Skip to content

Changes

Page history
Mejoras proc de migracion del PWM; Pagina mantenimiento en identidad.interior authored by Andrés's avatar Andrés
Show whitespace changes
Inline Side-by-side
Plan-de-migración-del-LDAP-(OpenLDAP-PWM).md
View page @ 233fdf85
......@@ -57,7 +57,7 @@ service slapd restart
### Tareas previas a concluir
* Commitear cualquier cambio que haga quedado pendiente hacer tanto en la rama de trabajo dentro del proyecto config, como en las distintas ramas de trabajo del rol y repositorios de Github:
* Hacer commit y push de cualquier cambio que haya quedado pendiente enviar tanto de las ramas de trabajo del proyecto Config, como de cualquiera de las ramas de de los repositorios de Github utilizados:
* [variable-restructuring](https://github.com/UdelaRInterior/ansible-pwm/tree/variable-restructuring)
* [war_update](https://github.com/UdelaRInterior/ansible-pwm/tree/war_update)
* [users_by_mail](https://github.com/UdelaRInterior/pwm/tree/users_by_mail)
......@@ -67,46 +67,66 @@ service slapd restart
```
git checkout variable-restructuring
git filter-branch --force --index-filter "git rm --cached --ignore-unmatch pwm-2.0.0-SNAPSHOT.war" --prune-empty --tag-name-filter cat -- --all 34bb659dd7ce93dbe855fd7635e99a03c3b244f1..HEAD
git filter-branch --force --index-filter "git rm --cached --ignore-unmatch files/pwm-2.0.0-SNAPSHOT.war" --prune-empty --tag-name-filter cat -- --all 34bb659dd7ce93dbe855fd7635e99a03c3b244f1..HEAD
git checkout user_by_email
git checkout war_update
git filter-branch --force --index-filter "git rm --cached --ignore-unmatch pwm-2.0.0-SNAPSHOT.war" --prune-empty --tag-name-filter cat -- --all 34bb659dd7ce93dbe855fd7635e99a03c3b244f1..HEAD
git filter-branch --force --index-filter "git rm --cached --ignore-unmatch files/pwm-2.0.0-SNAPSHOT.war" --prune-empty --tag-name-filter cat -- --all 34bb659dd7ce93dbe855fd7635e99a03c3b244f1..HEAD
git push origin --force --all
```
* Cerrar Pull Request.
* Cerrar primeras Pull/Merge requests.
* [Ansible Pwm Pull 3](https://github.com/UdelaRInterior/ansible-pwm/pull/3)
* [Ansible Pwm Pull 2](https://github.com/UdelaRInterior/ansible-pwm/pull/2)
* [PWM Pull 2](https://github.com/UdelaRInterior/pwm/pull/2)
* [Config Merge Request 12](https://git.interior.edu.uy/adminsys/config/merge_requests/12)
* [Merge Request 55 de Config](https://git.interior.edu.uy/adminsys/config/merge_requests/55) (luego volver a mergear la master en la rama [103-automatizar-la-instalacion-de-pwm](https://git.interior.edu.uy/adminsys/config/tree/103-automatizar-la-instalacion-de-pwm))
* Vamos a crear tags/releases para definir la última versión de los roles y proyectos que usaremos en el aprovisionamiento del servidor Chalchal
* Fork del PWM: En este caso vamos a crear mediante la interfaz web de Github (de forma manual) vamos a crear una release para subir allí el binario .war que empaqueta el código que dará funcionamiento al PWM. Al crear la release, vamos a crear una Tag (v1.0.0) asociada al hash del commit de master correspondiente.
* Para el rol Ansible-PWM: Para crear una release simplemente con la herramienta git en línea de comando definiremos una nueva tag (git tag <version>) .
* Crear tags/releases para definir la última versión de los roles y proyectos que usaremos en el aprovisionamiento del servidor Chalchal
* [Fork del PWM](https://github.com/UdelaRInterior/pwm): En este caso vamos a crear mediante la interfaz web de Github (de forma manual) vamos a crear una release para subir allí el binario .war que empaqueta el código que dará funcionamiento al PWM. Al crear la release, vamos a crear una Tag (v1.0.0) asociada al hash del commit de master correspondiente.
* [Rol Ansible-PWM](https://github.com/UdelaRInterior/ansible-pwm): En este caso simplemente con la herramienta git en línea de comando definiremos una nueva tag (git tag <version>) .
### Plan para el día de migración
Al momento Chalchal se encuentro creado y NO es la idea destruirlo debido a que tiene almacenadas las llaves DKIM que permiten al Postfix enviar mails firmados y estas llaves ya se encuentran publicadas en el DNS.
Estos serán los pasos que daremos al migrar el PWM:
* Bajar los TTLS en la zona DNS interior.edu.uy.
#### Respaldos previos
* Al momento `chalchal` se encuentra creado y contiene almacenadas sus llaves DKIM que permiten al Postfix enviar mails firmados. Además estas llaves ya se encuentran publicadas en el DNS. Por esta razón, conviene respaldar las llaves existentes para volver a restaurarlas una vez que se recree el contenedor. Concretamente respaldaremos el directoio `/etc/opendkim`.
* Además haremos un respaldo Proxmox previo del contenedor por si fuese necesario.
#### Operaciones sobre el LDAP
* Para realizar estas operaciones, en el servidor OpenLDAP de producción (`ldap.interior.edu.uy`), se debe ejecutar el script de administración general del LDAP así: `./Admin_LDAP.sh`
* En primer lugar creamos el nuevo grupo `matrix_externos`. A este nuevo grupo se incorporarán todos los usuarios existentes registrados con cuentas de mails de dominios **NO pertenecientes** a la Red de Unidades Informáticas del Interior. Para conseguir esto, elegimos la opción 4, indicamos nombre de grupo y listo.
* Además agregaremos a todos los usuarios registrados con cuentas de mails de dominios **pertenecientes** a la Red de Unidades Informáticas del Interior a los grupos `matrix` y `eduroam`. Para conseguir esto, elegimos la opción 11 e indicamos nombre de grupo, `matrix` en primer lugar. Hacemos lo mismo para `eduroam`.
#### Instalación y configuración del servidor
* Bajar los TTLS en la zona DNS `interior.edu.uy`.
* Actualización de la rama de trabajo con los últimos commits de master. Ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#actualizaci%C3%B3n-de-la-rama-41-con-los-%C3%BAltimos-cambios-hechos-en-master)
* Se crea el contenedor, se instala y configura el PWM mediante el playbook site.yml. Ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#creaci%C3%B3n-del-contenedor-candombe-mediante-ansible). Concretamente se lanza el playbook:
`ansible-playbook --limit chalchal.interior.edu.uy site.yml -vv -i hosts_prod --skip-tags descarga`
* Se hacen chequeos mínimos para verificar que esta instancia de Chalchal funciona de forma correcta en conjunto con ldap-test.interior.edu.uy.
* Luego se actualiza la configuración de Chalchal para que apunte a ldap.interior.edu.uy
* Se hacen chequeos mínimos para verificar que el PWM funciona de forma correcta en conjunto con `ldap-test.interior.edu.uy`.
* Luego se actualiza la configuración del servicio para que apunte a `ldap.interior.edu.uy`.
* Modificación en la zona interior.edu.uy. Ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#modificaci%C3%B3n-de-la-zona-interioreduuy):
* Se modifican los alias: identidad y www.identidad.
#### Varela en Modo mantenimiento
* Se crea una página web estática en `/var/www/hml/pwm/index.html`.
* Esta funcionará como página de mantenimiento que informará a los usuarios sobre las horas de comienzo y fin de la migración. Además les indicará que ahora deberán dirigirse a `login.interior.edu.uy` para poder registrarse. A su vez está página (mediante headers html) hará una redirección HTTP hacia `login.interior.edu.uy` luego de transcurrido unos segundos.
* **Momento crítico de la migración**. Se debe determinar cuando poner en mantenimiento la instancia de PWM de `varela`, para ello elegir un momento en que no haya actividad de usuarios en el sitio (revisar los logs para detectar si hay algún usuario registrándose en el sitio en determinado momento).
* Cuando llegue este momento, editar el virtualhost de Apache para deshabilitar el Reverse Proxy, de esta manera Tomcat y PWM seguirán en funcionamiento pero serán inalcanzables. Esto permitirá que el usuario llegue en primer lugar a la página de mantenimiento.
#### Modificaciones en DNS y certificados
* Modificacion de la zona interior.udelar.edu.uy. Esta operación se realiza de forma manual en massera:
* Se modifcan los alias identidad.interior.udelar, www.identidad.interior.udelar
* Modificación en la zona `interior.edu.uy`. Ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#modificaci%C3%B3n-de-la-zona-interioreduuy):
* Se modifican los alias: `identidad` y `www.identidad`.
* Modificacion de la zona `interior.udelar.edu.uy`. Esta operación se realiza de forma manual en massera:
* Se modifcan los alias `identidad.interior.udelar`, `www.identidad.interior.udelar`
* Generación de nuevos certificados TLS. Ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#generaci%C3%B3n-de-nuevos-certificados):
......@@ -116,6 +136,10 @@ service apache2 restart
service tomcat restart
```
* Ajustes en host_vars de Chalchal para reflejar el final de la migración. Activamos los dominios identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.interior.edu.uy, www.identidad.interior.udelar.interior.edu.uy en la conifugración de Certbot.
#### Pasos finales
* Ajustes en host_vars de `chalchal` para reflejar el final de la migración. Activamos los dominios `identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.interior.edu.uy, www.identidad.interior.udelar.interior.edu.uy` en la conifugración de Certbot.
* Al día siguiente detenemos el servicio Tomcat en `varela`, Apache seguirá encendido. `varela` no se apaga esta vez, recién se apagará una vez que se migre la agenda telefónica hacia un contenedor en la nueva plataforma.
* Al día siguiente detenemos el servicio Tomcat en Varela, El de Apache seguirá encendido. Varela no se apaga esta vez, recién se apagará una vez que se migre la agenda telefónica hacia un contenedor en la nueva plataforma.
\ No newline at end of file
* Por último, cerrar la [Merge Request 12](https://git.interior.edu.uy/adminsys/config/merge_requests/12) del proyecto Config.