François Goffinet

François Goffinet

Solutionnaire Ansible

1. Bibliographie Ansible

2. Ansible Stackoverflow

2.1. Variables

2.2. Texte

2.3. Logique

2.4. Modules

2.5. Inventaire

3. Certificats TLS auto-signés

3.1. Module command

Voici une solution fonctionnelle avec le module command mais elle est “brut de décoffrage”.

- name: Install nginx and python-openssl
  apt:
    name:
      - nginx
      - python-openssl
    update_cache: yes
    cache_valid_time: 3600

- name: Create self-signed certificate, if configured.
  command: >
    openssl req -x509 -nodes -subj '/CN=localhost' -days 365
    -newkey rsa:4096 -sha256 -keyout {{ key_file }} -out {{ cert_file }}
    creates={{ cert_file }}
  notify: restart nginx

- name: "fix right on key file"
  file:
    name: "{{ key_file }}"
    mode: 0600
  notify: restart nginx

3.2. Modules openssl_*

Voici une solution avec des variables et des tâches idempotentes grâce aux modules Ansibles openssl_* :

  • openssl_privatekey
  • openssl_csr
  • openssl_certificate
  • openssl_dhparam

Variables

vars:
  key_file: "/path/{{ ansible_fqdn }}.key.pem"
  csr_file: "/path/{{ ansible_fqdn }}.csr.pem"
  cert_file: "/path/{{ ansible_fqdn }}.cert.pem"
  dh_file: "/path/{{ ansible_fqdn }}.dh.pem"

Tâches

- name: Generate an OpenSSL private key.
  openssl_privatekey:
    path: "{{ key_file }}"
  notify: restart nginx

- name: Generate an OpenSSL CSR.
  openssl_csr:
    path: "{{ csr_file }}"
    privatekey_path: "{{ key_file }}"
    common_name: "{{ ansible_fqdn }}"
  notify: restart nginx

- name: Generate a Self Signed OpenSSL certificate.
  openssl_certificate:
    path: "{{ cert_file }}"
    privatekey_path: "{{ key_file }}"
    csr_path: "{{ csr_file }}"
    provider: selfsigned
  notify: restart nginx

- name: "fix right on key file"
  file:
    name: "{{ key_file }}"
    mode: 0600
  notify: restart nginx

Pour générer un fichier Diffie-Helman (DH) :

- name: "generate a DH key"
  openssl_dhparam:
    path: "{{ dh_file }}"
    size: 2048

3.3. Rôle Let’s Encrypt

Ansible Role - Certbot (for Let’s Encrypt)

Vous pourriez aimer aussi

Glossaire Ansible

49 minutes de lecture

Glossaire des termes utilisés dans le contexte Ansible

Configuration Ansible

47 minutes de lecture

Ce document propose d’examiner les principales options de configuration de Ansible sur le noeud de contrôle. Son architecture sans agent laisse le soin à chacun de configurer finement et personnellement le comportement par défaut de la solution. Le comportement d’Ansible peut être influencé de différentes manières : en configurant des variables d’environnement, en passant directement les paramètres sur la ligne de commande ansible ou ansible-playbook, en définissant un fic...

Ansible Tower AWX

13 minutes de lecture

Ansible Tower est Ansible au niveau de l’entreprise. Il s’agit d’une solution Web permettant de gérer une organisation avec une interface utilisateur très simple qui fournit un tableau de bord avec des résumés de l’état de tous les hôtes, qui permet des déploiements rapides et surveille toutes les configurations. Tower permet de partager les informations d’identification SSH sans les exposer, de consigner tous les travaux, de gérer graphiquement les inventaires et de les ...