data.coop/ansible
8
3
Fork 7
Code Issues 49 Pull requests 9 Projects 1 Releases Wiki Activity

Refactor netdata to use docker_compose directive & expose configs #80

Closed
graffen wants to merge 1 commit from refactor_netdata into main
pull from: refactor_netdata
merge into: data.coop:main
Conversation 1 Commits 1 Files changed 2 +58 -25
2 changed files with 58 additions and 25 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

1
roles/docker/defaults/main.yml
View file

@ -49,6 +49,7 @@ hedgedoc:
netdata:
domain: "netdata.{{ base_domain }}"
volume_folder: "{{ volume_root_folder }}/netdata"
docker_registry:
domain: "docker.{{ base_domain }}"

58
roles/docker/tasks/services/netdata.yml
View file

@ -1,27 +1,59 @@
---
- name: create netdata volume folders
file:
name: "{{ netdata.volume_folder }}/{{ volume }}"
state: directory
benjaoming marked this conversation as resolved Outdated
benjaoming commented 2022-05-22 12:02:34 +00:00
Outdated
Review
Copy link

Kan man begrænse ejerskab på denne folder?

Kan man begrænse ejerskab på denne folder?
graffen commented 2022-05-22 12:17:55 +00:00
Outdated
Review
Copy link

Det er ikke noget vi gør på nogen af de andre services... men vi skal i det hele taget nok have givet vores sikkerhedssetup en overhaling tror jeg.

Det er ikke noget vi gør på nogen af de andre services... men vi skal i det hele taget nok have givet vores sikkerhedssetup en overhaling tror jeg.
benjaoming commented 2022-05-22 15:47:54 +00:00
Outdated
Review
Copy link

Helt sikkert, det giver mening at gøre med en anden task også.. så ejerskabet ikke bare sættess ved oprettelse af folderen, men også gentages ved hver playbook run 👍

Helt sikkert, det giver mening at gøre med en anden task også.. så ejerskabet ikke bare sættess ved oprettelse af folderen, men også gentages ved hver playbook run 👍
loop:
- "config"
- "lib"
- "cache"
loop_control:
loop_var: volume
- name: setup netdata docker container for system monitoring
docker_container:
name: netdata
image: netdata/netdata
restart_policy: unless-stopped
- name: "setup netdata for system monitoring"
docker_compose:
project_name: "netdata"
pull: "yes"
definition:
services:
netdata:
image: "netdata/netdata"
restart: "unless-stopped"
hostname: "hevonen.servers.{{ base_domain }}"
capabilities:
cap_add:
- SYS_PTRACE
security_opts:
security_opt:
- apparmor:unconfined
volumes:
- /proc:/host/proc:ro
- /sys:/host/sys:ro
- /var/run/docker.sock:/var/run/docker.sock:ro
- "{{ netdata.volume_folder }}/config:/etc/netdata"
benjaoming commented 2022-05-22 12:01:21 +00:00
Outdated
Review
Copy link

Burde være ro ?

Burde være `ro` ?
graffen commented 2022-05-22 12:18:09 +00:00
Outdated
Review
Copy link

Korrekt, fikser!

Korrekt, fikser!
graffen commented 2022-05-22 12:19:51 +00:00
Outdated
Review
Copy link

Hov, nej... for så kan containeren ikke selv skrive til den første gang. Jeg overvejede at gzip'e hele config træet og lægge det med i ansible men jeg er i tvivl om, hvor pænt jeg synes, det er. Jeg er åben for forslag/diskussioner :-)

Hov, nej... for så kan containeren ikke selv skrive til den første gang. Jeg overvejede at gzip'e hele config træet og lægge det med i ansible men jeg er i tvivl om, hvor pænt jeg synes, det er. Jeg er åben for forslag/diskussioner :-)
benjaoming commented 2022-05-22 15:03:43 +00:00
Outdated
Review
Copy link

Er det ikke meget nice at have konfigurationen vedligeholdt i git? Det vil gøre vores setup mere "reproducible". Hvis konfigrationsfilen er implicit (generet automatisk), vil det ved opdateringer af contianer-image blive uigennemskueligt, hvilken runtime konfigurationsfil, der eksisterer?

Er det ikke meget nice at have konfigurationen vedligeholdt i git? Det vil gøre vores setup mere "reproducible". Hvis konfigrationsfilen er implicit (generet automatisk), vil det ved opdateringer af contianer-image blive uigennemskueligt, hvilken runtime konfigurationsfil, der eksisterer?
graffen commented 2022-07-22 12:41:16 +00:00
Outdated
Review
Copy link

Som det er nu gør vi ikke rigtigt noget ved den config fil, det hele kører bare med default settings. Det var mest for at holde nogenlunde vores konvention om at volumes ligger det samme sted. Vi kan aftale, at hvis vi nogensinde retter i den så sørger vi for at den kommer under versionskontrol - det er lidt det vi har gjort med de andre containere der kræver configfiler med customiseringer.

Som det er nu gør vi ikke rigtigt noget ved den config fil, det hele kører bare med default settings. Det var mest for at holde nogenlunde vores konvention om at volumes ligger det samme sted. Vi kan aftale, at hvis vi nogensinde retter i den så sørger vi for at den kommer under versionskontrol - det er lidt det vi har gjort med de andre containere der kræver configfiler med customiseringer.
- "{{ netdata.volume_folder }}/lib:/var/lib/netdata"
- "{{ netdata.volume_folder }}/cache:/var/cache/netdata"
- "/etc/passwd:/host/etc/passwd:ro"
- "/etc/group:/host/etc/group:ro"
- "/proc:/host/proc:ro"
- "/sys:/host/sys:ro"
- "/etc/os-release:/host/etc/os-release:ro"
networks:
- name: external_services
env:
- external_services
- docker_proxy
environment:
VIRTUAL_HOST : "{{ netdata.domain }}"
LETSENCRYPT_HOST: "{{ netdata.domain }}"
LETSENCRYPT_EMAIL: "{{ letsencrypt_email }}"
PGID: "999"
DOCKER_HOST: "proxy:2375"
labels:
com.ouroboros.enable: "true"
proxy:
image: "tecnativa/docker-socket-proxy"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock:ro"
environment:
CONTAINERS : 1
networks:
- docker_proxy
networks:
docker_proxy:
external_services:
external: true