Source : https://youtu.be/pHeZ8UlAQ_8 Dans cette présentation, vous pourrez découvrir comment mettre en place une infrastructure avec plusieurs raspberry pi avec ansible : - créer des users et les gérer - mettre en place des règles iptables - monitorer les serveurs - créer des métriques et les remonter - mettre en place haproxy pour servir des applications - disposer du https avec let'sencrypt

1. Raspberry
… créer son infra chez soi

2. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

3. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

4. Ansible : créer users et clefs SSH
Pi1
Pi2
Pi3
Pi4Group et Users :
- admin + clef ssh
- simple + clef ssh

5. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

6. Ansible : password users et vault
Pi1
Pi2
Pi3
Pi4Group et Users (sous forme de rôles) :
- admin + clef ssh + password (vault)
- simple + clef ssh + password (vault)

7. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

8. Ansible : suppression du user Pi
Pi1
Pi2
Pi3
Pi4Group et Users (sous forme de rôles) :
- admin + clef ssh + password (vault)
- simple + clef ssh + password (vault)
Suppression Pi

9. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

10. Iptables : sécuriser vos ports
Pidoor
Iptables :
- ssh entrant 192.168.1.0/24
- ssh sortant all
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.0/24
PiX
ssh all
ping
connexions établies
Sortantes

11. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

12. Ansible : règles iptables (bastion)
Pidoor
Iptables :
- ssh entrant 192.168.1.0/24
- ssh sortant all
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.0/24
PiX
ssh all
ping
connexions établies
Sortantes

13. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

14. Ansible : règles iptables (workers)
Iptables :
- ssh entrant 192.168.1.31
- drop sorties ssh
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.31
PiX
ping
connexions établies
Sortantes
Pidoor
PiX
ssh all

15. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

16. Collecte de métriques : température
Pi1
Pi2
Pi3
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
PiDoor Pi4

17. Collecte de métriques : température
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp

18. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

19. Xinetd: exposition métriques
Pi1
Pi2
Pi3
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
PiDoor Pi4

20. Wrapper HTTP
Xinetd: exposition métriques

21. Configuration XINETD
Xinetd: exposition métriques

22. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

23. Ansible : déploiement collecte
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

24. Collecte de métriques : température
Firewall : accès lo et 192.168.1.41 - port 11111

25. Firewall : accès lo et 192.168.1.41 - port 11111
Ansible : déploiement collecte

26. Scripts et Xinetd
Ansible : déploiement collecte

27. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

28. Prometheus : installation
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

29. Ansible inventory
Prometheus : installation

30. Ansible role prometheus
Prometheus : installation

31. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

32. Grafana : installation
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

33. Ansible inventory
Grafana : installation

34. Ansible role grafana
Grafana : installation

35. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

36. DNS : /etc/hosts
Pi1
Pi2
PiX
.31
PiDoor
.41
.42
.xx

37. Ansible : évolution inventory
DNS : /etc/hosts

38. Ansible : rôle etc-hosts > tasks + ajout playbook
DNS : /etc/hosts

39. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

40. Node Exporter
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Node Exporter > Prometheus > Grafana
.41
.42
.43
.44

41. Node Exporter > 9100 > ansible/iptables
Node Exporter

42. Ansible : installation user/group
Node Exporter

43. Ansible : installation binaire
Node Exporter

44. Ansible : installation du service systemd
Node Exporter

45. Ansible : template du service systemd
Node Exporter

46. Ansible : configuration prometheus
Node Exporter

47. Grafana : ajout du template node exporter
https://grafana.com/grafana/dashboards/1860
Node Exporter

48. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

49. Haproxy
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Node Exporter > Prometheus > Grafana
.41
.42
.43
.44

50. Haproxy
Pi1
Pi2
Pi3
.31
PiDoor Pi4
NAT/PAT > Haproxy > Grafana
.41
.42
.43
.44
Web

51. Ansible - Ajout de règle pour haproxy/pi1
Ouverture des flux web
Haproxy

52. Ansible - Installation de haproxy
Installation Haproxy
Haproxy

53. Ansible - Installation de haproxy
Configuration Haproxy - part standard
Haproxy

54. Ansible - Installation de haproxy
Configuration Haproxy - part custom
Haproxy

55. Ansible - Modification de grafana
Configuration Grafana
Haproxy

56. Box - PAT/NAT
Redirection du port 80 / xavki.fr
Haproxy

57. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

58. Let’s Encrypt
Pi1
Pi2
Pi3
.31
PiDoor Pi4
NAT/PAT > Haproxy > Grafana
.41
.42
.43
.44
Web

59. Box - PAT/NAT
Redirection du port 80 et 443 / xavki.fr
Let’s Encrypt

60. Let’s Encrypt
Web
Haproxy
/route/letsencrypt
Application certbot

61. Ansible configuration haproxy
Let’s Encrypt

62. Ansible Let’s Encrypt
Let’s Encrypt

63. Ansible Let’s Encrypt
Let’s Encrypt

64. Ansible Let’s Encrypt : script de renouvellement
Let’s Encrypt

65. Ansible Let’s Encrypt : cron tous les mois
Let’s Encrypt