CérénIT

Le blog tech de Nicolas Steinmetz (Time Series, IoT, Web, Ops, Data)

Web, Ops & Data - Mars 2018

grafanatickchronografinfluxdbdatavizansiblesparkdockerkubernetescncfsupersetjavaLet's encryptpostgrespythond3.js

Automatisation

  • Ansible 2.5: Traveling space and time : au programme de cette nouvelle version : des namespaces pour les "facts", la capacité d'interdire des modules, des nouvelles "variables magiques" (les magic vars sont des variables spécifiques à Ansible et l'exécution des playbooks). On notera aussi des améliorations sur le support Windows, des nouveaux modules cloud (AWS, GCP, Azure, VMWare) et des nouveaux plugins.

Container et Orchrestration

Dataviz

Java

  • No Free Java LTS Version? : Oracle change ses pratiques de distribution du JDK Oracle (Une version majeure tous les 6 mois, moins de report de patches, etc).

Let's encrypt

  • ACME v2 and Wildcard Certificate Support is Live : Let's Encrypt va donc fournir des certificats wildcard (*.domaine.fr). Si je m'étais réjoui de l'idée au début, je ne vois finalement pas ou peu l'intérêt du fait de la méthode de validation (enregistrement DNS avec le temps de propagation associé). En dehors du cas où l'on dépassait les limites d'enregistrement de Let's Encrypt en terme de nombre de certificats, la génération dynmique et unitaire via une méthode HTTP me semble plus simple. Surtout quand on utilise Traefik ;-)

Postgres

Python

TICK

Astuce(s) du mois

J'utilise Ansible dans une logique d'IAC et pour automatiser un maximum des actions pour la gestion de l'infrastructure et des applications de mes clients. Toutefois, chaque client avait son arborescence et la réutilisation d'un composant d'un client à l'autre était fastidieuse (copier/coller).

Un premier travail a consisté à extraire les rôles commun dans un dépôt git tiers et faire des liens symboliques mais cela n'était pas très pratique. Suite à un travail chez un autre client, j'ai revu mon approche et je pars pour le moment sur la solution suivante :

  • Un dépôt "global", contenant la configuration ansible, les plugins, les playbooks, les variables d'hotes ou de groupes, l'inventaire et les rôles.
  • Pour chaque rôle, je repars sur le principe d'extensibilité du code avec un rôle générique et des extensions par clients. Il y aura donc un répertoire du nom du composant et un répertoire <composant>.<client> ou <client>.<composant> (le choix n'est pas encore arrêté). Le second répertoire contenant les éléments spécifiques au client.

Exemple avec un rôle MariaDB :

mariadb/
├── README.md
├── defaults
│   └── main.yml
├── files
├── handlers
│   └── main.yml
├── meta
├── tasks
│   └── main.yml
├── templates
│   └── my.cnf.j2
└── vars
   └── main.yml
co.mariadb/
├── README.md
├── handlers
│   └── main.yml
├── tasks
│   └── main.yml
├── templates
│   ├── my-primary.cnf.j2
│   └── my-replica.cnf.j2

Ainsi, la partie générique et la partie spécifique à mon client sont isolées. Il faut juste envisager le séquencement entre les deux rôles pour que cela se passe bien. Pour le moment, le seul code dupliqué se retrouve au niveau des handlers.

Si je devais donner accès à mes clients à leurs playbooks respectifs, il faudrait que je revois l'organisation pour ne leur donner accès qu'à leurs données. Il faudrait alors recréeer n dépots mais avec cette méthode, il est aussi facile de reconstruire a posteriori des dépots par clients depuis un dépot global. L'intérêt étant pour moi de conserver ma flexibilité et d'améliorer la réutilisabilité de mes composants.

Web, Ops & Data - Février 2018

grafanadockerdocker-composekafkagraphqlswarmgithttpscertificatsécuritéinspec

API, Rest, GraphQL

  • GraphQL at the REST-aurant : une introduction à GraphQL et à ses avantages par rapport à un modèle REST en faisant une analogie avec un REST-aurant. J'ai découvert les "persisted queries".

Container & orchestration

  • Going Production with Docker and Swarm : une présentation repassant les bonnes et mauvaises pratiques de Docker et Docker Swarm, les outils disponibles, des éléments de sizing de cluster swarm, etc. Globalement en phase avec ce que je pratique chez un client actuellement. Prochaine étape, ne plus utiliser "latest" comme référence d'images !

Dataviz

  • What’s New in Grafana v5.0 : Grosse refonte de Grafana pour l'arrivée de cette version 5.0 : nouveau système de dashboard, gestion des permissions, gestion de groupes, gestion de dossiers, nouvelle UX, etc.

Git

  • --force considered harmful; understanding git's --force-with-lease : Si l'usage de git --force est déconseillée si ce n'est proscrite, sa variante git --force-with-lease est plus intéressante et permet d'éviter d'écraser le travail de vos camarades alors que vous pensiez juste faire un push en force sur une branche distante suite à un rebase local.
  • Advantages of monolithic version control : le débat mono-dépot vs multi-dépots est récurrent - celui- ci donne des raisons pro mono dépôt. Au delà du mono/multi dépôt, c'est surtout l'architecture d'une application et sa modularité qui sont prépondérants.

Kafka

Sécurité & Compliance

  • La fin d’une époque… : si vous utilisez des certificats issues de chez Thawte, GeoTrust et RapidSSL ayant été générés avant le 1er juin 2016 pour la 1er vague ou avant le 1er décembre 2017 (date de rachat de l'autorité de Symantec par Digicert), alors vos sites risquent d'être bloqués par les version de printemps et d'automne de Firefox et Chrome. Il vous faut renouveller vos certificats. Si votre certificat a été généré après le 1er Décembre 2017, vous n'avez rien à faire.
  • Chef InSpec 2.0 Puts the Security into DevSecOps : la spécification InSpec permet de définir/tester/valider l'état d'une machine au regard de règles de conformité et de sécurité. Cette spécification a été initiée par l'entreprise Chef (éditrice du logiciel du même nom et d'Habitat entre autres). La version 2.0 vient de sortir et apporte une intégration AWS/Azure, de nouvelles ressources de validation (docker, configuration serveurs web, clés & certificats, etc) et une amélioration des performances.

Astuce(s) du mois

Lorsque l'on déploie une même application dans plusieurs contextes via docker-compose, il est intéressant d'utiliser le COMPOSE_PROJECT_NAME qui permet de donner un préfixe à vos réseaux et containers docker a minima.

L'inconvénient est qu'il faut ajouter à vos commandes un -p <project_name> :

docker-compose -p instancea build --pull
docker-compose -p instancea up -d
docker-compose -p instancea logs -f
docker-compose -p instancea stop <service>
docker-compose -p instancea down
...

Ainsi, vos conteneurs seront nommés instancea_<service name>_<occurence> et votre réseau instancea_<network name>.

Mais il est possible d'aller plus loin avec les fichiers d'environnement .env.

Dans votre fichier .env à la racine de votre dossier où se trouve votre fichier docker-compose.yml, définissez la/les variable(s) dont vous avez besoin. Ici, nous allons nous limiter à COMPOSE_PROJET_NAME mais ne vous privez pas.

COMPOSE_PROJECT_NAME=instancea

A partir de ce moment-là, plus besoin de précier l'argument -p <project name>, vos commandes redeviennent :

docker-compose build --pull
docker-compose up -d
docker-compose logs -f
docker-compose stop <service>
docker-compose down
...

... et pour autant, vos réseaux et containers ont le bon préfix car le fichier .env est lu à l'exécution de la commande docker-compose avant de parser docker-compose.yml.

On peut aller encore plus loin en utilisant ce COMPOSE_PROJECT_NAME dans le taggage des images d'un container par ex ou

version: '3'
services:
  nginx:
    build:
      context: ./nginx/
    image: "registry.mycompany.com/nginx:${COMPOSE_PROJECT_NAME}"

Lors de la phase de build, l'image sera tagguée avec le nom passé au projet compose. Ensuite, vous pouvez poussez sur la registry de votre entreprise puis déployer cette version sur votre cluster Swarm par ex.

A noter justement une limitation actuelle de docker stack deploy <stack name> -c docker-compose.yml qui ne lit pas le fichier .env en amont et donc COMPOSE_PROJECT_NAME reste vide lors de la lecture du fichier docker-compose.yml.

Une solution possible est par ex dans le script (simplifié) de déploiement :

cd $BUILDDIR/compose/
source .env

# Remplace la variable COMPOSE_PROJECT_NAME par sa valeur
sed -i -e "s/\${COMPOSE_PROJECT_NAME}/${COMPOSE_PROJECT_NAME}/g" docker-compose.yml

docker stack deploy ${COMPOSE_PROJECT_NAME} -c docker-compose.yml

Et voilà !

Web, Ops & Data - Janvier 2018

mysqlmariadbrootdnssshbastiondockerkuberneteslet's encrypttest unitairetestcoreosredhat

Container & Orchestration

  • Core Workloads API GA : la version 1.9 de Kubernetes sortie tout début janvier marque un tourant intéressant avec le passage en stable des "Core Workload API" (Pod, ReplicationController, ReplicaSet, Deployment, DaemonSet, and StatefulSet). Avec cette stabilisation des termes, des concepts et des API, c'est le socle de Kubernetes qui se stabilise sérieusement. Une bonne raison de plus de creuser cette solution au fur et à mesure que l'écosystème va se stabiliser et se simplifier.
  • The Twelve-Factors Kubernetes : Revue de la terminilogie et des concepts de Kubernetes au travers de 12 points et énonciation de quelques bonnes pratiques générales associées.
  • Traefik 1.5 - Cancoilote Is Here : cette version corrige notamment le problème de méthode de génération de certificat de Let's Encrypt (voir plus bas). En plus de celà, cette version apporte notamment une gestion dynamique des certificats par frontend/backend et de la qualité de service avec la possibilité de définir des limites de consommation de ressources.
  • Container Structure Tests: Unit Tests for Docker Images : Google vient de sortir son framework de tests unitaires pour les containers Docker. A creuser pour voir s'il n'est possible de faire que de tests de "surface" ou bien si on peut aller plus en profondeur (mais est-ce souhaitable ?)
  • CoreOS to join Red Hat to deliver automated operations to all : CoreOS rejoint la galaxie RedHat qui fait son retour dans le monde des conteneurs... après Openshift (qui s'appuie sur Docker + Kubernetes), voilà qu'ils mettent la main sur CoreOS + Tectonic (la version de Kubernetes packagée par CoreOS), ainsi que les autres projets CoreOS (etcd, etc). Ils vont pouvoir proposer un sacré vertical et revenir dans la cour des acteurs majeurs du conteneur ; sans parler du fait qu'ils ont aussi Ansible pour la partie automatisation...

Infrastructure

  • Le Bastion SSH : Petite revue théorique et pratique d'un bastion SSH, la passerelle SSH qui vous permet d'accéder depuis un réseau X à des machines d'un réseau Y en SSH dans exposer tout le réseau Y en libre accès ou parce que le réseau Y n'a pas d'IP publique ou ... Si vous prévoyer de déployer un bastion, prévoyez d'en avoir deux pour éviter le SPOF (ou qu'il soit redéployable très rapidement).
  • PHP et les résolveurs DNS : à l'heure des micro-services et des API, une mauvaise couche réseau et votre application peut très mal se comporter. L'article porte ici sur la résolution DNS et les solutions de cache possible pour que votre application soit plus résiliente.

(No)SQL

  • Moving from MySQL to MariaDB in Debian 9 : je me demandais pourquoi je perdais mon accès au compte root d'une instance MariaDB suite à un mysql_secure_installation, voici enfin la réponse. Sur les nouvelles installations, l'accès au compte root de mariadb est protégé. Il faut passer par sudo mysql -u root -p ... par ex pour pouvoir se connecter en root.
  • How to Install MariaDB on Debian 9 Stretch : l'article qui m'a mis sur la piste et qui donne éventuellement une solution de contournement pour reproduire l'ancien mécanisme (à vos risques et périls).
  • An update on Redis Streams development : les Streams dans Redis, ce sera pour la version 5.0 prévue pour dans 2 mois. Pour rappel, les Streams, ce sont des listes Redis + PubSub + historique. C'est une réponse de Redis sur la partie Topic/Message de Kafka.

Certificats

  • Let's Encrypt a annoncé le 10 janvier avoir identifié une "faille" lors de la génération du certificat lié à l'utilisation de Let's Encrypt dans un environnement mutualisé via la méthode TLS-SNI. Avec le partage d'une même IP, il serait possible pour une personne malveillante de récupérer un certificat pour votre domaine à votre insu. Let's Encrypt a finalement décidé de désactiver complètement les méthodes TLS-SNI-001 et TLS-SNI-002 et de travailler sur une nouvelle méthode TLS-SNI-003 qui corrigerait ce problème. En attendant, il faut utiliser les méthodes HTTP-01 ou DNS-01.

Astuce(s) du mois

La commande docker history (ou docker image history) permet de voir le nombre de layers d'une image, la taille de ces layers et leur âge. Exemple avec l'image nginx:stable :

docker image history nginx:stable
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
dfe062ee1dc8        6 weeks ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daemon…   0B
<missing>           6 weeks ago         /bin/sh -c #(nop)  STOPSIGNAL [SIGTERM]         0B
<missing>           6 weeks ago         /bin/sh -c #(nop)  EXPOSE 80/tcp                0B
<missing>           6 weeks ago         /bin/sh -c ln -sf /dev/stdout /var/log/nginx…   22B
<missing>           6 weeks ago         /bin/sh -c set -x  && apt-get update  && apt…   53.1MB
<missing>           6 weeks ago         /bin/sh -c #(nop)  ENV NJS_VERSION=1.12.2.0.…   0B
<missing>           6 weeks ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.12.2-…   0B
<missing>           6 weeks ago         /bin/sh -c #(nop)  LABEL maintainer=NGINX Do…   0B
<missing>           6 weeks ago         /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>           6 weeks ago         /bin/sh -c #(nop) ADD file:f30a8b5b7cdc9ba33…   55.3MB

Pour avoir l'intégralité du contenu de la ligne "CREATED BY", il suffit de rajouter un --no-trunc.

Source : Docker - history

C'est assez pratique lorsque l'on cherche notamment à comprendre et optimiser la taille de ses images Docker.

Systemd timer pour les Cro(o)ners

croncrontabsystemdtimerunit

Cron et Crontab sont dans un bateau...

Il fut un temps où pour programmer le lancement des actions, notre meilleur ami était "cron" et la "crontab". Outre la syntaxe et l'organisation de la crontab peu mémorisable, les tâches cron restaient complexes à déployer et à monitorer dans leur exécution. Si le fait d'avoir des répertoires plus génériques comme /etc/cron.{d,hourly,daily,weekly,monthly} ont un peu amélioré la partie exploitabilité/déployabilité, ils offraient assez peu de souplesses pour une plannification fine des tâches. De nombreux serveurs ont donc eu un mix de crontab classique et de ce format pendant des années.

Debian 9.0 (mais d'autres aussi comme Archlinux par ex) a fait le choix dans le cadre de son adoption de systemd de ne plus proposer un logiciel de type cron mais de s'appuyer sur l'implémentation interne à systemd, à savoir les "timers". C'est une unité (unit) spéciale de systemd qui est controllée et supervisée par systemd et qui s'exécute selon une configuration temporelle donnée.

Voyons comment passer de cette crontab :

0 4 * * * /path/to/scripts/backup.sh >> /var/log/backup.log 2>&1

... ou de /etc/cron.daily/mybackup.sh appelant le même script à son équivalent sous un timer systemd.

Implémentation d'un timer systemd.

Si vous gérez déjà vos services via systemd, vous avez déjà utilisé des "unit" systemd de type "service". Ces "unit" permettent de définir un process et son mode d'éxécution.

Pour implémenter un "timer" sous systemd, il va nous falloir un fichier "service".

Pour notre tâche à planifier, nous allons avoir au final 3 fichiers :

  • Le script à exécuter ; c'est votre script /path/to/scripts/backup.sh ; il est inchangé par rapport à précédemment.
  • Le fichier "service" qui va dire quel script exécuter
  • Le fichier "timer" qui va indiquer quand il doit être exécuté.

A noter que par convention, les fichiers service et timer doivent avoir le même nom (foo.service, foo.timer).

Pour le fichier service, une base simple est la suivante :

/etc/systemd/system/mybackup.service :

[Unit]
Description=My Daily Backup

[Service]
Type=simple
ExecStart=/path/to/scripts/backup.sh
StandardError=journal

Je fournis une description à mon service, indique que c'est un process de type simple, le chemin vers mon script et je rajoute que le flux d'erreur est envoyé dans le journal. Pour plus d'information, se reporter à la doc des services et des exécutions.

Attention néanmoins, il ne faut pas de section [Install] car le script va être piloté par le fichier timer.

Ensuite, il nous faut un fichier "timer" :

/etc/systemd/system/mybackup.timer :

[Unit]
Description=My Daily Backup

[Timer]
# Define a calendar event (see `man systemd.time`)
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

Au-delà de la description, les lignes importantes sont la section [Timer] et [Install] :

  • OnCalendar permet d'indiquer l'occurrence et la fréquence d'exécution du script. Il y a les abréviations classiques (daily, weekly, etc) mais vous pouvez avoir des choses plus complexes comme "Mon,Tue *-*-01..04 12:00:00" - voir systemd.time
  • Persistent va forcer l'exécution du script si la dernière exécution a été manquée suite à un reboot de serveur ou autre événement.
  • Enfin, la section Install va créer la dépendance pour que votre "timer" soit bien exécuté et pris en compte par systemd.

Il ne reste plus qu'à activer le timer et le démarrer :

systemctl enable mybackup.timer
systemctl start mybackup.timer

Gestion et suivi d'un timer

Pour voir la liste des "timers" actifs sur votre serveur, la date de leur dernière et prochaine exécution :

systemctl list-timers
NEXT                         LEFT          LAST                         PASSED       UNIT                         ACTIVATES
Mon 2018-01-29 17:25:59 CET  2h 27min left Sun 2018-01-28 22:20:35 CET  16h ago      apt-daily.timer              apt-daily.service
Tue 2018-01-30 06:36:33 CET  15h left      Mon 2018-01-29 06:37:35 CET  8h ago       apt-daily-upgrade.timer      apt-daily-upgrade.service
Tue 2018-01-30 09:25:48 CET  18h left      Mon 2018-01-29 09:25:48 CET  5h 33min ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

et accéder aux logs de vos "timers" :

journalctl -f -u apt-daily
-- Logs begin at Tue 2018-01-23 13:50:12 CET. --
Jan 28 22:20:35 codb2d9 systemd[1]: Starting Daily apt download activities...
Jan 28 22:20:35 codb2d9 systemd[1]: Started Daily apt download activities.

En cas de modification du .timer ou du .service, ne pas oublier de faire un system daemon-reload pour que la version actualisée de vos fichiers soit prise en compte par systemd.

Passé la petite prise en main de ce nouveau cadre d'exécution, elle me semble plus simple et surtout plus facile à intégrer dans des chaines de déploiements pilotées par Ansible ou autre.

Bilan 2017 et perspectives 2018

bilanperspectivecérénit

Rien de tel que la finalisation du bilan de cette première année d'activité pour faire un petit bilan sur l'année écoulée et les perspectives pour 2018.

Bilan 2017

Il est positif, tant d'un point de vue comptable que d'activité.

D'un point de vue comptable, cela donne :

  • cela donne 100 K€ de CA réalisé,
  • 20 K€ de résultat après impôts
  • et l'équivalent de 160 - 170 jours facturés.

C'est clairement un succès. En reprenant mes prévisions et hypothèses d'activité de début d'année dernière, je suis dans la fourchette haute.

D'un point de vue activité, c'est plus contrasté :

  • le permier semestre fut l'opportunité de travailler avec de petites structures et sur des projets intéressants. Mais l'effet élection présidentielle a aussi créé un certain attentisme, diminuant le nombre de sollicitations, mettant fin plus tôt que prévu à certains projets et rendant l'appel de charges de Juillet un peu stressant.
  • Une mission à compter de mi-juin a permis de stabiliser la situation et de se remettre à flot.
  • Une propsition pour rejoindre une autre structure en cours de création en fin d'année a permis de se poser pas mal de questions sur mes aspirations et sur ma façon de travailler.

Un autre objectif que je m'étais donné en démarrant cette aventure était de contribuer en retour aux communautés Open Source. Profitant de l'écosystème open source, il est de notre devoir d'entreprise de contribuer à cet écosystème. Ce fut chose faite avec le sponsoring (modeste) des Rencontres Django à Toulon et ma partipation à l'édition 2017 de Codeurs En Seine où j'ai pu parler de la plateforme TICK et de Grafana.

Au final, une année riche en enseignements à de multiples niveaux (personnel, professionel, gestion d'une entreprise, etc)

Perspectives 2018

2018 commence bien avec une première mission intéressante et des sujets en cours de réflexion. Voici quelques objectifs que je me suis fixé :

  • Rester indépendant et développer CérénIT. Si l'année dernière, la question de rejoindre d'autres structures en tant que salarié s'est posée plusieurs fois, elle ne se pose plus. Seule celle de rejoindre une autre structure en tant qu'associé peut subsister sous réserve de certains critères.
  • D'un point de vue positionnement, se limiter à deux grandes activités. D'une part l'architecture et la direction technnique. D'autre part, l'automatisation et l'industrialisation dans une perspective de mise en place de pratiques DevOps/SRE.
  • Réflexion autour d'une logique de mentorat, d'accompagnement et de partage de connaissances avec des projets idéalement portés par des femmes pour favoriser la diversité dans notre milieu.

Pour atteindre ces objectifs, il y a quelques pistes :

  • Ne pas travailler 5/5j pour pouvoir dégager un peu de temps pour me former à différentes technologies ou pouvoir faire autre chose (mentorat & co ?). Si d'un point de vue facturation, cela peut paraitre contre-productif, c'est investir sur l'avenir pour obtenir de nouvelles missions, pouvoir augmenter progressivement mon TJM ou simplement avoir la satisfaction de contribuer à d'autres projets.
  • Continuer à contribuer en retour aux communautés open source
  • Continuer à postuler à des conférences (DevoxxFR, BreizhCamp, etc)
  • Continuer à aller à des conférences (Paris Serverless Conf, etc)
  • (Re)prendre contact avec des initiatives comme Led by Her, Start Her ou d'autres projets favorisant la diversité dans la tech.

Si certains sujets vous interpellent ou si vous avez des contacts à me suggérer, n'hésitez pas à me contacter.

Comme il est encore temps, j'en profite pour vous souhaiter à tou(te)s une bonne année 2018 et au plaisir de vous rencontrer, voire de collaborer ensemble.

← Précédent 19 / 27 Suivant →