Настройка сервера для развертывания Rails приложения при помощи Ansible

[de1m]

Я думаю, что вам тут это всё равно напишут, так что я буду первый — переходите на докер. Вы наустанавливали кучу програм, создали пользователя итд. Всё это можно сделать в докере, будет всё легче, аккуратнее и можно в любой момент всё обновить (ну может быть дб нет). И для всего этого можно использовать ansible.

[tgz]

А потом писать свою кривую систему инициализации на каком-нибудь bash, когда надо будет запустить что-то сложнее одного бинарника.

[Inlore]

Не очень понял, что такого может понадобится запустить именно в контейнере. Можете привести пример?

[Macbet]

если у вас внутри образа больше 1-го бинарника, то вы что-то не так делаете.

[ZloyHobbit]

Контейнеризация — это не серебренная пуля. Их тоже надо настраивать, следить за их состоянием, поднимать упавшие контейнеры. Все это добавляет проблем. Если у меня есть nginx и postgresql то за ними следит systemd можно даже без мониторинга жить какое-то время. С докером так не выйдет. На мой взгляд, если у вас на сервере лежит по одной версии стандартных сервисов, и одно веб приложение, то докер избыточен.
Если надо поднимать несколько разных версий postgresql, несколько разных приложений с разными версиями ruby, и.т.д. То да конечно, проще будет перейти на докер.

[Dr_Wut]

1. За контейнерами следит сам демон докера, там есть соответствующие дерективы запуска
2. В докере все что взлетело, с вероятностью 99% взлетит где угодно
3. Обновления хостовой системы и образа не зависят от друг-друга и не ломают друг-друга
4. На принятой хостовой системе не работает нужная библиотека/приложение — вот вам и докер

Каждый решает для себя сам, но на мой взгляд докер — это очень удобно

[identw]

Запускать все это из под root пользователя — всегда плохая идея, поэтому надо создать отдельного пользователя, и настроить ему права

Но Вы же в итоге создаете пользователя, который через sudo имеет все рутовые права, не очень понятно чем эта идея лучше, чем просто делать от рута?

[ZloyHobbit]

Я наблюдал одну интересную вещь. Как только вы создаете новые VPS сервер, на него сразу начинает долбиться куча ботов, пытаясь залогиниться под рутом через ssh. Поэтому в идеале у root пользователя вообще не должно быть доступа к ssh, соответсвенно надо использовать другого.
Для надежности можно было бы выдать ему ограниченное количество прав, создав отдельную группу, но это уже тонкости настройки. Я написал скорее мануал по входу в ansible а не тотальное руководство по настройке веб сервера. Далее можно по аналогии настраивать более тонко.

[salas]

Если беспокоят ковровые бомбардировки 22 порта — достаточно поменять порт.

[cjbars]

Сейчас боты долбят по всем портам и весьма активно. Так что спрятать ssh на другом порту уже не актуально.

[salas]

Ага, давно не проверял. Из того, что у меня используется на разных VPS — похоже, на 222 долбят, на 5722 не долбят.

[sardigital]

Достаточно отключить аутентификацию по паролю, перейти на сертификаты

[salas]

А что, кто-то ходит по паролю на VPS? Это же неудобно.

[ZloyHobbit]

Сканеры портов никто не отменял.