Всем привет!
Это моя первая заметка на Хабре, поэтому прошу отнестись к ней без особой строгости. Написать статью на Хабр я хотел очень давно, но вот подходящего и уникального материала не было. Все темы, которыми можно было поделиться, либо уже были кем-то разобраны, либо не очень интересны... Сегодня я наконец-то подыскал кое-что интересное, о чем хочу поведать.
Итак, погнали.
По роду своей деятельности я занимаюсь системным администрированием. Поскольку сам по себе я человек ленивый, я люблю максимально всё автоматизировать. Отсюда и любовь ко всяким средствам "Everything-as-Code".
В перерывах между написанием плейбуков для Ansible, кода для Terraform и прочими средствами автоматизации инфраструктуры, я начал искать для себя новые развлечения , что же еще можно автоматизировать, чтобы еще меньше в своей работе нажимать кнопок и запускать скриптов.
И тут я вспомнил про нашу внешнюю DNS-зону, которую мы хостим на nic.ru. На тот момент у нас было несколько доменов, которые в совокупности содержали около 3000 записей, причем около 80% из них - это записи для стендов разработчиков, которые отличаются друг от друга только порядковыми номерами или каким-нибудь суффиксом.
Пример
dev1 A 1.2.3.4
dev1-serviceA CNAME dev1
dev1-serviceB CNMAE dev1
...
dev2 A 1.2.3.4
dev2-serviceA CNAME dev2
dev2-serviceB CNMAE dev2
...
Таких dev<N> у нас было порядка 100-150 в разные моменты времени. Всё это осложнялось еще тем фактом, что периодически эти записи приходилось изменять/добавлять/удалять. Например, часть DEV-стендов нужно завернуть на другой IP, или каждому DEV-стенду нужен еще какой-нибудь отдельный CNAME и т.п.
Всем этим добром управляли либо вручную (поправить/добавить единичные записи), либо обвязкой скриптов с кучей параметров, багов и танцами с бубном большими мануалами.
И вот в какой-то из вечеров мне пришла в голову мысль "хм, а ведь эти записи очень легко запрограммировать, их можно генерировать каким-нибудь несложным алгоритмом...", "...для виртуалок в облаке у нас есть Terraform, для управления конфигурацией есть Ansible/Puppet/..., может и для DNS что-то есть?".
Через несколько секунд я уже вбиваю в строку поиска гугла фразу "DNS as Code" и начинаю искать инструменты, способные воплотить мои фантазии в реальность. Спустя 5-10 минут я натыкаюсь на инструменты Dnscontrol и Octodns. Хм, прикольные штуки, начинаю читать их возможности и принцип работы...
Давайте подробнее их рассмотрим.
octodns
OctoDNS – это инструмент, основанный на подходе «инфраструктура как код», который позволяет развертывать и управлять DNS-зонами. Для этого он использует стандартные принципы разработки программного обеспечения, в том числе контроль версий, тестирование и автоматическое развертывание. OctoDNS был создан GitHub и написан на Python.
Источник: DigitalOcean
Ок, ну с этим всё понятно. Что там с кодом? Руки то чешутся :) На каком языке писать? Что запускать? Читаем дальше:
Использование OctoDNS помогает избавиться от многих сложностей ручного управления DNS, поскольку файлы зон хранятся в структурированном формате (YAML).
Ах, ну да мы же теперь не сисадмины, а YAML-девелоперы девопсы. А в этом деле никуда без знаний великого и могучего YAML.
Ок, смотрим дальше, что там по возможностям:
Есть разработанные провайдеры для многих популярных облачных систем и регистраторов (NIC.RU, конечно, нету)
Можно синхронизировать DNS-записи между несколькими провайдерами
Есть возможность встраивать в CI/CD
Примерно таким образом можно описывать наши DNS-записи в формате YAML:
~/octodns/config/config.yaml
---
providers:
config:
class: octodns.provider.yaml.YamlProvider
directory: ./config
default_ttl: 300
enforce_order: True
digitalocean:
class: octodns.provider.digitalocean.DigitalOceanProvider
token: your-digitalocean-oauth-token
zones:
your-domain.:
sources:
- config
targets:
- digitalocean
~/octodns/config/your-domain.yaml
---
'':
- type: A
value: 1.2.3.4
www:
type: A
value: 5.6.7.8
Беглым чтением я оценил возможности этого инструмента. Вот чего мне в нем не хватило:
Нет возможности создавать циклы и другие алгоритмические конструкции, которые могут упростить создание однотипных записей
Нет возможности экспортировать зону в формате Bind
Оба этих минуса обесценивают возможность использования этого инструмента в моем кейсе. Идем дальше...
Dnscontrol
DNSControl — это инструмент, построенный по принципу «инфраструктура как код», который поддерживает развертывание и управление зонами DNS с использованием стандартных принципов разработки программного обеспечения, включая контроль версий, тестирование и автоматизированное развертывание. Инструмент DNSControl разработан Stack Exchange и написан на Go.
Источник: DigitalOcean
Где-то мы уже это читали, не правда ли? Пока отличия только в последнем предложении (написан на Go и разработан компанией Stack Exchange). Хм, ну да ладно, смотрим, как писать код:
DNSControl uses javascript as its primary input language to provide power and flexibility to configure your domains. The ultimate purpose of the javascript is to construct a DNSConfig object that will be passed to the go backend and operated on.
Источник: StackExchange
Чего? В "гошечку" встроен JavaScript? Серьезно? Ладно, смотрим дальше, как этим пользоваться.
Вот так выглядит основной файл конфигурации Dnscontrol:
dnscontrol.js
// define dummy-registar and Bind-provider
REG_NONE = NewRegistrar('none', 'NONE');
DNS_BIND = NewDnsProvider('bind', 'BIND', {
// default SOA-records for all domains
'default_soa': {
'master': 'ns3-l2.nic.ru.',
'mbox': 'dns.nic.ru.',
'refresh': 9999,
'retry': 9999,
'expire': 9999000,
'minttl': 999,
},
// default NS-records for all domains
'default_ns': [
'ns8-cloud.nic.ru.',
'ns3-l2.nic.ru.',
'ns4-l2.nic.ru.',
'ns8-l2.nic.ru.',
'ns4-cloud.nic.ru.'
]
});
А вот так выглядит файл с описанием записей вашей зоны:
my-zone.ru.js
function myzone_ru(REG, PROVIDER){
return D('pcbltools.ru', REG, DnsProvider(PROVIDER),
DefaultTTL('5m')
,A('@', '1.2.3.4')
,MX('@', 10, 'mx.yandex.net.', TTL('6h'))
,MX('@', 20, 'mx.yandex.ru.', TTL('6h'))
,A('www', '1.2.3.4')
,CNAME('portal', 'www')
,AAAA('configurator', '2a00:56:2:2:1:1:0:64f')
)
}
На первый взгляд кажется ужасно, даже YAML выглядит симпатичнее. Казалось бы, зачем встраивать движок JavaScript, чтоб потом писать такой вот простенький код. Идем снова в документацию, видим такую надпись:
Advanced Topics:
Code Tricks: Safely use macros and loops.
Проваливаемся по ссылке и видим пример, в котором используются переменные и циклы. Но есть такое предупреждение:
The dnsconfig.js language is JavaScript. On the plus side, this means you can use loops and variables and anything else you want...
Sure, you can do a lot of neat tricks with
if/then
s and macros and loops. Yes, YOU understand the code. However, think about your coworkers who will be the next person to edit the file. Are you setting them up for failure?
То есть мы в коде можем использовать любые (почти) конструкции языка JavaScript. Но разработчики предупреждают нас, что не нужно фанатизма. Не забывайте, что мы не программисты, а все лишь сисадмины (ну или модные девопсы). Задумайтесь о своих коллегах, которые потом будут пытаться в этом разобраться.
Но мы не боимся и пробуем создать что-то более сложное:
my-zone.ru.js
function generate_DEV_records (REG, PROVIDER){
DEV_CNAME_RECORDS = [
'serviceA'
,'serviceB'
]
dev_stand_count = 5
dev_public_ip = '1.2.3.4'
RECORDS = []
for (var i = 1; i <= dev_stand_count; i++){
RECORDS.push(
A('dev' + i, dev_public_ip)
)
for (var j = 0; j < DEV_CNAME_RECORDS.length; j++){
RECORDS.push(
CNAME('dev' + i + '-' + DEV_CNAME_RECORDS[j], 'dev' + i)
)
}
}
return D('myzone.ru', REG, DnsProvider(PROVIDER),
RECORDS)
}
Я использую провайдера Bind, который просто генерирует файлы зон в формате Bind. С этими зонами потом я могу делать всё что угодно.
Для применения конфига выполняем команду dnscontrol push:
Вывод
? dnscontrol push
******************** Domain: myzone.ru
----- Getting nameservers from: bind
----- DNS Provider: bind...File does not yet exist: "zones/myzone.ru"
1 correction
#1: GENERATE_ZONEFILE: 'myzone.ru' (new file with 21 records)
WRITING ZONEFILE: zones/myzone.ru
SUCCESS!
----- Registrar: none...0 corrections
Done. 1 corrections.
В результате в каталоге zones появляются файлы зоны в формате Bind:
myzone.ru
$TTL 300
; generated with dnscontrol 2021-03-24T23:15:09+03:00
@ IN SOA ns3-l2.nic.ru. dns.nic.ru. 2021032400 1440 3600 2592000 600
IN NS ns3-l2.nic.ru.
IN NS ns4-cloud.nic.ru.
IN NS ns4-l2.nic.ru.
IN NS ns8-cloud.nic.ru.
IN NS ns8-l2.nic.ru.
dev1 IN A 1.2.3.4
dev1-servicea IN CNAME dev1.myzone.ru.
dev1-serviceb IN CNAME dev1.myzone.ru.
dev2 IN A 1.2.3.4
dev2-servicea IN CNAME dev2.myzone.ru.
dev2-serviceb IN CNAME dev2.myzone.ru.
dev3 IN A 1.2.3.4
dev3-servicea IN CNAME dev3.myzone.ru.
dev3-serviceb IN CNAME dev3.myzone.ru.
dev4 IN A 1.2.3.4
dev4-servicea IN CNAME dev4.myzone.ru.
dev4-serviceb IN CNAME dev4.myzone.ru.
dev5 IN A 1.2.3.4
dev5-servicea IN CNAME dev5.myzone.ru.
dev5-serviceb IN CNAME dev5.myzone.ru.
После внесения изменений в исходные файлы наших зон, можно выполнить команду dnscontrol preview, которая покажет планируемые изменения. Для применения изменений снова выполняем команду dnscontrol push
Неплохо, да?
Забиваем на все предостережения и начинаем писать более сложный код. Через пару часов экспериментов я уже получаю разветвленную структуру проекта с множеством JS-файлов и даже собственными функциями, которые я использую в коде:
Скриншот
Остановимся на этом инструменте и попробуем выстроить полный процесс DNS as Code.
Построение CI
Итак, мы вроде определились с инструментом, теперь давайте строить CI. Принципы Infrastructure as Code требуют от нас применять практики, используемые при разработке ПО. А именно:
Использование системы контроля версий
Код ревью
CI/CD
Тестирование
Да, требований много, попробуем всё это собрать в единый пайплайн.
В моем проекте мы используем Gitlab. Благодаря встроенному Container Registry и CI мы можем построить ведь необходимый нам пайплайн в одном месте, прямо в нашем репозитории проекта, это очень удобно.
Итак, для начала надо определиться с шагами, которые будут в нашем пайплайне. Я придумал следующие:
validate - валидация кода
prepare - подготовка всего необходимого, скачивание текущего состояния зон с сайта NIC.RU
plan - построение плана изменений
build - сборка новых файлов зон
test - тестирование зон на DNS-сервере
deploy - отправка проверенных зон в NIC.RU и их применение
Теперь нужно определиться с docker-образами, которые мы будем использовать на каждом из шагов пайплайна.
Я использую 2 образа:
stackexchange/dnscontrol - для всех шагов, кроме test
internetsystemsconsortium/bind9 - для шага test
Эти образы я пересобираю, т.к. мне нужно в них встроить наши корпоративные сертификаты и дополнительные утилиты (оставим это за рамками данной статьи).
После еще пары дней экспериментов с Gitlab CI я получаю примерно такой пайплайн:
.gitlab-ci.yml
image: $CI_REGISTRY_IMAGE/dnscontrol
variables:
CA_CERT_FILE: /etc/gitlab-runner/certs/ca.crt
ZONES_OUT_DIR: $CI_PROJECT_DIR/zones
NIC_API_URL: https://api.nic.ru
NIC_SERVICE: MYSERVICE
cache:
key: dns-nic-ru
paths:
- .nic_token
stages:
- validate
- prepare
- plan
- build
- test
- deploy
check:
stage: validate
script:
- dnscontrol -v check
prepare:
stage: prepare
script:
- mkdir -p $ZONES_OUT_DIR
- dnscontrol push
- ls -la $ZONES_OUT_DIR
# проверяем токен NIC.RU (при необходимости перевыпускаем)
- . ci/scripts/nic_auth.sh
# загружаем текущие файлы зон из NIC.RU
- ci/scripts/nic_download.sh
- ls -la $ZONES_OUT_DIR
artifacts:
public: false
paths: [ zones/ ]
expire_in: 5 mins
plan:
stage: plan
script:
# сохраняем полученный план изменений в артефакты
- dnscontrol preview | tee plan.txt
artifacts:
# отображаем артефакт в Merge Request, чтоб ревьюверы могли быстро посмотреть
expose_as: plan
paths: [ plan.txt ]
public: false
expire_in: 3 mos
build:
stage: build
script:
- dnscontrol -v push
artifacts:
name: zones
expose_as: zones
paths: [ zones/ ]
test:
stage: test
image: $CI_REGISTRY_IMAGE/bind9
variables:
BIND_MAIN_CONFIG: /etc/bind/named.conf
BIND_ZONES_DIR: /var/lib/bind/
BIND_TESTS_DIR: $CI_PROJECT_DIR/tests
script:
- cat ci/bind9/named.conf > $BIND_MAIN_CONFIG
- cp $ZONES_OUT_DIR/* $BIND_ZONES_DIR/
# генерируем кофиг bind на основе имеющихся зон
- ci/scripts/zones.conf.sh >> $BIND_MAIN_CONFIG
- cat $BIND_MAIN_CONFIG
# проверяем валидность конфига
- /usr/sbin/named-checkconf /etc/bind/named.conf
# запускаем bind с полученным конфигом
- /usr/sbin/named -g -c /etc/bind/named.conf -u bind &
# ждем пока поднимется bind
- while ! (ss -4tulnp | grep 53 > /dev/null); do echo "Waiting for a socket to go up"; sleep 1; done
- ps aux
# прогоняем автотесты (проверяем, что записи резолвятся как надо)
- ci/scripts/bind_test.sh
deploy:
stage: deploy
script:
# снова на всякий случай проверяем токен
- . ci/scripts/nic_auth.sh
# выгружаем зоны в NIC.RU
- ci/scripts/nic_upload.sh
dependencies:
- build
rules:
- if: '$CI_COMMIT_BRANCH == "master"'
when: manual
Отдельно, хотелось бы рассказать про шаги plan и test.
На шаге plan вывод команды перенаправляется в файл, который затем складывается в артефакты. Этот артефакт мы помечаем опцией expose_as. Опция указывает, что когда контрибьютор создаст Merge Request, ссылка на этот файл и джобу будет автоматически туда прикреплена. Это очень удобно для ревьюверов, которые кроме изменений в коде будут видеть и планируемые изменения в результирующей зоне. Выглядит это вот так:
Скриншот
Если кликнуть по кнопке plan, которая находится по надписью Job, то проваливаемся в вывод джобы и можем посмотреть план:
Скриншот
На шаге test производится проверка зон на реальном bind-сервере. Т.е. запускается контейнер с DNS-сервером Bind, создаются необходимые конфиги и скармиливаются наши зоны. Затем прогоняются тесты, которые проверяют, что необходимые записи резолвятся и возвращают правильный результат.
На некоторых шагах используются дополнительные shell-скрипты, в которые заложена нужная логика. Тут уж всё зависит от ваших необходимостей.
Результаты
Что нам удалось:
Построить процесс DNS as Code на базе инструмента dnscontrol
Обеспечить выполнение всех практик разработки с помощью Gitlab
Сократить время добавления DNS-записей
Создать единый источник правды для DNS в виде репозитория с кодом
Всем спасибо за внимание, с радостью отвечу на любые вопросы по представленному материалу.
D1abloRUS
Можно было модуль(провайдер) для terraform написать, а не тащить дополнительный туллинг
alex_spq Автор
Так всё-таки модуль или провайдер? Если речь идет о провайдере, то для его написания нужно знать Golang. К этому я пока не готов. И не думаю, что это будет проще, чем использовать вышеописанный туллинг.
Если речь идет о модуле, то с помощью модуля эту задачу не решишь, поскольку провайдера нужного всё равно нету.
D1abloRUS
Провайдер.
Не проще, но это отличный буст.