Was hat ein Meetup zu Ansible Tower mit dem Weltuntergang zu tun? Nun, stellen wir uns folgende Situation vor: Berlin, wir schreiben den 29. Juni 2017. Es schüttet wie aus Eimern, seit Stunden. Berlin steht unter Wasser, die Feuerwehr ruft den Notstand aus.
Doch eine Handvoll verwegener Coder schlagen sich zum Meetup Ansible mit Ansible Tower in unserem Berliner Mayflower-Büro durch. Wir empfangen sie der Witterung entsprechend mit Glühwein.
Damit hätten wir die Ausgangssituation geklärt. Es folgt ein kurzer Bericht vom Main Act des Abends.
Michele Catalano: Der Ansible Tower
Michele kam extra aus München zu Besuch, um uns einen Erfahrungsbericht über die Einführung von AnsibleTower und den dafür nötigen Änderungen des existierenden Ansible-Codes zu geben. Außerdem teilte er seine Einschätzung, wann der Einsatz von Ansible Tower überhaupt einen Sinn ergibt. Aber wir könnten uns zunächst erst einmal mit den Grundlagen beschäftigen …
Was ist Ansible?
Ansible ist eine Open-Source-Plattform zur Orchestrierung sowie allgemeinen Konfiguration und Administration von Computern. Sie kombiniert Softwareverteilung, Ad-hoc-Kommando-Ausführung und Konfigurationsmanagement.
Ansible möchte Shell-Skripte ersetzen
Es geht um Sequentielle Verarbeitung: Naiv ausgedrückt sagt man Ansible, was es der Reihe nach tun soll – anders als bei Puppet, wo man den Zielzustand beschreibt.
Das bedeutet auch, dass man Weichen für Systeme mit yum oder apt, und generell für verschiedene Betriebssysteme einbauen muss.
Tasks, Playbooks, Roles erstellt man mit Yaml und der Templatesprache Jinja2; das schaut dann ein wenig aus wie Django oder Twig von Symfony. Das hat natürlich den Vorteil, dass es den Einstieg relativ einfach gestaltet. Wer mehr vorhat, macht das gleich in Python.
Was hat es mit dem Ansible Tower auf sich?
Ansible Tower ist ein Closed-Source-Produkt der Firma Red Hat. Es bietet eine grafische Benutzeroberfläche, die im Browser läuft. Der Tower bringt aber auch ein REST-API mit und kann von der Kommandozeile aus gesteuert werden.
Das wesentliche Feature des Ansible Tower ist, dass man den Tower von einer kleinen Truppe Spezialisten bereitstellen lassen kann; den Einsatz überlässt man den jeweiligen Benutzern. Das Berechtigungssystem erlaubt es, Playbooks mittels Job- und Workflow-Templates granular zu delegieren.
Funktionsumfang
Das ist natürlich nicht alles. Sieht man sich den Funktionsumfang etwas genauer an, entdeckt man einige Schmankerl:
- Benutzerverwaltung mit Anbindung an interne LDAP/AD- und weitere Systeme
- Playbooks mit vars und roles, die in ein VCS (Git) gepflegt werden
- Inventories werden manuell oder per Scripts verwaltet
- Credentials werden zentral von Admins verwaltet
- Verknüpfung von Playbook, Variablen, Inventories und Credentials in Job-Templates
- Verketten von mehreren Job-Templates in Workflow-Templates
- Steuerbar über REST API
- Ansible Vault für verschlüsselte Zugangsdaten
Auf ein nettes Feature, den Ansible Vault, ging der Vortrag nur am Rande ein. In diesem Tresor kann man Credentials oder andere sensible Daten verschlüsselt ablegen, so dass sie nicht im Klartext in Playbooks oder Roles auftauchen.
Ansible Vault ist Bestandteil des Open Source Ansible und kann auch im Zusammenspiel mit dem Tower genutzt werden.
[smartblock id=6341]
Das GUI: Sowas von schlecht
Man merkt unserem Vortragenden deutlich die Erleichterung an, mal anderen Leuten demonstrieren zu können, mit was für einer unfassbar schlecht programmierten und fehlkonzipierten Benutzeroberfläche er sich jeden Tag rumärgern muss.
Die Details will ich hier nicht wiedergeben, aber man kann sich leicht vorstellen, wie man sich vor einer Weboberfläche fühlt, die fortwährend die aktuellen Settings wie Filtereinstellungen vergisst, falsche Daten anzeigt (weil der vorheriger Filter noch aktiv ist) oder Daten nur unter unklaren Bedingungen speichern will …
Aus Sicht eines Admins etwa wird die Taskliste sehr schnell völlig unübersichtlich, da der Admin sämtliche Einträge sieht. Insgesamt massiv verbesserungswürdig.
Wann ist der Einsatz des Ansible Tower sinnvoll?
Natürlich stellt sich jetzt die Frage, ob wirklich alles schlecht ist, oder ob es nicht doch Einsatzgebiete für Ansible Tower gibt. In der Tat gibt es einige, die dafür sprechen:
- Die Möglichkeit Tasks zu delegieren wird in jedem großen Environment willkommen sein.
- Dasselbe gilt für die Nachvollziehbarkeit: Wer hat wann was laufen lassen, und was ist dann passiert?
- Kleine Admintruppe, viele Entwickler, Tester …
- Kostenpflichtige Lizenzierung
- Leichter Einstieg in Templatesprache und yaml
Hacker würden dafür natürlich Jenkins nehmen :)
Fazit: Kein Glühwein im Juni
Es war ein unterhaltsamer und informativer Abend mit interessanten Gesprächspartnern. Und wer diesen Text allen Ernstes bis hierher gelesen hat, fühle sich herzlich eingeladen, nächstes Mal selber dabei zu sein – wir empfangen euch auch bei Weltuntergangswetter :)
In unserer Meetup-Gruppe Mayflower Meetup Berlin findet ihr die Themen und Meetups, die bei uns im Büro stattfinden!
… und wer ist eigentlich Michele?
Michele Catalano arbeitet seit mehr als zehn Jahren als Entwickler und DevOps bei Mayflower. Als Entwickler hat er in agilen Teams businesskritische PHP- und Java-Web-Anwendungen umgesetzt. Als DevOp hat er unter anderem CI/CD-Umgebungen aufgesetzt und Systemanforderungen für Applikationen erstellt. Des Weiteren hat er auch Systemüberwachung mit z.B. Nagios und ELK aufgesetzt.
Die kontinuierliche Beratung der Kunden zum Thema DevOps und zur Frage, was das wirklich bedeutet, liegt Michele am Herzen. Er sieht es als seine Aufgabe, die agile Arbeitsweise bei Entwicklungs- und DevOps-Teams zu unterstützen und zu verbessern.
Linkliste
Für alle, die mehr über Ansible und Ansible Tower erfahren möchten, habe ich eine kleine Linkliste zusammengestellt. Viel Spaß beim Entdecken!
Schreibe einen Kommentar