Досталась мне на новой работе интересная задача. Нужно привести в порядок генерацию и хранение SSL сертификатов для балансировщиков. Чтобы блять сделать и забыть навсегда про это гавно.
Проблема заключалась в том, что на 100500 серверах-балансировщиках, каждый сервер ходил по acme и получал себе нужный сертификат. Так же есть пачка тестовых серверов, которые доступны по тому же домену если прописать их в hosts, соответственно тестировщики испытывали анальные боли когда сертификат обновлялся на проде, но не обновлялся на тестовых серверах. Приходилось идти и копировать руками. Хуйня кароче отнимающая время и нервы.
Ну и вишенкой на торте — вся эта залупень работала совсем нестабильно, иногда сертификат продлялся иногда нет, постоянно такие качели, все это на каком-то супербаше обернуто и падает через раз. В мониторинг естественно нихуя не заведено, слепошарое уебанство.
Как я решил задачу
Да блять проще простого, яж нахуй охуенный! Сертификаты я решил складывать в vault, а из ваульта уже забирать ансиблом и катить на все необходимые сервера. Так и сделал, написал небольшую обертку для получения и обновления сертов, засунул ее в докер, ну и шедуллер раз в месяц чтобы поднимал контейнер и делал магию.
Скрипт продляет сертификаты, аккуратно складывает в vault, в awx каждый час прогоняются плейбуки, таск лезит в vault и забирает новые серты если такие есть, раскладывает на балансировщики и тестовые сервера, релоадид nginx и haproxy. Все счастливы. Так же добавил проверку сертификатов на валидность перед тем как зарелоадить, а то может хуйня произойти.
Дополнительно сделал графики просрочки сертов с алертингом через alertmanager. Пока полет нормальный. Скрин графаны скину в комменты.
Вдовесок получил респекты от разработчиков, теперь они сами могут сходить в vault, забрать нужный серт и локально протестировать всякие оплаты и прочую херабору.
А как вы управляете SSL сертификатами на пачке машин?
Проблема заключалась в том, что на 100500 серверах-балансировщиках, каждый сервер ходил по acme и получал себе нужный сертификат. Так же есть пачка тестовых серверов, которые доступны по тому же домену если прописать их в hosts, соответственно тестировщики испытывали анальные боли когда сертификат обновлялся на проде, но не обновлялся на тестовых серверах. Приходилось идти и копировать руками. Хуйня кароче отнимающая время и нервы.
Ну и вишенкой на торте — вся эта залупень работала совсем нестабильно, иногда сертификат продлялся иногда нет, постоянно такие качели, все это на каком-то супербаше обернуто и падает через раз. В мониторинг естественно нихуя не заведено, слепошарое уебанство.
Как я решил задачу
Да блять проще простого, яж нахуй охуенный! Сертификаты я решил складывать в vault, а из ваульта уже забирать ансиблом и катить на все необходимые сервера. Так и сделал, написал небольшую обертку для получения и обновления сертов, засунул ее в докер, ну и шедуллер раз в месяц чтобы поднимал контейнер и делал магию.
Скрипт продляет сертификаты, аккуратно складывает в vault, в awx каждый час прогоняются плейбуки, таск лезит в vault и забирает новые серты если такие есть, раскладывает на балансировщики и тестовые сервера, релоадид nginx и haproxy. Все счастливы. Так же добавил проверку сертификатов на валидность перед тем как зарелоадить, а то может хуйня произойти.
Дополнительно сделал графики просрочки сертов с алертингом через alertmanager. Пока полет нормальный. Скрин графаны скину в комменты.
Вдовесок получил респекты от разработчиков, теперь они сами могут сходить в vault, забрать нужный серт и локально протестировать всякие оплаты и прочую херабору.
А как вы управляете SSL сертификатами на пачке машин?
This media is not supported in your browser
VIEW IN TELEGRAM
Показываю пацанам мой новый пайплайн и как он умеет выкатывать круглый релиз
This media is not supported in your browser
VIEW IN TELEGRAM
сбалансированный пайплайн
This media is not supported in your browser
VIEW IN TELEGRAM
QA проводит нагрузочное тестирование
😁1
This media is not supported in your browser
VIEW IN TELEGRAM
Релиз менеджер выкатывает новые фичи в продакшен
😁1
This media is not supported in your browser
VIEW IN TELEGRAM
Когда взял на первый взгляд простую задачку и проебался с ней весь спринт
This media is not supported in your browser
VIEW IN TELEGRAM
Будни рядового инженера
This media is not supported in your browser
VIEW IN TELEGRAM
Идеальная картина — фронтенд + бекенд. Но обычно все иначе
This media is not supported in your browser
VIEW IN TELEGRAM
Пиэм показывает на демо каких целей добилась команда за спринт
Продолжение истории. Суть такая — СТО перевел мне 58к, я вернул их обратно и затребовал 120к за схему инфраструктуры #Bragin_VS_CTO
Продолжение. Начало тут, в комментах есть ссылки на предыдущие #Bragin_VS_CTO
This media is not supported in your browser
VIEW IN TELEGRAM
Когда все уволились и ты стал самым главным в отделе с неограниченными правами на инфраструктуру. Ну пизда тебе ВСЁ!
This media is not supported in your browser
VIEW IN TELEGRAM
Когда к тебе в отдел залетела чайка в лице менеджера или директора и ты такой — бля бля иди нахуй нахуй, у нас тут все нормально, нахуй нахуй иди!!
Продолжение сериала, все части доступны по тегу #Bragin_VS_CTO
This media is not supported in your browser
VIEW IN TELEGRAM
проект на демо / проект на проде
This media is not supported in your browser
VIEW IN TELEGRAM
После встречи с топами
This media is not supported in your browser
VIEW IN TELEGRAM
Как я провожу инвентаризацию в селектеле