trozz.ansible_nebula
ansible-nebula
Ce rôle installe et déploie une configuration pour Nebula
Exigences
Actuellement, vous devez générer et déployer des certificats avant d'exécuter cela (voir exemple)
Version de Nebula Prise en Charge
Ce rôle est actuellement testé avec la version 1.5.0
Variables de Rôle
| Nom de la Variable | Type | But | Par Défaut | Obligatoire |
|---|---|---|---|---|
nebula_version |
Chaîne | Version à télécharger | 1.5.0 |
Oui |
nebula_force_install |
Booléen | Forcer la réécriture de l'exécutable nebula existant | false |
Non |
ca |
Chaîne | Chemin vers le fichier CA | NA | Oui |
cert |
Chaîne | Chemin vers le certificat | NA | Oui |
key |
Chaîne | Chemin vers la clé du certificat | NA | Oui |
blocklist |
Liste | Liste des hachages de certificats bloqués | NA | Non |
lighthouses |
Chaîne | Hôtes statiques pour la découverte | "{{ groups['nebula_lighthouses'] }}" | Non |
lighthouses_override |
Liste | Liste d'hôtes statiques pour la découverte | NA | Non |
lighthouse.am_lighthouse |
Booléen | Cette instance est-elle un Lighthouse | false |
Oui |
lighthouse.serve_dns |
Booléen | Cette instance doit-elle fournir le DNS | false |
Oui |
lighthouse.interval |
Entier | Intervalle de rapport aux lighthouses | 60 |
Non |
listen.host |
Chaîne | IP sur laquelle écouter | 0.0.0.0 |
Oui |
listen.port |
Entier | Port à écouter | 4242 |
Oui |
listen.batch |
Entier | Définit le nombre maximum de paquets à prélever du noyau pour chaque appel système | 64 |
Oui |
listen.read_buffer |
Entier | Configure les buffers de socket pour le côté udp | NA | Non |
listen.write_buffer |
Entier | Configure les buffers de socket pour le côté udp | NA | Non |
punchy |
Booléen | Punchy continue à percer des trous pour les connexions entrantes/sortantes à intervalles réguliers pour éviter l'expiration des mappings nat du pare-feu | true |
Oui |
punch_back |
Booléen | punch_back signifie qu'un nœud que vous essayez d'atteindre se reconnecte à vous si votre perçage de trou échoue | true |
Oui |
cipher |
Chaîne | Le chiffrement vous permet de choisir parmi les chiffrages disponibles pour votre réseau. | NA | Non |
local_range |
Chaîne | La plage locale est utilisée pour définir un indice sur la plage du réseau local | NA | Non |
sshd.enabled |
Booléen | sshd peut exposer des fonctions d'information et d'administration via ssh | NA | Non |
sshd.listen |
Chaîne | IP / Port pour les fonctions SSH d'administration | NA | Non |
relay.relays |
Liste | IP des hôtes à utiliser comme relais | NA | Non |
relay.am_relay |
Chaîne | Indiquer si l'hôte doit agir comme relais | false |
Non |
relay.use_relays |
Chaîne | Indiquer si l'hôte doit essayer de se connecter via des relais | true |
Non |
metrics.prometheus |
Booléen | Active le serveur prometheus | NA | Non |
outbound |
Liste | Règles sortantes pour le pare-feu intégré | Voir ci-dessous |
Oui |
inbound |
Liste | Règles entrantes pour le pare-feu intégré | Voir ci-dessous |
Oui |
Exemple de Règle de Pare-feu
outbound:
- port: any
proto: any
host: any
inbound:
- port: any
proto: icmp
host: any
Dépendances
Aucune
Exemple de Playbook
---
- hosts: all
remote_user: root
vars:
lighthouses:
- nebula_ip: 10.255.0.1
external_addr: 123.231.1.2
lighthouse:
nodes:
- 10.255.0.1
pre_tasks:
- name: Créer le répertoire Nebula
file:
path: /etc/nebula
state: directory
mode: '0750'
- name: Déployer les certificats Nebula
copy:
src: files/{{item}}
dest: /etc/nebula/{{item}}
owner: root
group: root
mode: '0600'
with_items:
- ca.crt
- host.crt
- host.key
roles:
- ansible-nebula
---
- hosts: all
remote_user: root
vars:
lighthouses:
- nebula_ip: 10.255.0.1
external_addr: 123.231.1.2
roles:
- ansible-nebula
Optionnellement, vous pouvez déclarer un lighthouse avec un port externe non par défaut
---
- hosts: all
remote_user: root
vars:
lighthouse:
am_lighthouse: yes
lighthouses:
- nebula_ip: 10.255.0.1
external_addr: 123.231.1.2
external_port: 4242
roles:
- ansible-nebula
Licence
MIT
Informations sur l'Auteur
Ce rôle est fourni tel quel, Nebula est maintenu par Slack et la communauté
Installer
ansible-galaxy install trozz.ansible_nebulaLicence
unlicense
Téléchargements
428
Propriétaire