nbde_server

Обзор Версии Аналитика

nbde_server

ansible-lint.yml ansible-test.yml codeql.yml markdownlint.yml python-unit-test.yml tft.yml tft_citest_bad.yml woke.yml

Ansible-роль для настройки серверов шифрования дисков, связанных с сетью (например, tang).

Эта роль в данный момент поддерживает tang в качестве провайдера и может настраивать серверы tang.

Поддерживаемые дистрибутивы

  • RHEL-7+, CentOS-7+
  • Fedora

Требования

Смотрите ниже

Требования к коллекции

Роль требует дополнительных коллекций, которые указаны в meta/collection-requirements.yml. Они не устанавливаются автоматически. Вам нужно установить их следующим образом:

ansible-galaxy install -vv -r meta/collection-requirements.yml

Переменные роли

Это переменные, которые могут быть переданы в роль:

Переменная По умолчанию Описание
nbde_server_provider tang определяет провайдера для роли nbde_server. В данный момент поддерживается tang как провайдер nbde_server, что означает, что роль nbde_server может развертывать серверы tang.
nbde_server_service_state started указывает состояние, в котором должен находиться nbde_server. Может быть либо started (по умолчанию), либо stopped. started означает, что сервер принимает соединения, а stopped означает, что он не принимает соединения.
nbde_server_rotate_keys false указывает, следует ли вращать существующие ключи, если они есть, и создавать новые ключи. Поведение по умолчанию (false) — создавать новые ключи, если их нет, и не трогать ключи, если они существуют. Если установлено на true, существующие ключи будут вращаться, и будут созданы новые ключи.
nbde_server_fetch_keys false указывает, следует ли получать ключи на контрольный узел, в этом случае они будут размещены в каталоге nbde_server_keys_dir. Вы должны установить nbde_server_keys_dir, чтобы использовать nbde_server_fetch_keys.
nbde_server_deploy_keys false указывает, следует ли развертывать ключи, расположенные в каталоге nbde_server_keys_dir, на удаленных хостах. Вы должны установить nbde_server_keys_dir, чтобы использовать nbde_server_deploy_keys.
nbde_server_keys_dir указывает каталог на контрольном узле, который содержит ключи для развертывания на удаленных хостах. Ключи, находящиеся в верхнем уровне директории, будут развернуты на каждый удаленный хост, в то время как ключи, расположенные в подкаталогах, названных в честь удаленных хостов — согласно инвентарю — будут развернуты только на эти конкретные хосты. nbde_server_keys_dir должен быть абсолютным путем. Вам нужно установить это, чтобы использовать либо nbde_server_fetch_keys, либо nbde_server_deploy_keys.
nbde_server_manage_firewall false управление портом и зоной сервера nbde, используя роль firewall, если установлено на true.
nbde_server_manage_selinux false управление портом сервера nbde, используя роль selinux, если установлено на true.
nbde_server_port 80 номер порта, на котором будет слушать tangd. Вы должны установить nbde_server_manage_selinux: true, если хотите, чтобы роль управляла метками SELinux для порта. Вы должны установить nbde_server_manage_firewall: true, если хотите, чтобы роль управляла файрволом для порта.
nbde_server_firewall_zone public изменяет зону по умолчанию, где порт должен быть открытым. Вы должны установить nbde_server_manage_firewall: true, чтобы изменить зону по умолчанию.

nbde_server_fetch_keys и nbde_server_deploy_keys

Чтобы использовать любую из этих опций, вам нужно указать nbde_server_keys_dir, каталог с абсолютным путем.

Поведение использования этих переменных описано ниже:

Когда nbde_server_fetch_keys установлен на true

Роль будет получать ключи с хостов следующим образом:

  • если nbde_server_deploy_keys не установлен, ключи с каждого хоста будут получены и помещены в каталоги, названные в честь хоста, внутри nbde_server_keys_dir
  • если nbde_server_deploy_keys установлен, будут получены только ключи с первого хоста в инвентаре, и они будут помещены в верхний уровень каталога nbde_server_keys_dir

Когда nbde_server_deploy_keys установлен на true

Роль будет развертывать ключи, доступные в nbde_server_keys_dir, следующим образом:

  • ключи, расположенные в верхнем уровне директории nbde_server_keys_dir, будут развернуты на каждый хост
  • ключи, расположенные в подкаталогах, названных в честь хостов в инвентаре, внутри nbde_server_keys_dir, будут развернуты на этот конкретный хост

Примеры плейбуков

Пример 1: развертывание сервера NBDE на каждом хосте в инвентаре

---
- name: Управление серверами nbde
  hosts: all
  roles:
    - linux-system-roles.nbde_server

Пример 2: получение ключей с установок сервера NBDE

Получение ключей с каждой установки сервера NBDE из /root/nbde_server/keys

---
- name: Управление ключами nbde из /root/nbde_server/keys
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

После этого вы можете создать резервную копию ваших ключей, которые будут помещены в /root/nbde_server/keys, в подкаталоги, названные в честь хоста, к которому они принадлежат.

Пример 3: повторное развертывание ключей из резервной копии, созданной с помощью Примера 2

Чтобы повторно развернуть ключи, их нужно поместить в подкаталоги, названные в честь хоста, на который они будут развернуты. С /root/nbde_server/keys после Примера 2 используйте следующий плейбук для повторного развертывания тех же ключей на тех же хостах:

---
- name: Управление nbde и повторное развертывание резервированных ключей
  hosts: all
  vars:
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Пример 4: развертывание сервера NBDE и использование одних и тех же ключей на каждом хосте

ПРИМЕЧАНИЕ Это не рекомендуется, но поддерживается.

---
- name: Управление nbde с одинаковыми ключами на каждом хосте
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Пример 5: развертывание сервера NBDE с пользовательским портом и зоной

---
- name: Управление nbde с пользовательским портом и зоной
  hosts: all
  vars:
    nbde_server_manage_firewall: true
    nbde_server_manage_selinux: true
    nbde_server_port: 7500
    nbde_server_firewall_zone: dmz
  roles:
    - linux-system-roles.nbde_server

rpm-ostree

Смотрите README-ostree.md

Лицензия

MIT

О проекте

Ansible role for configuring Network-Bound Disk Encryption servers (e.g. tang)

role centos clevis el7 el8 el9 el10 fedora nbde redhat tang
Установить
ansible-galaxy install linux-system-roles/nbde_server
GitHub репозиторий
11 звезд(ы)
18 форк(ов)
1 открытых задач
Лицензия
mit
Загрузки
7389
Владелец