| ... | @@ -8,7 +8,7 @@ En el proyecto **config**, todos los archivos de configuración de cluster y hos |
... | @@ -8,7 +8,7 @@ En el proyecto **config**, todos los archivos de configuración de cluster y hos |
|
|
|
|
|
|
|
## Hosts
|
|
## Hosts
|
|
|
|
|
|
|
|
Para los hosts, el archivo definido aquí será copiado a su nodo, [siempre y cuando](https://git.interior.edu.uy/adminsys/config/blob/a97dcba79f84c89a77c2ba11f2b803efcae13a69/config_host.yml#L13) se cuente con la carácterística de firewall [habilitada en alguna de sus interfaces de red](https://git.interior.edu.uy/adminsys/config/blob/a97dcba79f84c89a77c2ba11f2b803efcae13a69/host_vars/guayabo.interior.edu.uy/vars/10_lxc_container.yml#L28). La nomenclatura a respetar para que un archivos sea asociado a su host correspondiente es:
|
|
Para los hosts, el archivo definido [aquí](https://git.interior.edu.uy/adminsys/config/tree/master/files/firewall_proxmox/etc/pve/firewall) será copiado a su nodo, [siempre y cuando](https://git.interior.edu.uy/adminsys/config/blob/a97dcba79f84c89a77c2ba11f2b803efcae13a69/config_host.yml#L13) se cuente con la carácterística de firewall [habilitada en alguna de sus interfaces de red](https://git.interior.edu.uy/adminsys/config/blob/a97dcba79f84c89a77c2ba11f2b803efcae13a69/host_vars/guayabo.interior.edu.uy/vars/10_lxc_container.yml#L28). La nomenclatura a respetar para que un archivos sea asociado a su host correspondiente es:
|
|
|
```
|
|
```
|
|
|
<nombre-canónico-del-host-en-minúsculas>.fw
|
|
<nombre-canónico-del-host-en-minúsculas>.fw
|
|
|
```
|
|
```
|
| ... | @@ -23,11 +23,11 @@ ansible-playbook --limit <nombre-host>.interior.edu.uy --tags firewall site.yml |
... | @@ -23,11 +23,11 @@ ansible-playbook --limit <nombre-host>.interior.edu.uy --tags firewall site.yml |
|
|
|
|
|
|
|
Al igual que para los hosts, toda la configuración de firewall del cluster se concentra en un archivo: [cluster.fw](https://git.interior.edu.uy/adminsys/config/blob/master/files/firewall_proxmox/etc/pve/firewall/cluster.fw)
|
|
Al igual que para los hosts, toda la configuración de firewall del cluster se concentra en un archivo: [cluster.fw](https://git.interior.edu.uy/adminsys/config/blob/master/files/firewall_proxmox/etc/pve/firewall/cluster.fw)
|
|
|
|
|
|
|
|
Si embargo, la diferencia radica en que las tareas de automatización de la configuración del cluster, fueron separadas al playbook [configurar_firewall_cluster_proxmox.yml](https://git.interior.edu.uy/adminsys/config/blob/master/configurar_firewall_cluster_proxmox.yml).
|
|
Sin embargo, la diferencia radica en que las tareas de automatización de la configuración del cluster, fueron separadas al playbook [configurar_firewall_cluster_proxmox.yml](https://git.interior.edu.uy/adminsys/config/blob/master/configurar_firewall_cluster_proxmox.yml).
|
|
|
|
|
|
|
|
Esto se debe a que en el archivo de cluster se manejan directivas que permiten la normalización de la gestión, afectando a más de un host, como los `IP Aliases` y `Security Groups` ([ver documentación Proxmox](https://pve.proxmox.com/wiki/Firewall)). Esta característica es muy beneficiosa, pero debe ser utilizada con cuidado. Ya que por ejemplo, al ejecutar versiones desactualizadas de `config`, podríamos estar aplicando una regresión en reglas de firewall que dejen indisponibles servicios ya declarados en producción.
|
|
Esto se debe a que en el archivo de cluster se manejan directivas que permiten la normalización de la gestión, afectando a más de un host, como los `IP Aliases` y `Security Groups` ([ver documentación Proxmox](https://pve.proxmox.com/wiki/Firewall)). Esta característica es muy beneficiosa, pero debe ser utilizada con cuidado. Ya que por ejemplo, al ejecutar versiones desactualizadas de *config*, podríamos estar aplicando una regresión en reglas de firewall que dejen indisponibles servicios ya declarados en producción.
|
|
|
|
|
|
|
|
**Por esta, entre otras tantas razones, en indispensable estar actualizado a los últimos caombios de la rama master (*git pull*) antes de correr playbooks**
|
|
**Por esta, entre otras tantas razones, es indispensable estar actualizado a los últimos cambios de la rama master (*git pull*) antes de correr playbooks**
|
|
|
|
|
|
|
|
En principio, la configuración del cluster es muy poco editada, mientras que trabajamos intensivamente sobre los hosts. La separación a otro playbook permite entonces, asegurar que al ejecutar `site.yml` como se indicaba en el paso anterior:
|
|
En principio, la configuración del cluster es muy poco editada, mientras que trabajamos intensivamente sobre los hosts. La separación a otro playbook permite entonces, asegurar que al ejecutar `site.yml` como se indicaba en el paso anterior:
|
|
|
> ansible-playbook --limit nombre-host.interior.edu.uy --tags firewall site.yml
|
|
> ansible-playbook --limit nombre-host.interior.edu.uy --tags firewall site.yml
|
| ... | |
... | |
| ... | | ... | |
