worth 2 read

Suricata ist ein IDS, mit welchem man Netzwerke nach möglichen Einbrüchen scannen kann. So weit, so bekannt.

Suricata macht was es soll, zumindest dann, wenn in den Paketen auf Ethernetframes auch brav IPv4 oder IPv6 Frames folgen. Es funktioniert auch dann, wenn man MPLS benutzt, und nach dem Bottom Of Stack Frame IP folgt. Suricata kann es sogar ab, wenn nach MPLS ein Control-Word Frame folgt, und das ist schon ganz gut.

Jedoch ist der CW Frame keineswegs zwingend, beispielsweise, wenn man EoMPLS macht (QinQ, PseudoWire). Dann kann der EoMPLS Frame direkt auf den letzten MPLS Frame folgen und spätestens dann ist der Moment gekommen, in welchem Suricata ein invalides MPLS Paket meldet (vgl. auch RFC4448).

Was man dann bei einer weiteren Analyse feststellt (also die decode-mpls.c so weit gepatcht hat, dass das mit dem fehlenden CW Frame funktioniert...), ist ein scheinbarer Mangel beim VLAN Decoder: Er kann den Ethernet TYpe ARP nicht erkennen (0x0806). Dabei kennt Suricata den Type 0x0806 schon (zumindest eine entsprechende Konstante im Code). Also patcht man die decode-vlan.c auch noch und schon kann Suricata das eigene Netz auch sauber decodieren.

Man will aber Suricata Daten nicht plain auswerten. Also wirft man alles nach Elasticsearch und setzt ein Kibana oben drauf.

Recht einfach geht das mit Unifiedbeat. Das kann die Pakete auber nach ES dumpen, und dann kann man das alles auch halbwegs einfach durchforsten. Allerdings parst Unifiedbeat die unifief2 Logs und hat dann - Überraschung - ebenfalls Probleme mit dem decodieren von MPLS Frames, bzw. mit dem, was nach dem Bottom Of Stack Frame folgt. Das ist nämlich noch schlechter implementiert als es bei Suricata der Fall ist: Es wird immer IP als folgender Frame erwartet - nicht einmal ein CW Frame wird akzeptiert.

Also muss man auch dort dann die mpls.go patchen. Im Grunde müsste man Google, die die in Unifiedbeat verwendete Network Layer Lib betreuen, mal darauf hinweisen, dass ihre Implementierung eine Reihe RFCs nicht berücksichtigt. Aber das wird wohl dort auf wenig Interesse stoßen.

Einleitung

Mit einer wachsenden Anzahl an Minios in einer Infrastruktur kann jeder Lauf mit salt '*' zu einer unübersichtlichen Angelegenheit werden. Sind wirklich alle States erfolgreich gelaufen? War da nicht irgendwo etwas rot? Und wie war das eigentlich mit diesem oder jenem Minion beim letzten Lauf?

Was man auch nur schwer herausbekommt, sind historische Daten. Wann hat ein Host eigentlich die aktuelle Version einer Software bekommen, wann wurde doch gleich eine Kennung ausgerollt, etc.

Wie praktisch, dass Saltstack dafür gleich die sogenannten Returner mitbringt, die man dazu verwenden kann, die Rückgabewerte der einzelnen Minions irgendwo abzuspeichern, um sie dann später irgendwie auch wieder auszuwerten.

Es werden von Hause aus eine ganze Reihe Returner mitgeliefert, als da zu nennen wären: Ein Redis Returner, einer für MySQL, MongoDB oder auch jener für Elasticsearch.

Und wenn man Elasticsearch liest, dann muss man gleich an - ganz genau: Kibana denken.

Die Idee

Die Rückgabewerte der Minions sind vor allem erst einmal eine Wall-Of-Text, unabhängig davon, wo man sie abspeichert. Das verhält sich bei allen Logs so und deswegen ist man ja schon vor langer Zeit auf die Idee gekommen, Logs zu visualisieren. Jedoch gibt es kein fertiges, freies Produkt für Saltstack, welches mir bekannt wäre, mit dessen Hilfe man Saltstackdaten grafisch aufbereiten könnte.

Aber es gibt einen Elasticsearch Returner und es gibt Kibana, welches Elasticsearch Daten visualisieren kann.

Was wäre also, wenn wir unsere Minions ihre Daten nach Elasticsearch schicken lassen und dann in Kibana ein oder mehrere Visualisierungen und daraus Dashboards bauen?

Gesagt, getan.

Vorbereitungen

Wenn man nicht sowieso irgendwo im Unternehmen Elasticsearch im Einsatz hat, dann muss man sich wohl die Mühe machen und zumindest eine ES Instanz aufsetzen. Egal wie groß die Infrastruktur auch sein möge, selbst bei ein paar hundert Minions ist das Datenvolumen der Logs noch vergleichsweise überschaubar, was die Anforderungen an ein ES System entsprechend niedrig hält.

Man kann ES entweder aus einem Paket heraus installieren, oder auch auf einen Docker Container zurückgreifen - das bleibt jedem selbst überlassen. Die ES Installation selbst ist nicht allzu schwer, das Netz ist auch voll von Anleitungen.

Gleiches gilt für Kibana. Auch Kibana gibt es als Docker Container, und wenn das kein gangbarer Weg ist, dann findet man auch hier eine Reihe von Anleitungen. (Es wird nur dann etwas kniffliger, wenn man Kibana mit einer Zugangsberechtigunge absichern will und dazu einen Webserver vorschalten möchte)

Anders ausgedrückt: Ich will und kann an dieser Stelle keine Installationsanleitung für ES und Kibana schreiben.

Was jedoch mit den Minions passieren muss, damit diese mit ES reden können, sei hier kurz festgehalten:

Der Python Elasticsearch Client muss installiert werden, und zwar auf jedem Minion.

Die Minions müssen entsprechend konfiguriert werden.

Salt muss mindestens die Version 2015.8.0 haben.

Wir haben einen State zur Konfiguration der Minions, über welchen wir die genannten Änderungen schnell und unkompliziert ausrollen konnten. Ich vermute mal, jeder, der eine größere Salt-getriebene Infrastruktur betreibt, hat so einen State.

Das Problem

Der mitgelieferte Elasticsearch Returner liefert Daten, die man nicht gut auswerten kann. Er haut einfach die ganzen Rückgabewerte geballt in ein Feld, unabhängig davon, wieviele States oder Modules da gerade was zurückliefern. Und da Kibana keine Nested-Dokuments auswerten kann, ist eine sinnvolle Auswertung so nicht möglich.

Man hat dann zwar Daten, kann mit diesen Daten jedoch nicht wirklich etwas anfangen.

Gottseidank kann man Salt einfach erweitern

Saltstack ist so modular aufgebaut, dass man einfach eigene States oder Returner schreiben und hinzufügen kann.

Und so haben wir den vorhandenen ES Returner der Salt Version 2015.8.1 genommen und umgebaut.

Ziel war es, möglichst jeden State als einzelnes Dokument zu erfassen und insbesondere den Wert für Erfolg oder Nicht-Erfolg des Laufs festzuhalten, um dann daraus später Graphen zeichnen zu können.

Weiterhin wollten wir unsere eigenen Grains für jeden Server wegspeichern, um so zu einem späteren Zeitpunkt beispielsweise nach Zusammenhängen zwischen bestimmten Attributen eines Minions und bestimmten Ereignissen zu suchen.

So bekommt jeder Server bei uns noch ein Grain für seine Location, seiner Patchgruppe und seiner Rolle. Diese Werte wollten wir in ES speicher, ebenso wie die Werte für die Grains saltversion und osfinger.

Den von uns gebauten Returner findet man hier.

Unseren Returner verwenden

In seiner file_roots einen Ordner namens _returners erstellen.

Darauf achten, dass die o.g. Voraussetzungen erfüllt sind (Python ES Client, Minion Konfig)

Aus unserem Repo die flasticsearch.py in das _returners Verzeichnis kopieren.

Den Returner mit salt '*' saltutil.sync_all auf seinen Minions verteilen.

Die Rückgabewerte - immer anders

Das Problem beim Schreiben des Returners war, dass die Rückgabewerte immer anders formatiert werden.

Mal sind die Rückgabewerte ein String, mal eine Liste und mal ein Dict, welches dann aber auch in ganz unterschiedlichen Ausprägungen daher kommen kann.

Von daher sieht unser Code für den Returner ziemlich wüst aus, und ist im Grunde auch nicht wirklich schön.

Aber er tut es erst einmal so weit, um das Konzept des Kibana-Dashboards als solches zu validieren.

Salt Aufruf

Im Grunde muss man jetzt für Aufrufe, deren Ausgabe man in ES gespeichert haben möchte, folgende Option hinzufügen:

salt '*' test.ping --return flasticsearch

(Vorausgesetzt, man verwendet unseren Returner)

Kibana

Mit den nun vorhandenen Werten haben wir diverse Visualisierungen gebaut (Pie Charts, Bar Charts, Tabellen) und diese in einem Dashboard zusammengefasst.

Einleitung

Mit einer steigenden Anzahl an Administratoren, Code-Änderungen, Rollouts und Servern in unserer Saltstack Infrastruktur, steigt auch das Bedürfnis nach Sicherheit - Sicherheit darüber, dass zu jeder Zeit das System das macht, was von ihm erwartet wird.

In der Vergangenheit haben wir dabei insbesondere auf das Instrument der Code-Reviews gesetzt, um die Funktionsfähigkeit abzusichern.

Wir wollten jedoch das Vorgehen zur Absicherung noch verbessern und mit einer automatischen, umfassenden Komponente ergänzen: Jede Zeile unserer States und Pillars sollte aufgerufen und angewendet werden können - automatisch und ohne Zutun des Administrators.

Und so entstand die Idee, Continuous Integration dazu zu verwenden, unsere States und Pillars gegen Testserver laufen zu lassen und das Ergebnis zu prüfen. Saltstack wird also nicht dazu verwendet, Teil eines CI Prozesses zu sein, sondern ist vielmehr Ziel desssen.

Hinweis

Dies hier ist kein ausgefeiltes How-To. Ich werde jedoch am Ende eine Liste mit Links anhängen, die es einem ermöglichen sollte, einen ähnlichen Versuchsaufbau zu starten.

Die Zutaten

Änderungen am Saltstack Code organisieren wir über eine hauseigene Gitlab Instanz. Wir haben eine Gruppe namens "Saltstack" und darin die einzelnen Repositories, u.a. ein Repository mit all unseren States und Pillars.

Dieses Repo wird durch einen CI Prozess geschickt.

Für den CI Prozess selbst verwenden wir das in Gitlab eingebaute CI zusammen mit dem gitlab-runner. Innerhalb des CI Prozesses kommt dann Docker zum Einsatz, denn Docker Container sind das Ziel unserer Salt-Testläufe.

Der gitlab-runner läuft auf einem eigenen Rechner, der auch die Docker Images beherbergt und auf welchem der CI Prozess durchgeführt wird.

Der CI Prozess

Um über Gitlab einen CI Prozess abzubilden, braucht es nicht viel:

Einen Gitlabserver (wir verwenden ihn in der Version 8.2.x),

einen Server, auf dem ein gitlab-runner läuft und eine Steuerdatei,

die .gitlab-ci.yml, welche in der Root des Repos liegen muss.

In der .gitlab-ci.yml wird der Ablauf des CI Prozesses beschrieben, genauer gesagt, welche Tests wie durchzuführen sind. Diese Datei ist im YAML Format geschrieben und wird vom gitlab-runner gelesen, ausgewertet und ausgeführt.

Man muss in den Settings des betroffenen Projektes den Build Service aktivieren und einen gitlab-runner beim Gitlabserver für dieses Projekt als specific Runner registrieren. Außerdem muss man besagte .gitlab-ci.yml erstellen und in das Repo einchecken.

Wenn das geschehen ist, wird der gitlab-runner automatisch bei jedem Push in das Repo, unabhängig von Ziel Branch, diesen neuen Commit auschecken und damit "Dinge tun".

Ab diesem Punkt wird es dann wichtig, einen brauchbaren Test zu definieren.

In unserem Fall passiert dann Folgendes:

Der gitlab-runner bemerkt einen neuen Commit auf dem Gitlabserver.

Er zieht zwei Docker Images hoch, die er miteinander verlinkt. Davon ist ein Image ein Runner-internes Image namens gitlab/gitlab-runner:build, welches er offenbar dazu verwendet, einen Container zu starten, in welchen unserer Code geclont wird, gefolgt von einem zweiten Container, einem Image, welches wir gebaut haben, und gegen dessen Container die Salt States ausgeführt werden.

Nachdem insbesondere unser Docker Container, der einen nackten Server darstellt, gestartet wurde, wird innerhalb des Containers der Salt-Code aus dem Build-Verzeichnis nach /srv/saltstack kopiert, einen eigene /etc/salt/minion kopiert und der Minion Service neu gestartet.

Die dabei entstehende Konfiguration sieht nun eine Master-less Installation vor, welche in einem nächsten Schritt angestoßen wird.

Wir starten jetzt also mit einem salt-call state.apply einen Highstate Lauf auf dem Docker Container. Damit wir aber auch die tatsächlichen Returncodes der States erhalten (und bei einem RC != 0 die roten Lampen im CI angehen), müssen wir den Salt-Aufruf wie folgt ergänzen: salt-call --local state.apply --retcode-passthrough

Wenn ein Highstate fehlerfrei durchläuft, wird --retcode-passthrough am Ende dafür sorgen, dass der gitlab-runner einen erfolgreichen Build meldet. Sollte ein State fehlschlagen (und deswegen einen RC != 0 melden), wird --retcode-passthrough diesen RC durchreichen und der gitlab-runner wird einen gescheiterten Build melden.

Im Grunde ist es also ganz einfach. Der Status des CI wird sogar gleich ohne weiteres Zutun in der Web GUI des Repos und der Commits und Mergerequests an prominenter Stelle angezeigt, sodass man auch im Nachhinein nachvollziehen kann, zu welchem Patch/MR ein Build vorliegt.

Die Probleme liegen aber, wie immer, im Detail.

Probleme, Probleme, Probleme!

Probleme mit Zertifikaten

Unser Gitlabserver läuft hausintern mit eigenen SSL Zertifikaten. Es ist wichtig, auf dem Build Host diese Zertifikate sauber in das OS mit einzubinden.

Aber selbst dann der gitlab-runner diverse Schwierigkeiten. In der Version 0.7.2 kann man den gitlab-runner zwar mit dem eigenen Gitlabserver verbinden ("registrieren" genannt), jedoch weigert sich die der Runner-eigene Docker Container (gitlab/gitlab-runner:build) partout, das Repo vom Gitlabserver zu klonen. Abhilfe hat hier nur geschaffen, das gitlab-runner Image zu manipulieren (nämlich in git den globalen verifySSL Schalter auf false setzen) und zu committen und dann den Docker Server vom Internet fernzuhalten, damit das Image nicht, wie sonst üblich, erneut aus dem Netz zu saugen. Anders nämlich, als in der Dokumentation angedeutet, injiziert der gitlab-runner nämlich keineswegs die Zertifizierungskette in seinen Container!

Nach diesen Tweaks klappt dann auch das Clonen des zu testenden Repos in den entsprechenden Docker Container.

Wir haben beim Gitlab-Runner-Team mal nachgefragt, was es damit auf sich hat. In der Version 1.0 soll diese Zertifizierungsketten-Injection funktionieren. Wir sollten uns den entsprechenden Release Candidate installieren.

Gesagt, getan: Nun funktionierte die Registrierung des gitlab-runners an den Gitlabserver nicht mehr.

Hier für haben wir noch keine Lösung. Keine der in der Doku vorgeschlagenen Lösungen hat bei uns funktioniert.

Sollte man seine Server mit offiziellen Zertifikaten betreiben, spielen diese Unbillen jedoch keine Rolle.

Probleme mit Docker

Bei den Salt Highstates in unseren Docker Containern funktionierten die Iptables States nicht. Die Iptables Regeln konnten nicht gesetzt werden. Da Firewall Regeln aber ein Bestandteil unserer Grundkonfiguration sind, gab es hier Klärungsbedarf.

Tatsächlich ist die Lösung einfach, wenn auch nicht sonderlich sicher: Man muss die Docker Container mit der Option --privileged laufen lassen. Wie das geht, folgt weiter unten.

Ein wenig How To

Gitlab

Zumindest in der von uns verwendeten Gitlabversion 8+ ist CI von vorneherein angeschaltet gewesen. Jedoch musste für das Projekt das CI erst noch angeschaltet werden:

Project -> Settings -> Bei 'Features' den Haken bei Builds setzen

Wenn man jetzt einen Runner darauf ansetzen will, so benötigt man ein paar Parameter, die bei der Registrierung angefordert werden:

Projects -> Settings -> Runners -> Siehe 'Specific Runners'

Anschließend kann man den Runner mit gitlab-runner register am Gitlabserver anmelden.

Gitlab Runner

Wir haben bei der Registrierung des Runners am Ende als Executor docker angegeben, und im weiteren Verlauf privileged = true (vgl. auch /etc/gitlab-runner/config.toml). Dies ist - wie gesagt - notwendig, damit auch die IPTABLES Regeln innerhalb des Docker Containers ausgerollt werden konnten.

Docker

Man sollte der Docker Doku folgen, und dem Gitlab-Runner User die Gruppe docker geben, damit dieser Docker Befehle ausführen kann.

Insgesamt kann man also festhalten, dass der Build Server, auf welchem der Gitlab-Runner und Docker laufen, ein Sicherheitsproblem hat. Es empfiehlt sich daher tunlichst, dieses Gerät für nichts anderes zu nutzen.

.gitlab-ci.yml

Unsere .gitlab-ci.yml sieht in etwa so aus:

before_script: - pwd - sudo cp ./ci/minion_test /etc/salt/minion - sudo service salt-minion restart - sudo cp -r . /srv/saltstack/ - cd /srv/formulas/apache-formula; git pull - cd /srv/formulas/nginx-formula; git pull - cd /srv/formulas/openssh-formula; git pull - cd /srv/formulas/postfix-formula; git pull - cd /srv/formulas/saltstack-network-formula; git pull - cd /builds/saltstack/saltcode Test Grundinstallation: image: sgk-u1404:nackt script: - echo "Hello World" - whoami - salt-call --local state.apply --retcode-passthrough Test Webserver: image: sgk-u1404:mit_sgk script: - salt-call --local grains.setval roles webserver --retcode-passthrough - salt-call --local state.apply --retcode-passthrough

Wir geben für jeden Test explizit das Docker Image an, welches verwendet werden soll.

Vor jedem Test rollen wir eine Salt Minion Konfiguration aus, die speziell für eine lokale Installation gedacht ist.

Wir holen für unsere verwendeten Formulas noch mal die aktuelle Version.

Wir kopieren den Code aus dem Build-Verzeichnis an die richtige Stelle unter /srv

Wenn wir eine Rolle testen, setzen wir vor dem Highstate das entsprechende Grain.

Man beachte den Unterschied zwischen den beiden genannten, beispielhaften Tests:

Im ersten Test wird die Grundinstallation des Servers getestet. Dabei handelt es sich um einen Zustand eines Servers, der für alle Installationen identisch ist.

Im zweiten Test wird auf ein Image zurückgegriffen, auf welchen die Grundinstallation schon vorhanden ist und nur noch die Ergänzungen der Rolle aufgetragen werden. Das machen wir deshalb so, weil sich dadurch die Laufzeit des Tests erheblich verkürzt (von 6-8 Minuten auf < 1 Minute - 2 Minuten). Bei der Menge an Tests ist das wichtig, um die Prüfungen möglichst schnell abschließen zu können. Gleichzeitig sollten wir an Aussagekraft nichts verlieren.

Ausblick

Die Test, die wir bisher eingebaut haben, machen nicht viel mehr als sicherstellen, dass der Salt-Code noch lauffähig ist und durch Änderungen beispielsweise nicht irgendwelche Abhängigkeiten kaputt gemacht worden sind. Wir prüfen jedoch nicht, ob eine Änderung am System auch wirklich funktionsfähig vorgenommen worden ist. Wenn wir beispielsweise das Passwort eines Benutzers ändern und ausrollen, so prüfen wir hinterher nicht, ob er sich damit auch tatsächlich anmelden kann, sondern nur, ob der State erfolgreich durchgelaufen ist. Hier kann man sicherlich noch Verfeinerungen vornehmen.

Wir haben unserem Projekt einen Ordner ci/ hinzugefügt. Es wäre denkbar, hier Skripte zu erstellen, welche konkretere Konsistenzprüfungen vornehmen:

Liefert ein installierter Webserver eine Webseite aus,

ist auf einem Datenbankserver eine bestimmte Datenbank vorhanden,

können wir bestimmte Benutzer auf dem System finden etc. pp.

Diese Skripte könnte man dann als einfache Aufrufe in der .gitlab-ci.yml beim Test der jeweiligen Rolle ausführen lassen und so immer tiefer testen.

Linkliste

Quickstart Guide

Installations Anleitung

Docker einbinden

Einen Specific Runner installieren

Es macht keinen Spaß - es ist zu kompliziert!

Als ich mich nach 4 Wochen Urlaub das erste Mal an meinen Schreibtisch setzte und das erste Ticket bearbeiten wollte, bei welchem ich mit unserer Saltstackinstallation arbeiten musste, stellte ich plötzlich mit Entsetzen fest:

Wie war das noch mal mit den Pillars und den States und den Environments gebaut? Worauf musste ich doch gleich achten? Und warum greift mein Pillar jetzt nicht? Ist es weil... Moment, ich musste doch ersteinmal hier... nee, ah, da! Oder?

WTF?

Ich saß da und musste mich ungefähr zehn Minuten lang wieder hinein denken, um am Ende zu dem Schluß zu kommen: Es hat keinen Sinn, es gibt nur eine logische Schlussfolgerung. Wenn ich, der das alles implementiert hat, sich nach nur 4 Wochen wieder in das Thema hinein denken muss, dann ist es viel, viel zu kompliziert. Und wenn etwas unnötig kompliziert ist, dann ist es unnötig fehleranfällig und auch unnötig schwer, anderen zu erklären.

Der Erfolg unseres Saltstack-Projektes hängt auch entscheident von der Akzeptanz bei meinen Kollegen ab. Nur wenn wir es schaffen, dort Interesse (und im besten Fall sogar Begeisterung) zu wecken, kann daraus werden, was ich mir vorstelle - nämlich eine spürbare Steigerung des Anteil an Automatisierung in unserer Infrastruktur. Wenn etwas unnötig schwer zu erlernen ist, wird es sowohl mit dem Interesse als auch mit der Begeisterung nur schwer klappen.

Es macht schlichtweg keinen Spaß.

Der Fehler

Der Fehler war schnell ausgemacht: Es sind einfach zu viele Git Repos, jetzt schon, und mit steigender Zahl an States würde das Ganze noch zunehmen und mithin also immer unübersichtlicher werden. Dabei hilft auch nicht eine klare Verzeichnisstruktur, denn sie löst nicht das Problem, viele, viele kleine Git Repos im Auge zu behalten.

Im Grunde habe ich schon beim Schreiben des entsprechenden Blogartikels gespürt, dass das alles zu fett, zu groß, zu sperrig ist. Die Rückkehr ins Office war nur eine weitere Bestätigung, dass ich ein wichtiges Gebot mißachtet hatte: Keep. It. Simple!

Die Lösung (hoffentlich)

Aus 3 mach 1 - wir haben aus unseren 3 Environments (base, dev, prod) nur noch eines gemacht (base).

Das klingt gefährlich, denn wie wollen wir künftig zwischen Test- und Produktivservern unterscheiden? Wir haben uns hier überlegt, einen Test- und einen Produktiv-Master aufzusetzen, und Testserver eben gegen den Test-Master und Produktivserver gegen den Produktiv-Master laufen zu lassen.

Das bringt zwar wieder etwas Komplexität rein ins Szenario, bietet aber auch Vorteile: Wir können auch neue Salt Versionen dediziert in einer Test-Umgebung testen. Und das scheint eine gute Idee zu sein, denn man sollte die Salt Updates zeitnah mitnehmen (nicht nur wegen der neuen Features, sondern auch und insbesondere wegen der Bugfixes), wobei dann immer noch die latente Gefahr besteht, in geänderte APIs zu rennen, was man dann lieber in einer Testumgebung feststellt, als in der Produktion.

Nur noch ein einziges Git Repo! - alle Pillars und States sind jetzt in einem Git Repo. Ende.

Ausnahmen bilden die Formulas, was man aber auch nicht ändern kann und will.

Wir arbeiten jetzt eine kurze Zeit mit diesem Aufbau und er fühlt sich deutlich natürlicher an, als das aufgeblähte Etwas zuvor.

Es gab vor allem einen Bruch in der Denke: Wir betrachten unsere Saltstack Infrastruktur einfach als ein Softwareprojekt. Daraus ergeben sich dann auch andere Dinge, wie DesignPatterns und Tests etc. Aber vor allem zunächst einmal eine dezentrale Entwicklung und ein einzelnes Git Repo.

Erkenntnis, nebenbei

Ich habe mir einen Yubikey NEO zugelegt, um künftig meine Onlinekonten - da wo möglich - mit einer 2 Faktor Authentifizierung abzusichern.

Ich muss zugeben: Ich habe mich vor dem Kauf nicht allzu umfassend informiert und den Yubikey einfach bestellt.

Erst nach dem Kauf habe ich dann recherchiert, wie ich den Yubikey bei meinen Mailkonten anwenden kann, um den Webzugriff abzusichern.

Um das schnell abzuhaken: Google und Yubikey und U2F waren nach 10 Minuten erledigt. Das funktioniert mit einem Chrome Browser einfach so. Ende.

Dann also mein Mailbox.org Postfach. Prinzipiell soll das eine einfache Sache sein: PIN festlegen und dann... Oh. Man benötigt dazu ja nicht irgendeinen Yubikey, sondern man muss ja den Yubikey von Mailbox.org bestellen. Allerdings kostet der Yubikey NEO dort etwa 15€ mehr kostet als woanders. Diese Mehrkosten rechtfertigen sich durch den Verwaltungsaufwand bei Mailbox.org für die Einrichtung, allerdings ist man als Besitzer eines Yubikeys kaum bereit, sich mal eben einen zweiten, teuren Key zuzulegen. Ein Mailbox Kunde hat dann gefragt, wie es denn mit vorhandenen Keys aussieht, und der Chef persönlich - Peer Heinlein - antwortete, dass man schon noch 3 Wochen benötigen würde, bis man so weit sei, weil das alles sehr aufwendig ist, nur um dann einige Zeit später zurückzurudern und den Zeitpunkt für die Zulassung eigener Yubikeys auf unbestimmte Zeit zu verschieben.

Also: Mailbox.org und Yubikey - nicht möglich, wenn man einen eigenen Key verwenden möchte. Doof.

Na gut. Dann eben mein Posteo Postfach. Um es kurz zu machen: Man muss sich als Mac OS Besitzer ein kostenpflichtiges Programm installieren. Ok, kann man machen, weil Sicherheit ja wirklich wichtig ist. Aber: Man muss das Programm IMMER benutzen, wenn man sich mittels U2F einloggen will und das kontakariert den eigentlichen Sinn und Zweck des Ganzen, nämlich sich von unterwegs im Zweifel auch an nicht vertrauenswürdigen Rechnern mal in sein Postfach einloggen zu können - schließlich habe ich dort nicht die notwendige Software installiert.

Es geht um Unittests. Ich habe neulich in The Clean Coder von Robert Martin geblättert und ein paar wichtige Grundsätze zu TDD mitgenommen:

Bei einer hohen Codecoverage kann man aggressiv refaktorieren.

Wenn man aggressiv refaktorieren kann, steigt die Code Qualität.

Wenn man aggressiv refaktorieren kann, schützt man den Code vor dem Verrotten.

Das deckt sich mit meinen Beobachtungen aus eigenen Projekten, sozusagen als Negation der obigen Liste:

Wenn man keine ausreichende Codecoverage hat, kann man nicht aggressiv refaktorieren, weil man nie sicher sein kann, irgendwo etwas kaputt zu machen.

Wenn man nicht aggressiv refaktorieren kann, macht man sich nicht die Mühe, schlechten Code zu besseren (oder gar guten) Code umzubauen.

Wenn man nicht aggressiv refaktorieren kann, neigt man zu Balkonen (sprich: Features, die nicht sauber implementiert werden, sondern lediglich irgendwo reingequetscht werden).

Wenn man nicht aggressiv refaktorieren kann, verrottet der Code.

Schlechter Code wird mit der Zeit immer schlechter, immer schwerer zu erweitern und immer schlechter wartbar

Ich werde mal versuchen, künftig jeden Monat eine Liste von Links zu veröffentlichen, die ich den vergangenen Monat gefunden und für aufhebenswert gehalten habe. Das dient hauptsächlich der eigenen Archivierung, mag aber auch für andere vielleicht interessant sein.

Doing Terrible Things To Your Code

Schöner Text darüber, wie man als Entwickler auch manchmal einfach übersieht, was Menschen, die unser Programm benutzen, alles damit anstellen werden, und wie schnell das dazu führen kann, dass damit etwas ganz anderes passiert, als vorgesehen war.

Transforming Code into Beautiful, Idiomatic Python

Raymond Hettinger spricht in diesem Video darüber, wie man schöne Python Code schreibt. Typischer Raymond-Hettinger Vortrag ("Who learned something new?!")

Es gibt dazu noch eine nützliche Abschrift, die ich gerne verlinken möchte.

Test Driven Development with SaltStack SLS code

Wie kann man in Saltstack eigentlich testgetrieben entwickeln? Das ist eine spannende Frage, denn bisher läuft es doch immer irgendwie so:

Installationsmethode (State) schreiben,

gegen einen Testserver laufen lassen,

Ergebnis prüfen.

Das funktioniert gut, aber es ist letztlich doch auch wieder dem Admin überlassen, wie gründlich er seine Arbeit macht, insbesondere dann, wenn er zu einem späteren Zeitpunkt Änderungen am Code vornimmt und vielleicht nicht mitbekommt, wenn irgendwo etwas auseinander fällt.

Python Links, diverse

Über Decorators

Allgemeine Tips und Tricks

Einleitung

Ich wollte über organisatorische Belange im Zusammenhang mit Saltstack schreiben, und habe dann festgestellt, dass es sinnvoll ist, organisatorische Themen zu trennen:

Wie ist der Code organisiert (also States, Pillars, Formulas, Files) und

wie ist der Workflow organisiert?

Die Organisation des Workflow (also der Zusammenarbeit der mit Saltstack arbeitenden Kollegen) ist noch ein ziemlich unausgereift, weswegen ich ihn im nächsten Posting behandeln werde, in der Hoffnung, dann schon etwas mehr Klarheit zu haben. Was wir aber bisher ganz gut im Griff haben, ist die Organisation des Codes.

File und Pillar Roots und mehr

Wir haben uns bei der Verzeichnisstruktur für den Saltmaster weitestgehend an die Vorgaben in der Dokumentation gehalten, ergänzt um wenige Erweiterungen. Als Randbedingung haben wir uns zwei Environments gesetzt, die wir abbilden (zusätzlich zu base):

dev: Alle Pillar und States, die sich in der Entwicklung befinden oder gegen Entwicklungs- bzw. Testserver geschickt werden sollen.

prod: Alle Pillar und States für alle produktionskritischen Server

Daraus ergibt sich dann folgende Verzeichnisstruktur:

/srv/ ├── pillar │   ├── base │   ├── dev │   └── prod └── salt ├── base ├── dev └── prod

Dies entspricht den Vorgaben, bzw. den Beispielen in der Saltstack Doku. Dazu haben wir noch ein Verzeichnis namens /srv/formula hinzugefügt, in welchem alle Formulas abgelegt werden.

Ein Problem mit Formulas

Wir müssen jedes Formula in die file_roots Direktive der /etc/salt/master eintragen, damit die Verweise innerhalb der Formulas stimmen, und jedes Formula in jedem Environment zur Verfügung steht. Wir könnten natürlich auch die Formulas direkt unter /srv/salt/<env> ablegen, aber wir bevorzugen eine Trennung zwischen unserem Code und fremden Code. So ergibt sich folgende Verzeichnisstruktur:

/srv/ ├── formula │   ├── apache-formula │   └── ntp-formula ├── pillar │   ├── base │   ├── dev │   └── prod └── salt ├── base ├── dev └── prod

Jetzt fehlt noch ein Verzeichnis, welches wir als allgemeine File-Ablage nutzen können. Die Idee dahinter ist, dass es große Binaries (bspw. tgz oder andere BLOBS) geben kann, die mit Saltstack ausgerollt werden sollen, gleichzeitig aber nicht zu einem speziellen State gehören und/oder nicht in git eingecheckt werden sollen. Dazu gint es dann eine Art Müllablageplatz namens /srv/files/bucket. Dieser Pfad muss ebenfalls in file_roots: festgelegt werden, sodass er in States selber mit dem URI salt://bucket/<FILENAME> angesprochen werden kann. Daraus ergibt sich die bisher finale Verzeichnisstruktur:

/srv/ ├── files │   └── bucket ├── formula │   ├── apache-formula │   └── ntp-formula ├── pillar │   ├── base │   ├── dev │   └── prod └── salt ├── base ├── dev └── prod

  Wir haben jetzt alle Verzeichnisse zusammen, die wir für unseren Code benötigen. Die top.sls finden sich naturgemäß immer in den Wurzelverzeichnissen der Environments, sowohl für die Pillars als auch für die States (z.B. /srv/salt/dev/top.sls oder /srv/pillar/prod/top.sls). Der nächste, wichtige Punkt ist das Versionskontrollsystem.

git und Gitlab

Das wichtigste Hilfmittel zur Organisation des Codes ist git. Und damit uns die Arbeit mit git möglichst leicht fällt, haben wir einen Gitlab Server aufgesetzt, welcher unsere Repositories hostet. git und Gitlab sind auch unsere Werkzeuge für einen Workflow der Mitarbeiter untereinander, aber dazu später mehr. Die Frage zu Beginn war nicht, ob wir git einsetzen, sondern nur, wie wir es einsetzen, bzw. wie die Struktur der Repositories genau aussehen sollte. Sollten der gesamte Code in ein großes Repository, sollten wir nur die Pillars und States voneinander trennen oder noch kleinteiliger vorgehen?

States und git

Ein Hinweis lieferte ein Vortrag aus dem Puppetumfeld, indem es sinngemäß heisst: "Macht für jedes Module ein Repository! Alles andere wird langfristig Probleme machen!" Im Falle von Saltstack würde man also die States in einzelne Repositories aufteilen. Das ergibt auch im Zusammenhang mit Formulas einen Sinn. Formulas sind letztlich nichts anderes als States, nur dass sie irgendwie "offiziell" unterstützt werden, und jedes Formula lebt in einem eigenen Repository. Daraus ergibt sich dann für die States folgende Struktur, beispielhaft dargestellt:

/srv/salt/ ├── base │   └── tools <--.git ├── dev │   ├── apache2 <--.git │   └── mysql <--.git └── prod ├── apache2 <--.git └── mysql <--.git

Jeder State hat also sein eigenes git Repo, bspw. /srv/salt/base/tools/.git. Zu beachten sind hier die Verzeichnisse apache2 und mysql, die sowohl in dev: als auch in prod: vorkommen. apache2 unter dev: und unter prod: hat jeweils das selbe remote Repository, jedoch oftmals mit abweichenden aktiven SHAs. Unter dev: werden alle Änderungen an States und Pillars getestet (indem sie gegen eine Reihe von Test Servern gesetzt werden), um nach erfolgreichem Abschluss der Tests, prod: ebenfalls zu aktualisieren. Diese Kleinteiligkeit bei den States erlaubt es uns, die Installationsskripte Maintainern zuzuweisen, die hoheitlich über ihre States wachen. Und sie erlaubt es uns auch, Mergerequests (sprich: Änderungen) vorzunehmen, deren Wirkungskreis (sprich: potenzieller Schaden) begrenzt ist. Daraus ergeben sich aber auch Nachteile. Der gravierenste Nachteil ist die Übersicht. Wenn es nämlich so viele einzelne Repositories gibt, aus welchen sich das große Ganze zusammensetzt, dann stellt sich den Entwicklern immer die Frage, ob ihre lokalen Versionen auf dem letzten Stand sind, welche Änderungen ihnen fehlen, ob sie auch alle States, die es gibt, schon haben und ob und welche ihrer eigenen Änderungen sie noch hochladen müssen. Das alles wird unterm Strich sehr schnell sehr unübersichtlich und damit zu einer potentiellen Fehlerquelle, vom Frust beim Admin ganz zu schweigen. Um dem Abhilfe zu schaffen, haben wir interne Werkzeuge geschrieben, die unsere Arbeiten auf Kommandozeilenebene unterstützen (dazu später mehr). Diese Werkzeuge unterstützen den Admin dabei, den Überblick zu behalten und Änderungen vorzunehmen und seine Sandbox auf dem aktuellsten Stand zu halten.

Besonderheit: States, top.sls und git

Um alles noch etwas komplizierter zu machen,  haben wir die top.sls in den Environment-Roots auch in jeweils eigene git Repositories geparkt. Wo hätte man sie auch sonst mit zuschlagen sollen, wo darunter jeder State sein eigenes Repo besitzt? Damit auch wirklich nur die top.sls in das git Repository aufgenommen wird, haben wir eine entsprechende .gitignore hinzugefügt, die alles ausschließt, bis auf eben die top.sls.

Randnotiz:

Bei States verwenden wir die top.sls ausschließlich dafür

jedem Server ein Grundgerüst an States zur Grundinstallation überzustülpen und

über ein Grain namens roles Rollen zuzuweisen (welche eine Reihe von States umfassen)

Pillars und git

Die Aufteilung der Pillars erfolgt deutlich gröber. Hier haben wir

pro Environment nur ein git Repository,

welches auch die jeweilige top.sls beinhaltet!

Mehr muss man zu den Pillars eigentlich nicht sagen. Allerdings machen ein paar Bemerkungen zu unserer Architektur schon Sinn, um zu verstehen, wie wir Pillars verwenden.

Wie wir Pillars verwenden

Wir leisten uns den Luxus, für Server nahezu immer ein Produktiv- und ein dazugehöriges Testsystem vorzuhalten, sodass man Änderungen auf dem Testsystem ausprobieren kann. Die Test- und Produktivsysteme sind meist nahezu identisch, von Details wie IP-Addressen, Alias Namen, Service-Konfigurationen einmal abgesehen. Genau hier kommen die Pillars ins Spiel. Grundsätzlich versuchen wir, States so zu entwickeln, dass sie sich wie in sich geschlossene Systeme mit möglichst wenigen Abhängigkeiten nach außen verhalten. Dabei lautet eine Regel, dass States mithilfe von Pillars möglichst flexibel eingesetzt werden können müssen, gleichzeitig aber über eine map.jinja Defaults vorzuhalten sind, welche garantieren, dass ein State auch ohne Benutzung von Pillars funktioniert. Wir schreiben in der Regel Pillars, welche die Defaults der map.jinja überschreiben. Dabei verwenden wir das Environment dev: dann für die genannten Testsysteme und folgerichtig prod: für die Produktivsysteme.

Fazit

Raymond Hettinger redet auf der PyCon15 über PEP8 und was darüber hinaus geht. Inspirierend ist der Ansatz mit der Adapter Klasse und weiter zu denken, als PEP8 geht. An einer Stelle sagt er sinngemäß: "Wenn die Form über die Substanz geht, dann läuft etwas verkehrt" Er relativiert nicht das Dogma des "Beautifull Code", sondern macht deutlich, das Form nicht alles ist, sondern das guter Code erst danach beginnt.

Einleitung

Wir arbeiten gerade an einem umfangreicheren Werkzeug zum Verwalten unserer Saltstack Infrastruktur, und wie der Zufall es so will, ist dieses Werkzeug in Python geschrieben und arbeitet viel mit git (was daran liegt, dass unsere Pillars und States in git Repos verwaltet werden…) Beim Schreiben von Unittests stießen wir dann alsbald auf ein interessantes Problem mit dem Mocken von subprocess.Popen…

Das Problem

Unser Code für einen generischen git-Aufruf sieht in etwa so aus:

def git(args): if not args: raise GitCallException('args must be provided') p = Popen(['git'] + args, stdin=PIPE, stdout=PIPE) out, err = p.communicate() rc = p.returncode if rc != 0: raise GitErrorException('git returncode: {0}'.format(rc)) return out, err, rc

Man erzeugt ein Popen Objekt p, ruft auf das Objekt .communicate() auf, um die CLI Ausgabe und eventuelle Fehler zu bekommen und dann - und jetzt kommts - das Attribute .returncode, um eben den Returncode zu erhalten, mit dem man irgendetwas anstellen will. In der normalen Verwendung funktioniert dieser Code einwandfrei. Man erhält out, err, und returncode und es werden alle Exceptions geworfen, die man erwartet. Der Ärger beginnt dann, wenn man diese Funktion testen möchte und zu mocken beginnt:

Variante 1 - mocken von Popen.communicate()

Wir mocken .communicate() weg, geben also vor, was .communicate() im Test zurückgibt:

class TestGit(unittest.TestCase): @mock.patch('subprocess.Popen.communicate', return_value=('foo', 'bar')) def test_git_mock_communicate(self, mock_popen): self.assertEqual(('foo', 'bar', 1), git.git(['log']))

Aber der Aufruf dieses Tests schlägt fehl, bzw. liefert nicht das erwartete Ergebnis:

vagrant@vagrant-ubuntu-trusty-64:/vagrant$ python -m unittest test_git1 E ====================================================================== ERROR: test_git_mock_communicate (test_git1.TestGit) ---------------------------------------------------------------------- Traceback (most recent call last): File "/usr/local/lib/python2.7/dist-packages/mock/mock.py", line 1305, in patched return func(*args, **keywargs) File "test_git1.py", line 19, in test_git_mock_communicate self.assertEqual(('foo', 'bar', 1), git.git(['log'])) File "git.py", line 31, in git raise GitErrorException('git returncode: {0}'.format(rc)) GitErrorException: git returncode: None

Aber das ist auch logisch, denn im Programmablauf wird ja auch der returncode ermittelt und ausgewertet, und deswegen wird ja eine Exception geworfen! Wir returncode ja überhaupt nicht gemockt, deswegen muss das ja schiefgehen!

Variante 2 - mocken von Popen.returncode

Also schnell den Test ergänzt: @mock.patch('subprocess.Popen.communicate', return_value=('foo', 'bar'))     @mock.patch('subprocess.Popen.returncode', return_value=1)     def test_git_mock_returncode(self, mock_popen, mock_2):         self.assertEqual(('foo', 'bar', 1), git.git(['log'])) Jetzt nur noch schnell den Test aufrufen und sich über den kleinen Punkt freuen, der anzeigt, dass ein weiterer Unittest erfolgreich durchgelaufen ist…

====================================================================== ERROR: test_git_mock_returncode (test_git1.TestGit) ---------------------------------------------------------------------- Traceback (most recent call last): File "/usr/local/lib/python2.7/dist-packages/mock/mock.py", line 1297, in patched arg = patching.__enter__() File "/usr/local/lib/python2.7/dist-packages/mock/mock.py", line 1369, in __enter__ original, local = self.get_original() File "/usr/local/lib/python2.7/dist-packages/mock/mock.py", line 1343, in get_original "%s does not have the attribute %r" % (target, name) AttributeError: does not have the attribute 'returncode' ----------------------------------------------------------------------

BLAAAM! Das kam jetzt unerwartet. Aber womöglich wäre das ja zu erwarten gewesen. .returncode ist scheinbar nicht als Objekt Variable mit einem Default Wert vorbelegt oder direkt ansprechbar. Sie wird erst mit dem Aufruf von .communicate() erzeugt und kann deshalb scheinbar nicht gemockt werden. Nach einigem hin und her dann die vergleichsweise einfache Lösung, welche sich durch ein help(subprocess.Popen) ergeben hat..

Lösung - .wait() anstatt .returncode

Hier ein Auszug aus der Hilfe:

| wait(self) | Wait for child process to terminate. Returns returncode | attribute.

.wait() liefert also auch den Returncode zurück, ist eine Funktion und vermutlich mockbar?! Oder?! Also schnell die Funktion umgestellt:

def git(args): if not args: raise GitCallException('args must be provided') p = Popen(['git'] + args, stdin=PIPE, stdout=PIPE) out, err = p.communicate() rc = p.wait() if rc != 0: raise GitErrorException('git returncode: {0}'.format(rc)) return out, err, rc

Nach einem Testaufruf war klar, dass sich im echten Leben der Code noch genauso lief wie vorher. Vielleicht könnte man ja jetzt auch endlich alles mit Tests absichern?

class TestGit(unittest.TestCase): @mock.patch('subprocess.Popen.communicate', return_value=('foo1', 'bar1')) @mock.patch('subprocess.Popen.wait', return_value=0) def test_git_ok(self, mock_wait, mock_popen): self.assertEqual(('foo1', 'bar1', 0), git.git(['log']))

Einleitung

Mit etwas Glück und Disziplin schaffe ich es vielleicht, etwas über unsere Reise mit Saltstack zu berichten, und wie wir uns dem "Infrastructure as Code" Thema nähern. Wir haben mittlerweile einiges an Erfahrung mit Saltstack gesammelt, und ich hoffe, diese Erfahrungen weiter geben zu können. Ob alles, was wir machen, Best-Practise ist, bleibt abzuwarten, aber ich werde versuchen, darüber zu schreiben. In einem ersten Post will ich über unsere Wahl zwischen Puppet und Saltstack berichten, und welche Gründe letztlich dazu geführt haben, Saltstack den Vorzug vor Puppet zu geben. Warnung: Mitunter waren die Entscheidungsgründe hoch subjektiv!

scVenus? Was?

Wir kommen aus einem Umfeld, in welchem scVenus ein Jahrzehnt lang für das Configuration Management zuständig war. 2005 war scVenus ein ausgereiftes, zuverlässiges Werkzeug einer deutschen Firma, mit welchem wir ein konkretes Problem (Umstellung vieler Server auf ein neues OS in kurzer Zeit) lösen konnten. Auch in den Jahren danach leistete scVenus gute Dienste. Es gab allerdings ein paar grundlegende Probleme:

scVenus ist keine OSS,

scVenus ist ein Nieschenprodukt, das außer den Kunden von s&c niemand nutzt,

wenn man ein Problem hat, kann man nicht einfach googlen, um eine mögliche Lösung zu finden,

scVenus hat keine eigene, wirkliche DSL,

es gibt auch keinen wirklichen Resource Abstraction Layer

Anders ausgedrückt: Man merkt scVenus sein Alter an. Neuere Produkte haben auch neue Wege zur Lösung der Automatisierung gedacht und implementiert. Irgendwann wurde es Zeit, sich auf dem Markt nach Alternativen umzusehen.

"Puppet? Wie geil ist das denn?!"

Anfang 2014 wollten wir im Rahmen eines kleinen Projektes ein neues Automatisierungstool testen und stolperten über einen Vortrag zweier Google Admins, die darüber berichteten, wie sie +40K Laptops mit Puppet administrieren. Das klang sehr vielversprechend! Also haben wir anhand einer Anwendung ein PoC mit Puppet erstellt und die Installation und Konfiguration vollständig in Puppet abgebildet. Das Resource Abtraction Layer in Puppet (kurz RAL genannt) und die DSL waren eine deutliche Erleichterung gegenüber den Shell Skripten, aus denen scVenus-Methoden bestanden und ein wesentlicher, konzeptioneller Unterschied war, dass man mit modernen Configuration Management Systemen (CMS )keine Installationsanleitungen mehr schreibt, sondern Systemzustände definiert - ein kleiner, aber wesentlicher Unterschied. Nachdem wir das Konzept von Hiera verstanden hatten, wurden auch unsere Manifeste flexibler, der Code effizienter (und übersichticher) und allgemein waren wir an einem Punkt, an welchem wir fanden, man müsste Puppet großflächiger einsetzen und damit scVenus ablösen.

"Warum muss das alles so kompliziert sein?" - erster Frust mit Puppet

Von scVenus kannten wir das nützliche Werkzeug scprdo, mit welchem man vom Master-Server aus beliebige Kommandos an eine Gruppe von Servern schicken kann, welche das Kommando dann ausführen. Verwundert stellten wir fest, dass es bei Puppet nichts Vergleichbares gibt. Jedenfalls nicht von Hause aus. "Aber es gibt doch MCollective!" MCollective ist das Orchestrierungstool von Puppet, welches man aber extra installieren muss. Wenn man die Inhaltsangabe der Installationsanleitung liest, ahnt man, dass das kein großer Spaß wird, erst recht nicht, wenn die eigene Infrastruktur hinter einer Firewall sitzt und man keinen direkten Internetzugang hat. Und wenn man es dann erst mal installiert hat, dann kann es kaum etwas. Dann kann man vielleicht Services starten und den puppet-agent antriggern, aber dann ist auch bald schon Schluß. Um MCollective so richtig nutzen zu können, muss man dann eigene Agenten schreiben (was nicht sonderlich intuitiv ist). Kurzum: Wir ließen von MCollective die Finger. Ein anderer Punkt, der uns mitunter bitter traf: Hiera löste die Daten anders auf, als wir es angenommen hatten und folgerichtig liefen Installationen und Konfigurationen nicht so, wie wir das erwartet hätten. Das war kein Bug in Hiera, sondern eine falsche Implementierung unsererseits, aber was uns Nerven kostete, waren die fehlenden Debugging-Möglichkeiten. Wie löst man für einen speziellen puppet-agent seine für ihn gültigen Hiera Daten auf? Auf dem Client kann man das nicht tun, weil der Client offenbar selber keine Hieradaten kennt, und erst während des puppet-runs selbige übermittelt bekommt. Auf dem Master kann man Hieradaten nur zuverlässig für den Master selbst auflösen. Ist dieser bspw. in einem "prod" Environment und der zu testende Server in einem "dev" Environment, dann kann man keine korrekte Hiera Data Auflösung mehr durchführen, weil die Envs nicht stimmen, bzw. nicht gleich sind. Und wenn das doch gehen sollte, so schweigt sich die Doku darüber aus. Dependency Cycles. Eine kleine Änderung im Code und PENG! - Puppet sieht sich gegenseitig bedingende Abhängigkeiten, die einen Kreis bilden und aus dem es nicht mehr rausfindet. Das es sich dabei um eine fehlerhafte Implementierung unsererseits handelte, war klar, aber Puppet selbst war nicht sonderlich hilfreich, wenn man dieses Problem lösen wollte: Es verwies auf Graph-Tools mit denen man seinen Code analysieren sollte, um den DC zu finden. Und wenn man einmal diesen nicht ganz einfachen Prozess des Importierens der entsprechenden Daten hinter sich hatte, dann bekam man einen Graphen zu sehen, dessen Komplexität und Umfang einem auch nicht half, das Problem zu lösen. Einfacher war es, in Git die letzten Änderungen nachzuvollziehen und so dem Problem auf die Spur zu kommen. Ab und an will man, dass Puppet mal inne hält und nichts macht. Also müsste man den Puppet Agenten stoppen. Da es kein einfaches Orchestrierungswerkzeug gibt, muss man sich also doch mit den Servern per ssh verbinden und Puppet stilllegen (und später wieder in Betrieb nehmen). Das ist unpraktisch und führt doch wieder zu MCollective, welches aber, wie oben beschrieben, auch nur weh tut, wenn man nicht gerade die Enterprise Variante von Puppet installiert, welche MCollective von Hause aus mitbringt. Am Ende waren wir so weit, dass wir uns fragten, ob es nicht Alternativen zu Puppet geben könnte, die besser unsere Bedürfnisse abdecken würden.

"Probiert doch mal Saltstack"

Wir bekamen den Tipp, einen Blick auf Saltstack zu werfen. Zu diesem Zeitpunkt waren die Schmerzen mit Puppet schon ziemlich akut und infolgedessen die Bereitschaft, sich umzusehen, entsprechend groß. Die erste Anlaufstelle war Youtube, der bequemste Weg, sich in einer Mittagspause zu einem Thema berieseln zu lassen und einen ersten Eindruck zu verschaffen. Das erste Video, das wir uns ansahen, war eines von Thomas Kramm. Wenn man sich erst einmal an seine Stimme gewöhnt hatte, war der erste Eindruck von Saltstack wirklich beindruckend: So leicht ließ sich ein Master aufsetzen? So einfach waren die Clients (Minions) eingerichtet? Und Salt brachte die Orchestrierung einfach gleich mit? Eine weitere interessante erste Informationsquelle war ein Blogpost von Ryan D Lane, der Ansible mit Saltstack verglich. Nach dem Studium dieses Posts wussten wir zumindest, dass wir nicht unbedingt Ansible als erstes würden betrachten wollen. Einige Videos später waren wir ermutigt genug, eine Saltstack Testumgebung zu bauen und erste Versuche darin zu unternehmen.

Anforderungen

Mit wachsener Erfahrung im Betrieb von Puppet und der Kenntnis über unsere Infrastruktur, hatten wir in etwa folgende Anforderungen an ein CMS:

Einfache Installation aller benötigten Komponenten (Master- und Clientsoftware)

Gute Dokumentation

Eine aktive, umgängliche und hilfsbereite Community

Eine Orchestrieungskomponente

Möglichst geringer Resourcenbedarf des Masters und der Clients (wegen Sandboxing von Entwicklungsumgebungen mithilfe von VMs)

Während wir also damit begannen, Slatstack näher in Augenschein zu nehmen, behielten wir unsere Anforderungen im Hinterkopf und verglichen sie mit unseren Erfahrungen.

Vokabeln lernen...

Saltstack wartete zu Beginn schon mit einer ungewohnten Hürde auf: Das Vokabular. States, Modules, Pillars, Grains, Minions, Master, Highstate, Lowstate und was nicht alles noch. Gottseidank hat ein sympathischer Typ namens Peter Baumgartner dazu auf der PyCon 2014 einen informativen Vortrag gehalten. Am Ende, wenn man einmal die wesentlichen Unterschiede verstanden (Unterschied Module und State sowie Grain und Pillar) und man das Konzept der top.sls verinnerlicht hat, kann man auch schon anfangen und mit Saltstack sinnvolle Dinge tun. Und sinnvolle Dinge kann man eigentlich sofort mit Saltstack anstellen.

"Das ist ja irre!" - Erste Erfolge mit Saltstack

Schon während der ersten Versuche, irgendetwas Sinnvolles mit Saltstack anzustellen, stießen wir auf salt cmd.run. Ein einfacher Befehl, mit dem man alles mögliche auf all seinen Servern gleichzeitig erledigen lassen kann - das scprdo Äquivalent von scVenus - wofür es nicht mal bei Puppet Enterprise etwas Vergleichbares gibt. Und dann warfen wir mal einen genaueren Blick auf die Builtin-Modules von Saltstack - also Funktionalität, die von Hause aus schon mit dabei ist - und waren baff: 200+ Module, die man einsetzen konnte, ohne ein einziges Manifest (oder in Salt-Sprech: State) schreiben zu müssen. Puppet ist nach der Grundinstallation noch völlig wertlos, bei Salt hat man nach der Erstinstallation bereits einen prall gefüllten Werkzeugkastern zur Verfügung. Das war sehr vielversprechend! Also überlegten wir, testweise unsere Servergrundkonfiguration in Saltstack zu implementieren. Das würde uns ein Gefühl vermitteln, wie flexibel und intuitiv Saltstack im Betrieb wäre.

YAML!

Wenn man mit der DSL von Puppet vertraut ist, fällt der Umstieg nach Saltstack nicht so schwer. Allerdings schreibt man States (Puppet = Manifests) jetzt in YAML, was eine saubere Formatierung des Codes voraussetzt. Das ist gut! Es zwingt alle beteiligten zu einer einheitlichen Schreibweise und vielleicht können wir das später auch linten. Allerdings muss man erst das Prinzip der State-IDs begreifen und sich insbesondere mit der Definition von Bedingungen anfreunden, ebenso mit der Template-Engine Jinja. Es war definitiv ein initialer Aufwand nötig, sich mit dem Templating, den States, Pillars, top.sls und Environments auseinanderzusetzen, um Saltstack sinnvoll und effizient einsetzen zu können. Aber mit den Vorkenntnissen von Puppet war das in einem akzeptablen Zeitrahmen machbar. Innerhalb von vielleicht 10 PT war unsere Severgrundkonfiguration implementiert und es war bereits erkennbar, dass vieles deutlich einfacher, flexibler und schneller funktionierte, als mit scVenus (und auch im Vergleich zu Puppet). Währenddessen hatten wir jedoch auch einige Bugs in Saltstack gefunden und auch hier immer wieder mal das Bedürfnis, den Kopf auf die Tischplatte zu schlagen. Trotzdem gab es deutlich weniger Bauchweh als mit Puppet und innerhalb kurzer Zeit fingen wir an, die Module regelmäßig zu nutzen und uns immer weniger per SSH mit den Servern zu verbinden. Und das war ein gutes Zeichen!

Pro & Cons Puppet vs. Saltstack

Vielleicht noch einmal etwas gesammelt die Vor-und Nachteile der beiden CMS, wie wir sie wahrgenommen haben:

Puppet

Pros:

Standard-Tool. Jeder kennt es, so ziemlich jeder aus dem Ops-Umfeld hat damit Erfahrungen.

Ausgereift. Alle Fallstricke, Probleme sind irgendwo dokumentiert, Google führt recht zuverlässig zu den gängigsten Lösungen zu den gängigsten Problemen.

Eine sinnvolle Enterprise-Edition, die ggü. der OSS Edition einen echten Mehrwert bietet (das Dashboard, einfachere Installation der Einzelkomponenten).

Man findet viele Schulungsanbieter, externen Support, externe Expertise.

Puppet Forge ist eine Quelle für eine sehr große Anzahl an sehr guten Modulen/Manifests.

Cons:

Man merkt, das Hiera und MCollective dazu gekauft worden sind. Die Integration ist miunter hackelig.

Es ist nahezu unmöglich, Mergerequests durchzubekommen, selbst bei Bugfixes. So wurde es uns zumindest von einem unserer externen Dienstleister berichtet, welcher Fixes für die Kerberos Authentfizierung des Clients am Master eingereicht hatte, welche abgelehnt wurden ("Sorry, aber das ist Code aus dem Core, und zwar welcher, dessen Entwickler nicht mehr da ist und den wir selber nicht so genau verstehen. Deswegen können wir deinen Fix nicht annehmen!").

Puppet und Debugging ist schwieriger, als es sein sollte.

Die Installation aller Komponenten (inklusive MCollective) ist nur in der Enterprise-Edition einfach, während es in der Community Edition weh tun kann. Auch ist die Anzahl der Abhängigkeiten der Puppet Pakete zu anderen Pakteten im Vergleich zu Salt sehr hoch. Man muss sehr viel an Overhead in Kauf nehmen.

Orchestrierung ist nur mit einigem Aufwand vernünftig zu realisieren.

Ohne Manifests ist Puppet nutzlos.

Saltstack

Pros:

Saltstack ist schnell installiert, die Abhängigkeiten sind überschaubar, ebenso der Resourcenbedarf.

Nach der Installation hat man auch ohne States bereits eine ganze Reihe nützlicher Werkzeuge zur Administration und Orchestrierung zur Hand. Man ist ist gleich von null auf 100.

Pillars im Zusammenhang mit Grains (was bei Puppet in etwa Hieradaten und Facts entspricht) und der top.sls sind ein mächtiges Werkzeug, variable Daten Hosts zuzuweisen und so die States möglichst modular zu halten. Pillars lassen sich kumulativ zuweisen, was großartig ist, wenn man beispielsweise mit Rollen arbeitet und innerhalb der Rollen unterschiedliche Variablen dynamisch zusammensetzen möchte. Hiera in Puppet ist hierarchisch organisiert, was Limitierungen mit sich bringt, Saltstack hingegen organisiert seine Pillars so, dass sie sich gegenseitig ergänzen können.

Probleme mit Pillars lassen sich ziemlich einfach debuggen - zumindest im Vergleich zu Puppet. Das CLI bietet hierzu das passende Werkzeug.

Grains (Puppet: Facts) lassen sich zentral vom Master aus einem Host oder einer Hostgruppe zuweisen, ohne dass es dafür extra einen State braucht. In Puppet benötigt man hierfür ein Manifest und Hiera.

Saltstack ist in Python geschrieben, die States in YAML. Das ist irgendwie cooler als Ruby (das ist höchst subjektiv, jaja)

Wenn man einen Bug findet und einen Fix dazu als Pullrequest auf Github einstellt, stehen die Chancen gut, dass dieser akzeptiert wird.

 Cons:

Formulas haben bei weitem nicht den Umfang und die Qualität der Module auf Puppet Forge.

Die Designpattern für Formulas scheinen nicht zu Ende gedacht. Man könnte auch sagen, sie existieren eigentlich nicht.

Manchmal funktioniert einfach etwas nicht wie erwartet. Man merkt mitunter, dass Saltstack eben doch noch nicht so alt ist wie Puppet.

Es gibt kaum Schulungsanbieter, externe Expertise ist schwer zu kaufen. Im Zweifel leisten wir auch so etwas wie Pionierarbeit (was aber vielleicht auf der Pro-Seite stehen sollte).

Es gibt keine wirkliche Enterprise Variante, bei der man die inhaltlichen Vorteile sehen würde, kein Dashboard etc. Wobei man auch hier streiten kann, ob es das dringend braucht.

Die Windowsunterstützung soll weniger umfangreich sein als beispielsweise bei Chef - wobei Chef hier auch als Marktführer gilt.

Ich habe mit Leuten gesprochen, die sich negativ über die ZeroMQ geäußert haben und dies als Sicherheitsproblem benannten. Andererseits waren das Ausnahmen, und ich konnte im Netz keine prinzipiellen Bedenken finden, welche diese Kritik gestützt hätte.

Jinja kann manchmal ganz schön nerven und schwer lesbar sein.

Fazit

Auch wenn Puppet der etablierte Marktführer ist, hatten wir nicht das Gefühl, dass er das beste Produkt anbietet. Saltstack hat mitunter Probleme, wenn etwas mal anders funktioniert als erwartet, aber die Basis ist vielversprechend und wirkt runder, vollständiger und die Komponenten untereinander sauberer zusammengesetzt. Insgesamt hatten wir das Gefühl, dass Saltstack eine rosige Zukunft vor sich hat und unseren Anforderungen vollständiger genügt, als das bei Puppet der Fall wäre. Saltstack fühlt sich mehr nach scVenus an als Puppet, und das erhöht auch die Akzeptanz bei den alteingesessenen Ops-Leuten. Am Ende entschied auch eine gehörige Portion Bauchgefühl zwischen beiden CMS. Und bisher haben wir es nicht bereut, auf unsere Intuition gehört zu haben. Trotzdem sind wir gespannt, was passieren wird, je komplexer unsere Salt Architektur wächst.

Ausblick 

 In den nächsten Postings will ich etwas über Organisation reden:

Wie organisieren wir den Code,

wie wollen wir die Zusammenarbeit der Admins untereinander koordinieren,

wie soll die Code Qualität gehalten, bzw. verbessert werden,

welche Ideen haben wir, schnell, flexibel und trotzdem zuverlässig unsere Infrastruktur wachsen zu lassen...