Bytecluster002 (alpha)
Als Vorbereitung zur Migration auf einen neuen Server wird die Konfiguration getestet. Dies soll hier dokumentiert werden.
Anforderungen
Webapplikationen
Python
Matrix
Pretix
PHP
Nextcloud
Blogs
Wiki
roundcube (webmail)
paste(bin)
NodeJS
etherpad
JS-only
riot-web
Mail
Postfächer
Weiterleitungen
SPAM-Filter
Mailinglisten
Datenbanken
mysql (Webdienste, Mail)
postgresql (Matrix)
Sonstige Dienste
ByteBot (Python)
-
Status MS/BS (Python)
User-Space (aktuell nicht vorhanden)
Testumgebung
VirtualBox mit Debain 10 NetInstall ohne graphisches Frontend, Auswahl bei der Installation nur „SSH Server“.
Portweiterleitung in VirtualBox von localhost:8822 auf <interneIP>:22 für den SSH Zugang
Ansible auf dem Host System
Zur Dokumentation und ggfs. Wiederholbarkeit soll die Konfiguration mittels Ansible-Skripten erfolgen. Dies benötigt keine Installation auf dem Server/Testsystem, sondern lediglich auf dem Host-System.
Windows (Cygwin)
Mittels Setup folgende Pakete installieren: ansible binutils curl gcc-core gmp libffi-devel libgmp-devel make python27 python27-crypto python27-openssl python27-setuptools python27-devel git nano openssh openssl
Per ssh-geygen ein Schlüsselpaar erzeugen
Inventory
Ansible benötigt ein Inventory mit den zu steuernden Server.
inventory.ini
[all]
localhost:8822 ansible_ssh_user=chaos
In dieser Datei wird auch angegeben, dass der ssh-Nutzer nicht dem Windows/Cygwin-Nutzer entspricht.
Configuration
anisble.cfg
[defaults]
# path to key for encrypted parameters
vault_password_file = ./vault_pass.txt
# enable timing information for tasks
callback_whitelist = profile_tasks
[privilege_escalation]
# ask for the sudo pass on start
become_ask_pass = true
[ssh_connection]
# ControlMaster=no was suggested for use with cygwin
# ConnectTimeout=0 fixes long waits for timeouts on my system
ssh_args = -o ControlMaster=no -o ConnectTimeout=0
vault password file
Ansible kann verschlüsselte Variablen verwenden, um sensible Daten wie Passwörter oder access-tokens in öffentlich zugänglichen Playbooks zu schützen. Das Passwort kann auf der Kommandozeile angegeben oder in einer (nicht zu veröffentlichenden) Datei gespeichert werden.
Letzteres erlaubt die Angabe des Pfades in der .cfg und wird in den Beispielen benutzt.
Die Datei enthält eine beliebe Zeichenfolge in einer Zeile.
Startup
Vorbereitung auf dem Server
Idealerweise sollte dies die einzigen direkt ausgeführten Befehle auf dem Server bleiben.
Playbooks
Set time
während der Debian10-Installation kann man Sprache und Zeitzone nicht unabhängig voneinander wählen
ich hatte danach als Zeitzone PST und die Hardware Clock war auf Systemzeit statt auf UTC gestellt
dies wird hier repariert, indem erst grob die Zeit anhand der Host-Zeit gestellt und dann ntp installiert wird
Install Packages
Backup /etc as git
Um Konfigurationsänderungen zu dokumentieren wird das /etc Verzeichnis sowie bei bedarf weitere Pfade zu einem GIT repo hinzugefügt
Da GIT die Nutzerrechte nicht mit speichert, wird dies extern getan
Scripte stellen sicher, dass Paketinstallationen Commits triggern oder ohne Commit nicht möglich sind.