Suppression de toute trace Chezlepro de l'outil (roles, scripts, docs publiques, exemples, LICENSE). Prouve par scan exhaustif : git grep vide pour chezlepro, asgard/TrueNAS, supernet reel 10.1.x. Corrige 5 defauts de genericite fonctionnels (motd, app.ini Forgejo, organisation openldap, nom AC step-ca, et IP reelles codees en dur dans les defaults de roles -> plage d'exemple 10.0.x). LICENSE -> Alliance Boreale. Fichiers mainteneur + CHANGELOG conserves (par decision). La separation moteur/instance tient : OPS-Chezlepro surcharge deja ses vraies valeurs de topologie. Verifie : make verifier exit 0 (4 tests). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com> |
||
|---|---|---|
| .. | ||
| defaults | ||
| handlers | ||
| tasks | ||
| templates | ||
| README.md | ||
serveur_postgresql
Installe et configure PostgreSQL (paquet Debian 13) comme base relationnelle partagée interne.
Rôle
- Installe
postgresql,postgresql-contribetpython3-psycopg2. - Détecte le cluster installé par Debian (
/etc/postgresql/<version>/main). - Configure via un fichier
conf.d/99-setops.conf:listen_addresses,port,password_encryption. - Gère
pg_hba.conf: socket local enpeer(administration), boucle locale et réseaux internes autorisés enscram-sha-256. - Active et démarre le service.
- Provisionne optionnellement comptes et bases applicatifs (vides par défaut).
Réseau et sécurité
- Écoute par défaut sur
127.0.0.1et l'IP interne de l'hôte (ansible_host). serveur_postgresql_reseaux_autorisesouvre l'accès aux clients internes (défaut10.0.0.0/16).- Authentification
scram-sha-256(jamaismd5/trust). pg_hba.confet la conf sont entièrement gérés par le rôle ; les modifications manuelles sont écrasées.
Variables principales
| Variable | Défaut | Rôle |
|---|---|---|
serveur_postgresql_version |
"" (auto) |
Version majeure du cluster |
serveur_postgresql_port |
5432 |
Port d'écoute |
serveur_postgresql_ecoute |
127.0.0.1 + IP interne |
listen_addresses |
serveur_postgresql_reseaux_autorises |
["10.0.0.0/16"] |
Réseaux clients en pg_hba |
serveur_postgresql_methode_auth |
scram-sha-256 |
Méthode d'authentification |
serveur_postgresql_parametres |
{} |
Réglages additionnels |
serveur_postgresql_comptes |
[] |
Comptes applicatifs (mot de passe via Vault) |
serveur_postgresql_bases |
[] |
Bases applicatives |
Provisionnement applicatif
À déclarer quand un service en a besoin, mots de passe depuis Ansible Vault :
serveur_postgresql_comptes:
- nom: keycloak
mot_de_passe: "{{ vault_postgresql_keycloak }}"
serveur_postgresql_bases:
- nom: keycloak
proprietaire: keycloak
Registre partagé des bases applicatives
En plus des listes explicites, le rôle lit instance/plan/bases-donnees.yml (registre
déclaratif) et crée chaque base + son compte propriétaire dont serveur vaut
serveur_postgresql. Le mot de passe vient de la variable Vault nommée par le
champ secret. Le rôle applicatif lit le même registre pour bâtir sa chaîne de
connexion — secret partagé, source unique. Patron : 1 appli → 1 base → 1 owner →
1 chaîne de connexion. Voir l'en-tête de instance/plan/bases-donnees.yml.
Prérequis
- Collection
community.postgresql(ansible-galaxy collection install community.postgresql).
Hors périmètre
- Sauvegardes (rôle/concern séparé), réplication, tuning avancé.