「DevOps系列]为什么我们使用Terraform 而不使用Puppet, Ansible

本篇文章是深入理解Terraform系列的第一部分。在介绍文章中，我们讨论了为什么每家互联网软件公司都应该使用基础设施即代码（IAC）。那么本篇，我们打算讨论下为什么我们选择Terraform 作为我们的IAC 工具。

如果你在网上搜索“instrastructure-as-code”，很容易看到很多受欢迎的工具：

筛选出它们中你应该使用哪个不是很容易。所有这些上述工具都可以用于基础设施即代码。它们都是开源的，背靠庞大的贡献者社区，可以很好配合各种不同的云服务商。它们都提供商业支持，提供良好的文档——在官方文档和社区资源方面（比如博客文章和StackOverflow问答）。

本篇文章，我们会分成几个特定原因来解释为什么我们会选择Terraform作为IAC工具。与所有技术决策一样，这是一个权衡和优先级的问题，虽然您的特定优先级可能与我们的不同，但我们希望分享我们的思维过程将帮助您做出自己的决定。以下是我们考虑的主要权衡因素：

Chef, Puppet, Ansible, and SaltStack 都是配置管理工具，这意味着它们设计初衷都是在现有的服务器上安装和管理软件。CloudFormation 和 Terraform 是配置（provisioning）工具，这意味这它们的设计初衷是配置服务器本身的（以及基础设施的其他部分，比如负载均衡器，数据库，网络配置等），将配置这些服务器的工作留给其他工具。这两类工具互相不排斥的。因为大多数配置管理工具可以在某种程度上多一些配置工作而大多数配置工具也可以在某种程度上做配置管理的工作。但是聚焦于配置管理或者配置意味着，这些工具对于特定类型的任务会更加合适。

想Chef,Puppt,Ansible 这样的配置管理工具默认针对一种可变的基础设施范例。比如，如果你告诉Chef 安装一个新版本的OpenSSL,它就会在你现有的服务器上运行软件更新并且就地生效。随着时间推移，你会更新的更多，每台服务器都会构建一个唯一的修改 历史 。这通常会导致称为配置漂移或者误差的现象，其中每个服务器与所有其他服务器略有不同，导致难以诊断且几乎不可能再现的细微配置错误。

如果你正在使用像Terraform这样的配置工具来部署由Docker 或者 Packer创建的镜像，那么每次"修改"事实上都是一次新服务器的部署（就像是函数式编程中每次变量的修改事实上会返回新的变量）。比如，当我们部署一个新版本的OpenSSL，你会用装有新版本OpenSSL的Packer或者Docker来创建镜像，然后在整组新服务器中部署那个镜像，同时卸载老的镜像。这种方法减少了配置偏差问题的可能性，使得了解服务器上运行了哪些软件变得更加容易，同时可以让你任何时候都可以轻松部署任何版本的软件。当然，也可以强制配置管理工具来做不可变部署。但是对这些工具来说，这不是惯用的方式。不管怎样，使用配置工具都是一种更加自然的方式。

Chef和Ansible鼓励一种程序风格，您可以编写代码，逐步指定如何实现预期状态。 Terraform，CloudFormation，SaltStack和Puppet都鼓励更具说明性的风格，您可以编写指定所需最终状态的代码，IAC工具本身负责确定如何实现该状态。

例如，假设您要部署10台服务器（AWS术语中的“EC2 Instances”）来运行应用程序的v1版本。以下是使用过程方法执行此 *** 作的Ansible模板的简化示例：

表面上看，这两种方法可能看起来相似，当您最初使用Ansible或Terraform执行它们时，它们将产生类似的结果。有趣的是，当您想要进行更改时会发生什么。

例如，假设流量增加，并且您希望将服务器数量增加到15。使用Ansible，您之前编写的过程代码就没法使用了;如果您刚刚将服务器数量更新为15并重新启动该代码，那么它将部署15台新服务器，总共25台服务器！因此，您必须了解已部署的内容并编写一个全新的过程脚本来添加5台新服务器：

如果你执行了这个模板，Terraform会意识到它已经创建了10个服务器，因此它需要做的只是创建5个新服务器。实际上，在运行此模板之前，您可以使用Terraform的 plan 命令来预览它将进行的更改：

显然，上述例子是简化的。 Ansible允许您在部署新的EC2实例之前使用标签来搜索现有的EC2实例（例如，使用instance_tags和count_tag参数），但是必须根据每个资源的情况为Ansible管理的每个资源手动找出这种逻辑。 过去的 历史 ，可能会令人惊讶地复杂化（例如，不仅通过标签，还可以通过图像版本，可用区域等查找现有实例）。 这突出了程序IAC工具的两个主要问题：

默认情况下，Chef，Puppet和SaltStack都要求您运行主服务器以存储基础设施的状态并分发更新。 每次要更新基础设施中的某些内容时，都使用客户端（例如，命令行工具）向主服务器发出新命令，主服务器将更新推送到所有其他服务器或那些服务器定期从主服务器中提取最新的更新。

主服务器提供了一些优点。 首先，它是一个单一的中心位置，您可以在其中查看和管理基础设施的状态。 许多配置管理工具甚至为主服务器提供Web界面（例如，Chef Console，Puppet Enterprise Console），以便更容易查看正在发生的事情。 其次，一些主服务器可以在后台连续运行，并强制执行您的配置。 这样，如果有人在服务器上进行手动更改，主服务器可以还原该更改以防止配置偏移。

但是，必须运行主服务器有一些严重的缺点：

Chef，Puppet和SaltStack对无主模式有不同程度的支持，您只需在每个服务器上运行代理软件，通常在一定周期内（例如，每5分钟运行一次的cron作业），并使用它从版本控制（而不是从主服务器）下拉最新更新。 这显着减少了变动的次数，但是，如下一节所述，这仍然留下了许多未答复的问题，尤其是关于如何配置服务器以及首先在其上安装代理软件的问题。

Ansible，CloudFormation，Heat和Terraform默认都是无主的。 或者，更准确一些，它们中的一些可能依赖于主服务器，但它已经是您正在使用的基础设施的一部分，而不是您必须管理的额外部分。 例如，Terraform使用云提供商的API与云提供商进行通信，因此在某种意义上，API服务器是主服务器，除了它们不需要任何额外的基础设施或任何额外的认证机制（即，只使用您的API密钥）。 Ansible的工作方式是通过SSH直接连接到每个服务器，因此，您不必再运行任何额外的基础结构或管理额外的身份验证机制（即只使用SSH密钥）。

Chef，Puppet和SaltStack都要求您在要配置的每台服务器上安装代理软件（例如，Chef Client，Puppet Agent，Salt Minion）。 代理通常在每个服务器的后台运行并负责

安装最新的配置管理更新。

这有一些缺点：

再强调一次，Chef，Puppet和SaltStack都对无代理模式（例如，salt-ssh）有不同程度的支持，但是这些通常感觉它们是作为事后的想法加入的，并不总是支持完整的配置管理工具的功能集。这就是为什么Chef，Puppet和SaltStack的默认或惯用配置几乎总是包含一个代理，通常也包含一个master。

所有这些额外的动态部分都会在您的基础架构中引入大量新的故障模式。 每次凌晨3点收到错误报告时，您都必须弄清楚它是否是应用程序代码，IAC代码，配置管理客户端，主服务器或者服务器中的错误。 客户端与主服务器通信，或者其他服务器与主服务器通信的方式，或者

Ansible，CloudFormation，Heat和Terraform不要求您安装任何额外的代理。 或者，更准确一些，它们中的一些需要代理，但这些代理通常已作为您正在使用的基础结构的一部分安装。 例如，AWS，Azure，Google Cloud和所有其他云提供商负责在每台物理服务器上安装，管理和验证代理软件。 作为Terraform的用户，您不必担心任何问题：您只需发出命令然后云服务商会在所有你的服务器上为你执行它们。 使用Ansible，您的服务器需要运行SSH守护程序，不管怎么样，这都会普遍运行在大多数服务器上的。

选择任何技术时要考虑的另一个关键因素是成熟度。 下表显示了每个IAC工具的初始发布日期和当前版本号（截至2019年5月）。

同样，这不是一个同类的比较，因为不同的工具有不同的版本控制方案，但一些趋势是明确的。 到目前为止，Terraform是此比较中最年轻的IAC工具。 它仍然是处于100版本之前，因此无法保证稳定或向后兼容的API，并且错误相对常见（尽管大多数都是次要的）。 这是Terraform最大的弱点：虽然它在短时间内变得非常受欢迎，但使用这种新的尖端工具所付出的代价是它不像其他一些IAC选项那样成熟。

虽然我一直在比较整个博客文章中的IAC工具，但事实是您可能需要使用多种工具来构建您的基础设施。 您看到的每个工具都有优点和缺点，因此您需要为正确的工作选择合适的工具。

以下是我见过的三种常见组合在很多公司都很好用：

配置 + 配置管理

示例：Terraform和Ansible。 您可以使用Terraform部署所有底层基础设施，包括网络拓扑（即VPC，子网，路由表），数据存储（例如，MySQL，Redis），负载均衡器和服务器。 然后，您使用Ansible在这些服务器之上部署您的应用程序。

这是一个简单的方法，因为没有运行额外的基础设施（Terraform和Ansible都是客户端应用程序），并且有很多方法可以使Ansible和Terraform一起工作（例如，Terraform为您的服务器添加特殊标签然后Ansible使用这些标签来查找服务器并对其进行配置。 主要缺点是使用Ansible通常意味着您编写了大量程序式代码，使用可变服务器，因此随着代码库，基础架构和团队的增长，维护可能会变得更加困难。

配置 + 服务器模板

示例：Terraform和Packer。您使用Packer将应用程序打包为虚拟机镜像。然后使用Terraform部署（a）具有这些虚拟机镜像的服务器和（b）基础架构的其余部分，包括网络拓扑（即VPC，子网，路由表），数据存储（例如，MySQL，Redis），和负载均衡器。

这也是一种简单的方法，因为没有运行额外的基础设施（Terraform和Packer都是仅客户端应用程序）。此外，这是一种不可变的基础架构方法，这将使维护更容易。但是，有两个主要缺点。首先，虚拟机可能需要很长时间才能构建和部署，这会降低迭代速度。其次，您可以使用Terraform实施的部署策略是有限的（例如，您无法在Terraform中本地实施蓝绿色部署），因此您要么最终编写大量复杂的部署脚本，要么转向编排工具，如下所述。

配置 + 服务器模板 + 编排

示例：Terraform，Packer，Docker和Kubernetes。 您使用Packer创建安装了Docker和Kubernetes的虚拟机映像。 然后使用Terraform部署（a）服务器集群，每个服务器运行此虚拟机镜像，以及（b）基础架构的其余部分，包括网络拓扑（即VPC，子网，路由表），数据存储（ 例如，MySQL，Redis）和负载均衡器。 最后，当服务器集群启动时，它形成一个Kubernetes集群，用于运行和管理Dockerized应用程序。

这种方法的优点是Docker镜像构建相当快，您可以在本地计算机上运行和测试它们，并且您可以利用Kubernetes的所有内置功能，包括各种部署策略，自动修复，自动缩放， 等等。 缺点是增加了复杂性，无论是在运行额外的基础设施方面（Kubernetes集群都很难部署和运营，尽管大多数主要的云提供商现在提供托管的Kubernetes服务，可以减轻部分工作），还是学习、管理和debug额外的抽象层（Kubernetes，Docker，Packer）方面。

两种方法：
1、在服务器的u8系统管理中将帐套备份，之后修改lst文件中的帐套编号。然后在系统管理中进行帐套引入，即可产生一个新帐套，该帐套与原帐套数据一模一样。
2、在服务器中新建一个空白帐套，然后通过总账工具把源帐套中的各种基础数据复制到新帐套中。

域名服务（DNS）是一种Internet服务，可将IP地址和标准域名（FQDN）相互映射。这样，DNS减轻了记住IP地址的需要。运行DNS的计算机称为名称服务器。Ubuntu附带了BIND (Berkley Internet Naming Daemon)，BIND是用于在Linux上维护名称服务器的最常用程序。

在终端提示符下，输入以下命令安装 dns:

dnsutils 软件包是测试和解决 DNS 问题非常有用的。 这些工具通常已经安装，但是要检查或安装 dnsutils，请输入以下内容：

有许多方法可以配置BIND9。一些最常见的配置是缓存名称服务器，主服务器和辅助服务器。

DNS配置文件存储在 /etc/bind 目录中。主要配置文件是 /etc/bind/namedconf ，在软件包提供的布局中仅包括这些文件。

可以将同一服务器配置为缓存名称服务器，主要和辅助名称服务器：这都取决于它所服务的区域。服务器可以是一个区域的授权开始（SOA），同时为另一区域提供辅助服务。同时为本地LAN上的主机提供缓存服务。

默认配置充当缓存服务器。只需取消注释并编辑 /etc/bind/namedconfoptions 即可设置ISP的DNS服务器的IP地址：

要启用新配置，请重新启动DNS服务器。在终端提示下：

在本节中，将BIND9配置为域的主服务器 examplecom 。只需 examplecom 用您的FQDN（完全合格的域名）替换即可。

要将DNS区域添加到BIND9，将BIND9变成主服务器，请首先编辑 /etc/bind/namedconflocal ：

现在，使用现有的区域文件作为模板来创建 /etc/bind/dbexamplecom 文件：

编辑新的区域文件， /etc/bind/dbexamplecom 然后更改 localhost为服务器的FQDN，在末尾保留其他文件。更改 127001 为名称服务器的IP地址和 rootlocalhost 有效的电子邮件地址，但用 代替通常的 @ 符号，并再次在末尾保留。更改注释以指示此文件所针对的域。

为基本域创建 A 记录 examplecom 。此外，创建一个 A 记录的 nsexamplecom ，在这个例子中，域名服务器：

每次更改区域文件时，都必须增加序列号(Serial)。如果在重新启动BIND9之前进行了多次更改，只需增加一次串行。

现在，您可以将DNS记录添加到区域文件的底部。有关详细信息，请 参阅公共记录类型 。

对区域文件进行了更改之后，需要重新启动BIND9以使更改生效

现在已经设置了区域并将名称解析为IP地址，现在需要添加反向区域以允许DNS将地址解析为名称。

编辑 /etc/bind/namedconflocal 并添加以下内容：

现在创建 /etc/bind/db192 文件:

接下来编辑 /etc/bind/db192 ，更改与 /etc/bind/dbexamplecom 相同的选项：

每次更改时，“反向”区域中的序列号也需要增加。 对于您在 /etc/bind/dbexamplecom 中配置的每个A记录（即针对另一个地址），您需要在 /etc/bind/db192 中创建一个PTR记录。

创建反向区域文件后，重新启动BIND9

一旦配置了主服务器，强烈建议使用辅助服务器，以在主服务器不可用时维持域的可用性。

首先，在主服务器上，需要允许区域传输。将 allow-transfer 选项添加到示例正向和反向区域定义中 /etc/bind/namedconflocal ：

在主服务器上重新启动BIND9：

接下来，在辅助服务器上，以与主服务器相同的方式安装bind9软件包。然后编辑， /etc/bind/namedconflocal 并为正向和反向区域添加以下声明：

在辅助服务器上重新启动BIND9：

在其中， /var/log/syslog 您应该看到类似以下内容的内容（为了适应本文档的格式，对某些行进行了拆分）：

测试BIND9的第一步是将名称服务器的IP地址添加到主机解析器。应该配置主要名称服务器以及另一个主机，以仔细检查。有关将名称服务器地址添加到网络客户端的详细信息，请参阅DNS客户端配置。最后，您的 nameserver 一行 /etc/resolvconf 应指向， 1270053 并且您应该 search 为您的域指定一个参数。像这样：

要检查您的本地解析器正在使用哪个DNS服务器，请运行：

如果安装了dnsutils软件包，则可以使用DNS查找实用程序dig测试设置：

安装完BIND9之后，请对环回接口使用dig来确保它正在侦听端口53。从终端提示符下：

您应该在命令输出中看到类似于以下内容的行：

如果您已将BIND9配置为缓存名称服务器，则“挖掘”外部域以检查查询时间：

注意查询时间接近命令输出的末尾：

经过第二次挖掘后，应该有所改进：

现在演示应用程序如何使用DNS解析主机名，使用ping实用程序发送ICMP回显请求：

这测试名称服务器是否可以将名称解析为 nsexamplecom IP 地址。 命令输出应类似于：

测试区域文件的一种好方法是使用 named-checkzone 与bind9软件包一起安装的实用程序。使用此实用程序，可以在重新启动BIND9并使更改生效之前确保配置正确。

要测试我们的示例正向区域文件，请从命令提示符处输入以下内容：

如果一切配置正确，您应该会看到类似以下的输出：

同样，要测试反向区域文件，请输入以下内容：

输出应类似于：

BIND9有多种可用的日志记录配置选项，但是两个主要的选项是 channel 和 category ，它们分别配置日志的去向和要记录的信息。

如果未配置任何日志记录选项，则默认配置为：

让我们将BIND9配置为将与DNS查询相关的调试消息发送到单独的文件。

我们需要配置一个通道以指定要将消息发送到的文件，以及一个category。在此示例中，类别将记录所有查询。编辑 /etc/bind/namedconflocal 并添加以下内容：

由于命名守护程序以绑定用户身份运行，因此 /var/log/named 必须创建目录并更改所有权：

现在重新启动BIND9，以使更改生效：

您应该看到文件中 /var/log/named/querylog 填充了查询信息。这是BIND9日志记录选项的简单示例。

不懂下载了什么模板，如果是静态的网站模板，直接修改网站模板的内容，变成自己的内容，做成网页，上传到自己的服务器里面就是了，至于服务器怎么使用，腾讯云里面有详细的使用方法教程吧。如果不想一个个页面修改的方式做网站，那么使用开源程序安装一个网站，比如国内的很多人使用的织梦，国外的wordpress这种程序安装一个网站就是了，简单快捷。
然后如果你买的腾讯云是国内的，那么还需要备案以后才能和域名一起使用的

---