Tareas #6055

Tareas #6009: Automatización de la configuración de los servidores con ansible

Gestión de los firewalls proxmox

Added by Daniel Viñar Ulriksen over 3 years ago. Updated almost 3 years ago.

Status:En cursoStart date:10/25/2018
Priority:NormalDue date:
Assignee:Santiago Martinez% Done:

90%

Category:-Spent time:60.00 hours
Target version:-

Description

Proxmox gestiona firewalls, y tiene varios niveles: todo el cluster, cada nodo, y cada virtual o contenedor.

Conviene analizarlo y ver como configurarlo con ansible, y estudiar como esto se articula con el firewall físico en ÑMate.

Al diseñar esto conviene también explorar con la manera en que manejábamos los firewall TCP/IP en la plataforma de CSIC, en el servidor Fermi, al menos para ver el alcance y magnitud de la tarea a término. Y también para comparar y evaluar las tecnologías.

History

#1 Updated by Cristhian Ariel Choque over 3 years ago

  • Status changed from Nueva to En curso
  • % Done changed from 0 to 10

Empezare revisando todos los enlaces mencionados en la descripción de la petición, así como tambien entendiendo y revisando todo sobre proxmox.

#2 Updated by Cristhian Ariel Choque about 3 years ago

  • % Done changed from 10 to 30

Se creo un rol llamado firewall_proxmox, por ahora, se avanzo en la estructura del rol, los archivos de configuración a nivel cluster, nodo y host aún se encuentran con valores por defecto, tal como estan en los ejemplos de configuración de firewall del repositorio de proxmox.

La rama git donde se encuentra el rol esta en : https://git.interior.edu.uy/adminsys/config/tree/firewall-proxmox

#3 Updated by Santiago Martinez almost 3 years ago

  • Assignee changed from Cristhian Ariel Choque to Santiago Martinez
  • % Done changed from 30 to 50

Fue creada una nueva rama en el proyecto config (llamada 'pve-firewall') para integrar la habilitación y configuración de firewall en los containers de acuerdo a la estructura actual de los playbooks.

La propuesta desarrollada es, luego de creado el container, invocar al role 'firewall_proxmox' para copiar al nodo correspondiente, los archivos de configuración de firewall del cluster (donde se indica que el firewall sea habilitado y se definen grupos de reglas que son comunes a varios hosts) y de cada container en particular (con reglas específicas). Loa archivos específicos para cada host se encuentran predefinidos en config/files/firewall_proxmox

La versión de este commit ya es funcional habilitando y configurando firewall para el servidor de pruebas 'chivito' y para el servidor 'guayabo' (Donde actualmente se aloja charla)

Parte de la tarea de habilitar firewall en los containers implica configuraciones en las interfaces de red de los mismos. Aspecto que requirió estas modificaciones en el role de galaxia 'crear_lxc'.

#4 Updated by Santiago Martinez almost 3 years ago

  • % Done changed from 50 to 80

Continuando con la idea propuesta, una vez indicado en los 'host_vars' que un container cuenta con firewall, se cargará al nodo proxmox el archivo de firewall definido para ese host.

En caso de que este no exista o no se encuentre dicho archivo, se implementó en este commit la característica de cargar un archivo por defecto que habilita acceso SSH, PING, HTTP y HTTPS.

#5 Updated by Santiago Martinez almost 3 years ago

Realizadas algunas correcciones al firewall de 'guayabo', los problemas comentados y tratados en la reunión de equipo del pasado viernes parecen estar solucionados.

Adicionalmente, fue reconstruido 'pitanga' con su nuevo archivo de firewall. Al realizar pruebas instalando y utilizando Wordpress y Nextcloud, el funcionamiento es perfecto.

#6 Updated by Santiago Martinez almost 3 years ago

  • % Done changed from 80 to 90

En el proyecto 'config', ya fue realizado el merge de la rama 'pve-firewall' a la rama 'preproduccion'.

Los containers Guayabo, Pitanga, Asado y Che ya cuentan con firewall operativo. Siendo el primer caso el único atípico, los demás cuentan con las reglas definidas para los grupos 'basic' y 'webserver' que se especifican en el archivo cluster.fw

Para el container Chivito, destinado a pruebas, se conservan comentadas reglas de firewall de ejemplo extraídas de la documentación de proxmox.

#7 Updated by Santiago Martinez almost 3 years ago

En este commit el role 'firewall_proxmox' fue movido desde el proyecto 'config' a la galaxia, referenciándose como corresponde en el archivo requirements.yml.

Adicionalmente fueron corregidos algunos detalles en la configuración del firewall, que se sospecha, son responsables de los inconvenientes registrados en este issue, donde puede apreciarse el seguimiento.

#8 Updated by Santiago Martinez almost 3 years ago

Se encuentra disponible tanto en el proyecto config de git.interior como en el correspondiente al role firewall_proxmox en github una reestructuracíon de la forma en que se configura el firewall Proxmox en la nueva plataforma.

Debido a que la configuración del cluster implica la definición de reglas de firewall grupales, se consideró necesario independizar esta configuración del role que setea el firewall para cada host en particular. El acoplamiento que el role mantenía hasta ahora, era potencialmente peligroso ante ejecuciones de playbooks con código desactualizado.

A partir de la reestructura, se cuenta con un playbook específico para la configuración del cluster, y el role solo afecta al host que lo invoque.

Also available in: Atom PDF