Myceliandre
/
myc-manage
3
2
Fork 1
Code Issues 1 Pull Requests 2 Releases Wiki Activity
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
17 Commits
3 Branches
0 Tags
2.6 MiB
Tree: 6d48d7f47d
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from '6d48d7f47d'
${ noResults }
myc-manage/README.org

618 lines
15 KiB
Raw Normal View History

new: added doc Signed-off-by: Valentin Lab <valentin.lab@kalysto.org>
5 years ago
  1. #+SETUPFILE: /home/vaab/dev/el/org-html-themes/setup/theme-readtheorg.setup
  2. #+PROPERTY: Effort_ALL 0 0:30 1:00 2:00 0.5d 1d 1.5d 2d 3d 4d 5d
  3. #+PROPERTY: Max_effort_ALL 0 0:30 1:00 2:00 0.5d 1d 1.5d 2d 3d 4d 5d
  4. #+PROPERTY: header-args:python :var filename=(buffer-file-name)
  5. #+PROPERTY: header-args:sh :var filename=(buffer-file-name)
  6. #+TODO: TODO WIP BLOCKED POSTPONED | DONE CANCELED
  7. #+LATEX_HEADER: \usepackage[margin=0.5in]{geometry}
  8. #+LaTeX_CLASS: article
  9. #+OPTIONS: H:8 ^:nil prop:("Effort" "Max_effort") tags:not-in-toc
  10. #+COLUMNS: %50ITEM %Effort(Min Effort) %Max_effort(Max Effort)
  12. #+begin_LaTeX
  13. \hypersetup{
  14. linkcolor=blue,
  15. pdfborder={0 0 0 0}
  16. }
  17. #+end_LaTeX
  19. #+TITLE: Architecture 0k.io
  21. #+LATEX: \pagebreak
  23. * Process de déploiement
  25. Description du process de déploiement pour une nouvelle installation
  27. ** Base myc
  29. *** Qu'est ce c'est ?
  31. A partir d'une debian 9, on peut installer la machine pour être prête
  32. à utiliser un déploiement myc.
  34. Une fois executé, la machine aura toute les deps pour lancer une
  35. commande compose qui fera peut-être appel à des registry de
  36. mycéliandre. Un compose de base est aussi proposé.
  38. *** Déploiement
  40. **** Hôte linux base debian 9
  42. #+BEGIN_SRC sh
  43. wget http://docker.0k.io/get/myc -qO - | bash
  44. #+END_SRC
  46. If you want to setup odoo admin password and domain in one go:
  48. #+BEGIN_SRC sh
  49. export DOMAIN=myhost.com
  50. wget http://docker.0k.io/get/myc -qO - | bash
  51. #+END_SRC
  53. **** Hôte macosx
  55. - install bash, docker
  56. - Uncheck "Securely store docker logins in macOS keychain"
  58. *** Ce que cela fait
  59. **** Mettre la machine en état charm-ready
  61. - installation du strict minimu pour lancer les =charms=
  63. - téléchargement de la dernière version des =0k-charms= (collection
  64. de recettes d'installation et de gestion de docker)
  66. **** Mettre la machine en état compose ready (notre docker qui va bien)
  68. via le lancement du charm =docker-host= qui installe:
  70. - docker, docker-compose, compose avec des versions qui vont bien
  71. - paquets maisons (kal-scripts, 0k-manage, 0k-pgm, lxc-scripts, 0k-docker)
  72. - accès pour le repository deb de kalysto.org
  73. - clé SSH pour repos git.kal.fr
  74. - login sur le docker registry docker.0k.io
  76. **** Commandes spécifique à myc
  78. - login sur le registry myc
  79. - téléchargement du compose de base dans =/opt/apps/myc-deploy=
  82. ** Modification du compose
  84. *** Qu'est-ce que c'est ?
  86. Il y a des update client à faire souvent sur le compose. Cette étape
  87. doit être externalisée au plus possible, sont consigné ici ce qu'il
  88. faut encore faire à la main.
  90. *** Commande
  92. **** Création de clé OVH pour letsencrypt/lexicon
  94. Ceci n'est nécessaire qu'en cas d'utilisation de la méthode DNS
  95. pour valider la possession du domaine auprès de letsencrypt.
  97. #+BEGIN_SRC shell
  98. APPLICATION_KEY=XXXXXXXXXXXXXXXXX
  99. REDIR_WEBSITE=https://0k.io
  101. req=$(cat <<EOF
  102. {
  103. "accessRules": [
  104. {
  105. "method": "GET",
  106. "path": "/*"
  107. },
  108. {
  109. "method": "POST",
  110. "path": "/*"
  111. },
  112. {
  113. "method": "PUT",
  114. "path": "/*"
  115. },
  116. {
  117. "method": "DELETE",
  118. "path": "/*"
  119. }
  120. ],
  121. "redirection":"$REDIR_WEBSITE"
  122. }
  123. EOF
  124. )
  125. res=$(curl -X POST \
  126. -H "X-Ovh-Application: ${APPLICATION_KEY}" \
  127. -H "Content-type: application/json" \
  128. https://eu.api.ovh.com/1.0/auth/credential \
  129. -d "$req")
  130. consumer_key=$(echo "$res" | jq -r .consumerKey)
  131. validation_url=$(echo "$res" | jq -r .validationUrl)
  132. echo "Visit: $validation_url"
  133. echo "ConsumerKey: $consumer_key"
  134. #+END_SRC
  136. Il s'agit alors de remplir le compose.yml
  138. #+BEGIN_SRC yaml
  139. ovh:
  140. ## see: https://api.ovh.com/g934.first_step_with_api
  141. entrypoint: ovh-eu
  142. application:
  143. key: XXXXXXXXXXXXXXXX
  144. secret: YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
  145. consumer_key: ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  146. #+END_SRC
  148. Puis de valider que tout est ok:
  150. #+BEGIN_SRC shell
  151. check-compose-ovh-credentials compose.yml
  152. #+END_SRC
  155. ** Lancement/Deploy de service odoo
  157. *** Qu'est ce que c'est ?
  159. A partir d'une base myc, cette commande permet d'envoyer la
  160. construction et l'assemblage de tous les services décrit dans le
  161. =compose.yml= fourni par défaut.
  163. *** commandes
  165. #+BEGIN_SRC sh
  166. cd /opt/apps/myc-deploy
  167. compose --debug up odoo frontend
  168. #+END_SRC
  170. De manière générale:
  172. #+BEGIN_SRC sh
  173. compose [--debug] up [SERVICES...]
  174. #+END_SRC
  176. *** Ce que ça fait
  178. Les charms vont s'occuper de séparer la config des
  179. donnée, de tout stocker dans =/srv/datastore=, il vont
  180. s'occuper de la petite maintenance:
  182. - le charm postgres (qui est une dépendance du service odoo) va créer
  183. un mot de passe et le filer à odoo
  184. - le charm apache (qui implémente le service frontend)
  185. va créer les fichiers de conf apache pour déclarer un virtualhost
  186. et mettre les clés SSL s'il y a lieu.
  189. * Gestion
  191. Description des process de gestion d'une installation existante.
  193. ** Mise à jour de l'ensemble
  195. Pour mettre à jour un VPS:
  197. #+BEGIN_SRC sh
  198. myc-update
  199. #+END_SRC
  201. Cette commande va ré-appliquer l'installation du charm =docker-host=
  202. qui installe ou met à jour chaque composant.
  204. ** Gestion des dockers
  205. *** Relancement
  207. si on veut relancer parce que le compose a changé :
  209. on fait pareil qu'au lancement : lors du "up", docker-compose se
  210. rend compte que la définition des services a changé et relance les
  211. docker voulu.
  213. *** Arrêt
  215. #+BEGIN_SRC sh
  216. compose --debug down
  217. #+END_SRC
  219. *** Voir les logs
  221. #+BEGIN_SRC sh
  222. cd /opt/apps/myc-deploy
  223. compose --debug logs odoo
  224. #+END_SRC
  226. *** Obtenir les IPs des dockers
  228. #+BEGIN_SRC sh
  229. docker-ip
  230. #+END_SRC
  232. ** Par services
  234. *** odoo
  235. **** Backups
  236. ***** Backuping odoo account (filestore and database)
  238. #+BEGIN_SRC sh
  239. compose save odoo DBNAME OUTPUT_FILE
  240. #+END_SRC
  242. ***** Restoring odoo account (filestore and database)
  244. #+BEGIN_SRC sh
  245. compose load odoo SOURCE_FILE DBNAME
  246. #+END_SRC
  248. ***** charger un dump SQL dans odoo
  250. Supporte *.dump ou sql (non compressé), *.gz ou *.bz2:
  252. #+BEGIN_SRC sh
  253. compose load-db odoo MONFICHIER.dump.bz2
  254. #+END_SRC
  256. ***** sauvegarder dump db de odoo
  258. Pour l'instant on passe par pgm
  260. #+BEGIN_SRC sh
  261. compose save-db odoo MONFICHIER.dump.bz2
  262. #+END_SRC
  264. **** Update de modules
  266. #+BEGIN_SRC sh
  267. compose update odoo MABASE [MODULE [MODULE ...]]
  268. #+END_SRC
  271. **** lancement d'une commande odoo
  273. Si l'ensemble n'est pas up:
  275. #+BEGIN_SRC sh
  276. compose --debug run odoo --help
  277. #+END_SRC
  280. **** Mod dev d'odoo
  282. Il est souhaitable de lancer odoo en mode dev avec un terminal prêt à
  283. accueillir un pdb par exemple, et pouvoir changer facilement la ligne de commande.
  285. On peut tout a fait lancer odoo directement, par exempe:
  287. #+BEGIN_SRC sh
  288. compose run --rm --use-aliases odoo --dev=wdb --config=/opt/odoo/auto/odoo.conf
  289. #+END_SRC
  291. On récupère ainsi tous les volumes et autres options (sauf ce qui est
  292. dans =command:=) défini dans =compose.yml=.
  294. Un problème cependant: si on utilise apache comme frontend, celui-ci
  295. ne pourra pas résoudre le nom =odoo= à cause de problèmes autour de
  296. =docker-compose= et/ou =docker network=. En effet, si on fait un =up=
  297. comme d'habitude, et qu'on souhaite simplement arrêter le service
  298. classique pour ensuite le remplacer par la commande au dessus, cela ne
  299. fonctionnera pas. En effet, l'alias réseau =odoo= n'est plus adjoignable
  300. (même avec les commandes =docker network {dis,}connect=), et même si
  301. le container original de odoo est détruit ou éjecté du réseau, ou que l'on
  302. essaye de connecter soi-même le nouveau container.
  304. Un moyen (bancal) de passer outre cependant:
  305. - =down= pour fermer le réseau
  306. - =create= sur le service apache, puis =restart=.
  307. - enfin, le =run= tel que décrit au dessus
  309. Soit:
  311. #+BEGIN_SRC sh
  312. compose down &&
  313. compose create apache &&
  314. compose restart apache &&
  315. compose run --rm --use-aliases odoo --dev=wdb --config=/opt/odoo/auto/odoo.conf
  316. #+END_SRC
  318. Le container odoo crée par la dernière ligne se retirera proprement des tables DNS
  319. interne, et donc peut tout a fait être relancée autant de fois que l'on souhaitera.
  321. *** letsencrypt
  323. Le service letsencrypt fourni des certificat SSL à la demande et les
  324. renouvelle automatiquement.
  326. **** configuration dans compose
  327. ***** Authentification HTTP
  329. Il n'y a besoin d'aucune option dans le service =letsencrypt=.
  331. Le charm =apache= doit trouver un service utilisant le charm =letsencrypt=, cette
  332. connection se fera automatiquement si un servce de type =letsencrypt= est lancé soit
  333. parce que directement mentionné dans la racine ou dans une relation explicite.
  335. La relation construite automatiquement (ou manuellement) d'un service
  336. =apache= vers un service =letsencrypt= s'appelle =cert-provider=.
  338. Une fois que ce service est relié à apache, on peut s'en servir comme clé dans
  339. la configuration =ssl= des relations =*-->web-proxy-->apache=.
  341. Par défaut, =apache= utilisera du ssl pour tout se virtual-host s'il trouve un
  342. =cert-provider= à disposition.
  344. Aussi la configuration suivante est suffisante pour avoir un site publié en SSL:
  345. #+BEGIN_SRC yaml
  347. www.mydomain.org:
  348. charm: odoo
  350. apache:
  352. letsencrypt:
  354. #+END_SRC
  357. Cela équivaut à :
  360. #+BEGIN_SRC yaml
  362. www.mydomain.org:
  363. charm: odoo
  364. relations:
  365. web-proxy:
  366. myapache:
  367. domain: www.mydomain.org
  368. ssl:
  369. myletsencrypt:
  370. challenge-type: http
  372. myapache:
  373. charm: apache
  375. myletsencrypt:
  376. charm: letsencrypt
  378. #+END_SRC
  382. ***** Authentification DNS
  383. ****** créer un nouveau jeu de clé OVH pour l'authentification DNS
  385. When =letsencrypt= is setup and running::
  387. #+BEGIN_SRC sh
  388. compose --debug add letsencrypt DOMAIN [DOMAIN...]
  389. #+END_SRC
  391. Exemple de setup (dans =compose.yml=):
  393. #+BEGIN_SRC yaml
  394. letsencrypt:
  395. options:
  396. email: admin@0k.io
  397. ovh:
  398. entrypoint: ovh-eu
  399. application:
  400. key: ZZZ
  401. secret: XXX
  402. consumer_key: YYYYY
  403. #+END_SRC
  405. Le résultat est dans =/srv/datastore/data/letsencrypt/etc/letsencrypt/live/DOMAIN1=
  406. Il apparaît entre 30sec et 1 minute après la demande.
  408. ****** Vérifier que le jeu de clé ovh est bon
  410. Cette commande prend le compose yml et va vérifier que les accès sont valides:
  412. #+BEGIN_SRC shell
  413. check-compose-ovh-credentials compose.yml
  414. #+END_SRC
  416. **** Utilisation manuelle
  418. On peut utiliser le service =letsencrypt= manuellement
  420. ***** creation d'un certificat http
  422. #+BEGIN_SRC shell
  423. compose crt letsencrypt create DOMAIN [DOMAIN...]
  424. #+END_SRC
  426. Cette action crée un certificat (et force le renouvellement si existant).
  428. On peut y injecter une configuration via =--add-compose-content= si nécessaire::
  430. #+BEGIN_SRC shell
  431. compose --add-compose-content='
  432. letsencrypt:
  433. ovh:
  434. ## see: https://api.ovh.com/g934.first_step_with_api
  435. entrypoint: ovh-eu
  436. application:
  437. key: XXX
  438. secret: YYY
  439. consumer_key: ZZZ
  440. challenge-type: dns
  441. #renew-before-expiry: 30' crt letsencrypt create DOMAIN [DOMAIN...]
  442. #+END_SRC
  444. ***** Renew de tous les certificats
  446. Cela renew uniquement les certificats dont la date de validité est inférieure à 30j
  448. #+BEGIN_SRC shell
  449. compose crt letsencrypt renew
  450. #+END_SRC
  453. ***** Liste des certificats gérés et infos connexes
  455. #+BEGIN_SRC shell
  456. compose run letsencrypt crt list
  457. #+END_SRC
  459. ***** suppression d'un certificat
  461. #+BEGIN_SRC shell
  462. compose run letsencrypt certbot delete --cert-name DOMAIN
  463. #+END_SRC
  465. *** apache
  467. **** Utiliser letsencrypt
  469. Pour ajouter la fonctionalité de génération automatique de certificat
  470. via le service =letsencrypt=, il faut:
  471. - déclarer un service =letsencrypt= si cela n'est pas déjà fait
  472. - le lier au charm apache via une relation =cert-provider=:
  474. #+BEGIN_SRC yaml
  475. frontend:
  476. charm: apache
  477. relations:
  478. cert-provider: letsencrypt
  480. letsencrypt:
  481. ...
  482. #+END_SRC
  484. Et l'on peut alors utiliser la valeur =letsencrypt= (le nom du service qui implémente
  485. qui est en relation =cert-provider= avec apache) dans le champ =ssl=::
  487. #+BEGIN_SRC yaml
  488. web-proxy:
  489. apache:
  490. ...
  491. ssl: letsencrypt
  492. #+END_SRC
  494. **** Changer les clés SSL
  496. Voici un exemple de ce qu'on peut mettre dans les options de la relation apache
  497. pour déclarer le certificat que l'on souhaite:
  499. #+BEGIN_SRC yaml
  501. ssl:
  502. ca-cert:
  503. -----BEGIN CERTIFICATE-----
  504. MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
  505. iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
  506. ...
  507. m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
  508. BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
  509. -----END CERTIFICATE-----
  510. -----BEGIN CERTIFICATE-----
  511. MIIFdzCCBF+gAwIBAgIQE+oocFv07O0MNmMJgGFDNjANBgkqhkiG9w0BAQwFADBv
  512. MQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFk
  513. ...
  514. Le9Gclc1Bb+7RrtubTeZtv8jkpHGbkD4jylW6l/VXxRTrPBPYer3IsynVgviuDQf
  515. Jtl7GQVoP7o81DgGotPmjw7jtHFtQELFhLRAlSv0ZaBIefYdgWOWnU914Ph85I6p
  516. 0fKtirOMxyHNwu8=
  517. -----END CERTIFICATE-----
  518. cert: |
  519. -----BEGIN CERTIFICATE-----
  520. MIIF/TCCBOWgAwIBAgIRALUydpTpCApfYMuJchDJv5AwDQYJKoZIhvcNAQELBQAw
  521. XzELMAkGA1UEBhMCRlIxDjAMBgNVBAgTBVBhcmlzMQ4wDAYDVQQHEwVQYXJpczEO
  522. ...
  523. lIxY9HJanHrWvjiz7+eToxXpZJtAPXTx5hxzcJrtWROlq7IJCMIhzr/EVA37jTCk
  524. Xs5S6mr0T6Dqx6MQkPATSsEEJlLH5wq3DxXQcrMqnM/WHMRYUCkoTl37sXplflHe
  525. jw==
  526. -----END CERTIFICATE-----
  527. key: |
  528. -----BEGIN PRIVATE KEY-----
  529. MIIJRQIBADANBgkqhkiG9w0BAQEFAASCCS8wggkrAgEAAoICAQDONqqTCS4CiSi/
  530. XeNpp2nUsq1299spGc7mlRs+PDrXNHscB5lUB5/yo2yEetYXrJacQ8n4NV9hkID5
  531. ...
  532. 44eHDYsofcnRbidGR+QT8PQgiiDNCkbpi2u4QnLTs0w4oW+53ZTyHYEYF2rcLbIb
  533. vRt4kR4KG6ULXrmsRA4WQjBDJ9vZw2aK+w==
  534. -----END PRIVATE KEY-----
  536. #+END_SRC
  538. **** Ajouter des rêgles particulière de apache
  541. #+BEGIN_SRC yaml
  542. relations:
  543. web-proxy:
  544. apache:
  545. ...
  546. apache-custom-rules: |
  547. RewriteEngine On
  548. RewriteCond %{HTTPS} off
  549. RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=302,L,QSA]
  551. #+END_SRC
  553. *** postgres
  555. **** utilisation de pgm
  557. récupérer l'IP du docker postgres via =docker-ip=
  559. #+BEGIN_SRC sh
  560. PGHOST=172.19.0.2 PGUSER=postgres pgm ls
  561. #+END_SRC
  564. ***** Vérification des derniers logs de renouvellement automatique
  566. #+BEGIN_SRC shell
  567. tail -f /srv/datastore/data/cron/var/log/cron/letsencrypt-renew_script.log -n 200
  568. #+END_SRC
  570. * Interventions avancées
  572. Description des process avancés d'intervention sur une installation existante.
  574. ** Modification du compose
  576. Y a un exemple en commentaire dans le =/opt/apps/myc-deploy/compose.yml=
  578. Petit exemple:
  580. #+BEGIN_SRC yaml
  581. odoo:
  582. ...
  584. docker-compose:
  585. ## Important to keep as a list: otherwise it'll overwrite charm's arguments.
  586. command:
  587. - "--log-level=debug"
  588. environment:
  589. TOTO: TUTU
  590. image: masuperimage
  592. #+END_SRC
  594. ** Troubleshooting
  596. S'il semble qu'il y ait un soucis, tu peux visualiser le =docker-compose.yml= qui est
  597. généré à la fin via l'ajout de =--debug= AVANT la commande:
  599. #+BEGIN_EXAMPLE
  600. compose --debug up odoo frontend
  601. #+END_EXAMPLE
  604. * Comment ça marche
  606. La surcouche =compose= est là pour créer un =docker-compose.yml= et le
  607. lancer tout a fait normalement. Le long du chemin, il peut aussi
  608. préparer des trucs utiles si c'est nécessaire.
  610. Il part du =compose.yml= et accède aux définitions en yaml des charms à déployer
  611. et qui sont dans /srv/charms ... (qui en fait sont dans =/opt/apps/0k-charms=).
  613. Chaque charm possède une définition générale (le =metadata.yml=) qui peut aussi
  614. injecter des trucs dans le =docker-compose.yml= final.
  616. Et puis il y a des =hooks=, qui sont juste des scripts bash qui sont
  617. lancés avec des infos dans des variables d'environment, qui vont généralement
  618. créer des trucs à l'init ou lors de liaison avec d'autres charms.