nbde_server

Rola Ansible do konfigurowania serwerów szyfrowania dysków związanych z siecią (np. tang).

Ta rola obecnie obsługuje tang jako dostawcę i może konfigurować serwery tang.

Obsługiwane dystrybucje

• RHEL-7+, CentOS-7+
• Fedora

Wymagania

Zobacz poniżej

Wymagania dotyczące zbiorów

Rola wymaga dodatkowych zbiorów, które są określone w meta/collection-requirements.yml. Nie są one instalowane automatycznie. Musisz wymusić ich instalację w ten sposób:

ansible-galaxy install -vv -r meta/collection-requirements.yml`

Zmienne roli

To są zmienne, które można przekazać do roli:

Zmienna	Domyślna	Opis
nbde_server_provider	tang	identyfikuje dostawcę dla roli nbde_server. Obsługujemy obecnie tang, co oznacza, że rola nbde_server może konfigurować serwery tang.
nbde_server_service_state	started	wskazuje stan, w którym powinien znajdować się serwer nbde_server. Może być started (domyślnie) lub stopped. started oznacza, że serwer akceptuje połączenia, natomiast stopped oznacza, że nie akceptuje połączeń.
nbde_server_rotate_keys	false	wskazuje, czy powinniśmy rotować istniejące klucze, jeśli są, a następnie utworzyć nowe klucze. Domyślne zachowanie (false) to tworzenie nowych kluczy, jeśli nie ma żadnych, i niezmienianie istniejących. Jeśli ustawione na true, istniejące klucze będą rotowane, a nowe klucze zostaną utworzone.
nbde_server_fetch_keys	false	wskazuje, czy powinniśmy pobrać klucze do węzła kontrolnego, w takim przypadku będą one umieszczone w nbde_server_keys_dir. Musisz ustawić nbde_server_keys_dir, aby używać nbde_server_fetch_keys.
nbde_server_deploy_keys	false	wskazuje, czy powinniśmy wdrożyć klucze znajdujące się w katalogu nbde_server_keys_dir na zdalnych hostach. Musisz ustawić nbde_server_keys_dir, aby używać nbde_server_deploy_keys.
nbde_server_keys_dir		określa katalog na węźle kontrolnym, który zawiera klucze do wdrożenia na zdalnych hostach. Klucze znajdujące się w głównym katalogu zostaną wdrożone na każdym zdalnym hoście, natomiast klucze znajdujące się w podkatalogach nazwanych według zdalnych hostów - zgodnie z inwentarzem - będą wdrażane tylko na tych konkretnych hostach. nbde_server_keys_dir musi być ścieżką absolutną. Musisz ustawić to, aby używać nbde_server_fetch_keys i/lub nbde_server_deploy_keys.
nbde_server_manage_firewall	false	zarządza portem i strefą serwera nbde, korzystając z roli firewall, jeśli jest ustawione na true.
nbde_server_manage_selinux	false	zarządza portem serwera nbde, korzystając z roli selinux, jeśli jest ustawione na true.
nbde_server_port	80	numer portu, na którym będzie słuchać tangd. Musisz ustawić nbde_server_manage_selinux: true, jeśli chcesz, aby rola zarządzała etykietowaniem SELinux dla portu. Musisz ustawić nbde_server_manage_firewall: true, jeśli chcesz, aby rola zarządzała zaporą dla portu.
nbde_server_firewall_zone	public	zmienia domyślną strefę, w której port powinien być otwarty. Musisz ustawić nbde_server_manage_firewall: true, aby zmienić domyślną strefę.

nbde_server_fetch_keys i nbde_server_deploy_keys

Aby używać którejkolwiek z tych opcji, musisz określić nbde_server_keys_dir, katalog, z absolutną ścieżką.

Zachowanie używania tych zmiennych opisano poniżej:

Gdy nbde_server_fetch_keys jest ustawione na true

Rola pobierze klucze z hostów w następujący sposób:

• jeśli nbde_server_deploy_keys nie jest ustawione, klucze z każdego hosta będą pobierane i umieszczane w katalogach nazwanych według hosta, w katalogu nbde_server_keys_dir
• jeśli nbde_server_deploy_keys jest ustawione, tylko klucze z pierwszego hosta w inwentarzu będą pobierane, a one będą umieszczone w głównym katalogu nbde_server_keys_dir

Gdy nbde_server_deploy_keys jest ustawione na true

Rola wdroży klucze dostępne w nbde_server_keys_dir, w następujący sposób:

• klucze znajdujące się w głównym katalogu nbde_server_keys_dir zostaną wdrożone na każdym hoście
• klucze znajdujące się w podkatalogach nazwanych zgodnie z hostami w inwentarzu, wewnątrz nbde_server_keys_dir, będą wdrażane tylko na tym konkretnym hoście

Przykłady Playbooków

Przykład 1: wdrożenie serwera NBDE na każdym hoście w inwentarzu

---
- name: Zarządzaj serwerami nbde
  hosts: all
  roles:
    - linux-system-roles.nbde_server

Przykład 2: pobranie kluczy z instalacji serwera NBDE

Pobierz klucze z każdej instalacji serwera NBDE z /root/nbde_server/keys

---
- name: Zarządzaj kluczami nbde z /root/nbde_server/keys
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Po tym kroku możesz wykonać kopię zapasową swoich kluczy, które zostaną umieszczone w /root/nbde_server/keys, w podkatalogach nazwanych według hosta, do którego należą.

Przykład 3: ponowne wdrożenie kluczy z kopii zapasowej wykonanej w Przykładzie 2

Aby ponownie wdrożyć klucze, muszą być one umieszczone w podkatalogach nazwanych według hostów, do których mają zostać wdrożone. Z /root/nbde_server/keys po Przykładzie 2 użyj poniższego playbooka, aby ponownie wdrożyć te same klucze do tych samych hostów:

---
- name: Zarządzaj nbde i ponowne wdrożenie kluczy z kopii zapasowej
  hosts: all
  vars:
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Przykład 4: wdrożenie serwera NBDE i użycie tych samych kluczy na każdym hoście

UWAGA: To nie jest zalecane, ale jest wspierane.

---
- name: Zarządzaj nbde z tymi samymi kluczami na każdym hoście
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Przykład 5: wdrożenie serwera NBDE z własnym portem i strefą

---
- name: Zarządzaj nbde z własnym portem i strefą
  hosts: all
  vars:
    nbde_server_manage_firewall: true
    nbde_server_manage_selinux: true
    nbde_server_port: 7500
    nbde_server_firewall_zone: dmz
  roles:
    - linux-system-roles.nbde_server

rpm-ostree

Zobacz README-ostree.md

Licencja

MIT