L'application porte tous ses liens (groupe=capacite, hote=VM, port, requiert, expose). L'exposition DNS quitte docs/domaines.yml et vit sur l'application via 'expose' ; domaines.yml ne decrit plus que les zones. - inventory_rules : expositions_des_applications + domaine_parent ; valider_applications valide requiert / expose / port. - serveurs_nginx derive ses vhosts des applications (expose + edge), resolvant application -> hote -> IP (role + template reecrits). - filter plugin : expose la nouvelle regle a Ansible. - CLI : applications.py --port/--requiert/--expose ; domaines.py affiche les expositions derivees des applications. - GUI : champs Port/Requiert/Expose sur la fiche Application (persistes ; corrige la perte de champs a la sauvegarde) ; l'API expose les domaines. Le groupe n'est plus une cible de liaison, seulement une capacite. Renommage nomenclature.domaines -> fonctions : Phase 1b. Generation de l'inventaire depuis le plan : Phase 3. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
33 lines
1.5 KiB
YAML
33 lines
1.5 KiB
YAML
---
|
|
# Registre des domaines publics Set-OPS (publication externe des hostnames).
|
|
#
|
|
# Modele d'autorite retenu : PRIMAIRE CACHE + SECONDAIRES.
|
|
# - Le primaire (PowerDNS, backend PostgreSQL + API) detient la zone faisant
|
|
# autorite mais N'EST PAS expose a Internet (NOTIFY + AXFR seulement).
|
|
# - Les "secondaires" sont la face publique : ce sont eux dans les NS + la glue
|
|
# chez le registraire. Ils tirent la zone du primaire (AXFR authentifie TSIG).
|
|
#
|
|
# Ce registre ne decrit que les DOMAINES (zones). Le binding nom-public <-> service
|
|
# vit desormais sur l'APPLICATION : chaque application declare `expose: [FQDN...]`
|
|
# dans docs/applications.yml. nginx, la zone publique et ACME derivent les
|
|
# expositions depuis les applications (regle expositions_des_applications).
|
|
#
|
|
# Champs par domaine :
|
|
# autorite : primaire-cache | auto-heberge | delegue
|
|
# edge : groupe Ansible qui porte l'IP publique de facade (reverse proxy)
|
|
# secondaires : NS publics (FQDN) faisant face a Internet (a renseigner)
|
|
# dnssec : signature de la zone (jalon ulterieur ; false au depart)
|
|
# ttl : TTL par defaut de la zone
|
|
# mail : mx / spf / dmarc (lies a serveurs_sendmail) ; vides si pas de mail
|
|
|
|
domaines_publics:
|
|
alliance-boreale.ca:
|
|
autorite: primaire-cache
|
|
edge: serveurs_nginx
|
|
secondaires: [] # FQDN des NS publics secondaires - a renseigner
|
|
dnssec: false # jalon ulterieur (DS chez le registraire d'abord)
|
|
ttl: 3600
|
|
mail:
|
|
mx: []
|
|
spf: ""
|
|
dmarc: ""
|