deworker.pro

Создание production-сервера c Ansible

Автоматизация серверной инфраструктуры. Автоматическая установка Docker и Compose на виртуальную машину через Ansible. Подключение сертификатов Let's Encrypt.

Скрытый контент
Комментарии (118)
Arunas

спасибо, очень поможет, очень хорошый урок.

Ответить
Руслан

Отличный эпизод, как всегда. Огромная просьба рассмотреть возможность добавить в материалы настройку Github Actions для CI/CD.

PS: интересует также, имеются ли в Ваших курсах материалы по опыту правильной организации multi-tenant архитектуры на любом из фреймовоков? Либо в планах на будущее)

Спасибо еще раз за супер курс!

Ответить
Ruslan

Тёзка, там заявлен Дженкинс. Видел на Ютубе CI/CD для Битбакета и для ГитЛаба тоже наверняка найдется.

Ответить
Руслан

Руслан, спасибо, конечно, видел то что Jenkins заявлен. Просто Github Actions видется более перспективней в плане популярности в ближайшие время, хотелось на него перескочить в плане self-hosted CI/CD, не ставить на сервак java (Jenkins) или ruby (Gitlab CI).

Ответить
Ruslan

А что с приватными репами, только за деньги, как и на самом Github ?

А вообщем, я о том, что нужно придерживаться плана. Я тоже могу написать, что сейчас большой downtime и давайте поднимем кластер для CI/CD без downtime.

Какие-то такие дополнения можно сделать в самом конце когда станет известно как делать: "Разработка аукциона на Slim и ReactJS" :)

Ответить
Paul

Мощно!

Ответить
Алекс Про

Снимайте, пожалуйста, видео на чёрной теме IDE!!!

Ответить
Дмитрий Елисеев

Приведите пример видео с YouTube с красивой тёмной темой.

Ответить
Дмитрий Елисеев

Эта нечёткая (пыльная)

Ответить
Иван

Тема: ayu, темная подтема: mirage

Ответить
Дмитрий Елисеев

Это для Visual Studio. Есть форк для PhpStorm?

Ответить
Иван

Visual Studio Code, если быть точным, но и это частность - тема не принадлежит одной какой-то сущности.

Для Sublime Text 3 - есть точно, для PhpStorm - не знаю, должна быть.

Тема мощная и крутая, очень досадно будет, если не портирована.

Ответить
Алексей

Все отлично. Но, хотелось бы краем глаза глянуть как вы настраивали реестр для докера. Сама установка вроде бы элементарна.

docker run --entrypoint ./auth/htpasswd registry:2 -Bbn registry passwd > ./auth/htpasswd

docker-compose.yml

version: "3.7" services:

registry:
    restart: always
    image: registry:2
    ports:
        - 5000:5000
    environment:
        REGISTRY_HTTP_TLS_CERTIFICATE: /certs/example.com.crt
        REGISTRY_HTTP_TLS_KEY: /certs/example.com.key
        REGISTRY_AUTH: htpasswd
        REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
        REGISTRY_AUTH_HTPASSWD_REALM: Registry Realm
    volumes:
        - ./registry:/var/lib/registry
        - ./auth:/auth
        - /etc/letsencrypt/live/example.com:/certs

Но с сертификатами у меня получился жуткий костыль. Из коробки докер с letsencrypt не заработал, хотя в документации пишут, что должен. Или, может, дело в версии убунты? У меня 16.04

Ответить
Дмитрий Елисеев

Просто можно как с gateway закрыть сертификатами и htpasswd снаружи в Nginx:

version: '3'
services:
    nginx:
        image: nginx:alpine
        restart: always
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - /etc/letsencrypt:/etc/letsencrypt
            - /var/www/html:/var/www/html
            - ./docker/nginx/conf.d:/etc/nginx/conf.d
            - ./htpasswd:/etc/nginx/auth/htpasswd
        depends_on:
            - registry
    registry:
        image: registry:2
        restart: always
        volumes:
            - registry:/var/lib/registry
volumes:
    registry:
Ответить
Роман
  • ./docker/nginx/conf.d:/etc/nginx/conf.d

А в этом случае прокидываемый конфиг в контейнер как будет выглядеть? Самый базовый с ssl сниппетами и auth_basic_user_file /path/to/.htpasswd; в главном локейшене для nginx на домен registry.domain.com, к примеру, верно?

Ответить
Дмитрий Елисеев

Да, примитивный с секцией server как приведённый в документации к registry, только переделанный для Let's Encrypt.

Ответить
Роман

Спасибо!

Ответить
BMWist

Было бы не плохо, если бы в одном уроке настройку registry сервера показали на этой же виртуалке, чтобы охватить все технологии, которые используется, мне было бы очень полезно ))

Ответить
Роман

Дмитрий, я правильно понимаю что ваш кейс с оркестрацией сервера подразумевает абсолютно голый сервер? Если на удаленной машине, на которой я хочу поднять образы из реестра, уже стоит nginx и слушает 80 и 443 порты, то в этом случае не получится проброска этих портов для gateway в docker-compose-production и, как следствие образы не поднимутся. Завелось вместе с ssl только тогда, когда я сделал проброс незанятого порта, к примеру 5001 на 443 ("5001":"443", в докер композ прод), но для этого приходится добавлять порт на продакшене в строке браузера, для того чтобы происходило перенаправление в обработку докера на 443 порт. Хотел узнать, может есть какой-то лайфхак, чтобы разрулить эту ситуацию на уровне конфигов nginx, хотя пробовал разные варианты. Просто не хочется добавлять все время порт в строке браузера

Ответить
Дмитрий Елисеев

Да, на сервере можно поднять только один Nginx на одном порту. Поэтому если уже стоит внешний Nginx, то можно в него добавить хост с proxy_pass localhost:5001

Ответить
Александр Кулик

Курс супер. Но зачем так заморачиваться с сертификатами, если можно использовать Treafik. Он все это умеет из коробки.

Ответить
Руслан

Александр, интересуют подробности других преимуществ Traefik vs nginx / haproxy etc. (кроме сертификатов) и опыт оптимальной установки/настройки?

Ответить
Александр Кулик

Я только осваиваю. Но он много чего умеет. Про haroxy не слышал.

Ответить
Руслан

Насколько понимаю, чтобы разобраться как обойтись средствами уже задействованного nginx, чем вводить дополнительный слой либо отдавать предпочтение одному из многих специализированных прокси-серверов/балансировщиков, уже заточенных под микросервисы и k8s (traefik, haproxy, envoy, kong и пр.). Последние конечно удобны разными плюшками из коробки, но на них можно будет легко мигрировать при необходимости и от нужд в этих плюшках конкретного проекта.

Ответить
Дмитрий Елисеев

UPD 1: В Cron-задаче очистки Docker нужно добавить флаг "a":

docker system prune -af --filter "until=$((30*24))h"
Ответить
Ruslan

А в эту чистку используемые контейнеры попадают, ведь проект может быть и год без изменений? Или это очищает только элементы из которых собирается наш контейнер?

Ответить
Дмитрий Елисеев
$ docker system prune -a

This will remove:
  - all stopped containers
  - all networks not used by at least one container
  - all images without at least one container associated to them
  - all build cache
Ответить
Sergei

ничего_не_понял_но_очень_интересно.jpg

Ответить
BMWist

Буду переходить на vscale.io

Ответить
Сарибжанов Ильдар

На мой взгляд идея ущербности установки с мануалов перед установкой скриптом - надумана.

Мы же сейчас говорим про разработчиков, которые разворачивание окружения производят раз в несколько месяцев, а то и реже. Что скрипт отдельный писать, что мануалы использовать итог один - всё равно придётся актуализировать скрипт под нужды. К тому же сам алгоритм инсталяции может поменяться, например, добавятся зависимости или платформа поменяется. Например, докер переедет go на rust и потребуется отдельно доставлять раст. А по итогу, чтобы починить свой шел придётся лезть в мануалы.

Я не говорю, что представленный материал не нужен, но я бы «продавал» его с позиции управления сложностью: производим декомпозицию алгоритма разворачивания сервера и уход от низкоуровневых абстракций (общение с терминалом) к высокому уровню - ансибл.

Спасибо за материал =)

Ответить
Дмитрий Елисеев

Да, всегда приходится лазить в мануалы и любая автоматизация является оверхедом когда виртуалок и программистов в проекте не больше одной/одного. Тогда можно заходить и ставить софт и править конфиги вручную без скриптов, выполнить что-нибудь в БД без миграций и на локальном компьютере ставить тоже вручную.

Но как только виртуалок становится две, так сразу при ручном подходе получаем вероятность рассинхронизации версий и конфигов, когда на одной что-то поменяли или обновили, а на второй забыли или ещё не успели.

Или когда мы пускаем на сервер другого сисадмина с фриланса, который не понятно что там по своим шпаргалкам ставит и настраивает. Сразу получаем проблемы с тем, что он мог что-то забыть на одной из них. И что он через неделю уйдёт, а нам не очень полную шпаргалку оставит. Или что-то сломает, а мы не узнаем что именно.

Так что как только виртуалок и программистов становится много, то автоматизация во всём очень помогает. И пусть все сисадмины тоже коммитят в tasks.yml.

Ответить
Руслан

Подскажите, доступа к root нет, использую в качестве remote_user пользователя,

remote_user: deploy become: yes become_user: deploy

Пишет ошибку: Failed to lock apt for exclusive operation

Подскажите, как настроить без root доступа?

Ответить
Дмитрий Елисеев

Задачи с apt запускайте только от root (через become без become_user).

Ответить
Arunas

после успешного make site, в кроне хостинга (в /etc/cron.d/certbot) введётся команда "...certbot -q renew". Но как реально автоматом происходит certbot renew, если gateway (nginx) работает в докере, а сертификат продлен снаружи? как в этой ситуации, происходит автоматическое продление сертификата?

Ответить
Дмитрий Елисеев

Как упомянули после деплоя, в cli.ini вместо хука service nginx restart нужно вписать перезапуск gateway вроде такого:

post-hook = /bin/sh -c 'cd /home/deploy/site && docker-compose restart gateway'
Ответить
Дмитрий Елисеев

Например, в site/tasks добавить задачу добавления строки:

-   name: Add Certbot hook
    lineinfile:
        path: /etc/letsencrypt/cli.ini
        line: "post-hook = /bin/sh -c 'cd /home/deploy/site && docker-compose restart gateway'"
Ответить
Arunas

в чем разница между этими вариантами? Ведь, в первом варианте, когда в provisioning/roles/certbot/files/cli.ini записываем renew-hook = /bin/sh -c 'cd /home/deploy/site && docker-compose restart gateway' , то при make site этот cli.ini пападает в /etc/letsencrypt/cli.ini (VM Debian у хостинга).

Ответить
Arunas

у demo-auction.skucai.com деплоил (18-01-2020) проект, по первому варианту, и подожду 32 дней, посмотрю, продлится сертификат или нет.

Ответить
Arunas

А как проверит cron: правильно введена команда? Теперь, после успешного деплое, в VM Debian /etc/cron.d/certbot есть такая: 0 /12 * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew . А с crontab -e видно: 0 1 * docker system prune -af --filter "until=$((3024))h"

Ответить
Дмитрий Елисеев

Разница в том, что роль certbot будет общая для всех production и staging серверов. Им может быть нужен разный хук и одинаковый cli.ini может всем не подойти. Поэтому можно всем скопировать общий cli.ini без хука, а потом уже в ролях site и staging добавить им по своей строке. Зависит от ситуации.

Ответить
Arunas

спасибо.

Ответить
Ruslan

Я что-то совсем запутался. Registry требует установки перед ним вэбсервера или нет?

version: '3'

services:
  registry:
    image: registry:2
    restart: always
    ports:
      - "5000:5000"
    environment:
      REGISTRY_HTTP_TLS_CERTIFICATE: /certs/live/{{ registry_host }}/cert.pem
      REGISTRY_HTTP_TLS_KEY: /certs/live/{{ registry_host }}/privkey.pem
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: Registry
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/password
      REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY: /data
    volumes:
      - ./auth:/auth
      - ./data:/data
      - /etc/letsencrypt/:/certs:ro

Из этого конфига я подумал, что Registry может сам работать без вэба, но

docker push registry.mydomain.com/auction-gateway:master-1

И видно, что он лезет по https в папку V2 :

Get https://registry.mydomain.com/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
Ответить
Ruslan

На это можно не отвечать. Я уже разобрался. В итоге у меня собралась рабочая среда из: WSL 2, CentOS и docker repository в одном контейнере без вэба впереди. А можно ли в конфигах nginx применять пересенные, чтоб не перебивать названия сайтов "deworker.pro" на свои? В 19и местах пришлось менять руками, так и запутаться можно.

Ответить
Дмитрий Елисеев

Два варианта. Либо запускать его со своими сертификатами TLS_CERTIFICATE и htpasswd без внешнего Nginx, либо реестр запускать без сертификатов, настроив их в дополнительном Nginx.

Ответить
Ruslan

Спасибо.

Мне понравился вариант, когда реро само за себя, если нужно на той же машине использовать вэб, то не нужно учитывать , что 80 и 443 уже используется.

Ответить
Иван

Это тоже для новичков или курилка спецов по devops'у?
Вы не понимаете, что такое объяснение.
Объяснение, это не рассказ.

Ответить
Дмитрий Елисеев

Здесь практика по разработке проекта.
Рассказывать что такое консоль, apt и cron здесь нет смысла.

Ответить
Иван

Понял, спасибо.

Ответить
Роман

https://i.imgur.com/GrKChZd.png

По команде ansible-playbook -i hosts.yml site.yml у меня на удаленной машине (Ubuntu 18.04) произошла ошибка на шаге Add Certbot repository. Видимо он не смог потом сделать apt-get update. Возможно попробовать другой repo: ?

Ответить
Роман
-   name: Add Certbot repository
    apt_repository:
        repo: 'ppa:certbot/certbot'
        state: present
        update_cache: yes

-   name: Install Certbot
    apt:
        name: certbot
        state: present
        update_cache: yes

вот такой вариант прошел, кстати

Ответить
Дмитрий Елисеев

Да, мы уже обсуждали под эпизодом про Xdebug.

Ответить
Дмитрий

Я не понял, для того чтобы заработали поддомены надо ли предпринимать дополнительно что то или достаточно тех настроек nginx которые в контейнерах указаны?

Ответить
Дмитрий Елисеев

Ещё нужно прописать A-записи с IP-адресом сервера в настройках DNS этих доменов и поддоменов.

Но это уже производится в панели управления регистратора, а не в проекте.

Ответить
Дмитрий

На примере vscale, ip повторяет адрес основного домена? а порт нужно указать?

Ответить
Дмитрий Елисеев

В панели управления регистратора или хостинга проставляем домену и поддомену одинаковую A-запись с одним IP-адресом нашей виртуалки. Или A-запись проставляем тоько домену, а с поддомена ссылаемся на домен через CNAME-запись.

Ответить
Дмитрий

ошибка в таске Add Cert Repository, что тут можно предпринять?

upd: увидел ответ выше

Ответить
Тимур

Дмитрий, привет После выпуска сертификата apache не останавливается (Debian 10) - в связи не получается сделать deploy так как nginx не запускается Иногда при запуске playbook для выпуска сертификата certbot дает ошибку, и после пользователь deploy не создается (в связи с чем не authorize не docker-login не работают). Если create-user раньше вытащить, ничего страшного? И еще: как сделать интерпритатор питона по умолчанию на 3 версию - в логах ловлю сообщения на прекращение поддержки старых версий

Ответить
Дмитрий Елисеев

После выпуска сертификата apache не останавливается

Это со свежим кодом из репозитория с конструкцией wait_for?

Если create-user раньше вытащить, ничего страшного?

Ничего страшного. Можно ставить в любой последовательности. Для игнорирования ошибок можно добавить ignore_errors: true к задаче получения сертификатов.

как сделать интерпритатор питона по умолчанию на 3 версию

Они постепенно переходят и описывают это так.

Ответить
Дмитрий

Столкнулся с проблемой. Если создать пароль nginx.htpasswd с параметром -B то nginx возвращает ошибку 500. Если этот параметр не применять, то всё хорошо. Образ был просто nginx.

Ответить
Дмитрий Елисеев

Да, Nginx не поддерживает этот алгоритм.

Ответить
Дмитрий Елисеев

UPD: Улучшили фрагмент с 26-й минуты про запуск Apache-сервера на использование конструкции wait_for.

Ответить
Александр

Ошибка в make docker-login на шаге [Log into private registry]

fatal: [server]: FAILED! => {"changed": true, "cmd": "docker login -u ** -p *** registry.tiru.ru", "delta": "0:00:00.306697", "end": "2020-03-09 14:13:12.031002", "msg": "non-zero return code", "rc": 1, "start": "2020-03-09 14:13:11.724305", "stderr": "WARNING! Using --password via the CLI is insecure. Use --password-stdin.\nError response from daemon: Get registry.tiru.ru/v2/: dial tcp: lookup registry.tiru.ru on 188.93.16.19:53: no such host", "stderr_lines": ["WARNING! Using --password via the CLI is insecure. Use --password-stdin.", "Error response from daemon: Get registry.tiru.ru/v2/: dial tcp: lookup registry.tiru.ru on 188.93.16.19:53: no such host"], "stdout": "", "stdout_lines": []}

Ответить
Дмитрий Елисеев

Поддомен не находит. Настройте его DNS-записи на хостинге или в панели регистратора.

Ответить
Александр

Добрый день, а что именно написать в DNS , какой именно айпишник? Чтото гдето не найду момент по видео, какие записи вставлять. Да и в личном кабинете докерхаб про это не сказано.

Ответить
Дмитрий Елисеев

В панели хостинга в настройках доменов создать A-запись с названием поддомена и вписать туда IP-адрес вашей виртуальной машины.

Ответить
Александр

что не хватает ему не пойму, может надо в своем докер репозитории какие нить теги создать ? А то он пустой.

Ответить
Юрий

Добрый вечер!!! после Check if server is running все обрубается и вылетает ошибка

fatal: [server]: FAILED! => {"changed": true, "cmd": "docker run -d --name apache -v /var/www/html:/usr/local/apache2/htdocs/ -p 80:80 httpd:2.4", "delta": "0:00:00.128552", "end": "2020-03-09 19:28:01.553707", "msg": "non-zero return code", "rc": 125, "start": "2020-03-09 19:28:01.425155", "stderr": "docker: Error response from daemon: Conflict. The container name \"/apache\" is already in use by container \"4ac2b371a956a4025e9415757d3b1578b2906ae308a63a45b5fa6a014edd3b9e\". You have to remove (or rename) that container to be able to reuse that name.\nSee 'docker run --help'.", "stderr_lines": ["docker: Error response from daemon: Conflict. The container name \"/apache\" is already in use by container \"4ac2b371a956a4025e9415757d3b1578b2906ae308a63a45b5fa6a014edd3b9e\". You have to remove (or rename) that container to be able to reuse that name.", "See 'docker run --help'."], "stdout": "", "stdout_lines": []}
Ответить
Юрий

После повторного выполнения make site task path: /home/pamparam/PhpstormProjects/auction/provisioning/roles/site/tasks/generate_certificates.yml:15 skipping: [server] => {"changed": false, "skip_reason": "Conditional result was False"}

и здоровенная портянка

task path: /home/pamparam/PhpstormProjects/auction/provisioning/roles/site/tasks/generate_certificates.yml:19
skipping: [server] => (item={'failed': False, u'stat': {u'charset': u'binary', u'uid': 0, u'exists': True, u'attr_flags': u'', u'lnk_target': u'../../archive/auction.pamdev.ru/cert1.pem', u'woth': True, u'device_type': 0, u'mtime': 1583773134.6051612, u'block_size': 4096, u'inode': 154082, u'isgid': False, u'size': 41, u'executable': False, u'roth': True, u'isuid': False, u'readable': True, u'isreg': False, u'version': None, u'pw_name': u'root', u'gid': 0, u'ischr': False, u'wusr': True, u'writeable': True, u'isdir': False, u'blocks': 0, u'xoth': True, u'rusr': True, u'nlink': 1, u'issock': False, u'rgrp': True, u'gr_name': u'root', u'path': u'/etc/letsencrypt/live/auction.pamdev.ru/cert.pem', u'xusr': True, u'atime': 1583773134.6211607, u'lnk_source': u'/etc/letsencrypt/archive/auction.pamdev.ru/cert1.pem', u'mimetype': u'inode/symlink', u'ctime': 1583773134.6051612, u'isblk': False, u'xgrp': True, u'dev': 65025, u'wgrp': True, u'isfifo': False, u'mode': u'0777', u'islnk': True, u'attributes': []}, 'ansible_loop_var': u'item', 'item': u'auction.pamdev.ru', u'invocation': {u'module_args': {u'follow': False, u'get_checksum': True, u'path': u'/etc/letsencrypt/live/auction.pamdev.ru/cert.pem', u'checksum_algorithm': u'sha1', u'get_md5': False, u'get_mime': True, u'get_attributes': True}}, u'changed': False})  => {"ansible_loop_var": "item", "changed": false, "item": {"ansible_loop_var": "item", "changed": false, "failed": false, "invocation": {"module_args": {"checksum_algorithm": "sha1", "follow": false, "get_attributes": true, "get_checksum": true, "get_md5": false, "get_mime": true, "path": "/etc/letsencrypt/live/auction.pamdev.ru/cert.pem"}}, "item": "auction.pamdev.ru", "stat": {"atime": 1583773134.6211607, "attr_flags": "", "attributes": [], "block_size": 4096, "blocks": 0, "charset": "binary", "ctime": 1583773134.6051612, "dev": 65025, "device_type": 0, "executable": false, "exists": true, "gid": 0, "gr_name": "root", "inode": 154082, "isblk": false, "ischr": false, "isdir": false, "isfifo": false, "isgid": false, "islnk": true, "isreg": false, "issock": false, "isuid": false, "lnk_source": "/etc/letsencrypt/archive/auction.pamdev.ru/cert1.pem", "lnk_target": "../../archive/auction.pamdev.ru/cert1.pem", "mimetype": "inode/symlink", "mode": "0777", "mtime": 1583773134.6051612, "nlink": 1, "path": "/etc/letsencrypt/live/auction.pamdev.ru/cert.pem", "pw_name": "root", "readable": true, "rgrp": true, "roth": true, "rusr": true, "siz .....

проверил по этим адресам есть /etc/letsencrypt/live/auction.pamdev.ru/cert.pem но к доменам и поддоменам они не привязаны и make push не проходит так как стучится по https

Ответить
Дмитрий Елисеев

Так как файлы уже есть, то при последующих запусках всегда будет skipping

К доменам и поддоменам они теперь должны привязываться в Nginx.

Ответить
Юрий

да но в директории /etc/nginx/snippets/ файлов ssl.conf certbot.conf нет и nginx дальше не дает выполнить команды

Ответить
Дмитрий Елисеев

А почему их там нет?

Ответить
Юрий

пока сам не понимаю.. выполняю команду make site

ожидаю что должны появится но их нет

Ответить
Юрий

вообще нет nginx

Ответить
Дмитрий Елисеев

Ansible толлько устанавливает Docker с Certbot и генерирует сертификаты.

А сам проект с Nginx и PHP деплоится через make deploy после make build и make push.

Ответить
Дмитрий Елисеев

Если в первый раз вылетела ошибка, то добавьте к командам запуска и остановки apache значения ignore_errors: yes и перезапустите снова.

Ответить
Александр

Вобщем запнулся на этом уроке. Вторые выходные сижу на нем. выше писал про Error response from daemon: Get registry.tiru.ru/v2/: dial tcp: lookup registry.tiru.ru on 188.93.16.19:53: no such host"]

Создал поддомен registry.tiru.ru какие NS записи создавать, надоли сервак под этот домен, и если надо как его настроить. Откуда на вашем регистре поддомене nginx. Ни какой инфы в видосах не нашел, как смотреть дальнейшие видео нипонятно, тк на практике не выходит ничего. Спулил с гита ветку последней версии и откатывал на версию этого урока. Менял домен deworker.pro автозаменой на свой , не выходит. Дмитрий объясните по подробнее про домен registry.tiru.ru , тк хочется проверить вашу теорию на практике , своими ручками. А не просто поверить этой "теории"

Ответить
Дмитрий Елисеев

Сам поддомен нужно создать в панели управления вашего хостинга, где вы регистрировали домен.

Там должно быть примерно так, но с вашими адресами:

Хост              |   Тип   |  Значение
---------------------------------------------
tiru.ru           |   A     |  31.184.254.199
registry.tiru.ru  |   A     |  31.184.254.199

Так поддомены создаются и привязываются к виртуальным машинам по их IP-адресам. И только после этого начинают открываться в браузере.

Ответить
Александр

так и есть у меня сейчас

только ошибка не с айпишником 188.93.16.19 как раньше, а с моим 31.184.254.199

.......", "msg": "non-zero return code", "rc": 1, "start": "2020-03-14 12:35:45.822078", "stderr": "WARNING! Using --password via the CLI is insecure. Use --password-stdin.\nError response from daemon: Get registry.tiru.ru/v2/: dial tcp 31.184.254.199:443: connect: connection refused", "stderr_lines": ["WARNING! Using --password via the CLI is insecure. Use --password-stdin.", "Error response from daemon: Get registry.tiru.ru/v2/: dial tcp 31.184.254.199:443: connect: connection refused"], "stdout": "", "stdout_lines": []}

сертификат тоже чтоли нужен на этот домен сделать, походу.

Ответить
Дмитрий Елисеев

Да, сделать сертификат и для него.

Ответить
Александр

сделал не помогло , ...login attempt to registry.tiru.ru/v2/ failed with status: 404 Not Found".... ни какой формы авторизации нету по этому адресу как у Вас. Чтото я вобще не догоняю.

registry.tiru.ru", "delta": "0:00:00.529081", "end": "2020-03-16 18:12:43.121638", "msg": "non-zero return code", "rc": 1, "start": "2020-03-16 18:12:42.592557", "stderr": "WARNING! Using --password via the CLI is insecure. Use --password-stdin.\nError response from daemon: login attempt to registry.tiru.ru/v2/ failed with status: 404 Not Found", "stderr_lines": ["WARNING! Using --password via the CLI is insecure. Use --password-stdin.", "Error response from daemon: login attempt to registry.tiru.ru/v2/ failed with status: 404 Not Found"], "stdout": "", "stdout_lines": []}

Ответить
Дмитрий Елисеев

Виртуалку и поддомен для реестра вы сделали.

Теперь осталось установить туда сам реестр по примерам из комментариев выше.

Ответить
Arunas

после make deploy demo-auction.arsku.com/работает, а api.demo-auction.arsku.com кидает ошибку: 502 Bad Gateway.

команда docker logs --since 30s -f auction_api_1 даёт ответ:

2020/03/18 15:17:46 [error] 6#6: *66 connect() failed (113: Host is unreachable) while connecting to upstream, client: 172.18.0.7, server: , request: "GET / HTTP/1.0", upstream: "fastcgi://172.18.0.3:9000", host: "api.demo-auction.arsku.com"

как решить эту проблему?
правда, после ansible make site остался контейнер httpd:2.4 apache, я его остановил...

вид http://www.arvidija.lt/turinys.php?autoidpsl=16&puslapio_PVD=programming

Ответить
Дмитрий Елисеев

Не запустился api-php-fpm.

Ответить
Arunas

Да, передеплоил с другого компьютера и всё ок.

Ответить
Олег

Дмитрий, приветствую. А не могли бы вы объяснить, за что отвечает переменная REGISTRY при команде make docker-login Видел в комментариях, что люди тоже столкнулись с проблемой на этой команде, но точного ответа и понимания так и не последовало после ваших советов/ответов.

Я правильно понимаю, что вы не используете докер хаб, а создали свой регистр для хранения образов? Или я ошибаюсь?

Если это так, то не ясно, как создавать свой регистр из данных видео. На хабре есть конечно статьи, но хотелось бы тут узнать все нюансы которые вы затрагиваете.

По крайней мере у меня есть аккаунт на DockerHub и я успешно сделал туда пуш в виде docker push myaccount/php:1 (например), но если я пытаюсь использовать команду "docker login -u {{ username }} -p {{ password }} {{ registry }}", как в видео, меня шлют лесом и говорят что нет такого регистра. Вот хотелось бы понять, почему у вас работает и что это за registry.deworker.pro

Заранее спасибо за ответ

UPD - нашел в комментах инфу что требуется поднять свой регистр. Как то не приятно, что требуется копаться в комментах, в поисках информации которая не дается в курсе. Это прям минус.

Ответить
Олег

Если кто столкнулся с таким моментов, что у него нет собственного докер регистра, можно поступить так:

Регистрируетесь на докер хаб
Меняете docker_login.yml на такое

---
-   name: Log into private registry
    hosts: site
    remote_user: root
    become: yes
    become_user: deploy
    vars_prompt:
        -   name: username
            prompt: "Username"
            private: no
        -   name: password
            prompt: "Password"
    tasks:
        -   name: Log into private registry
            shell: "docker login -u {{ username }} -p {{ password }}"

При использование команды make build и make push используется для переменной REGISRTY ваш айдишник на докер хабе.

Пулится пушится логинится успешно.

Минус всего этого - ваши образы на докер хабе публичные

Ответить
Дмитрий Елисеев

Я правильно понимаю, что вы не используете докер хаб, а создали свой регистр для хранения образов?

Да, именно так. И в параметре REGISTRY мы его адрес указываем.

Если это так, то не ясно, как создавать свой регистр из данных видео.

Про это запишу скоро отдельное видео.

Ответить
elmut

Спустя 10 дней получился настроить wsl 2->Ubuntu-18.04 = Ansible +Docker Registry и wsl 2->Debian это у нас production-сервера и wsl 2->Ubuntu-20 = dev

Ответить
Александр

В шторме, Не могу понять по комитам на гите, какой соответствует окончанию этого урока? Даты коммитов перемешаны му собой не разберешь. Хорошо бы подписывали , на какой комит переключаться под конец урока, чтоб ручками все проверить самому ))

Ответить
Дмитрий Елисеев

К этому уроку вся группа коммитов про provisioning до "Added site certbot renew hook".

Ответить
Ярослав

При попытке запушить билды на AWS мне выпадает сообщение "no basic auth credentials". До этого успешно создал реестр и команда make docker-login успешно сработала. Что теперь делать?

Ответить
Ярослав

P.S. Разобрался уже. Я просто вводил одну команду, а в makefile она уже другая.

Ответить
Ярослав

И все равно. Я застрял на этом уроке. Не понимаю, почему у меня не работает. Делаю пошагово за автором. Дохожу до создания своего отдельного приватного репозитория. Перехожу на урок 33, создаю репозиторий. Логинюсь в него. Пушу туда образы. Все проходит нормально. Ввожу команду деплоя и вижу следующее:

regal@regal-Inspiron-5521:~/projects/auction$ HOST=deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com PORT=22 REGISTRY=registry.newmagic.space IMAGE_TAG=master-1 BUILD_NUMBER=1 make deploy
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'rm -rf site_1'
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'mkdir site_1'
scp -P 22 docker-compose-production.yml deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com:site_1/docker-compose-production.yml
docker-compose-production.yml                                                                                                                                        100%  683     6.2KB/s   00:00    
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'cd site_1 && echo "COMPOSE_PROJECT_NAME=auction" >> .env'
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'cd site_1 && echo "REGISTRY=registry.newmagic.space" >> .env'
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'cd site_1 && echo "IMAGE_TAG=master-1" >> .env'
ssh deploy@ec2-34-253-166-211.eu-west-1.compute.amazonaws.com -p 22 'cd site_1 && docker-compose -f docker-compose-production.yml pull'
Pulling frontend    ... error
Pulling api-php-fpm ... error
Pulling api         ... error
Pulling gateway     ... error

ERROR: for gateway  Get registry.newmagic.space/v2/auction-gateway/manifests/master-1: no basic auth credentials

ERROR: for api-php-fpm  Get  registry.newmagic.space/v2/auction-api-php-fpm/manifests/master-1: no basic auth credentials

ERROR: for api  Get  registry.newmagic.space/v2/auction-api/manifests/master-1: no basic auth credentials

ERROR: for frontend  Get  registry.newmagic.space/v2/auction-frontend/manifests/master-1: no basic auth credentials
Get registry.newmagic.space/v2/auction-gateway/manifests/master-1: no basic auth credentials
Get registry.newmagic.space/v2/auction-api-php-fpm/manifests/master-1: no basic auth credentials
Get registry.newmagic.space/v2/auction-api/manifests/master-1: no basic auth credentials
Get registry.newmagic.space/v2/auction-frontend/manifests/master-1: no basic auth credentials
make: *** [Makefile:55: deploy] Ошибка 1

Я худо-бедно умею программировать, но таким разворачиванием еще не занимался, я в этом новичок. Помогите разобраться пожалуйста.

Ответить
Дмитрий Елисеев

Логинюсь в него. Пушу туда образы.

Теперь залогиньтесь с сервера для пулла:

cd provisioning
make docker-login
Ответить
Ярослав

Да, получилось. Но тут же пошла другая ошибка:

Creating network "auction_default" with the default driver
Creating auction_api-php-fpm_1 ... done
Creating auction_frontend_1    ... done
Creating auction_api_1         ... done
Creating auction_gateway_1     ... 
Creating auction_gateway_1     ... error

ERROR: for auction_gateway_1  Cannot start service gateway: driver failed programming external connectivity on endpoint auction_gateway_1 (3ca58f973879dc9b13c525aba77c02b9e90edae106d3350e426c1b8027b8a4c9): Bind for 0.0.0.0:443 failed: port is already allocated

ERROR: for gateway  Cannot start service gateway: driver failed programming external connectivity on endpoint auction_gateway_1 (3ca58f973879dc9b13c525aba77c02b9e90edae106d3350e426c1b8027b8a4c9): Bind for 0.0.0.0:443 failed: port is already allocated
Encountered errors while bringing up the project.
make: *** [Makefile:56: deploy] Ошибка 1

Сервера реестра и основного проекта находятся на разных виртуалках под разными IP-адресами. Попробую сделать что-то с этим, но спасибо за ответ, который меня продвинул дальше.

Ответить
Игорь

Подскажите, у вас получилось разобраться в чем тут проблема? Завис на этом же месте.

Ответить
Подскажите пожалуйста после запуска docker-compose и обращении к странице выдает ошибку

Подскажите выполняю команды:

cd provisioning
make docker-login

ssh deploy@89.108.64.12 -p 22 'rm -rf site_'
ssh deploy@89.108.64.12 -p 22 'mkdir site_'
scp -P 22 docker-compose-production.yml deploy@89.108.64.12:site_/docker-compose.yml
docker-compose-production.yml    100%  761     0.7KB/s   00:00    
ssh deploy@89.108.64.12 -p 22 'cd site_ && echo "COMPOSE_PROJECT_NAME=auction" >> .env'
ssh deploy@89.108.64.12 -p 22 'cd site_ && echo "REGISTRY=pavel" >> .env'
ssh deploy@89.108.64.12 -p 22 'cd site_ && echo "IMAGE_TAG=master-1" >> .env'
ssh deploy@89.108.64.12 -p 22 'cd site_ && docker-compose pull'
[20633] Cannot open self /usr/local/bin/docker-compose or archive /usr/local/bin/docker-compose.pkg
Makefile:51: ошибка выполнения рецепта для цели «deploy»
make: *** [deploy] Ошибка 255

если выполнить команду под root то все проходит что не так.

и после выполнения

make site

не удаляет apahe приходится удалять ручками, что нужно настроить для автоматического удаления

    name: Down certbot Apache
    shell: "docker rm -f apache"
    when: port_check.failed == true
Ответить
Дмитрий Елисеев

если выполнить команду под root то все проходит что не так.

Значит либо пользователь deploy, либо файлу docker-compose не проставлена группа docker.

не удаляет apahe

Надо проверить.

Ответить
Дмитрий

да, что то сегодня всё рухнуло, пользователь deploy не может запустить docker-compose

хотя root норм запускает

система ubuntu

Ответить
Дмитрий

если не удасться это полечить, то придется под рутом всё делать ((

Ответить
Дмитрий

я вручную сделал: добавил deploy в группу sudo, задал ему пароль, зашел по ssh с паролем и вызвал sudo chmod a+rx /usr/local/bin/docker-compose

в результате docker-compose у пользователя deploy заработал

Дима, как через ansible сделать тоже самое для пользователя deploy?

Ответить
Дмитрий

P.S. вроде в ansible достаточно добавить a+rx в mode: 'u+x,g+x,a+rx' при установке docker-compose

Ответить
Дмитрий

а чтобы это сработало, надо переустановить docker-compose предварительно, например, удалив его зайти под root rm /usr/local/bin/docker-compose

Ответить
Дмитрий

либо создавать отдельный ансибл таск на изменение прав доступа к /usr/local/bin/docker-compose

Ответить
Дмитрий Елисеев

Отдельный не нужен. Группа должна быть указана в существующем:

-   name: Install Docker Compose
    get_url:
        url: ...
        dest: /usr/local/bin/docker-compose
        group: docker
        mode: 'u+x,g+x'
Ответить
Дмитрий

[20633] Cannot open self /usr/local/bin/docker-compose or archive /usr/local/bin/docker-compose.pkg

тоже возникла такая ошибка

если захожу под рутом, то всё хорошо

Ответить
Роман

Всем привет, я только подключился

TASK [certbot : Add Certbot repository]
fatal: [server]: FAILED! => {"changed": false, "msg": "apt cache update failed"}

может кто знает как это бороть?

Ответить
kashamamina

поделитесь своей темой, очень красивая, не видел раньше таких. сами делали?

Ответить
Дмитрий Елисеев

Да, cделал сам специально для скринкастов. Выложил на GitHub.

Ответить
kashamamina

а почему при установке докера и сертификатов в конфигурации ансибла у тебя в начале обновляются пакеты, а в коммитах на гитхабе этого нету

- name: Update apt packages
  apt:
    update_cache: yes
Ответить
Дмитрий Елисеев

Лишний раз такие конструкции можно не прописывать если такие update_cache: yes есть у других шагов.

Ответить
slo_nik

Добрый вечер. Дмитрий, подскажите пожалуйста. Получится использовать Ваш пример для частного репозитория на docker hub? Будет ли частный репозиторий доступен кому-то кроме меня? Как я понял, необходимо установить на локальный компьютер ansible и certbot?

Ответить
Дмитрий Елисеев

Для приватного доступа к DockerHub достаточно выполнить тот же docker login, но не в свой реестр, а в registry-1.docker.io

Ответить
slo_nik

Я как раз имел ввиду свой реестр. Если я его обозначил как "private", то кроме меня его никто не увидит?

Ответить
Дмитрий Елисеев

Никто без пароля к нему не подключится.

Ответить
slo_nik

Благодарю.)

Ответить
Зарегистрируйтесь или войдите чтобы оставить комментарий

Или войти через:

Google
GitHub
Yandex
MailRu