Come ripulire le cose da ruoli che non vengono più utilizzati su un server?

Supponiamo di avere un host che è, tra le altre cose, un web server, in cui viene installato il ruolo Ansible correlato nginx, esegue una configurazione essenziale /etc/nginxe apre le porte 80 e 443 nel firewall.

Ad un certo punto voglio che quel particolare host non sia più un web server, perché per qualche ragione ho spostato quel servizio altrove. La semplice rimozione del server [webservers]dall'inventario lascerebbe immondizia nel server. Idealmente, vorrei disinstallare nginx, rimuovere la /etc/nginxdirectory (e alcune altre directory) e chiudere le porte 80 e 443 nel firewall.

In Puppet posso farlo. Un host che è un server Web avrà qualcosa di simile nella sua configurazione:

class { 'nginx':
  ensure => present,
}

e tutto quello che devo fare è sostituire "presente" con "assente". Se la nginxclasse è ben scritta, annullerà le modifiche apportate. (In genere un amministratore sostituisce "presente" con "assente" e, successivamente, quando è sicuro che tutti gli host interessati abbiano annullato la configurazione, rimuoverà l'elemento dal manifest.)

Inoltre, penso che il modulo firewall Puppet rimuova automaticamente le regole del firewall che non possono più essere trovate nel manifest; quindi penso che, per il firewall, non sia nemmeno necessario fare quella cosa "assente" sopra, il firewall si chiuderà automaticamente comunque.

Come posso ottenere queste cose con Ansible?

Con Ansible, non lo faresti in modo diverso da come lo faresti con Puppet.

Nel tuo esempio dove vorresti impostare

class { 'nginx':
  ensure => absent,
}

stai facendo affidamento sull'autore di quel modulo fantoccio dopo aver scritto il codice necessario per gestire la rimozione di tutto. Non tutti i moduli fantoccio hanno questo.

Allo stesso modo, con Ansible, potresti avere ruoli che hanno sia i passaggi necessari per installarlo che per rimuoverlo. La differenza sta solo nel modo di invocare i due.

Un approccio potrebbe essere quello in cui il ruolo in questione espone una variabile per attivare / disattivare il comportamento. Ad esempio, quel ruolo nginx potrebbe assumere una variabile nginx_stateche accetta i valori installede absent.

Nel ruolo tasks/main.yml, l'autore del ruolo potrebbe avere qualcosa sulla falsariga di ..

- include: install.yml
  when: nginx_state|default('present') == "present"

- include: uninstall.yml
  when: nginx_state|default('present') == "absent"

..con la rispettiva logica di installazione / disinstallazione suddivisa tra quei due file inclusi in modo condizionale.

È possibile nidificare anche i ruoli sensibili. Come altro modo di fare lo stesso, un autore di ruoli potrebbe ad esempio fornire un ruolo nginxcon un altro ruolo al suo interno, chiamato uninstalled. Potresti quindi fare:

- name: Uninstall nginx
  hosts: some_group
  roles:
    - nginx/uninstalled

Ansible, rispetto a Puppet, ha probabilmente meno regole e linee guida su come le cose dovrebbero essere fatte, quindi le pratiche variano un po 'di più in natura, ma si applicano gli stessi concetti.

Dal momento che hai la tua configurazione / provisioning in Ansible, puoi semplicemente spazzare via l'intero server, reinstallare / eseguire il provisioning di uno nuovo e avere un buon stato pulito e funzionante.

Se in realtà si desidera "riconfigurarlo" per altri scopi, è necessario creare un nuovo playbook che esegua le attività di pulizia necessarie.

Per quanto ne so, tutti i moduli di packaging Ansible supportano state=absentper garantire che un determinato pacchetto non sia installato sul tuo server. Inoltre, il aptmodulo ha un purge=yesparametro che pulirà tutti i file di configurazione personalizzati rimanenti.

È inoltre possibile creare attività per confermare che la porta 80 è protetta da firewall. Tuttavia, poiché non avrai alcun processo in esecuzione su quella porta, il firewall non farà alcuna differenza per la sicurezza del tuo server.