ansible/README.md
2019-03-11 17:49:48 +01:00

56 lines
1.5 KiB
Markdown

# Playbook et rôles Ansible d'Aurore
Ces politiques de déployement nécessite Ansible 2.7 ou plus récent.
Le paquet dans Debian Buster est suffisamment à jour, sinon vous pouvez l'obtenir de la façon suivante :
```bash
pip3 install --user ansible
```
## Exécution d'un playbook
Pour appliquer le playbook `base.yml` :
```bash
ansible-playbook --ask-vault-pass base.yml
```
Il est souhaitable de faire un test avant avec `--check` si on a des doutes !
## FAQ
### Mettre sa clé SSH sur une machine
```
ssh-copy-id -i ~/.ssh/id_rsa_aurore.pub virtu.fede-aurore.net
```
### Automatiquement ajouter fingerprint ECDSA (dangereux !)
Il faut changer la variable d'environnement suivante :
`ANSIBLE_HOST_KEY_CHECKING=0`.
### Configurer la connexion au bastion
Envoyer son agent SSH peut être dangereux ([source](https://heipei.io/2015/02/26/SSH-Agent-Forwarding-considered-harmful/)).
On va utiliser plutôt ProxyJump.
Dans la configuration SSH :
```
# Use a key to log on all Aurore servers
# and use a bastion
Host 10.128.0.* *.adm.auro.re
IdentityFile ~/.ssh/id_rsa_aurore
ProxyJump proxy.auro.re
```
Il faut savoir que depuis Ansible 2.5, des connexions persistantes sont créées
vers les serveurs puis détruites à la fin de l'exécution.
Il faut donc éviter de lancer une connexion SSH persistante pendant l'exécution
d'Ansible.
### Lister tout ce que sait Ansible sur un hôte
```
ansible -i hosts ldap-replica-fleming1.adm.auro.re -m setup --ask-vault-pass
```