| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| linux:ansible:playbook_example_08 [22.09.2022 08:21. ] – [Script starten] django | linux:ansible:playbook_example_08 [01.06.2024 13:48. ] (aktuell) – [Script starten] django |
|---|
| ====== Ansible - erweitertes Konfigurationsbeispiel: Ansible mit Hilfe von Ansible einrichten ====== | ====== Ansible - erweiterte Konfigurationsbeispiele: Ansible mit Hilfe von Ansible einrichten ====== |
| {{:centos:ansible:ansible_logo.png?nolink&125|Bild: Ansible Logo}} \\ \\ | {{:centos:ansible:ansible_logo.png?nolink&125|Bild: Ansible Logo}} \\ \\ |
| |
| |
| ===== Aufgabenstellung 1 - "vereinfachte" Grund-/Basis-Installation ===== | ===== Aufgabenstellung 1 - "vereinfachte" Grund-/Basis-Installation ===== |
| Für die Grundkonfiguration in der Basisausführung der Ansible-Umgebung, wie wir Sie im Kapitel **[[first#grund-_konfiguration|Erste Schritte Rund um Ansible - (Grund-)Konfiguration]]** Eingangs kennengelernt hatten, benötigen wir eine vordefinierte Grundinstallation und Konfiguration. Damit diese Erstkonfiguration unserer Ansible-Umgebung nicht von Hand erfolgen muss, greifen wir auf das Playbook **''ansible_grundconfig.yml''** zurück. | Für die Grundkonfiguration in der Basisausführung der Ansible-Umgebung, wie wir Sie im Kapitel **[[first#grund-_konfiguration|Erste Schritte Rund um Ansible - (Grund-)Konfiguration]]** Eingangs kennengelernt hatten, benötigen wir eine vordefinierte Grundinstallation und Konfiguration. Damit diese Erstkonfiguration unserer Ansible-Umgebung nicht von Hand erfolgen muss, greifen wir auf das Playbook **''ansible_grundconfig_v1.yml''** zurück. |
| |
| Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Bei Bedarf ist als also jederzeit ohne grossen Aufwand möglich den Ansible-Controll-Node neu aufzusetzen und das System für spätere Playbook-Rollouts vorzubereiten, den Host also auch initial frisch zu versorgen. | Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Bei Bedarf ist als also jederzeit ohne grossen Aufwand möglich den Ansible-Controll-Node neu aufzusetzen und das System für spätere Playbook-Rollouts vorzubereiten, den Host also auch initial frisch zu versorgen. |
| |
| ==== Lösung ==== | ==== Lösung ==== |
| | <WRAP center round tip 80%> |
| | Der ungeduldigen Leser kann auch direkt zur Tat schreiten und das manuelle Anlegen des Verzeichnisses und des Ansible-Scripts überspringen. Mit Folgendem Befehl erledigt man dies sozusagen auf einem Rutsch: |
| | |
| | <code> $ mkdir ~/ansible ; wget https://gitlab.nausch.org/django/example_8a/-/archive/main/example_8a-main.tar.gz -O - | tar -xz --strip-components=1 -C ~/ansible</code> |
| | |
| | Anschliessend kann man direkt **[[#script_starten|zur Ausführung schreiten]]**. |
| | </WRAP> |
| === Script anlegen === | === Script anlegen === |
| Zunächst müssen wir manuell einmal das Verzeichnis **''~/ansible/playbooks''** in dem wir unsere Ansible-Playbooks ablegen werden auf unserer Admin-Workstation bzw. dem **A**nsible-**C**ontroll-**N**ode anlegen. | Zunächst müssen wir manuell einmal das Verzeichnis **''~/ansible/playbooks''** in dem wir unsere Ansible-Playbooks ablegen werden auf unserer Admin-Workstation bzw. dem **A**nsible-**C**ontroll-**N**ode anlegen. |
| - {directory: "library/"} | - {directory: "library/"} |
| - {directory: "module_utils/"} | - {directory: "module_utils/"} |
| | - {directory: "playbooks/"} |
| - {directory: "inventories/production/group_vars/"} | - {directory: "inventories/production/group_vars/"} |
| - {directory: "inventories/production/host_vars/"} | - {directory: "inventories/production/host_vars/"} |
| ok: [localhost] => (item={'directory': 'library/'}) | ok: [localhost] => (item={'directory': 'library/'}) |
| ok: [localhost] => (item={'directory': 'module_utils/'}) | ok: [localhost] => (item={'directory': 'module_utils/'}) |
| | ok: [localhost] => (item={'directory': 'playbooks/'}) |
| ok: [localhost] => (item={'directory': 'inventories/production/group_vars/'}) | ok: [localhost] => (item={'directory': 'inventories/production/group_vars/'}) |
| ok: [localhost] => (item={'directory': 'inventories/production/host_vars/'}) | ok: [localhost] => (item={'directory': 'inventories/production/host_vars/'}) |
| |
| |
| ===== Aufgabenstellung 2 - "vereinfachte" Grund-/Basis-Installation ===== | ===== Aufgabenstellung 2 - "erweiterte" Grund-/Basis-Installation für Ansible-Vault unter Arch Linux===== |
| | |
| | <WRAP center round info 80%> |
| | Mit Hinblick auf das all umspannende Thema **Sicherheit in der IT** ist eines unserer Hauptaugenmerk, dass schützenswerte Informationen nicht mehr als plain-text in unserer Ansible-Entwicklungsumgebung ungeschützt herumliegen. |
| | Folgende Sicherheitsvorkehrungen wollen wir unseren Admins für die Arbeit mit **[[https://www.ansible.com/|Ansible]]** unter **[[https://archlinux.org/|Arch Linux]]** an die Hand geben: |
| | - Die Anmeldung an remote Hosts erfolgt mit Hilfe der **SSH** ausschliesslich mit Schlüsseln, auf keinen Fall über Passworte. Anmeldung als **root** sind grundsätzlich unterbunden, auch die Anmeldung mit Hilfe eines User-Keys als **''root''** ist ebenso wenig gestattet! Der Admin muss den SSH-Private-Key besitzen und von dessen Passphrase Kenntnis haben. Wird ein **Nitrokey Start** USB-Schlüssel verwendet, kann bei Bedarf auch der **[[suse:nitrokey:start#nitrokey_start_und_secure_shell|SSH-Key bei Verwendung der SSH]]** benutzt werden. Die Zusätzliche Eingabe einer Passphrase erübrigt sich dadurch auch hier, wenn der SSH-Key auf dem Kryptostick verwendet wird! |
| | - Der Administrator soll beim Aufruf der Playbooks **__nur noch__** den PGP-Schlüssel durch Eingabe der zugehörigen Passphrase entsperren. Das Passwort für die Rechteerweiterung wird von Ansible aus dem Vault gelesen, genau so wie das **''become_password''** zur Rechteerweiterung. |
| | |
| | Wir wollen vertrauliche Informationen in unseren Playbooks bzw. im Inventory ausschliesslich via **Ansible-Vault** vorhalten, da diese als krypted **AES256** Daten abgelegt und somit auch jederzeit in einem verteiltem Versionskontrollsystem wie **[[ https://git-scm.com/|git]]** vorgehalten werden können. Durch Nutzung des Passwort-Manager **''pass''** wird die Handhabung soweit vereinfacht, so dass der Admin auch ohne grosse Not mehrmals hintereinander Ansible-Playbooks ausführen kann, ohne sich durch zigfache Eingabe von Passworten sich selbst das Leben allzu schwer zu machen! |
| | |
| | Aus Sicht von **IT-Security** haben wir somit einen erheblicher Zugewinn an Sicherheit. Die Akzeptanzschwelle ist durch Minimierung von mehrfachen Eingaben diverser Passworte durchaus niedrig, so dass für den Admin durchaus ein Mehrwert bei der täglichen administrativen Tätigkeit ausgemacht werden kann. |
| | </WRAP> |
| | |
| | Damit wir nun diesen Vorüberlegungen gerecht werden können, benötigen wir eine vordefinierte Grundinstallation und Konfiguration der Ansible-Umgebung für unsere(n) Admin(s) unter Arch Linux. Damit diese Grund-Konfiguration unserer Ansible-Umgebung nicht von Hand erfolgen muss, greifen wir auf das Playbook **''ansible_grundconfig_v2.yml''** zurück. |
| | |
| | Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Bei Bedarf ist als also jederzeit ohne grossen Aufwand möglich den Ansible-Controll-Node unter **Arch Linux** neu aufzusetzen und das System für spätere Playbook-Rollouts vorzubereiten, den Host also auch initial frisch zu versorgen. |
| | |
| | Folgende Schritte sollen von dem playbook abgearbeitet werden: |
| | - Abfrage des Passwortes für den Password-Store und des **''ansible_become_password''**. |
| | - Kopieren der Ansible-Konfigurationsdatei /etc/ansible/ansible.cfg in das **''$HOME''**-Verzeichnis des Admin-Users. |
| | - Anpassen, sprich konfigurieren der individuellen Ansible Umgebung. |
| | - Ansible Directory Layout anlegen und mit Dummy-Inhalten versorgen. |
| | - Installation und Konfiguration des Passwortmanagers **''pass''**. |
| | - Hinterlegen des Ansible Become Passwortes in einem Ansible-Vault. |
| | - Für die kompakte Ausgabe der Ansible Rückmeldungen soll der **[[playbook_example_12#ansible_stdout_compact_logger|Ansible Stdout Compact Logger]]** genutzt werden. |
| | |
| | Somit erreichen wir später bequem unser gestecktes Ziel unsere Zeit als Admin effizient zu nutzen und in einer sicheren Umgebung uns zu bewegen. |
| | |
| | ==== Lösung ==== |
| | <WRAP center round tip 90%> |
| | Der ungeduldigen Leser kann auch direkt zur Tat schreiten und das manuelle Anlegen des Verzeichnisses und des Ansible-Scripts überspringen. Mit Folgendem Befehl erledigt man dies sozusagen auf einem Rutsch: |
| | |
| | <code> $ mkdir -p ~/devel/ansible ; wget https://gitlab.nausch.org/django/example_8b/-/archive/main/example_8b-main.tar.gz -O - | tar -xz --strip-components=1 -C ~/devel/ansible</code> |
| | |
| | Anschliessend kann man, nachdem man die Variablen wie z.B. **''admin_mail''** an die individuellen Bedürfnisse angepasst hat, dann auch gleich direkt **[[#script_starten1|zur Ausführung schreiten]]**. |
| | </WRAP> |
| | === Script anlegen === |
| | <WRAP center round important 60%> |
| | Haben wir durch erste Gehversuche oder aus einer vorangegangenen Basisinstallation bereits eine **''~/.ansible.cfg''** in unserem **''$HOME''**-Verzeichnis, löschen wir diese da wir diese nun neu erzeugen und eine ggf. vorhandene Konfigurationsdatei beim Lauf dieses Playbooks eher hinderlich als hilfreich wäre! |
| | $ rm ~/.ansible.cfg |
| | </WRAP> |
| | |
| | Als erstes legen wir manuell einmal das Verzeichnis **''~/devel/ansible/playbooks''**, in dem wir unsere Ansible-Playbooks ablegen werden auf unserer Admin-Workstation bzw. dem **A**nsible-**C**ontroll-**N**ode anlegen, sofern wir das noch nicht erstellt hatten. |
| | $ mkdir -p ~/devel/ansible/playbooks |
| | |
| | Hier legen wir nun unser Ansible-Playbook/-Script **''ansible_grundconfig_v2.yml''** ab, mit dessen Hilfe wir unsere Ansible-Umgebung individuell einrichten und konfigurieren wollen. |
| | $ vim ~/ansible/playbooks/ansible_grundconfig_v2.yml |
| | |
| | {{gh> https://gitlab.nausch.org/django/example_8b/-/blob/main/playbooks/ansible_grundconfig_v2.yml }} |
| | |
| | <WRAP center round important 60%> |
| | **Wichtig:** \\ |
| | Die Variablen wie z.B. **''admin_mail''** passen wir natürlich noch unseren Gegebenheiten nach an, denn das Beispiel im Script wird sicherlich nicht für jedermann|frau zutreffen! 8-) |
| | </WRAP> |
| | |
| | |
| | === Script Beschreibung === |
| | Mit Hilfe des Playbooks werden für unseren Admin-User auf unserem Arch-Linux Host alle wesentlichen Konfigurationsoptionen definiert, die im Kapitel **[[first#grund-_konfiguration|(Grund-)Konfiguration - (Grund-)Konfiguration]]** detailliert beschrieben und besprochen wurden. Die Details zur spezifischen **Ansible-Vault** Konfiguration finden sich im Kapitel **[[playbook_example_07#ansible-vault_in_verbindung_mit_ansible-playbook|Ansible - erweitertes Konfigurationsbeispiel 7: Ansible Vault - ansible-vault in Verbindung mit ansible-playbook]]**. |
| | |
| | Nacheinander werden folgende Punkte abgearbeitet: |
| | - Ermitteln des angemeldeten (Admin-)Usernamens **''admin_user''**, der für die weitere Programmlauf benötigt wird. |
| | - Abfrage des Passwortes für den **Password-Store** und des **''ansible_become_password''**, damit dies bei der weiteren Abarbeitung des Ansible-Playbooks entsprechend verschlüsselt in einer **vault**-Datei sicher abgelegt werden kann. |
| | - Generieren der Ansible Konfigurationsdatei **''/etc/ansible.cfg''** mit Hilfe von **''ansible-config init --disabled > ~/.ansible.cfg''** |
| | - Setzen der Ansible-Konfigurationsoptionen |
| | * **''interpreter_python = auto_silent''** |
| | * **''inventory = /home/%%{{%% admin_user %%}}%%/ansible/inventories/production''** |
| | * **''roles_path = ~/ansible/roles''** |
| | * **''vault_password_file = ~/bin/ansible_vault_password''** |
| | - Ansible Directory Layout anlegen und anschliessend |
| | - Ansible Directory Layout mit dummy-files **''.gitkeep''** befüllen. |
| | - Installation des Passwort-Managers **''pass''** |
| | - vault-Wrapperscript im **''bin''** Verzeichnis des Admins ablegen und ggf. das zugehörige Verzeichnis anlegen. |
| | - Store-Passwort für **''pass''** im zugehörigen Verzeichnis ablegen, dabei ggf. ein bereits existierendes **pass**-Verzeichnis löschen. |
| | - Im Inventory das **''become_password''** unter **''group_vars/all''** ablegen und dabei eine bereits existierende vault-Datei vorher entfernen. |
| | - Ansible-Vault Datei, die zuvor angelegt wurde, mit dem Ansible-Vault-Passwort sicher verschlüsseln. |
| | - Im Inventory die Definitionen zu privilege_escalation anlegen und auch hier ggf. ein bereits existierende Konfigurationsdatei vorher löschen. |
| | - Installation und Konfiguration des Ansible Stdout Compact Logger unter Arch Linux |
| | * **''stdout_callback=anstomlog''** |
| | * **''callback_plugins = ~/.ansible/plugins/callback"''** |
| | |
| | |
| | === Script starten === |
| | Das Ansible-Playbook lässt sich wie folgt auf dem Ansible-Controll-Host bzw. der Admin-Workstation aufrufen: |
| | |
| | $ ansible-playbook ~/devel/ansible/playbooks/ansible_grundconfig_v2.yml -K |
| | |
| | {{ :linux:ansible:ansible-krypto-stick.png?nolink&200|Bild: Ansible NitroKey Start}}Beim Aufruf eines Ansible-Playbooks liest das Programm **''ansible-playbook''** alle benötigten Dateien ein. Zum Abarbeiten benötigt Ansible natürlich die temporär entschlüsselten Informationen. Damit Ansible nun die verschlüsselten Informationen herankommt, benötigt Ansible natürlich vorübergehend das Vault-Passwort/-Passphrase, welches sich nun selbst verschlüsselt in einem Ansible-Vault befindet. Durch den Passwortmanager **''pass''** und unserem PGP-Schlüssel kommen wir nun direkt zu dem **Ansible Vault Passwort**. Wir brauchen also nur einmal das für den PGP zugehörige Passwort oder im Falle der Verwendung eines Security-Hardware-Devices wie eines **[[https://shop.nitrokey.com/de_DE/shop/product/nksa-nitrokey-start-6|Nitrokey Start]]**. |
| | |
| | Der Aufruf des Scripts **''01_create-user.ym''** aus **[[linux:ansible:playbook_example_01|Beispiel 1]]** würde dann lauten: |
| | $ ansible-playbook -v 01_create-user.yml --limit=demo |
| | |
| | Nach der Abfrage des **''PGP-Passwortes''** bzw. der **PIN** bei Verwendung eines **Nitrokey Start** wird dann sofort das Playbook ausgeführt. Eine zusätzliche Eingabe eines **''become_password''** ist nunmehr nicht mehr nötig. |
| | |
| | ===== Fazit und Ausblick ===== |
| | <WRAP center round info 60%> |
| | Wir haben nun Dank der beiden gezeigten Ansible-Playbooks zur Konfiguration unserer Ansible-Umgebung die Möglichkeit, jederzeit bei Bedarf einen weiteren Admin zu befähigen bzw. eine bestehende Umgebung erneut auszurollen. Somit können wir nun mit **Ansible-Vault** vertrauliche Informationen in unseren Playbooks bzw. im Inventory ablegen. Diese werden als krypted **AES256** Daten abgelegt und können dadurch auch jederzeit in einem verteiltem Versionskontrollsystem wie **[[ https://git-scm.com/|git]]** vorgehalten werden. Durch Nutzung des Passwort-Manager **''pass''** wird die Handhabung soweit vereinfacht, so dass der Admin auch ohne grosse Not mehrmals hintereinander Ansible-Playbooks ausführen kann, ohne sich durch zigfache Eingabe von Passworten sich selbst das Leben allzu schwer zu machen! |
| | </WRAP> |
| | |
| | ====== Links ====== |
| | * **[[detail|zurück zum Kapitel "Ansible - Erweiterte Konfigurationsbeispiele"]] <= ** |
| | * **=> [[playbook_example_09|weiter zum Kapitel "Ansible - Erweiterte Konfigurationsbeispiel: Inventory]]** |
| | * **[[start|Zurück zur "Ansible"-Übersicht]]** |
| | * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]** |
| | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
django