yes











- name: Custom modules loaded into module directory

   win_dsc:

    resource_name: File

    SourcePath: '\\share\dsc\modules'

    DestinationPath: 'C:\Program Files\WindowsPowerShell\Modules'

    Type: Directory

    Recurse: true

    Force: true

    MatchSource: true







同時に、DSCを放棄することに矛盾はありませんが、Ansibleモジュールよりも問題を解決できる場合は、そのリソースを使用します。主な目標は、DSC構成の使用を停止することです。これは、リソース自体ではなく、DSCエコシステムが私たちに適していないためです。たとえば、仮想Hyper-Vスイッチを作成する必要がある場合は、DSCリソースを使用する必要があります。Ansibleには、Hyper-V構成を管理するためのツールがまだありません。

ネットワーク切断

一部のタスクにより、構成可能なサーバーでネットワークの切断（切断）が発生します。たとえば、上記の例からHyper-V仮想スイッチを作成します 。問題は、DSCではそのような呼び出しは機能しますが、Ansibleでは管理対象ホストが切断されたために失敗することです。これは、仮想外部スイッチを作成するときにWindowsが常に切断するためです。解決策は、タスクに非同期引数を追加する ことです。これは、Ansibleがタスクをホストに送信し、指定された時間待機してから、状態を要求する方法です。



- name: External switch present

   win_dsc:

     resource_name: xVMSwitch

     Ensure: 'Present'

     Name: 'Virtual Network'

     Type: 'External'

     NetAdapterName: 'TEAM_LAN'

     AllowManagementOS: True











async: 10

ドリフトインフラストラクチャ

コードの移植を開始したとき、構成のずれが見つかりました。これらは、コードに記述されている内容とサーバーまたはソフトウェアの実際の構成との実際の違いです。その理由は、DSCが作業の一部のみを実行し、残りはスクリプトまたは指示に従って手動で実行された場合があるためです。



IaCでの作業を容易にするために、すべてのスクリプトとドキュメントを収集し、統一された明確な指示を作成しました。さらに、Ansibleに誤って変更を加えないようにプロセスを整理しました。すべてのインフラストラクチャコードをGitHubに保存し、GitHubプロジェクトを通じてエンジニアにタスクを割り当てるため、インフラストラクチャコードへの変更（プルリクエスト）をタスクに関連付けることができます。したがって、完了した各タスクの変更を確認できます。タスクに変更がない場合、タスクは受け入れられず、修正のために返されます。

事実収集のバグ

DSCとは異なり、Ansibleは起動時に管理対象ホストに関する事実を収集する ため、開発者はホストの状態に応じてタスクの動作を判断できます。Windowsホストからファクトを収集する場合、Ansibleはモジュールコードが正しくないためにエラーをスローする場合があり ます。これを修正するには、ansible.windows コレクションを接続する必要があります 。Ansibleのパイプラインは、各プレイブックを起動する前に、必要なロールとコレクションのリストを含むrequirements.ymlファイルの存在を確認してから、 それらをインストールします。ここにansible.windowsコレクションを追加しました。 コレクション



[WARNING]: Error when collecting bios facts: New-Object : Exception calling ".ctor" with "0" argument(s): "Index was out of range. Must be non-negative and less than the size of the collection. Parameter name: index" At line:2

char:21 + ... $bios = New-Object -TypeName













Ansibleの新しい開発コンセプトです。以前は役割のみがGalaxyで配布されていましたが、今ではさまざまなプラグインとモジュール、プレイブックと役割のコレクションを見つけることができます。

テスト

IaCツールキットを開発者に渡す前に、Ansibleコードが信頼でき、何も壊れないことを確認したかったのです。DSCの場合、このタスクには特別なフレームワークがありますが、特別なテストはありませんでした 。構成は通常、ステージングサーバーで検証されましたが、障害が発生しても欠陥は発生しませんでした。



Ansibleは通常、分子ツールを使用してテストされます。 テストを実行するためのラッパーとして。Linuxの役割には便利なツールですが、Windowsには問題があります。以前は、分子はインフラストラクチャ自体を引き上げることができましたが、現在、開発者はこの機会を排除しています。現在、インフラストラクチャは、Docker内の分子の助けを借りて、または分子の外部で構築されています。DockerでWindowsの役割をテストすることは、ほとんどの場合不可能です。Hyper-Vおよびその他のほとんどのWindows機能は、Dockerコンテナーにインストールされません。分子の外部でテスト用のインフラストラクチャをデプロイし、分子内で委任されたドライバーを使用する必要があります 。



この問題はまだ解決していませんが、最も明白なエラーを検出するツールを見つけました。

Ansibleのしくみ

Ansibleを実装し、すべての困難を克服した後、エンジニアのアクションと自動起動のプロセスが形成されました。

1. , Linux-. , , pull request GitHub-, .
2. pull request GitHub Actions, . Linux-, . , , .
3. pull request. , -, .
4. . requirements.yml, GitHub- . — . . , Ansible, . pull request, .
5. pull request GitHub Actions, Octopus Deploy. .
6. Octopus Deploy . , ansible-playbook: --tags, --limit --extra-vars.
7. , , . , .

Ansible

: DSC Ansible

Evgeny Berendyaev、SREエンジニア