<div dir="ltr">Hi,<br><br>Looking through the thread I mentioned couple definitions of software orchestration. I would like to summarize definitions before we go to deep technical discussion about actual implementation.<br>
<br><br>There are two major areas and approaches covered by software orchestration:<br><br><br><b>Software component installation</b> - aimed to install specific software component to VM and configure it. This is a typical task for Heat. HOT component is a best way to easily describe what component should be installed and what are configuration parameter. Heat engine will figure out by itself how to do this, probably with some hints from a user in terms of dependencies and placement rules.<br>
<br><br><b>Software service installation and life cycle management</b> - aimed to provision a complex multi component software service over multiple VMs. Also defines actions on specific events and manages software over the entire environment life. This approach is closer to PaaS like solution and relies on specific workflows sequences defined for different events and situations. Instead of defining what should be installed, this approach defines how to react on specific situation and what to do if some event has been triggered. This workflow approach is what is covered by Mistral project from the engine viewpoint. Mistral is going to orchestrate task execution in distributed fashion on both VM and OpenStack levels and it has events and schedule semantics. Actual workflow implementation for OpenStack may be found in Murano project which already defines different workflows for software installation and configuration depending on situation.<br>
<br><br>As I see, both approaches have their own user, and both approaches can coexist in OpenStack ecosystem being complementary to each other. For example workflow can generate HOT template to do some task which fits best to Heat engine and in the same time HOT template can reference external workflow to do the task which fits best to workflow approach.<div>
<br></div><div><br></div><div>Thanks</div><div>Georgy<br><br><br>On Wed, Oct 23, 2013 at 11:36 AM, Clint Byrum <<a href="mailto:clint@fewbar.com">clint@fewbar.com</a>> wrote:<br>><br>> Excerpts from Patrick Petit's message of 2013-10-23 10:58:22 -0700:<br>
> > Dear Steve and All,<br>> ><br>> > If I may add up on this already busy thread to share our experience with<br>> > using Heat in large and complex software deployments.<br>> ><br>><br>> Thanks for sharing Patrick, I have a few replies in-line.<br>
><br>> > I work on a project which precisely provides additional value at the<br>> > articulation point between resource orchestration automation and<br>> > configuration management. We rely on Heat and chef-solo respectively for<br>
> > these base management functions. On top of this, we have developed an<br>> > event-driven workflow to manage the life-cycles of complex software<br>> > stacks which primary purpose is to support middleware components as<br>
> > opposed to end-user apps. Our use cases are peculiar in the sense that<br>> > software setup (install, config, contextualization) is not a one-time<br>> > operation issue but a continuous thing that can happen any time in<br>
> > life-span of a stack. Users can deploy (and undeploy) apps long time<br>> > after the stack is created. Auto-scaling may also result in an<br>> > asynchronous apps deployment. More about this latter. The framework we<br>
> > have designed works well for us. It clearly refers to a PaaS-like<br>> > environment which I understand is not the topic of the HOT software<br>> > configuration proposal(s) and that's absolutely fine with us. However,<br>
> > the question for us is whether the separation of software config from<br>> > resources would make our life easier or not. I think the answer is<br>> > definitely yes but at the condition that the DSL extension preserves<br>
> > almost everything from the expressiveness of the resource element. In<br>> > practice, I think that a strict separation between resource and<br>> > component will be hard to achieve because we'll always need a little bit<br>
> > of application's specific in the resources. Take for example the case of<br>> > the SecurityGroups. The ports open in a SecurityGroup are application<br>> > specific.<br>> ><br>><br>> Components can only be made up of the things that are common to all users<br>
> of said component. Also components would, if I understand the concept<br>> correctly, just be for things that are at the sub-resource level.<br>> Security groups and open ports would be across multiple resources, and<br>
> thus would be separately specified from your app's component (though it<br>> might be useful to allow components to export static values so that the<br>> port list can be referred to along with the app component).<br>
><br>> > Then, designing a Chef or Puppet component type may be harder than it<br>> > looks at first glance. Speaking of our use cases we still need a little<br>> > bit of scripting in the instance's user-data block to setup a working<br>
> > chef-solo environment. For example, we run librarian-chef prior to<br>> > starting chef-solo to resolve the cookbook dependencies. A cookbook can<br>> > present itself as a downloadable tarball but it's not always the case. A<br>
> > chef component type would have to support getting a cookbook from a<br>> > public or private git repo (maybe subversion), handle situations where<br>> > there is one cookbook per repo or multiple cookbooks per repo, let the<br>
> > user choose a particular branch or label, provide ssh keys if it's a<br>> > private repo, and so forth. We support all of this scenarios and so we<br>> > can provide more detailed requirements if needed.<br>
> ><br>><br>> Correct me if I'm wrong though, all of those scenarios are just variations<br>> on standard inputs into chef. So the chef component really just has to<br>> allow a way to feed data to chef.<br>
><br>> > I am not sure adding component relations like the 'depends-on' would<br>> > really help us since it is the job of config management to handle<br>> > software dependencies. Also, it doesn't address the issue of circular<br>
> > dependencies. Circular dependencies occur in complex software stack<br>> > deployments. Example. When we setup a Slum virtual cluster, both the<br>> > head node and compute nodes depend on one another to complete their<br>
> > configuration and so they would wait for each other indefinitely if we<br>> > were to rely on the 'depends-on'. In addition, I think it's critical to<br>> > distinguish between configuration parameters which are known ahead of<br>
> > time, like a db name or user name and password, versus contextualization<br>> > parameters which are known after the fact generally when the instance is<br>> > created. Typically those contextualization parameters are IP addresses<br>
> > but not only. The fact packages x,y,z have been properly installed and<br>> > services a,b,c successfully started is contextualization information<br>> > (a.k.a facts) which may be indicative that other components can move on<br>
> > to the next setup stage.<br>> ><br>><br>> The form of contextualization you mention above can be handled by a<br>> slightly more capable wait condition mechanism than we have now. I've<br>> been suggesting that this is the interface that workflow systems should<br>
> use.<br>><br>> > The case of complex deployments with or without circular dependencies is<br>> > typically resolved by making the system converge toward the desirable<br>> > end-state through running idempotent recipes. This is our approach. The<br>
> > first configuration phase handles parametrization which in general<br>> > brings an instance to CREATE_COMPLETE state. A second phase follows to<br>> > handle contextualization at the stack level. As a matter of fact, a new<br>
> > contextualization should be triggered every time an instance enters or<br>> > leave the CREATE_COMPLETE state which may happen any time with<br>> > auto-scaling. In that phase, circular dependencies can be resolved<br>
> > because all contextualization data can be compiled globally. Notice that<br>> > Heat doesn't provide a purpose built resource or service like Chef's<br>> > data-bag for the storage and retrieval of metadata. This a gap which IMO<br>
> > should be addressed in the proposal. Currently, we use a kludge that is<br>> > to create a fake AWS::AutoScaling::LaunchConfiguration resource to store<br>> > contextualization data in the metadata section of that resource.<br>
> ><br>><br>> That is what we use in TripleO as well:<br>><br>> <a href="http://git.openstack.org/cgit/openstack/tripleo-heat-templates/tree/overcloud-source.yaml#n143">http://git.openstack.org/cgit/openstack/tripleo-heat-templates/tree/overcloud-source.yaml#n143</a><br>
><br>> We are not doing any updating of that from within our servers though.<br>> That is an interesting further use of the capability.<br>><br>> > Aside from the HOT software configuration proposal(s). There are two<br>
> > critical enhancements in Heat that would make software life-cycles<br>> > management much easier. In fact, they are actual blockers for us.<br>> ><br>> > The first one would be to support asynchronous notifications when an<br>
> > instance is created or deleted as a result of an auto-scaling decision.<br>> > As stated earlier, contextualization needs to apply in a stack every<br>> > time a instance enters or leaves the CREATE_COMPLETE state. I am not<br>
> > referring to a Ceilometer notification but a Heat notification that can<br>> > be consumed by a Heat client.<br>> ><br>><br>> I think this fits into something that I want for optimizing<br>> os-collect-config as well (our in-instance Heat-aware agent). That is<br>
> a way for us to wait for notification of changes to Metadata without<br>> polling.<br>><br>> > The second one would be to support a new type of AWS::IAM::User (perhaps<br>> > OS::IAM::User) resource whereby one could pass Keystone credentials to<br>
> > be able to specify Ceilometer alarms based on application's specific<br>> > metrics (a.k.a KPIs).<br>> ><br>><br>> It would likely be OS::Keystone::User, and AFAIK this is on the list of<br>
> de-AWS-ification things.<br>><br>> > I hope this is making sense to you and can serve as a basis for further<br>> > discussions and refinements.<br>> ><br>><br>> Really great feedback Patrick, thanks again for sharing!<br>
><br>> _______________________________________________<br>> OpenStack-dev mailing list<br>> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br><br><br><br>--<br>Georgy Okrokvertskhov<br>Technical Program Manager,<br>Cloud and Infrastructure Services,<br>Mirantis<br><a href="http://www.mirantis.com">http://www.mirantis.com</a><br>Tel. +1 650 963 9828<br>Mob. +1 650 996 3284</div>
</div>