さくらVPSに CentOS7 をインストールして Ansible で環境構築した

メモ。

github.com

CentOS7 のインストールは、公式の手厚いサポートのおかげで簡単でした。

Ansible

シンプルで分かりやすくて、コードを読み返したときにすぐ使い方を思い出せるところが好き。
ツールを使わずに ssh でログインしてせっせとインストール作業をしても良かったのですが(以前はそうしていた)、今回のようにOS再インストールしようとしたとき、過去の自分がどういう設定をしていたのか苦労して思い出すハメになるので避けました。

ansible-vault

ansible-vault ツールを使って、パスワードまわりを暗号化しました。便利!
GitHub で管理するので、一応念のためポート番号なんかも暗号化するようにしました。

参考:Ansible Vaultを利用して秘密情報を暗号化する | Developers.IO

LastPass

ansible-vault やユーザーのパスワードなどなどまとめて管理してます。
仕事で使ってる以外に LastPass を選んだ理由はないです。
プライベートではあまりまともに使ってなかったのですがやっぱり便利。

Vagrant

テスト実行は、おなじみの Vagrant で CentOS7 を立ち上げて行いました。
vagrant.hosts と honban.hosts を作って宛先毎にユーザーを変えたり、GitHubにアップする手前なんとなく IP 直書きは避けたかったので、適当なドメイン(今回は sakura.vps にした)を /etc/hosts に書いたりして、よしなにしてます。
/etc/hosts に書く戦略はわりとうまくいって良かったです。

ssh

sshd やファイヤウォールの設定変更後にサービスを再起動したところ、vagrant では問題なく動作するものの、本番では ssh 再接続ができずにエラーで終了し、ツライ思いをしました。
いくつか方法を試してみたけど結局、handler を使って sshd と firewalld をまとめて再起動してあげるのが良さそうでした。

紆余曲折ある中で、handler は変更があった場合にタスクが完了した後まとめて実行されることを知ったり、firewall-cmd は firewalld 起動中しか動かなくて、停止中は firewall-offline-cmd を使うことを知ったりしました。

firewalld に関しては同じような思いをした人がそれらしき issue を上げているようす。
firewalld fails, if firewall is not started · Issue #1112 · ansible/ansible-modules-extras · GitHub

おわり

すこし苦労したけど冪等性を得た。