next step in getting salsa pg backed up

actually add pg's sshkeys-manual

ship pg backup sshkeys in puppet

salsa: allow postgresql connections from backuphosts through firewall

pg: put postgres ssh keys onto backup server

move roles::postgresql_server to postgres::backup_source

add a comment explaining postgresql_server

Create .nobackup flag in non-hardcoded datadir

salsa: Make sure we use pg 9.6, and listen on *

Add salsa-admin@d.o

create salsa database with puppet

new concat no longer works with source => <file> on jessie hosts.  Switch to content => template in the one use of that

Update concat

Update stdlib

newer pg module

salsa: more mail setup

salsa: set mail username and password

salsa: plan to deploy database with puppet, write out credentials to a .yaml file

salsa: no yarn handling

Add actual postgresl module from puppetlabs

Add postgresl module from puppetlabs

Start with salsa.debian.org role/module

Add godard to salsa.debian.org role

replace modules/nagios/files/dsa-nagios with a symlink to a new install location

Replace modules/exim/files/certs and modules/ssl/files/clientcerts with symlinks to the auto-ca

Do not put incoming.debian.org into klecker

install irqbalance on multi-cpu systems

put a basic postfix config in place

put a basic postfix config in place

add heavy_postfix setting in local.yaml, and set smarthosts for not-heavy-postfix postfix hosts

Have postfix include debian_org::mail_incoming_port also

Move incoming mail port handling from exim to the debian_org module

confine allow-all smtp in postfix to role lists

Make the static-mirror-run log per component

Add /srv/security.upload.d.o on suchon

route salsa.debian.org to godard.debian.org

maintain /srv/keyring.debian.org tree in puppet

Add factor to determine whether a host has a keyring.debian.org mirror

run every 2 hours instead of hourly

Split header of puppet-nagios-wraps into own fragment, set orders

Migrate /etc/cron.d/puppet-nagios-hpsa to the puppet-nagios-wraps concat

Switch /etc/cron.d/puppet-nagios-wraps to concat

Put the puppet motd into /etc/motd on stretch hosts

run every 2 hours instead of hourly

Use $::smartarraycontroller_hpsa or $::smartarraycontroller_cciss instead of $::smartarraycontroller

run dsa-check-hpssacli out of cron on smartarraycontroller_hpsa hosts

split smartarraycontroller into smartarraycontroller_cciss and smartarraycontroller_hpsa

We no longer need the memcached module - do not list it in 3rdparty/Puppetfile

setup-dchroot: only keep 2 old chroots

Since the switch to gcc-7 as default compiler, the chroots are much
bigger. Only keep the two last ones to save space.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ubc-bl[26] are down -- no longer use them as NTP servers

manage grub on bytemark blades, and enable nopat

multipath/templates/multipath-bm-os.conf.erb is unused, remove

Remove a bunch of 3rdparty modules that seem unused

These are: apache, aviator, cinder, glance, horizon, inifile,
keystone, memcached, neutron, nova, openstacklib, qpid, vswitch.

memcached (openstack) is no longer in use

keystone (openstack) is no longer in use

Remove elasticsearch module, it is no longer needed

Retire stockhausen/listsearch (RT#6848)

Add antiharassment to callout_users, grey_users, rbllist, and rhsbllist

vittoria on pg9.6

removed weak ssh key; added new admin key

Use ensure => "present" for video.debian.net ssl

It doesn't have any files so it doesn't have a static component.

ssl::service only transfers certificates for services that
have static components defined.

Add TLS for video.debian.net and the redirects within it

meetings-archive.debian.net now supports https so
using https for both the initial request and the
redirect to meetings-archive would be nice.

Decommission gigault.debian.org

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Do limit group sftponly to sftp

make sure /etc/default/grub.d is just populated by puppet

Simplify setting grub_do_nopat

Also redirect URLs that are missing a trailing slash

Prevents 404 errors when loading http://deb.debian.org/debian

See-also: http://forums.debian.net/viewtopic.php?f=20&t=134288
See-also: <20170812033010.GA23525@elchanate.org>

Try to route git mail to godard -- the service is called salsa

Try to route git mail to godard

spell aagaard right

fix templates

fasolo grub

manage grub on arm-arm-03

manage grub on arm-arm-01

aagard, acker grub

skroutz does not need nopat

Use ttyAMA0 based on hostname instead of arch

split grub and kernel serial

puppetized grub on mirror-skroutz, mirror-accumu

beach is on stretch too, so remove from experimental-apache

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "temporarily disable ntp install fu while we get virt-what installed"

This reverts commit e97ada246f6bbbdb8007d1156db9007b518aaf43.

draghi is on stretch too, so remove from experimental-apache

Move nopat setting to puppetized grub on casulana,mirror-anu,sallinen,storace; and also enable serial

Configure ubc blade grub with puppet

temporarily disable ntp install fu while we get virt-what installed

install virt-what and use facter's default virtual facts

Discussion in #d-a suggests that on jessie facter needs the virt-what
package installed for the virtual and is_virtual facts to work.
Install it on jessie (and purge on stretch and later), and revert to
using the facter's default facts about virtualization.

Also remove our own systemd based virt fact.

Use new virt factor in grub manifest

Use new virt factor in time manifest

add a virt facter based on systemd

Allow gitdoadm sudo to git on godard

And set net.ifnames to 0

And set net.ifnames to 0

Fix entry for hier

Add godard

Add godard (new git hosting host)

Add 62.46.0.0/15 to weasel's networks

lvm-conova-ganeti.conf: disable lvmetad

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lvm-conova-ganeti.conf: setup a global_filter

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "Revert nrpe dsa2_shutdown command to its state before dsa-is-shutdown-scheduled"

This reverts commit 971573de556cd68ce1ada54f7a07c366c69ed953.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

dsa-is-shutdown-scheduled: rewrite the systemd-shutdownd test using pgrep

Otherwise we end up detecting the command started by dsa-is-shutdown-scheduled
when the script is launched twice or more at the same time.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>