62 Semaphore - Roundtrip

62.1 Erste Schritte: Playbook über UI starten

62.1.1 Anmeldung und Dashboard-Übersicht

Öffnen Sie Ihren Webbrowser und navigieren Sie zur Semaphore-Instanz unter http://localhost:3000. Melden Sie sich mit Ihren Administrator-Zugangsdaten an:

1. Geben Sie im Login-Formular ein:

   • Username: admin
   • Password: [Ihr Admin-Passwort]

2. Klicken Sie auf den Button “Sign In”

Nach erfolgreicher Anmeldung sehen Sie das Semaphore-Dashboard mit einer Übersicht der verfügbaren Projekte.

62.1.2 Neues Projekt erstellen

Da Sie vermutlich mit einer frischen Semaphore-Installation arbeiten, erstellen wir zunächst ein neues Projekt:

1. Klicken Sie auf den grünen Button “+ New Project” in der oberen rechten Ecke

2. Füllen Sie das Projekt-Formular aus:

   • Project Name: Demo-Projekt
   • Alert: Aktivieren Sie die Checkbox (Haken setzen)
   • Alert Chat: Tragen Sie #demo-alerts ein
   • Max Parallel Tasks: Belassen Sie den Standardwert 1

3. Klicken Sie auf “Create”

Sie befinden sich nun im neu erstellten Projekt. Die Seitenleiste zeigt verschiedene Bereiche: Dashboard, Task Templates, Repositories, Key Store, Inventory und Environment.

62.1.3 Repository hinzufügen

Bevor Sie ein Playbook ausführen können, benötigen Sie ein Git-Repository mit Ansible-Inhalten:

1. Klicken Sie in der linken Seitenleiste auf “Repositories”

2. Klicken Sie auf den Button “+ New Repository”

3. Füllen Sie das Repository-Formular aus:

   • Name: demo-playbooks
   • Git URL: https://github.com/ansible/ansible-examples.git
   • Branch: master

4. Lassen Sie das Feld “Access Key” leer (öffentliches Repository)

5. Klicken Sie auf “Create”

Semaphore lädt nun das Repository herunter. Sie sehen eine Bestätigungsmeldung und das Repository erscheint in der Liste.

62.1.4 SSH-Key für Zielsysteme hinzufügen

Da Ansible SSH-Zugriff auf die Zielsysteme benötigt, fügen wir einen SSH-Key hinzu:

1. Klicken Sie in der linken Seitenleiste auf “Key Store”

2. Klicken Sie auf “+ New Key”

3. Füllen Sie das Key-Formular aus:

   • Name: demo-ssh-key
   • Type: Wählen Sie SSH Key aus dem Dropdown
   • Username: ansible
   • Private Key: Fügen Sie Ihren privaten SSH-Key ein (oder erstellen Sie einen Test-Key)

4. Klicken Sie auf “Create”

62.1.5 Inventory definieren

Jetzt definieren wir die Zielsysteme für unsere Playbooks:

1. Klicken Sie in der linken Seitenleiste auf “Inventory”

2. Klicken Sie auf “+ New Inventory”

3. Füllen Sie das Inventory-Formular aus:

   • Name: demo-hosts

   • User Credentials: Wählen Sie den soeben erstellten demo-ssh-key

   • Type: Belassen Sie Static

   • Inventory: Tragen Sie folgendes ein:

     [webservers]
     localhost ansible_connection=local
     
     [databases]
     localhost ansible_connection=local

4. Klicken Sie auf “Create”

62.1.6 Template erstellen und ausführen

Nun erstellen wir ein ausführbares Template:

1. Klicken Sie in der linken Seitenleiste auf “Task Templates”

2. Klicken Sie auf “+ New Template”

3. Füllen Sie das Template-Formular aus:

   • Template Name: Hello World Demo
   • Playbook Filename: lamp_simple/site.yml
   • Inventory: Wählen Sie demo-hosts
   • Repository: Wählen Sie demo-playbooks
   • Environment: Lassen Sie leer
   • Vault Password: Lassen Sie leer

4. Klicken Sie auf “Create”

62.1.7 Ersten Job starten

Jetzt führen Sie Ihr erstes Playbook aus:

1. Sie befinden sich automatisch auf der Template-Übersichtsseite

2. Klicken Sie neben Ihrem Template “Hello World Demo” auf das Play-Symbol (▶)

3. Im erscheinenden Dialog “New Task”:

   • Template: Ist bereits ausgewählt
   • Message: Tragen Sie Erster Test-Run ein
   • Environment: Lassen Sie leer

4. Klicken Sie auf “Run”

62.1.8 Job-Ausführung beobachten

Der Job startet und Sie werden automatisch zur Job-Detail-Seite weitergeleitet:

1. Beobachten Sie den Status oben auf der Seite - er ändert sich von Waiting zu Running zu Success (oder Error)

2. Schauen Sie sich die Live-Logs an, die in Echtzeit aktualisiert werden

3. Klicken Sie auf einzelne Tasks in der Ausgabe, um Details zu erweitern

4. Beachten Sie die Execution Time und weitere Metadaten am Ende der Logs

Das Playbook wird erfolgreich ausgeführt und Sie sehen die typische Ansible-Ausgabe mit grünen ok-Meldungen und gelben changed-Meldungen.

62.2 Inventories und Credentials einrichten

62.2.1 Erweiterte Inventory-Konfiguration

Wir erweitern nun unser Inventory um realistischere Host-Definitionen:

1. Navigieren Sie zurück zu “Inventory” in der linken Seitenleiste

2. Klicken Sie auf “+ New Inventory” für eine zweite Inventory

3. Erstellen Sie ein Production-Inventory:

   • Name: production-servers

   • User Credentials: Wählen Sie demo-ssh-key

   • Type: Static

   • Inventory: Tragen Sie ein:

     [webservers]
     web01.example.com ansible_host=192.168.1.10
     web02.example.com ansible_host=192.168.1.11
     
     [databases]
     db01.example.com ansible_host=192.168.1.20
     
     [loadbalancers]
     lb01.example.com ansible_host=192.168.1.5
     
     [webservers:vars]
     http_port=80
     https_port=443
     
     [databases:vars]
     mysql_port=3306

4. Klicken Sie auf “Create”

62.2.2 API-Credentials für Cloud-Provider hinzufügen

Für dynamische Inventories fügen wir Cloud-Credentials hinzu:

1. Gehen Sie zurück zum “Key Store”

2. Klicken Sie auf “+ New Key”

3. Erstellen Sie AWS-Credentials:

   • Name: aws-demo-credentials
   • Type: Wählen Sie Login with password
   • Username: Tragen Sie Ihre AWS Access Key ID ein
   • Password: Tragen Sie Ihre AWS Secret Access Key ein

4. Klicken Sie auf “Create”

5. Wiederholen Sie den Vorgang für Azure:

   • Name: azure-demo-credentials
   • Type: Login with password
   • Username: Azure Client ID
   • Password: Azure Client Secret

62.2.3 Dynamisches Inventory konfigurieren

Erstellen Sie ein dynamisches Inventory für Cloud-Ressourcen:

1. Erstellen Sie ein neues Inventory mit folgenden Daten:

   • Name: aws-dynamic-inventory

   • User Credentials: demo-ssh-key

   • Type: Static (für Demo-Zwecke verwenden wir statische Konfiguration)

   • Inventory:

     # AWS EC2 Dynamic Inventory (Beispiel-Konfiguration)
     plugin: amazon.aws.aws_ec2
     regions:
       - us-east-1
       - eu-central-1
     keyed_groups:
       - key: tags.Environment
         prefix: env
       - key: instance_type
         prefix: type
     hostnames:
       - tag:Name
       - dns-name
     compose:
       ansible_host: public_ip_address

2. Klicken Sie auf “Create”

62.2.4 Verbindungstest durchführen

Testen Sie die Inventory-Konfiguration:

1. Erstellen Sie ein neues Template für den Verbindungstest:

   • Template Name: Connectivity Test
   • Playbook Filename: Erstellen Sie ein einfaches Test-Playbook
   • Inventory: Wählen Sie production-servers
   • Repository: demo-playbooks

2. Im Environment-Feld tragen Sie ein:

   {
     "test_mode": true,
     "gather_facts": false
   }

3. Speichern und führen Sie das Template aus

62.3 Pipeline mit mehreren Jobs aufbauen

62.3.1 Erstes Template: Pre-Deployment-Checks

Erstellen Sie das erste Template einer Deployment-Pipeline:

1. Navigieren Sie zu “Task Templates”

2. Klicken Sie auf “+ New Template”

3. Füllen Sie aus:

   • Template Name: 1. Pre-Deployment Checks

   • Playbook Filename: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Repository: demo-playbooks

   • Environment:

     {
       "stage": "pre-deployment",
       "check_mode": true,
       "validate_only": true
     }

4. Klicken Sie auf “Create”

62.3.2 Zweites Template: Application Deployment

1. Erstellen Sie ein weiteres Template:

   • Template Name: 2. Application Deployment

   • Playbook Filename: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Repository: demo-playbooks

   • Environment:

     {
       "stage": "deployment",
       "app_version": "1.0.0",
       "deployment_strategy": "rolling"
     }

62.3.3 Drittes Template: Post-Deployment Tests

1. Erstellen Sie das dritte Template:

   • Template Name: 3. Post-Deployment Tests

   • Playbook Filename: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Repository: demo-playbooks

   • Environment:

     {
       "stage": "testing",
       "run_healthchecks": true,
       "validate_deployment": true
     }

62.3.4 Pipeline manuell ausführen

Da Semaphore keine nativen Pipeline-Abhängigkeiten hat, führen Sie die Jobs sequenziell aus:

1. Starten Sie “1. Pre-Deployment Checks”:

   • Klicken Sie auf das Play-Symbol
   • Message: Pipeline Step 1 - Pre-Checks
   • Klicken Sie auf “Run”
   • Warten Sie, bis der Job erfolgreich abgeschlossen ist

2. Nach erfolgreichem Abschluss starten Sie “2. Application Deployment”:

   • Message: Pipeline Step 2 - Deployment
   • Klicken Sie auf “Run”
   • Warten Sie auf Completion

3. Schließlich führen Sie “3. Post-Deployment Tests” aus:

   • Message: Pipeline Step 3 - Testing
   • Klicken Sie auf “Run”

62.3.5 Pipeline-Ergebnisse analysieren

Überprüfen Sie die Pipeline-Ausführung:

1. Navigieren Sie zu “Task History” (falls verfügbar) oder zum Dashboard

2. Betrachten Sie die drei Jobs in zeitlicher Reihenfolge

3. Klicken Sie auf jeden Job und prüfen Sie:

   • Execution Time - Wie lange hat jeder Schritt gedauert?
   • Status - Sind alle Schritte erfolgreich?
   • Output - Welche Änderungen wurden vorgenommen?

4. Dokumentieren Sie eventuelle Fehlschläge und deren Ursachen

62.4 Automatischer Run über Git-Webhook

62.4.1 Repository mit Webhook-Fähigkeiten vorbereiten

Für diese Demonstration verwenden wir ein eigenes Repository oder einen Fork:

1. Erstellen Sie einen Fork des ansible-examples Repository oder verwenden Sie ein eigenes Repository

2. In Semaphore navigieren Sie zu “Repositories”

3. Klicken Sie auf Ihr existierendes Repository (demo-playbooks)

4. Klicken Sie auf “Edit” (Stift-Symbol)

5. Aktualisieren Sie die Git URL auf Ihr eigenes Repository:

   • Git URL: https://github.com/[IHR-USERNAME]/ansible-examples.git
   • Branch: master oder main

6. Klicken Sie auf “Save”

62.4.2 Webhook in Git-Repository konfigurieren

Konfigurieren Sie den Webhook in GitHub/GitLab:

Für GitHub:

1. Öffnen Sie Ihr Repository auf GitHub

2. Klicken Sie auf “Settings” (Repository-Settings, nicht Profil-Settings)

3. Klicken Sie auf “Webhooks” in der linken Seitenleiste

4. Klicken Sie auf “Add webhook”

5. Füllen Sie das Webhook-Formular aus:

   • Payload URL: http://[IHRE-SEMAPHORE-URL]/api/project/[PROJECT-ID]/webhook
   • Content type: application/json
   • Secret: Lassen Sie leer (für Demo)
   • Events: Wählen Sie “Just the push event”
   • Active: Haken setzen

6. Klicken Sie auf “Add webhook”

62.4.3 Auto-Sync für Repository aktivieren

Aktivieren Sie die automatische Synchronisation in Semaphore:

1. In Semaphore gehen Sie zurück zu “Repositories”

2. Bearbeiten Sie Ihr Repository erneut

3. Aktivieren Sie “Auto-Sync” falls verfügbar (je nach Semaphore-Version)

4. Speichern Sie die Änderungen

62.4.4 Template für Webhook-Trigger konfigurieren

Erstellen Sie ein spezielles Template für automatische Ausführung:

1. Erstellen Sie ein neues Template:

   • Template Name: Auto-Deploy on Push

   • Playbook Filename: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Repository: demo-playbooks

   • Environment:

     {
       "trigger": "webhook",
       "auto_deploy": true,
       "branch": "master"
     }

2. Speichern Sie das Template

62.4.5 Automatischen Trigger testen

Führen Sie einen Git-Push durch, um den Webhook auszulösen:

1. Klonen Sie Ihr Repository lokal:

   git clone https://github.com/[IHR-USERNAME]/ansible-examples.git
   cd ansible-examples

2. Erstellen Sie eine kleine Änderung:

   echo "# Webhook-Test $(date)" >> README.md
   git add README.md
   git commit -m "Test webhook trigger"
   git push origin master

3. Überprüfen Sie in Semaphore, ob automatisch ein neuer Job gestartet wurde:

   • Gehen Sie zum Dashboard
   • Schauen Sie unter “Recent Tasks”
   • Ein neuer Job sollte automatisch erscheinen

4. Falls der Webhook nicht funktioniert, prüfen Sie:

   • GitHub Webhook-Logs unter Settings → Webhooks
   • Semaphore-Logs für eingehende Webhook-Requests
   • Netzwerk-Erreichbarkeit zwischen GitHub und Semaphore

62.5 Rechtekonzept im Teamprojekt umsetzen

62.5.1 Neue Benutzer anlegen

Erstellen Sie verschiedene Benutzer für das Rechtekonzept:

1. Navigieren Sie zur Benutzerverwaltung (meist über das Admin-Menü oben rechts)

2. Klicken Sie auf “Users”

3. Klicken Sie auf “+ New User”

4. Erstellen Sie den ersten Benutzer:

   • Username: team-lead
   • Email: team-lead@example.com
   • Name: Team Lead
   • Password: teamlead123
   • Admin: Nicht aktivieren

5. Klicken Sie auf “Create”

6. Wiederholen Sie für weitere Benutzer:

   • Username: developer1

   • Email: dev1@example.com

   • Name: Developer One

   • Password: dev123

   • Username: operator1

   • Email: op1@example.com

   • Name: Operator One

   • Password: op123

   • Username: viewer1

   • Email: view1@example.com

   • Name: Viewer One

   • Password: view123

62.5.2 Team-Projekt erstellen

Erstellen Sie ein neues Projekt für das Team:

1. Klicken Sie auf “+ New Project”

2. Projekt-Details:

   • Project Name: Team-Projekt-WebApp
   • Alert: Aktiviert
   • Alert Chat: #webapp-team
   • Max Parallel Tasks: 3

3. Klicken Sie auf “Create”

62.5.3 Benutzer-Berechtigungen zuweisen

Weisen Sie den Benutzern verschiedene Rollen zu:

1. In Ihrem neuen Projekt klicken Sie auf “Team” oder “Access” (je nach UI-Version)

2. Klicken Sie auf “+ Add User” oder ähnlich

3. Fügen Sie den Team-Lead hinzu:

   • User: Wählen Sie team-lead
   • Role: Manager oder Admin (höchste Projekt-Berechtigung)
   • Klicken Sie auf “Add”

4. Fügen Sie den Developer hinzu:

   • User: developer1
   • Role: Developer oder Maintainer
   • Klicken Sie auf “Add”

5. Fügen Sie den Operator hinzu:

   • User: operator1
   • Role: Operator oder Guest (nur Ausführung)
   • Klicken Sie auf “Add”

6. Fügen Sie den Viewer hinzu:

   • User: viewer1
   • Role: Guest oder Read-only
   • Klicken Sie auf “Add”

62.5.4 Rollenbezogene Templates erstellen

Erstellen Sie Templates mit unterschiedlichen Berechtigungsanforderungen:

1. Management-Template (nur für Team-Lead):

   • Template Name: Production Deployment

   • Playbook: lamp_simple/site.yml

   • Inventory: production-servers

   • Environment:

     {
       "environment": "production",
       "requires_approval": true,
       "critical_deployment": true
     }

2. Developer-Template:

   • Template Name: Development Testing

   • Playbook: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Environment:

     {
       "environment": "development",
       "debug_mode": true,
       "safe_mode": true
     }

3. Operator-Template:

   • Template Name: Routine Maintenance

   • Playbook: lamp_simple/site.yml

   • Inventory: demo-hosts

   • Environment:

     {
       "task_type": "maintenance",
       "automated": true
     }

62.5.5 Berechtigungen testen

Testen Sie die verschiedenen Benutzerrollen:

1. Melden Sie sich als Admin ab (oben rechts → Logout)

2. Melden Sie sich als team-lead an:

   • Username: team-lead
   • Password: teamlead123
   • Überprüfen Sie: Kann alle Templates sehen und ausführen
   • Prüfen Sie: Kann Projekt-Einstellungen ändern

3. Melden Sie sich als developer1 an:

   • Überprüfen Sie: Kann Development-Templates ausführen
   • Prüfen Sie: Kann eventuell Templates erstellen/bearbeiten
   • Testen Sie: Zugriff auf Logs und Job-Historie

4. Melden Sie sich als operator1 an:

   • Überprüfen Sie: Kann nur bestimmte Templates ausführen
   • Prüfen Sie: Kann keine Templates erstellen oder bearbeiten
   • Testen Sie: Kann Jobs starten aber nicht konfigurieren

5. Melden Sie sich als viewer1 an:

   • Überprüfen Sie: Kann Jobs und Logs nur anzeigen
   • Prüfen Sie: Kann keine Jobs starten
   • Testen Sie: Kein Zugriff auf Konfigurationsbereiche

62.5.6 Projekt-Isolation demonstrieren

Zeigen Sie die Projekt-Isolation:

1. Als Admin erstellen Sie ein zweites Projekt:

   • Project Name: Backend-Services
   • Keine Benutzer hinzufügen

2. Melden Sie sich als developer1 an

3. Überprüfen Sie: developer1 sieht nur das Team-Projekt-WebApp, nicht das Backend-Services-Projekt

4. Melden Sie sich wieder als Admin an

5. Fügen Sie developer1 auch zum Backend-Services-Projekt hinzu mit anderen Berechtigungen

6. Testen Sie erneut als developer1: Jetzt sollten beide Projekte sichtbar sein

62.5.7 Audit-Trail überprüfen

Kontrollieren Sie die Nachvollziehbarkeit:

1. Als Admin navigieren Sie zu den System-Logs oder Audit-Logs

2. Suchen Sie nach Einträgen der verschiedenen Benutzer:

   • Login-Events
   • Job-Ausführungen
   • Konfigurationsänderungen

3. Überprüfen Sie, dass alle Aktionen den richtigen Benutzern zugeordnet sind

4. Dokumentieren Sie eventuelle Sicherheitslücken oder unerwartete Berechtigungen

Dieser Roundtrip führt Sie durch alle wesentlichen Funktionen von Semaphore und zeigt Ihnen einen kompletten Workflow von der ersten Playbook-Ausführung bis hin zu einem vollständigen Team-Setup mit Rechtekonzept.