ffdo
/
wiki


			
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110
							---
format: markdown
categories: Netz-Infrastruktur, Backbone, Supernodes
title: Server-Automatisierung
...

# Automatisierung der Konfiguration von Supernodes/Gateways und anderer Server (als Link in ff@home einfuegen!)

## Aufbau und Konfiguration 1) Steuerungsrechner 2) Repository 3) Zielrechner  

## 1) Steuerungsrechner  

Der Steuerungsrechner (Control Host) hält die Konfigurationen der Zielrechner (target hosts) und die Ansible Playbooks zur Anpassung der Zielrechner vor. Jeder Mitarbeiter kann sich einen Steuerungsrechner wie im Folgenden geschildert anlegen, es sind also mehrere Steuerungsrechner möglich.  

Ein Steuerungsrechner wird mit Python3 und Ansible in einer virtuellen venv-Umgebung konfiguriert, die angezeigt wird mit:

    (venv)~$ ansible --version   

    ansible [core 2.19.3]  
    config file = /home/m-an/git/snng-roles-l2tp/ansible.cfg  
    configured module search path = ['/home/m-an/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']  
    ansible python module location = /home/m-an/git/venv/lib/python3.12/site-packages/ansible  
    ansible collection location = /home/m-an/.ansible/collections:/usr/share/ansible/collections  
    executable location = /home/m-an/git/venv/bin/ansible  
    python version = 3.12.3 (main, Nov  6 2025, 13:44:16) [GCC 13.3.0] (/home/m-an/git/venv/bin/python3)  
    jinja version = 3.1.6  
    pyyaml version = 6.0.3 (with libyaml v0.2.5)  

Die Ansibleversion des Steuerungsrechners ausserhalb der venv-Umgebung kann sich wegen Systemupdates von der der venv-Umgebung unterscheiden. 
Deshalb sollte nur in der venv-Umgebung mit den dort festgelegten Versionen gearbeitet werden. 

## Python venv-Umgebung erstellen  

✅ 1. Benötigte Pakete installieren

Unter Debian heißt das Paket für virtuelle Umgebungen meist python3-venv:

    $ sudo apt update
    $ sudo apt install python3-venv

✅ 2. Virtuelle Umgebung erstellen

Wechsle mit cd xyz in den gewünschten Projektordner und führe aus:

    ~/git/xyz $ python3 -m venv venv

Dadurch entsteht ein Verzeichnis venv/, das unabhängig vom hostsystem die nötigen Python-Pakete enthält.

✅ 3. venv aktivieren  

    ~/git/xyz $ source venv/bin/activate

Du erkennst die aktivierte venv an der (venv)-Präfix in der Shell.

✅ 4. Pakete installieren

Jetzt nutzt pip die isolierte Umgebung:  

    (venv)~/git/xyz $ pip install <paketname>

oder zum Beispiel:  

    (venv)~/git/xyz $ pip install ansible (Auswahl Version darstellen?!)

um genau in diese venv-Umgebung ansible zu installieren. Fehlende Python-Pakete in der venv-Umgebung müssen mit 

    (venv)~/git/xyz $ pip install <fehlendes Python-Paket> 


✅ 5. venv wieder deaktivieren, (venv) erscheint nicht mehr im Prompt:  

    (venv)~/git/xyz $ deactivate
    ~/git/xyz $


## 2) Aufbau des Repository

Das Repository ist unter git.ffdo.de im Verzeichnis snng-roles-l2tp zu finden. Dieses Repository ist geclont von ffdo-infrastruktur/ffdo-ansible-l2tp, um die Historie zu erhalten und das ursprüngliche Repo nicht zu verändern:  

    ~/git/git clone https://git.ffdo.de/ffdo-infrastruktur/snng-roles-l2tp.git

Das komplette Playbook zur Erstellung eines Gateways/Supernodes heisst ng-gateway.yml, über Tags können daraus einzelne Playbooks isoliert ausgeführt werden.  
Alle Playbooks werden unter dem mit -u angegeben Usernamen oder ohne -u mit dem angemeldeten User des Steuerungsrechners ausgeführt. Eine Anmeldung als root auf den Zielrechnern ist grundsätzlich ausgeschlossen. Eine Anmeldung für User ist nur über ssh möglich. Dafür müssen für jeden User, der das Playbook ausführen soll, der publickey auf die Zielrechner kopiert werden. Der Mitarbeiter oder User muss in die Gruppe sudo aufgenommen werden, damit eine privilege-escalation möglich ist.  

Das Passwort für die privilege-escalation, also für sudo ist abgeschaltet. Ein Aufruf für den Server snng-dus03 lautet dann:

    (venv)~/git/snng-roles-l2tp $ ansible-playbook -b ng-gateway.yml -v -l snng-dus03 -u <username>

oder mit einem Tag, um nur ein oder mehrere Teile des Playbooks auszuführen:  

    (venv)~/git/snng-roles-l2tp $ ansible-playbook -b ng-gateway.yml -v -l snng-dus03 --tags "<tagname>" -u <username> 
 
Die anderen dort vorhandenen Playbooks dienen zu Testzwecken.  


## Umgang mit dem Repository und mit git

Wenn nur wenige Personen im Repo arbeiten, ist es sinnvoll, vor jedem Arbeitstreffen ein git pull durchzuführen und nach Abschluss der Arbeiten ein git push.
Damit werden Forks und evtl. notwendige --rebase vermieden. 


## 3) Zielrechner  

Ein Zielrechner (target host) oder eine Ziel-VM müssen folgende Elemente als Rohzustand enthalten, damit sie per ansible konfiguriert werden können:  
- ein aktuelles Debian-Betriebssystem mit python3    
- eine ip, also einen Netzzugang  
- einen ssh-Zugang für die Personen, die von ihrem Steuerungsrechner aus Playbooks auf dem Zielrechner ausführen möchten    
- ansible selbst ist **nicht** erforderlich