Admins

Un guest chef a été installé ce week-end.

Un guest chef a été installé ce week-end.

Peut-on avoir un vade-mecum de l'utilisation de chef ?

Il est prévu que je mette à dispo les sources de la conf, il manque juste un dépôt git.
Pour l'utilisation courante de chef, voir leur excellent wiki.

• Vu la complexité de ce qu'il y a besoin pour l'April (par exemple un resolv.conf dépendant de qui est son host et de tous les autres hosts), Chef est juste fait pour, Puppet ou CfEngine seraient juste à la ramasse (conf trop statique)
• Truc clairement pas top et dont je n'avais pas forcément fait attention, tout le trafic Chef est en clair. Il faudra monter un Nginx en frontal pour SSLiser et/ou tout passer uniquement par le VPN (quand il sera là).

À terme je pense qu'il est possible de gérer pas mal de choses en conf.

Je recommande puppet parceque c'est un outil addossé à une entreprise qui prend soin de sa communauté (puppetlabs). A contrario, opscode qui est l'entreprise derrière chef est beaucoup plus dans un modèle corporate et ses actions sont essentiellement destinées à satisfaire les besoins de l'industrie. Le choix est d'autant moins évident que chef est fait par des anciens de puppet : on a pas l'impression de faire face à deux technologies différentes. Durant toute l'année 2012 j'ai eu l'occasion de beaucoup cotoyer la communauté puppet et d'observer chef et opscode: c'est sur cette expérience que je fonde ma recommendation.

Par ailleurs je travaille pour une entreprise qui utilise quotidiennement puppet, j'ai donc accès à une expertise forte sur cet outil, ce qui n'est pas le cas pour puppet. C'est un atout à prendre en compte ;-)

http://framadate.org/s1tojxdzzno7vot4
Chef étant seulement connu par une personne il ne reste que puppet en lice, oui ?

OK pour moi si on part sur du Puppet.

Par contre, est-ce qu'on aurait pas intérêt à étudier un peu la faisabilité de l'un et de l'autre dans le contexte de l'APRIL ?
Choisir un outil parce que des gens ont de l'XP dans un contexte et une complexité peut-être totalement différents de ceux de l'APRIL, ça serait con au final de choisir tout pile la solution qui s'adapte le moins à notre besoin :þ

Juste pour exemple, alors que je suis pourtant plutôt dans la catégorie « maîtrise » de chef (2 prods + contributeur), j'ai du juste foutre à la poubelle toutes mes recettes existantes et les recoder from scratch dans ma tenta de monter une config de test « APRIL », en particulier pour gérer les dépendances host/guest + VPN (le resolver DNS d'un guest est l'IP du guest dns du host de la machine concernée, suivi de l'IP du host, suivi de l'IP de tous les autres hosts…), sans monter une usine-à-gaz de configs manuelles.

C'est aussi pour ça qu'au final je suis agnostique chef/puppet pour notre choix, j'ai l'impression que dans un cas comme dans l'autre, on va juste commencer totalement à poil =)

Pour la génération de resolv.conf je pense qu'on a bien meilleur compte de traiter des fichiers statiques ( il y a 2 resolv.conf pour toute la plateforme, on va pas se noyer ;-)

J'ai pris cet exemple parce que c'est un des plus simples.
J'ai aussi le même problème pour le relay mail, les proxies nginx, les mysql si on les consolide, les pare-feux…
On peut aussi ajouter la génération auto des champs SPF en fonction de nos machines réellement outgoing-mail, de nos champs SSHFP à partir de nos serveurs SSH, la gestion de notre MX, etc.
Et le problème est encore pire si on veut faire de la vraie intégration continue :
<_aeris_> si on a de la conf statique, on risque d'avoir une conf de prod et une conf pour la c-i
<_aeris_> sauf si tu garantis qu'on est capable d'avoir strictement la même conf réso en c-i, aux ips et routes près
<_aeris_> c'est à dire que si la c-i dit « vert », on doit pouvoir prendre la conf de la c-i et l'appliquer telle quel sur la prod
<_aeris_> si on commence à avoir besoin de la reprendre à la main, au final on a pas du tout tester que ça continuera à fonctionner en prod
<_aeris_> on a très bien pu oublier de modifier un resolv.conf, ou fait une coquille
<_aeris_> et se bouffer un bon gros « rouge » sur la prod

Quelle décision est prise ?