AbcLinuxu:/ Poradna / Linuxová poradna / Ansible -

Štítky: ansible, APT, dpkg, Internet, management, následující, problém, sítě, upgrade, VIA, Windows

Dotaz: Ansible -

23.8.2021 08:17 hanysl
Ansible -

Přečteno: 568×

Odpovědět | Admin

Dobré ráno, Prosil bych o radu, převážně se v práci i osobním životě věnuji Windows technologiím, linuxu velice okrajově.

V práci, kde momentálně jsem máme na hale nasazených cca 300-400 Raspberry Pi, dlouhodobě se zde něřešil žádný pořádný management, updaty apod. Rozhodl jsem se tedy po dohodě s šéfem nasadit AWX s Ansible, základní skripty jsem už nějak vychytal.

Řeším nasledující problém. Vzhledem k bezpečnosti nemají RPi přístup na internet, proto jsem nainstaloval vzdáleně do systému aplikaci apt-offline, přes kterou chci RPi aktualizovat.

Mám problém s aktualizací samotného systému, vykazuje chybu:

{ "unreachable": true, "msg": "Failed to connect to the host via ssh: Shared connection to 172.30.1.175 closed.", "changed": false }

Potřeboval bych ji nějak potlačit, či obnovit, nemám ale tušení jak. Async apod. metody příkaz nepodporuje. Za tímto je ještě reboot, ale na ten nikdy nedojde. Zkoušel jsem tuto část pustit jako shell, a dělá to to samé, je nějak možné obnovit spojení?

Část playbooku, která toto vykazuje:

- name: Upgrade all apt packages
apt:
upgrade: yes
force_apt_get: yes

Prosím o jakoukoli radu. Děkuji.

Nástroje: Začni sledovat (0) ?

Odpovědi

23.8.2021 08:34 -nd-
Rozbalit Rozbalit vše Re: Ansible -

Hledal bych někde tady : Failed to connect to the host via ssh

23.8.2021 09:25 majales | skóre: 30 | blog: Majales
Rozbalit Rozbalit vše Re: Ansible -

Pokud se připojíte, ale ansible se odpojí při provádění příkazu, můžete debugovat pomocí -vvvv ( vyšší počet v znamená větší ukecanost), abyste se podíval kde to zhavaruje. apt-offline se zřejmě nedá ovládat přes ansible modul apt. Tiše předpokládám, že v playbooku máte "become: yes" aby to bylo přes sudo. Bohužel z toho co píšete není patrné kde je problém. Nebylo by cestou dočasně nakonfigurovat apt pro použití proxy a pak zase dekonfigurovat?

23.8.2021 09:51 MP
Rozbalit Rozbalit vše Re: Ansible -

https://docs.ansible.com/ansible/latest/collections/ansible/builtin/wait_for_connection_module.html

23.8.2021 09:54 MP
Rozbalit Rozbalit vše Re: Ansible -

Anebo si udelejte v siti lokalni apt zrcadlo (napr. apt-mirror).

23.8.2021 13:42 Bugsa
Rozbalit Rozbalit vše Re: Ansible -

Vím že je to OT, ale když máte nasazené takové množství RPi, tak tam určitě jedou nějaké kritické app pro výrobní stroje(?) a není tak spíše nežádoucí ty RPi updatovat, protože tím vzrůstá riziko poruchy? Když RPi síť oddělíte od zbytku sítě a necháte si přístupné jen porty pro management, tak pravidelné updatování přece není nutné a udělá se až s případnou budoucí aktualizací řídící app (ideálně flash připraveného image na kartu).

23.8.2021 18:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

I otevřené mgmt porty jsou problém (aneb otevřené pouze ssh je taktéž nebezpečné, protože díry jsou i v ssh). To by ty zařízení musely být offline, tím pádem ale zase nemonitorované apod.
Zdar Max

Měl jsem sen ... :(

24.8.2021 09:18 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Ansible -

díry jsou i v ssh

diry jsou ve vsem, a nekde se fakt upgrade delat neda moc jednoduse treba bez velke odstavky apod. Proto mame na firewallech vopičárny jako virtual patching, IPS, IDS.

23.8.2021 18:48 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

Upozorním na pár chyb v návrhu:
1) Nepoužívat Ansible AWX. Důvodů je několik. Je to celkem náročné, oficiálně jen docker, není tam podporovaný upgrade (přechod na novější verzi). Jeden člověk komunitně podporoval rpm balíčky na RHEL systémech, ale už asi dva roky je projekt mrtvý. Playbooky si člověk musí stejně psát tak jako tak, takže bych do celého procesu nezanášel budoucí problémy s AWX.

2) Nemusíš používat apt-offline. Celou věc můžeš řešit jednodušeji. Buď zajisti těm RPi přístup na internet jen přes proxy server a na proxy serveru povol jen servery s repositáři. Tím si pak zajistíš i auditovatelnost přístupu. Nebo jim nech přímý přístup a na centrálním firewallu / routeru omez komunikaci jen na servery s repositáři. Nebo měj lokální repositář/cache, ze kterého si budou ty RPi sosat balíčky, viz apt-cacher-ng.

3) Ten tvůj problém s "Shared connection to ... closed.". Všude se píše, že by jsi měl na serveru, kde máš ansible, používat python3.
Zdar Max

Měl jsem sen ... :(

23.8.2021 22:43 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Ansible -

3) Ten tvůj problém s "Shared connection to ... closed.". Všude se píše, že by jsi měl na serveru, kde máš ansible, používat python3.

Ale nemusi, funguje to napr. aj so starym pythonom 2.7.6, pricom na riadiacom node moze byt kludne aj py3.

24.8.2021 09:57 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Ansible -

1) Nepoužívat Ansible AWX. Důvodů je několik. Je to celkem náročné, oficiálně jen docker, není tam podporovaný upgrade (přechod na novější verzi). Jeden člověk komunitně podporoval rpm balíčky na RHEL systémech, ale už asi dva roky je projekt mrtvý.

"Dva roky je projekt mrtvy" nebo "Dva roky jsem projekt nevidel"? To je rozdil. Sorry, ale dva roky mrtvy projekt nevydava release.

Playbooky si člověk musí stejně psát tak jako tak, takže bych do celého procesu nezanášel budoucí problémy s AWX.

To je jako tvrdit, nepouzivej Ansible Tower :-/

24.8.2021 11:37 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

To jsi pochopil špatně. Psal jsem, že člověk, co řeší rpm (projekt awx-rpm), se tomu už nevěnuje a projekt umřel. Zbývá tak jen oficiální AWX build v dockeru, který dlouhá léta nepodporoval upgrade na novější verze a někomu se pak nemusí ani líbit ani to, že je to černá skříňka, nebo že vůbec kvůli takové věci musí nasazovat docker.
Zdar Max

Měl jsem sen ... :(

24.8.2021 11:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

Teď ještě koukám, že to možná ožije, viz awx.wiki. Ale nějak bych do toho asi už nešel.
Zdar Max

Měl jsem sen ... :(

24.8.2021 11:41 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

Jinak k AWX / Ansible Toweru obecně. Pravdou je, že toho nabízí o něco více, než jen čistý Ansible a koukal jsem, že řeší i jednodušejí celou CI/CD. Nicméně na správu 300 RPi je to celkem zbytečné, protože nějak nevidím, co by tam AWX ulehčilo. Každopádně mohu se plést, je to už delší doba, co jsem to viděl naposledy a co jsem si to testoval.
Zdar Max

Měl jsem sen ... :(

24.8.2021 17:43 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Ansible -

Diky za reakci.

Odpovim na oboje - bude super, kdyz AWX ozije, nicmene AWX vzal RH pod kridla, takze tam vyvoj urcite bude a dost tomu fandim.

Ja cas od casu AWX zkousim v labu, ale celkove ansible mam spis na ad-hoc veci, management si resim pres CFEngine.

24.8.2021 21:46 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

Tak ještě jednou, AWX žije, má připomínka byla k awx-rpm projektu. Tzn. lidi, co buildili awx do rpm balíčků. AWX totiž v podobě rpm není k dispozici, jen formou dockeru.
Zdar Max

Měl jsem sen ... :(

25.8.2021 08:52 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Ansible -

Ja jsem to pochopil ;-)

25.8.2021 09:39 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ansible -

V tom případě nedávala smysl ta věta "Odpovim na oboje - bude super, kdyz AWX ozije, nicmene AWX vzal RH pod kridla, takze tam vyvoj urcite bude a dost tomu fandim."
Nemá co ožít, protože AWX žije naplno, jelikož je to Dev verze produktu "Ansible Tower".
Zdar Max

Měl jsem sen ... :(

25.8.2021 11:20 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Ansible -

Jo, melo byt /AWX/awx-rpm/ ;-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: