creation role lb-front-ssl

roles/lb-front-ssl/README.md

@@ -0,0 +1,22 @@
+# Rôle lb-front
+***
+Rôle lb-front pour la répartition de charge des serveurs web sur WordPress avec HAProxy
+
+## Tables des matières
+    1. Que fait le rôle lb-front ?
+    2. Ordre d'installation des serveurs.
+
+
+## Que fait le rôle lb-front ?
+
+Le rôle lb-front va installer `haproxy` pour le load balancing/la répartition de charge et va configurer le fichier `/etc/haproxy/haproxy.cfg`.
+
+le fichier va faire du Round-Robin, un algoritme qui va équilibrer le nombre de requêtes entre s-lb-web1 et s-lb-web2.
+
+le site web est accessibe à l'adresse <http://s-lb.gsb.adm>.
+
+## Ordre d'installation des serveurs.
+    1. Le serveur s-lb avec haproxy qui va "initialiser" les sous-réseaux dans la DMZ.
+    2. Le serveur s-lb-bd qui va contenir la base de données WordPress utilisée par les serveurs web.
+    3. Le serveur s-nas qui va stocker la configuration WordPress et la partager aux serveurs web en NFS. Il va aussi utiliser la base de données sur stockée s-lb-bd.
+    4. Les serveurs s-web1 et s-web2 qui vont installer Apache2, PHP et afficher le serveur WordPress.

roles/lb-front-ssl/files/haproxy.cfg

@@ -0,0 +1,55 @@
+global
+	log /dev/log	local0
+	log /dev/log	local1 notice
+	chroot /var/lib/haproxy
+	stats socket /run/haproxy/admin.sock mode 660 level admin
+	stats timeout 30s
+	user haproxy
+	group haproxy
+	daemon
+
+	# Default SSL material locations
+	ca-base /etc/ssl/certs
+	crt-base /etc/ssl/private
+
+	# Default ciphers to use on SSL-enabled listening sockets.
+	# For more information, see ciphers(1SSL). This list is from:
+	#  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
+	ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
+	ssl-default-bind-options no-sslv3
+
+defaults
+	log	global
+	mode	http
+	option	httplog
+	option	dontlognull
+        timeout connect 5000
+        timeout client  50000
+        timeout server  50000
+	errorfile 400 /etc/haproxy/errors/400.http
+	errorfile 403 /etc/haproxy/errors/403.http
+	errorfile 408 /etc/haproxy/errors/408.http
+	errorfile 500 /etc/haproxy/errors/500.http
+	errorfile 502 /etc/haproxy/errors/502.http
+	errorfile 503 /etc/haproxy/errors/503.http
+	errorfile 504 /etc/haproxy/errors/504.http
+
+frontend proxypublic
+	bind 192.168.100.10:80
+	default_backend fermeweb
+
+backend fermeweb
+	balance roundrobin
+	option httpclose
+	option httpchk HEAD / HTTP/1.0
+	server s-lb-web1 192.168.101.1:80 check
+	server s-lb-web2 192.168.101.2:80 check
+
+
+listen stats
+	bind	*:8080
+	stats enable
+	stats uri /haproxy
+	stats auth admin:admin
+
+

roles/lb-front-ssl/handlers/main.yml

@@ -0,0 +1,3 @@
+---
+ - name: restart haproxy
+   service: name=haproxy state=restarted

roles/lb-front-ssl/tasks/main.yml

@@ -0,0 +1,34 @@
+- name: install haproxy
+  apt:
+    name: haproxy
+    state: present
+
+- name: creer un certificat auto-signé
+  openssl_certificate:
+    path: /etc/haproxy/crt/haproxy.crt
+    privatekey_path: /etc/haproxy/crt/private/haproxy.pem
+    csr_path: /etc/haproxy/crt/csr/haproxy.csr
+    provider: selfsigned
+
+- name: parametre backend et fontend
+  blockinfile:
+    path: /etc/haproxy/haproxy.cfg
+    block: |
+      frontend proxypublic
+        bind 192.168.100.10:80
+        bind 192.168.100.10:443 ssl crt /etc/haproxy/crt/pritvate/haproxy.pem
+        http-request redirect scheme https unless { ssl_fc }
+        default_backend fermeweb
+      
+      backend fermeweb
+        balance roundrobin
+        option httpclose
+        option httpchk HEAD / HTTP/1.0
+        server s-lb-web1 192.168.101.1:80 check
+        server s-lb-web2 192.168.101.2:80 check
+
+- name: redemarre haproxy
+  service:
+    name: haproxy
+#    state: restarted
+    enabled: yes

scripts/mkvm

@@ -17,6 +17,11 @@ vmMem[s-nas]=512
 vmMem[s-infra]=768
 vmMem[s-backup]=768
 vmMem[s-elk]=3072
+vmMem[s-awx]=4096
+
+declare -A vmCpus
+vmCpus[s-peertube]=2
+vmCpus[s-awx]=2
 
 usage () {
 	echo "$0 - version ${mkvmrelease} - Ova version ${ovarelease}"
@@ -40,12 +45,15 @@ create_vm () {
 	if [[ "${deletemode}" = 1 ]] ; then
 		VBoxManage unregistervm --delete "${nom}"
 	fi
-	vboxmanage import "${nomova}"  --vsys 0 --vmname "${nom}"
+	mem=1024
+	cpus=1
 	if [[ -v vmMem[${nom}] ]]; then
 		mem=${vmMem[${nom}]}
-		echo "machine ${nom}: ${mem} ..."
-		VBoxManage modifyvm  "${nom}" --memory "${mem}"
 	fi
+	if [[ -v vmCpus[${nom}] ]]; then
+		cpus=${vmCpus[${nom}]}
+	fi
+	vboxmanage import "${nomova}"  --vsys 0 --vmname "${nom}" --memory "${mem}" --cpus "${cpus}"
 }
 
 setif () {
@@ -145,6 +153,8 @@ elif [[ "${vm}" == "r-vp2" ]] ; then
 	./addint.r-vp2
 elif [[ "${vm}" == "s-agence" ]] ; then
 	create_if "${vm}" "n-adm" "n-agence"
+elif [[ "${vm}" == "s-awx" ]] ; then
+	create_if "${vm}" "n-adm" "n-infra"
 else
 	echo "$0 : vm ${vm} non prevue "
         exit 2	

scripts/mkvm.ps1

@@ -20,12 +20,16 @@ $vmMem = @{
   "s-elk" = "3072"
 }
 
+$vmCpus = @{
+  "s-awx" = "4096"
+  "s-peertube" = "4096"
+}
 #FONCTIONS
 
 function create_vm{ param([string]$nomvm)
 
 	if ($vmMem.ContainsKey($nomvm)) {
-	    & "$vboxmanage" import "$ovafile"  --vsys 0 --vmname "$nomvm" --memory $vmMem[$nomvm]
+	    & "$vboxmanage" import "$ovafile"  --vsys 0 --vmname "$nomvm" --memory $vmMem[$nomvm] --cpus $vmCpus[$nomvm}
             Write-Host "Machine $nomvm importée"
         } else {
          #Importation depuis l'ova
@@ -133,6 +137,22 @@ elseif ($args[0] -eq "s-kea2") {
 	create_if $args[0] "int" 3 "n-user"
 }
 
+
+elseif ($args[0] -eq "s-awx") {
+
+	create_vm $args[0]
+	create_if $args[0] "int" 1 "n-adm"
+	create_if $args[0] "int" 2 "n-infra"
+}
+
+
+elseif ($args[0] -eq "s-peertube") {
+
+	create_vm $args[0]
+	create_if $args[0] "int" 1 "n-adm"
+	create_if $args[0] "int" 2 "n-infra"
+}
+
 elseif ($args[0] -eq "s-agence") {
 
 	create_vm $args[0]