Bye Gafam, les tutos !

Duplicacy : Sauvegarder sur le Cloud avec chiffrement local

Nerd — Sun, 22 Mar 2020 17:18:00 +0100

Comment sauvegarder sur le Cloud de façon rapide, fiable et chiffrée.

# Duplicacy c'est quoi ?

C'est de la balle! C'est une solution de backup qui permet de faire de la sauvegarde complète ou incrémentale sur le support de votre choix.
Celà peut être un autre disque local, ou un emplacement FTP, ou sur le Cloud S3(Amazon, Wasabi, DigitalOcean, Minio et), Google(GCP, Google Drive) ou chez Microsoft (Azure, Onedrive), ou sur du OpenSwift ou même OVH pour ceux qui ont conservé leur compte chez feu Hubic.

Pour la liste complète des stockages supportés c'est ici.

Mais là où c'est intéressant, c'est qu'on peut chiffrer la sauvegarde en local, et pour encore plus de sécurité on peut effectuer le chiffrement en ajoutant sa propre clé privé RSA.

Le code est opensource.

L'utilisation du client en ligne de commande est gratuite pour les particuliers.
Ceux qui le souhaitent peuvent bénéficier d'une interface Web mais elle est payante, ceci dit le prix n'est pas excessif à mon sens et la qualité du logiciel en vaut largement le prix.

# Installation

Pour installer Duplicacy (sur Raspberry), il existe un playbook Ansible prêt à l'emploi :

git clone https://github.com/share-me/init_raspberry
cd init_raspberry

Vérifiez que les variables par défaut soient bonnes dans le répertoire group_vars/all/
puis lancer le playbook uniquement sur la partie Duplicacy, comme indiqué dans le fichier README

ansible_playbook 4.duplicacy.yml

# Créer l'emplacement de la sauvegarde

Je ne vais pas expliquer ce point en détail car il existe beaucoup de stockage différents.

Faites en sorte d'avoir créé le repertoire sur votre disque local/FTP ou le bucket/container s'il s'agit du cloud, et de pouvoir y accéder avec tout ce qu'il faut (password, token, etc)

Pour savoir ce qui est nécessaire, je vous renvoie encore à la liste des stockages supportés par Duplicacy.

# Créer un script de sauvegarde

L'exemple suivant concerne un cas pratique, effectuer la sauvegarde de mes contacts et agendas que j'auto héberge grâce à la solution Radicale comme expliqué ici pour ceux que ca intéresse.
Et mon emplacement de sauvegarde est HUBIC.

Notez que Duplicacy a une particularité, il utilise des noms de variables précis.
Vous aurez juste à modifier les noms de variable du bloc #auth, pour celà je vous renvoie à la documentation encore pour savoir comment vous devez nommer vos variables, c'est la 3eme colonne.

#!/bin/bash
# ceci est mon script sauvegarder_radicale.ksh

# remote storage
export storage_url=hubic://Jarvis/Radicale/
export storage_name=radicale

# local repository
export snapshot_id=radicale_snapshots
export repository=/home/radicale/.config/radicale/collections

# auth
export DUPLICACY_${storage_name^^}_HUBIC_TOKEN=/root/hubic-token.json
export DUPLICACY_${storage_name^^}_PASSWORD='mon_super_mot_de_passe_de_chiffrage'


# backup
LOG=/var/log/$(basename $0).log
date | tee -a $LOG
cd ${repository}
duplicacy backup -stats -storage ${storage_name} | tee -a $LOG

Initialiser le repertoire à sauvegarder

Pour celà on copie colle tous les exports de variables qu'on a dans notre script

Et on lance l'initialisation ainsi

cd ${repository}
duplicacy init -encrypt -repository ${repository} -storage-name ${storage_name} ${snapshot_id}  ${storage_url}

Voilà tout est prêt, on rend le script executable.
Reste plus qu'à l'executer régulièrement ou à l'ajouter dans la crontab par exemple.

Radicale : Importer ses contacts et agendas

Nerd — Sun, 22 Mar 2020 16:48:00 +0100

Utilisation d'un serveur Radicale pour la synchronisation des contacts et calendriers ( CardDav / Caldav)

# Prelude

Vous avez suivi mon tuto sur l'installation d'un serveur Radicale sur le Raspberry?
Vous êtes capables de vous connecter à l'interface Radicale, et vous vous souvenez bien de l'identifiant et du mot de passe ?
Bien.

Vous êtes prêts pour les étapes suivantes ?

Exporter vos agendas
Exporter vos contacts (carnet d'adresses)
Créer dans Radicale un nouvel agenda et un nouveau carnet d'adresses
Importer votre agenda
Importer vos contacts
Synchroniser le mobile (Agenda et contacts)

# Exporter son agenda

Il faut d'abord récupérer ses données.
Pour Google Agenda, il faut aller dans "Paramètres et Partage" en cliquant à droite de l'agenda, puis "Exporter".
Répéter l'opération s'il y a plusieurs agendas à récupérer.

Normalement vous avez récupéré un fichier dont l'extension est .ICS

# Exporter ses contacts

Concernant les contacts, il va falloir les exporter au format vCard
Répéter l'opération s'il y a plusieurs carnets d'adresses à récupérer.

Normalement vous avez récupéré un fichier dont l'extension est .VCS

# Créer ses collections

Dans Radicale, ce qu'on appelle une collection n'est ni plus ni moins qu'un carnet d'adresses ou un agenda.

Se connecter à l'interface Radicale : http://192.168.0.254:5232 à l'aide de l'un des identifiants créés précédemment.

On créé une collection 'AddressBook" que l'on peut appeler "mes contacts"

Évidemment, rien ne vous empêche de créer plusieurs carnet d'adresses, mais je conseille plutot d'en avoir un seul, vous pourrez toujours séparer les contacts plus tard dans des groupes "perso", "pro", etc

On créé une autre collection "Calendar, journal and tasks" que l'on peux appeler "mon agenda" par exemple.
Pour les agendas par contre, je créé autant d'agenda que voulu.

Radicale est petit, rapide et efficace, mais il fait le strict minimum,Et oui, il n'est pas possible d'importer ses fichiers .ICS et .VCF directement.

Pour importer les fichiers, on va utiliser un logiciel sur l'ordinateur.

Perso j'ai installé le logiciel Thunderbird, c'est un logiciel qui sert à gérer ses emails, mais j'ai ajouté 2 extensions / addons:

Lightning - pour gérer mon agenda
Cardbook - pour gérer mes contacts

# Importer ses calendriers dans Radicale

J'ouvre Thunderbird, puis l'addon Lightning (menu > évènements et tâches > agenda) ou directement l'icone Agenda dans la barre en haut directement

Dans le cadre à gauche, clic droit > "nouvel agenda" > "sur le réseau"

format: Caldav
nom d'utilisateur: <on laisse vide>
Emplacement: http://192.168.0.254:5232/ludo/181459e1-0f03-27ec-d7b8-b7844d2919d1/

Dans Emplacement, on va coller la valeur de URL qu'on aura récupéré dans l'interface Radicale.

A l'ecran suivant, on appelle son agenda "mon agenda" par exemple, et dans adresse electronique on met "aucun"

Il devrait vous demander à l'écran suivant votre identifiant et mot de passe.
On valide, si ca passe, tout va bien.

Vient maintenant l'import en lui même.

On clique le menu en haut à droite (les 3 petites barres horizontales) > évènements et tâches > importer et je fournis le .ICS
On choisit bien "mon agenda"

Thunderbird va se bloquer pendant 2-3 minutes le temps de faire l'import.

Il n'est pas impossible que Thunderbird rafraichisse mal l'agenda, il faut décocher/recocher la case pour rafraichir l'affichage correctement.
Puis je répète cette opération pour autant d'agenda que je souhaite avoir

# Importer ses contacts dans Radicale

Toujours dans Thunderbird, j'ouvre l'addon Cardbook via la petite icone dans la barre en haut

A gauche, clic droit > "nouveau carnet d'adresse", je choisis le type "distant", à l'écran suivant je conserve donc bien Carddav et je renseigne l'URL fournie par Radicale ainsi que les identifiants que j'avais choisi.

Je clique sur "Valider", s'il ne se passe rien c'est que c'est bon (oui c'est débile)

Ne reste plus qu'à importer en faisant je clic droit sur mon nouveau carnet d'adresse et je fais "importer des contacts depuis un fichier" en fournissant donc mon fichier vCard .VCS

La barre en bas indique le status de la synchronisation, il faut bien faire attention.

Tant que vous voyez (modifiés localement: xx=) celà signifie que la synchronisation est toujours en cours.
Si ca ne bouge plus pendant 1min recliquez sur "Synchroniser"

# Synchroniser ses contacts et agendas avec son mobile

A partir de là, vous avez donc tout réimporter, libre à vous de faire des modifications de vos contacts et agendas depuis vos addons Thunderbird Cardbook et Lightning

Concernant la synchronisation mobile (c'est ce qui intéresse le plus en général), je peux vous conseiller dans le choix des applications:

Les applications de gestion de contact
Les applications de gestion de calendrier

Pi-hole : Bloquer la publicité à la maison

Nerd — Fri, 01 Mar 2019 23:42:00 +0100

Installation d'un serveur Pi-hole pour le blocage des publicités sur le réseau domestique

Ci-dessous l'installation manuelle, mais il existe un playbook Ansible prêt à l'emploi :

https://github.com/share-me/init_raspberry

# Pourquoi installer un serveur Pi-Hole ?

Lorsque l'on souhaite se débarrasser des publicités lorsqu'on surfe, il existe la méthode maintenant bien connue du Adblock / uBlock , on bloque donc au niveau du navigateur Web comme Firefox / Chrome / Brave / etc

Pi-hole bloque la publicité en amont, au niveau de la BOX.

Vous savez que le DNS est ce qui fait le lien entre une adresse Internet et son adresse IP.
Actuellement votre BOX fait office de relai DNS, elle ne filtre rien, et retransmets toutes les demandes de site web à votre fournisseur Internet (Orange, Free, Bouygues, etc)

A la place, ce sera Pi-hole qui fera office de relai DNS, mais avant de retransmettre la demande il va vérifier si le site web ne fait pas partie de sa blacklist, si oui alors la requête part dans le trou noir.

Le gros avantage de filtrer au niveau de la BOX c'est que n'importe quel appareil connecté à la BOX bénéficiera du blocage de la publicité, PC fixe, PC Portable, la tablette, smartphones, etc.
Mais là où c'est encore plus intéressant c'est qu'il va bloquer également les publicités qui normalement s'affichent dans les applications du mobile ou de la tablette.

En fait celà bloque ce que vous voulez, la publicité mais également les traqueurs si vous souhaitez et vous pouvez même faire un simili de contrôle parental en bloquant des sites webs bien précis, à vous de gérer votre propre blacklist.

# Comment l'installer

Comme vous l'avez bien compris, il faut avoir son propre serveur à la maison, ou un Raspberry fait parfaitement l'affaire. Il existe des images Docker pour le Pi-Hole donc si vous avez un NAS Synology avec la fonctionnalité Docker activée c'est aussi une solution.

Pour l'installation, c'est pas bien compliqué, votre serveur doit avoir une adresse IP fixe et il suffit de lancer cette commande puis de suivre sagement la procédure :-)

curl -sSL https://install.pi-hole.net | bash

(je conseille de configurer les DNS de CloudFlare, ce sont les plus rapides)

Dans les lignes qui défilent, notez bien le mot de passe qui va apparaitre

Reste plus qu'à se connecter sur l'interface http://pi.hole/admin/

Par défaut, plusieurs listes anti-publicité sont déjà installées.

# Modifier la configuration de sa BOX

Pi-hole est installé mais ce n'est pas pour autant que tous les appareils de la maison vont l'utiliser.

Pour celà, se connecter à la BOX et modifier le DNS pour y mettre l'adresse IP qui correspond au Raspberry. (parfois il est nécessaire de redémarrer la BOX)

La prochaine fois que vos appareils se connecteront au WIFI, ils recevront la configuration DHCP qui contient comme DNS l'adresse IP de votre pi-hole.

Si la procédure a fonctionné, vous devriez voir dans l'interface http://pi.hole/admin/ toutes les requetes de vos appareils.

# Pour les curieux

Le log d'installation se trouve dans /etc/pihole
changer le mot de passe de l'interface admin : pihole -a -p
mettre à jour pi-hole : pihole -up

Dans le dashboard pihole, ce sont les IPs qui s'affichent et non les hostnames, pour avoir les hostnames il faut activer le DHCP de Pi-Hole (et désactiver celui de la BOX du coup).
Ou si vous voulez conserver le DHCP de la box, alors il y a une seconde option qui consiste à activer le "conditional forwarding" dans les options pi-hole.

Android : Gestion de l'agenda en Caldav

Nerd — Wed, 27 Feb 2019 14:44:00 +0100

Les solutions pour gérer son agenda / calendrier avec le protocole Caldav

Il faut d'abord installer un connecteur Caldav (DavDroid pour le plus connu), ensuite les applications de calendrier ci-dessous pourront récupérer les informations CalDav depuis ce connecteur.

A noter qu'il existe UNE application d'Agenda (OneCalendar) qui gère nativement CalDav il n'y a donc pas besoin d'ajouter un connecteur.

Onecalendar (Code Spark)

C'est la seule application d'Agenda qui possède un connecteur CalDav intégré. Hormis Caldav, elle gère aussi les protocoles webcal, exchange, iCloud
A noter qu'elle ne fonctionne pas sur Posteo : "Caldav Server does not support sync-token"

Le plus : L'application est plutôt jolie et fonctionne bien, la seule avec CalDav intégré pas besoin d'un connecteur tiers
Le moins : Le choix limité de la fréquence de synchro auto (directe, aucune, 8,12,24h), un RDV ajouté sur un autre appareil pourrait donc être redescendu au pire jusqu'à 8h.

iCal Import/Export CalDAV (Lukas Aichbauer)

Compatible Baikal, Fruux, GMX, Owncloud, Nextcloud, iCloud, Posteo, Web.de, Fastmail.com, Synology Calendar

la version gratuite :

import (depuis local, FTP, web, Webdav, etc)
export (vers Email/Bluetooth + les mêmes que pour l'import)
transfert entre agendas

la version payante (3.59€) :

import/export/transfert comme la version gratuite, mais planification possible
synchronisation CalDAV
Purge/archive du calendrier

le plus :

Limiter les synchronisation CalDav au réseau Wifi, même à une liste de Wifi de confiance.
sauvegarder les réglages de l'appli pour une réinstallation
cryptage des identifiants/mot de passe des comptes configurés
journalisation du CalDav agréable à lire

le moins :

Interface fouilli, on pourrait fusionner certaines icones
pas de CardDav

calendarSync

le plus :

Fonctionne parfaitement bien

le moins :

J'ai eu un truc bizarre, il m'a rajouté un calendrier Google sans que je le lui demande

OpenSync :

le plus :

Gère également les contacts (Carddav)

le moins :

Rien à signaler

Caldav Sync Free :

le plus :

Très simple à l'utilisation

le moins :

Il n'y a pas de fréquence de rafraichissement

Radicale : Installer un serveur Carddav/Caldav

Nerd — Tue, 26 Feb 2019 13:17:00 +0100

Installation d'un serveur Radicale pour la synchronisation des contacts et calendriers ( CardDav / Caldav)

Ci-dessous l'installation manuelle, mais il existe un playbook Ansible prêt à l'emploi :

https://github.com/share-me/init_raspberry

Pourquoi installer un serveur Radicale ?

Radicale est un serveur CalDAV (calendriers, todo-lists) et CardDAV (contacts, groupes de contacts)

Il est libre, open-source et sous GPLv3.

Il permet de synchroniser ses contacts, groupes de contacts, et calendriers.

Plusieurs autres alternatives sont possibles, parmi lesquelles Baïkal

ATTENTION: Avant de vous lancer dans l'installation d'un serveur Radicale pour auto-héberger vos propres données de contacts et calendrier, j'espère que vous avez bien conscience qu'il est de votre responsabilité de faire des sauvegardes régulières de ces données.

# Installer python et son module pip

# avec le user pi

sudo apt -y install  python3 python3-pip apache2-utils

# Installation de Radicale et ses librairies

sudo useradd radicale -m -s /bin/bash

sudo mkdir -p /var/log/radicale/

sudo chown -R radicale:radicale /var/log/radicale

sudo passwd radicale

sudo su - radicale

# avec user radicale

mkdir -p ~/.config/radicale/

mkdir -p ~/.config/systemd/user/

pip3 install --upgrade radicale radicale[bcrypt] passlib[bcrypt]

# Création du fichier de mot de passe (chiffrage bcrypt)

htpasswd -B -c ~/.config/radicale/users nom_du_compte1

htpasswd -B ~/.config/radicale/users nom_du_compte(x)

En mettant bien évidemment ce que vous voulez comme user à la place de nom_du_compte1

# Créer un fichier de configuration

nano ~/.config/radicale/config

[auth]
type = htpasswd
htpasswd_filename = ~/.config/radicale/users

# encryption method used in the htpasswd file
htpasswd_encryption = bcrypt 

# Average delay after failed login attempts in seconds
delay = 10 

[storage]
filesystem_folder = ~/.config/radicale/collections

[server]
# ouvert à toute IP
hosts = 0.0.0.0:5232
max_connections = 2
# 1 Megabyte
max_content_length = 10000000 
# 10 seconds
timeout = 10

/! Pour plus d'option, voir le site officiel
https://radicale.org/3.0.html#documentation/configuration

# Créer un fichier de logging (format python)

nano ~/.config/radicale/logs.conf

[loggers]
keys = root

[handlers]
keys = file

[formatters]
keys = full

[logger_root]
# Change this to DEBUG or INFO for higher verbosity.
level = INFO
handlers = file

[handler_file]
class = handlers.RotatingFileHandler
# Specify the output file and parameter for rotation here.
# See https://docs.python.org/3/library/logging.handlers.html#logging.handlers.RotatingFileHandler
# Example: rollover at 100000 kB and keep 10 files (means 1 MB)
args = ('/var/log/radicale/log', 'a', 100000, 10)
formatter = full

[formatter_full]
format = %(asctime)s - [%(thread)x] %(levelname)s: %(message)s

/! Pour plus d'option, voir le site officiel
https://docs.python.org/3/library/logging.config.html#configuration-file-format

# Créer un fichier de service systemd

# revenir au user pi

sudo nano /lib/systemd/system/radicale.service

[Unit]
Description=A simple CalDAV (calendar) and CardDAV (contact) server

[Service]
ExecStart=/usr/bin/env python3 -m radicale
Restart=on-failure
User=radicale
Group=radicale

[Install]
WantedBy=multi-user.target

# Activer le service Radicale

sudo systemctl enable radicale.service

sudo systemctl start radicale

systemctl status radicale

# Vérifier les logs

journalctl --unit radicale.service

Ou bien on jette un oeil dans le log

cat /var/log/radicale/log

2019-02-18 22:07:15,414 - [76f75640] INFO: Starting Radicale
2019-02-18 22:07:15,415 - [76f75640] INFO: Authentication type is 'htpasswd'
2019-02-18 22:07:16,612 - [76f75640] INFO: Storage type is 'multifilesystem'
2019-02-18 22:07:16,623 - [76f75640] INFO: Rights type is 'owner_only'
2019-02-18 22:07:16,623 - [76f75640] INFO: Web type is 'internal'
2019-02-18 22:07:16,633 - [76f75640] INFO: Listening to 'jarvis' on port 5232
2019-02-18 22:07:16,634 - [76f75640] INFO: Radicale server ready

# Utilisation

Je vous invite à lire l'article concerné sur l'utilisation de Radicale

Android : Gestion des contacts

Nerd — Fri, 22 Feb 2019 12:57:00 +0100

Les solutions pour son carnet d'adresse avec le protocole CardDav

Il faut d'abord installer un connecteur CardDav (DavDroid pour le plus connu), ensuite les applications ci-dessous pourront récupérer les informations CardDav depuis ce connecteur.

A noter qu'il existe UNE application d'Agenda (OneCalendar) qui gère nativement CalDav il n'y a donc pas besoin d'ajouter un connecteur.

2 méthodes de gérer les groupes : par Catergorie ou par Vcard diférente

Carddav sync free

Le plus:

synchro unidirectionnelle possible (que du serveur vers telephone)
gestion des conflits (serveur ou tel a "raison")
fréquence de synchro
choix du type de réseau (4G, Wifi, etc)

le moins:

a ignoré mes groupes lors de la synchro, à retester avec Radicale

opensync

Le plus:

Gère les 2 protocoles: caldav et carddav

Le moins:

je n'ai pas réussi à le faire fonctionner avec tous les serveurs Carddav

peoplesync

Le plus:

Très simple

Le moins:

Ne gère pas les groupes

contactsync

Le plus:

fonctionne bien

Le moins:

Pas très intuitif
le connecteur est nommé "contacts", et on ne peut le modifier, donc risque de le confondre avec d'autres

Pense-bête Docker

Nerd — Tue, 29 Jan 2019 14:11:00 +0100

Les commandes de base pour Docker

Les commandes de base

Si vous ne savez vraiment ce qu'est Docker, je vous invite à lire cet article : Docker - Conteneurisation des services

Pour les conteneurs

Récupérer une image Debian sur le Docker Hub

root@docker:~# docker pull debian

Cette commande est facultative dans la mesure où la commande "docker run" va de toutes façons faire un "docker pull" si elle ne trouve pas l'image dans la bibliothèque d'images locales.

création d'un conteneur à partir de l'image nginx

root@docker:~# docker run nginx
-i : conserve le STDIN ouvert même si le conteneur n'est plus rattaché
-t : attribue un terminal TTY
-d : Lancer le conteneur en background (retourne l'ID du conteneur)
-p 8080:80 : mappe le port 8080 de l'hôte sur le port 80 du conteneur
-e MYSQL_ROOT_PASSWORD=password : créer la variable d'environnement MYSQL_ROOT_PASSWORD
-v /path/local:/path/conteneur : si on souhaite une persistance des données hors conteneur
--name : nom du conteneur (un nom aléatoire est généré sinon)
--rm : Supprime automatiquement le conteneur après l’avoir quitté

Il existe beaucoup d'autres arguments évidemment.

A noter qu'on peut sortir d'un conteneur dans le détruire avec Ctrl + P + Q

Lister les conteneurs lancés

root@docker:~# docker ps
-a : afficher tous les conteneurs (lancés ou non)

Exécuter une commande

root@docker:~# docker exec <conteneurid> /bin/bash -c 'ls /var/www/html'
-ti <conteneurid> /bin/bash : ouvre un terminal de commande

Se rattacher à un conteneur qui tourne

root@docker:~# docker attach <conteneurid>

Stop / start / pause / unpause

root@docker:~# docker stop <conteneurid>
root@docker:~# docker start <conteneurid>
root@docker:~# docker pause <conteneurid>
root@docker:~# docker unpause <conteneurid>

Supprimer un conteneur

root@docker:~# docker rm <conteneurid>

Le conteneur doit avoir été arrêté avant d'être supprimé

Les images

créer une image

 docker build -f DockerFile

Le Dockerfile est un fichier au format YAML qui décrit la façon dont il faut créer l'image

Rechercher une image sur le Docker hub

root@docker:~# docker search debian
--filter "is-official=true" : Rechercher que les images officielles

Lister les images disponibles en local

root@docker:~# docker images

Supprimer une image

root@docker:~# docker rmi <imageid>
--force : forcer la suppression

Pour être supprimée, une image ne doit être utilisée par aucun conteneur

Sauvegarde une image dans un fichier tar

root@docker:~# docker save <imageid> -o /tmp/debian.tar

Charger une image depuis un tar

root@docker:~# docker load -i /tmp/debian.tar

Commiter un conteneur vers une image

root@docker:~# docker commit <conteneurid> <imagename>

Il est possible de mettre à jour une image à partir d'un de ses conteneurs, mais la bonne pratique veut qu'on créé une image from scratch depuis un DockerFile plutôt

Debug

Obtenir des informations sur une image / un conteneur

root@docker:~# docker inspect <conteneurid|imageid>

Afficher les ressources du conteneur

root@docker:~# docker stats <conteneurid>

Voir le STDOUT d'un conteneur

root@docker:~# docker logs <conteneurid>
-f : suivre en permanence les logs de conteneurs (correspond à tail -f)
-t : affiche date et l'heure de reception

Ansible : Gestion et Configuration d'un parc Linux

Nerd — Sat, 19 Jan 2019 10:27:00 +0100

Comprendre à quoi sert Ansible, comment l'installer et effectuer un test simple comme exemple.

C'est quoi Ansible

Ansible est un logiciel pour la gestion de la configuration d'un parc de serveurs.

Il offre des commandes permettant d'automatiser un deploiement d'infrastructure, par exemple sur un serveur d'enchainer la création d'un user avec mots de passe, installer un serveur Apache, envoyer un fichier de confguration, redémarrer le service Apache, etc

Le résultat de ces commandes est retourné au format JSON sur la sortie standard.

Là où ca devient encore plus intéressant, c'est qu'on peut regrouper toutes les commandes en un scenario (playbook) et que tout ca peut être rejoué autant de fois que voulu car ansible est idempotent c'est à dire qu'il va vérifier l'état de la machine cible et ne réappliquer que le strict nécessaire pour obtenir l'état final voulu.

Ansible est une alternative aux solutions telles que Puppet ou Chef, à la différence qu'Ansible ne requiert aucun client côté machine cible, il ne requiert qu'un accès SSH et ca c'est de la balle!

Dans la vraie vie ca donne quoi ?

On peut donc executer des commandes de base, ou appeler des scenarios complets (fichier playbook) écrits en language YAML.
Dans les 2 cas on peut appliquer celà sur une machine ou un groupe de machines.
A noter qu'il est possible lors du lancement d'un playbook de spécifier un tag, seuls les blocs du Playbook ayant ce tag seront alors joués.

En lancant un scenario, vous allez par exemple faire tout ca en 2min

Créer un utilisateur “web_admin”
Ajouter cet utilisateur aux sudoers
Installer quelques outils systèmes
Installer/configurer Nginx
etc

Imaginez que votre serveur crashe, avant vous alliez suivre le document Word pour tout réinstaller en 3h, imaginez que vous deviez le faire sur 4 serveurs web, vous allez y passer la journée.
Là, celà prendra 5 minutes, que vous ayez 1 ou 10 serveurs d'ailleurs.

C'est la même si vous voulez changer le password d'un utilisateur, vérifier le /tmp ou bien vous assurer que Apache tourne sur toutes les machines.
En gros ca remplace tout vos petits scripts maison, sauf que c'est certainement plus fiable et surtout que c'est idempotent (chose que peu d'admins gèrent dans leur scripts à mon avis!)

Installer Ansible

Je pars du principe que la machine Ansible maitre est sous Redhat / Centos (gestionnaire de package yum.)

sudo yum install -y ansible

Pour pouvoir se connecter en SSH sur les machines cibles, le user utilisé de la machine maitre (toto par exemple) doit envoyer sa clé publique sur toutes les machines cibles.
Il le fait sur un compte distant (ansible par exemple) ayant des droits sudo.

# On ajoute la clé root sur le serveur cible

ssh-copy-id -i ~/.ssh/id_rsa.pub ansible@centos01

Evidemment on peut aussi le faire sur le compte root distant mais ce n'est pas conseillé.

On teste la connexion root en installant à distance le package python.
Ce paquet est normalement déjà présent par défaut (c'est un prérequis à Ansible côté client, le seul d'ailleurs)

ssh ansible@centos01 "yum install -y python "

Configuration de base

Voilà, Ansible est installé. Faisons un tour rapide sur les fichiers de base

/etc/ansible/ansible.cfg :Fichier de configuration par défaut, inutile d'y toucher pour le moment.
/etc/ansible/roles/* :Ce dossier contient les rôles installés, nous verrons plus tard l'intérêt d'un rôle, inutile d'y toucher pour le moment.
/etc/ansible/hosts : C'est l'inventaire contenant toutes les machines qu'on veut gérer. Il suit le format INI en gros avec des [sections]

# /etc/ansible/hosts

# Machines sans groupe
192.168.0.10 # IP directe
mon_serveur  # si on donne un hostname, ce dernier doit etre resolvable (par DNS, /etc/hosts, etc)
192.168.0.[220:230] # l'intervalle permet d'économiser l'écriture, n'hésitez pas!
db[2:8].domain.com

# C'est un groupe
[DB_group]
192.168.0.200
192.168.0.205:52 # Si le port SSH n'est pas standard, on peut le préciser
centos09



# Ces variables s'appliqueront à tout mon groupe DB_group
[DB_group:vars]
ansible_user=root # indique le user distant utilisé


# Un autre groupe
[Webserver_group]
192.168.0.200 # une machine peut faire partie de plusieurs groupes
centos50 ansible_host=192.168.0.50 ansible_user=toto # on peut appliquer des variables à un host en particulier


# Ceci est pour l'exemple mais il existe deja implicitement un groupe "all" contenant tous les hosts de l'inventaire (excepté localhost)
[all]
DB_group
Webserver_group

L'inventaire est le coeur d'Ansible, donc je vous conseille de l'écrire avec beaucoup d'intelligence, ca rendra votre travail 100X plus facile ensuite.

Un exemple simple

Ansible fonctionne à partir de modules : file, user, stats, systemd, etc
Chaque module prend différents paramètres et permet d'effectuer une action précise.

Pour tester la bonne installation, nous allons utiliser le module ping mais attention ce n'est pas un ping au sens littéral mais un ping au sens Ansible, c'est à dire qu'il teste le bon fonctionnement de la liaison SSH puis de la présence de Python côté client.

ansible -m ping centos01

centos01 | SUCCESS => {
"changed": false,
"ping": "pong"
}

N'hésitez pas à consulter le Pense-bête Ansible .