vRealize Automation и vRealize Orchestrator легко интегрируются с различными публичными облаками, это позволяет создать единую корпоративную облачную платформу. Яндекс.Облако – новый игрок на этом рынке, и он ещё не имеет готовых плагинов/пакетов для интеграции со многими сторонними облачными решениями. Поэтому нам пришлось самостоятельно разрабатывать пакет для его интеграции с vRO.
Цель разработки первой версии пакета – подготовить минимальный набор инструментов для создания и управления виртуальными машинами в Яндекс.Облаке. Мы не ставили перед собой задачи реализовать полный набор процессов, соответствующий всем возможностям облака.
С чего обычно начинают работу? С изучения документации. И тут Вас ждёт основная проблема: документации мало и она очень сырая. Многие элементарные вопросы решаются только через обращение в поддержку, которая работает довольно оперативно.
Пакет интеграции vRO – Яндекс.Облако
v1.0.3
Аутентификация в API
Для работы Вам потребуется IAM-токен, он используется в заголовках запросов при обращении к Яндекс.Облаку через API:
Authorization: Bearer <IAM-TOKEN>
Для получения IAM-токена создайте сервисный аккаунт и авторизованный ключ для него (не забудьте сохранить открытый и закрытый ключи). Далее есть два пути: создание токена через CLI или создание JWT-токена для обмена его на IAM-токен. Выбор за Вами, но в своих процессах мы используем JWT-токен и создаём его через python-скрипт (в документации есть примеры для всех основных языков программирования). Этот JWT-токен передаётся в https://iam.api.cloud.yandex.net/iam/v1/tokens, сервер вернёт в ответе сам IAM-токен и срок его действия:
{
"iamToken": "CggVAgAAAB...........AU4AVABWgA",
"expiresAt": "2019-10-17T15:00:03.587843Z"
}
Время жизни IAM-токена – 12 часов, поэтому его обновление лучше делать по расписанию, или проверять его “срок годности” перед отправкой API-запросов и получать при необходимости новый токен.
Процесс создания JWT-токена называется “Get JWT token”, а процесс получения нового IAM-токена: “Get new IAM token”. Результат выполнения запроса (токен и срок его действия) сохраняется в конфигурационном элементе “yandexCloud” (Library -> Yandex).
Основные процессы
В пакете Вы найдете только процессы для оркестратора. XaaS блюпринты для vRealize Automation нарисуете сами, или пишите, отправлю.
- “New instance” – процесс создания новой виртуальной машины. Значения folderId и serviceAccountId берутся из конфигурационного элемента, всё остальное – входные параметры.
- Аттрибут content содержит пример запроса в формате JSON для создания стандартной VM и в элементе WF “Create request” значения его полей корректируются в соответствии с выбором пользователя.
- Чтобы пользователю при создании VM не указывать конкретный образ, в поле image подгружается не список стандартных образов, а список семейств образов и в элементе “Get image ID” для него выбирается самый свежий образ.
- При создании инстанса ему присваиваются две метки: имя владельца и название бизнес-группы. Обратите внимание, что имя метки должно соответствовать регулярному выражению [a-z][-_0-9a-z], а значение [-_0-9a-z].
- “Day2 instance ops” – процесс управления развёрнутыми виртуальными машинами. Первая версия процесса позволяет использовать четыре базовые операции: stop, start, restart, delete.
- На входе процесс ожидает строку с описанием инстанса в формате: “vm_name (vm_id, vm_status)” и требуемое действие. Список инстансов в нужном формате возвращает action getInstancesByGroup, если передавать на вход имя бизнес-группы, то пользователь будет видеть только инстансы данной бизнес-группы.
Вспомогательные процессы и действия
Процессы получения информации о доступных ресурсах и сетях:
- “Get clouds” – получение списка облаков, если ответ содержит только одно облако, то его ID сохраняется в конфигурационном элементе yandexCloud;
- “Get folders” – получение списка папок в облаке по его ID. На момент написания статьи данный запрос не работал и даже рекомендации службы поддержки никак не помогли, поэтому значение folderId нужно задать вручную в конфигурационном элементе yandexCloud или при вызове процесса “Initialize” (см. ниже). Все попытки вызова этого процесса возвращают ошибку: “You are not authorized for this operation.”
- “Get networks” – получение списка сетей;
- “Get subnets” – получение списка подсетей. Если не указывать значение в subnetName, то возвращается полный список подсетей.
- Фильтрация подсетей по имени происходит добавлением в запрос фильтра в следующем формате: filter=name=’имя_подсети’.
Процессы, используемые при создании и управлении инстансами:
- “Delete instance” – удаление инстанса по его ID;
- “Get disk types” – получение списка доступных типов дисков. На текущий момент используется два типа дисков: network-ssd и network-hdd;
- “Get images” – получение списка образов дисков в каталоге. Если в качестве folderId передать значение “standard-images”, то в ответе получите массив всех стандартных образов Яндекс.Облака. Пример описания одного образа:
{
"productIds": [
"f2edt1b5di3n9fs5ugq2"
],
"os": {
"type": "LINUX"
},
"id": "fd87i96n5740k9d2g3ac",
"folderId": "standard-images",
"createdAt": "2019-02-07T10:58:54Z",
"name": "centos-7-1549536124",
"description": "Free Linux distribution based on Red Hat Enterprise Linux. Official website and documentation: https://www.centos.org",
"family": "centos-7",
"storageSize": "1052770304",
"minDiskSize": "8594128896",
"status": "READY"
} - “Get instances” – получение списка инстансов. Возможна фильтрация данного списка по установленным в инстансах меткам (см. описание “New instance”), проверяется значение метки rbru_subtenant;
Подготовка пакета к работе
После установки этого пакета нужно подготовить к работе процесс “Get JWT token”:
- создать сервисный аккаунт и авторизованный ключ;
- поместить скрипт get-yandex-jwt-token.py и закрытую часть авторизованного ключа на сервер с SSH-доступом (для работы скрипта требуются модули python PyJWT и cryptography);
- указать в данном скрипте ID сервисного аккаунта (service_account_id), ID используемого ключа (key_id) и путь до закрытого ключа;
- прописать путь до скрипта на сервере SSH в конфигурационном элементе yandexCloud в аттрибут getJwtTokenScriptPath;
- заменить в процессе “Get JWT token” вызов “Run SSH command (vrassh)” на свой процесс выполнения SSH-команд и настроить его параметры;
- проверить работу процесса, он должен вернуть ключ.
Далее необходимо зарегистрировать в vRealize Orchestrator все REST-хосты и операции на них. Яндекс выбрал не совсем удобный для нас вариант с использованием выделенных доменов для различных групп API-запросов: один нужен для получения токена, другой для работы с сетями и т.д. Для реализованных в пакете процессов используется четыре домена. Чтобы Вам немного упростить начало работы, в папке Configuration имеется специальный процесс “Initialize”, который за Вас сделает:
- Сохранение ID рабочего каталога и ID сервисного аккаунта в конфигурационном элементе yandexCloud;
- Регистрацию REST хостов (4 шт) и сохранение ссылок на них в конфигурационном элементе: “Add Yandex REST hosts”;
- Добавление всех используемых REST-операций: “Add Yandex REST operations”;
- Получение нового IAM-токена: “Get new IAM token”;
- Создание расписания для обновления IAM-токена.
Файлы к статье
vRO-Yandex.Cloud-Integration.zip – пакет интеграции.