Puppet & PuppetLabs

Criado em 2005, por um sysadmin, Luke Kanies.

Bem velhinho já, mais que o Chef até. Cfgengine nasceu em 93, though.

Alguns clientes...

Puppet (2)

• Master (pull) e Masterless (pull rodando local).
• Linguagem: Puppet DSL + templates ERB (ruby)
• Feito em ruby / clojure / java ...
  • ... DSL torna isso geralmente irrelevante.
• Segurança e auth: certificados SSL.
• Mcollective para orquestração.

Ruby: facts feitos em ruby, mas cada vez menos necessários.

Tem uma CA interna super fácil de usar, mas suporta apontar para um CA externa também

Como eu queria um modo push. Código vivo na minha máquina, lê aqui, vai lá e faz. Feio e perigoso, eu sei.

Faz um tempo que eu não procuro, mas não tinha nada muito interessante.

Mcollective muito utilizado para disparar agent runs.

É o mais maduro em suporte a windows.

Puppet (3): Enterprise

• Maturidade!
• Dashboard
• Node classification
• Novo App Orchestrator. Push ?!?
• Pricing: US$ 120/node/ano.

Um dos pontos a favor da maturidade.

Orchestrator: define os componentes de um app, a relação entre eles, onde roda cada um, e ele se vira com o resto.

Ao meu ver Puppet App Orchestrator é uma resposta da PuppetLabs aos features de orquestração de Ansible e Salt, com o jeito Puppet de ser.

Ainda um privilégio do Enterprise. Não se sabe até quando.

Puppet (4): não Enterprise

• Puppet Explorer (Spotify)
• Puppetboard
• (Legado) Puppet Dashboard
• Foreman
• Puppet Community Platform (PCP)

Puppet Explorer: meu atual favorito.

Puppet Dashboard é mais velho. Abandonado? Há dúvidas...

Foreman: ainda não suporta o Puppet 4. Projeto maior, mais abrangente.

PCP do Guto Carvalho e Miguel Di Ciurcio Filho da Instruct, com ajuda de outros da comunidade puppet Brasil. Inclui Server, PuppetDB, Explorer e Mcollective.

Ansible & Ansible Inc. RedHat

"Ansible’s main goals are simplicity and ease-of-use."

Criado em 2012, por Michael DeHaan.

Recentemente adquirido pela RedHat.

Michael DeHaan se afastou, e parece bem afastado.

Alguns clientes...

Ansible (2)

• Agentless
  • Push over SSH (Simplicidade!). Pull rodando local.
  • Lento? Veja algumas alternativas [1] [2]
  • Windows: WinRM + PowerShell Remoting
• Simplifica orquestração em várias máquinas
• Linguagem: YAML + templates jinja2
• Python!
• Auth/Crypto: seu fiel amigo SSH

Depende de um inventário de hosts, que pode ser dinâmico, um script, vários prontos.

Orquestração: vai no balanceador e tira máquinas x, y, z do serviço, vai em x, y e z e atualiza a aplicação, reboota elas, e aguarda voltarem, vai lá no balanceador e põe elas de volta.

Ansible (3): Tower

• Dashboard, Inventário, Remote Execution ...
• ... e agora System Tracking também.
• 3 variantes, US$ ~ 50-140/node/ano.

Pode até não ser tão bom quanto o Puppet Enterprise, mas parece muito interessante.

Ansible (4): não Tower

• Rundeck como frontend do Ansible parece bem popular.
• Semaphore: Open Source Alternative to Ansible Tower.
  • (não, não é o SemaphoreCI)
• Foreman de novo.

Rundeck já é uma ferramenta de execução remota (SSH, plugin pra salt e outros tb), mas focada na usabilidade pela web, controle de acesso e auditoria/logging.

Casam muito bem

Semaphore: único projeto público específico para ansible que eu ouvi falar até agora.

Salt & SaltStack

Criado em 2011, por Thomas Hatch.

Alguns clientes...

Salt (2)

• Push/Pull com ZeroMQ , Pull rodando local. (Flexibilidade!)
  • Opção agentless: push com salt-ssh
• Rápido! (com ZeroMQ)
• Linguagem: YAML + templates jinja2
  • A sua receita é um template jinja!
• Python again
• Auth/Crypto: meio problemático.
  • ZeroMQ não tem SSL. Salt adiciona AES em cima.
  • Novos transportes no forno: RAET, outro TCP usando Tornado.

É o mais rápido.

Segurança é uma preocupação. Rodar salt na internet não parece uma boa. E não suporta CA externas

"Salt crypto is partly ... " Estão explorando novos transportes. RAET Feito em casa, inclusive a crypto. Projeto que será aberto e independente. O novo com tornado está sendo feito no LinkedIn.

Salt-SSH é outra história

• salt-ssh tem limitações
  • sudo só com NOPASSWD
  • algumas operações com o fileserver interno dele precisam de contornos...

Salt (3): Enterprise

?

• Novato: 4.0 em early adopter program. 4.5 a ser lançado
• Sem pricing divulgado.
• SaltConf16 começa dia 19/4, deve ter novidades.

Agora tem uma interface GUI. Antes era só suporte.

Tudo muito escondido ainda.

Salt (4): não Enterprise

• Saltpad: mais falado, promissor, alpha.
• Outros menos conhecidos: Molten, OBDI.
• Adivinha: Foreman também.
• Halite: abandonado.

Package, File, Service

Se fosse possível fazer apenas isso, já seria muita coisa.

Puppet

package { 'openssh-server':
  ensure => installed,
}

file { '/etc/ssh/sshd_config':
  source  => 'file:///vagrant/puppet/sshd_config',
  owner   => 'root',
  group   => 'root',
  mode    => '0644',
  notify  => Service['ssh']
#  require => Package['openssh-server'],
 }

service { 'ssh':
  ensure => running,
  enable => true,
}
			

O require não é mais necessário no 4.x, ele segue a ordem do manifest

package, file e service são resources

Limpo e organizado, não?

Ansible

- hosts: all
  name: Install SSH Server
  tasks:
  - package: name=openssh-server state=present
  - template:
      src: sshd_config
      dest: /etc/ssh/sshd_config
      owner: root
      group: root
      mode: 0644
    notify:
    - restart ssh
  - service: name=ssh state=started
  handlers:
  - name: restart ssh
    service: name=ssh state=restarted
			

Não me ajuda na tese de simplicidade, eu sei

Install SSH Server é uma play, aplicada em all hosts

package (new in 2.0), template e service são modules

Simples?

YAML: "é só dados", "não é uma linguagem de programação". Sei, como se isso ajudasse neste caso.

Mas tem a vantagem de ser mais facilmente consumível programaticamente.

Note o handler separado.

Cada task pode ter um name. Mas é opcional.

Salt

openssh-server:
  pkg.installed:
    - name: openssh-server
  service.running:
    - name: ssh
    - enable: True

  file.managed:
    - name: /etc/ssh/sshd_config
    - source: salt://sshd_config
    - user: root
    - group: root
    - mode: 644
    - watch_in:
      - service: openssh-server
			

Esta é uma formula, pkg.installed, service.running e file.managed descrevem states dentro da fórmula.

State functions vs Execution functions

Loops

Loops é um caso interessante de se examinar pois são:

3 maneiras bem diferentes...

... que dizem muito sobre o estilo de cada um.

Puppet

$binaries = ["run", "build", "update", "foo"]

$binaries.each |String $binary| {
  file {"/usr/local/bin/myapp-$binary":
    ensure => link,
    target => "/opt/myapp/bin/$binary",
  }
}
			

Requer puppet 4.x ou parser=future

each, slice, filter, map, e mais

No puppet 3.x o workaround é defined types + resource-title-arrays, muito mais trabalhoso e limitado.

Ansible

- hosts: all
  tasks:
  - name: create symlinks for our app
    file: >
      state=link src=/opt/myapp/bin/{{ item }}
      dest=/usr/local/bin/myapp-{{ item }} force=yes
    with_items:
      - run
      - build
      - update
      - foo
			

with_dict, with_nested, with_fileglobs, e mais...

outros jeitos de quebrar ... >

... linhas

Aproveitando: Idempotência?

Idempotência: uma bandeira do Puppet. Ele é provavelmente o melhor dos 3 nisso, mas não é como se os outros ignorassem esse conceito.

Salt

{% for binary in ['run', 'build', 'update', 'foo'] %}
/usr/local/bin/myapp-{{ binary }}:
  file.symlink:
    - target: /opt/myapp/bin/{{ binary }}
{% endfor %}
			

Jinja. Dentro da sua formula salt.

Programe o seu código. Pode ser bom, pode ser ruim.

Usado por tudo, inclusive pillar (definição condicional de variáveis).

Já vi cara reclamando muito disso tender a gerar bugs difíceis de debugar no seu código. Mensagens de erro péssimas.

Documentação

Puppet ...

• Madura, organizada, completa.
• https://docs.puppetlabs.com/
• Recomendo: Learning VM.

... Ansible

• Fácil, estilo tutorial. Mas não tão boa como referência.
• http://docs.ansible.com/
• Começa no Getting Started e vai embora...

Salt    /o\

• Uma floresta: vasta, linda, confusa, por vezes traiçoeira.
• https://docs.saltstack.com/en/latest/
• Um oásis de ordem e amigabilidade: Getting Started