migrate packagesmaster and packagesqamaster role

whitespace/quoting: modules/exim/manifests/* (make lint happy)

Partially migrate the mailrelay role.  ferm still needs the old style.

retire bugsmx role

make sure exim on reger does the rtmaster stuff

rtmaster -> hiera role

whitespace/quoting: modules/exim/manifests/init.pp (make lint happy)

rt require apache2

sreview and veyepar require apache2

a few more notes in common.yaml

hieradata/common: note which "roles" are used by ferm to gather lists

keyring: explicitly include apache2

whitespace/quoting: modules/roles/manifests/keyring.pp (make lint happy)

popcon -> hiera role; explicitly include apache2

Retire static_mirror_onion and move IP address lists out of static_mirror_web and into hiera

snapshot_web -> hiera role

udd -> hiera role; explicitly include apache2

whitespace/quoting: modules/apache2/manifests/dynamic.pp (make lint happy)

rename one ferm block

Retire the apache_ratelimited role

And introduce a rate_limit param to the apache2 class.  The
bugs_web role sets that option to true on inclusion, as does
the packages role.

The snapshot role had slightly different rate limiting in the
apache class.  This has now been removed in favor of rate limiting
in the snapshot_web class.

To enable this, all web traffic (even on not-ratelimited systems)
is sent to the http chain.  At the end, all traffic gets accepted
and services that want to interfere can do things before prio 90.

whitespace/quoting: modules/roles/manifests/snapshot_web.pp (make lint happy)

Replace apache_prefork role with an mpm class option for apache2

the linter only wants 4-digit modes

snapshot_shell -> hiera role

security_tracker -> hiera role; explicitly include apache2

drop has_role includes for sso*

Retire sso_rp (SSO, relying party) role for hosts

Instead, relying services should include roles::sso_rp.

temporary fix for sso_rp/ca.crl.erb using the now-removed roles[sso] hostlist

sso -> hiera role; explicitly include apache2

wiki -> hiera role; explicitly include apache2

git_master -> hiera role

security_upload -> hiera role

i18n, l10n -> hiera role; explicitly include apache2

Get this hosts public IP address for the apache allow rather than going via roles

spell apache better

planet_{search,master} -> hiera role; explicitly include apache2

historicalpackages -> hiera role; explicitly include apache2

packages -> hiera role; explicitly include apache2

www_master -> hiera role; explicitly include apache2

Revert "Revert "ssh_upload -> hiera role""

This reverts commit 13581ee3cf37c33606b8c8317c0901459e34c313.

Try this again, now with an extra change in sshd_config

This file no longer exists

Revert "ssh_upload -> hiera role"

This reverts commit fe6c9108858446d5081a4d3505280bafe018cbdc.

This change is not a nop as expected.  Revert until we figure out why.

ssh_upload -> hiera role

ftp_upload -> hiera role

bacula_storage -> hiera role

bacula_director -> hiera role

gobby -> hiera role; explicitly include apache2

manpages_dyn -> hiera role; explicitly include apache2

pet -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/ports_pp (make lint happy)

Remove IP addresses from ports_mirror role and move them to hiera

ports_mirror* -> hiera role; explicitly include apache2

cdimage_search -> hiera role; explicitly include apache2

pubsub -> hiera role

Make a proper role for cgi.debian.org on wolkenstein

debsources -> hiera role; explicitly include apache2

no arithmetic in yaml :(

partially get rlimitmem from class param

whitespace/quoting: modules/roles/manifests/dgit*.pp (make lint happy)

dgit_{browse,git} -> hiera role; explicitly include apache2

search_{frontend,backend} -> hiera role; explicitly include apache2

people -> hiera role; explicitly include apache2

debtags -> hiera role; explicitly include apache2

contributors -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/nm.pp (make lint happy)

nm -> hiera role; explicitly include apache2

dedup -> hiera role; explicitly include apache2

One of the last changes broke dbmaster role based ferm rules

In particular, we allowed HOST_DB ssh to all our hosts.  That does not
make semantic sense, since the db host does not need to ssh to all the
other hosts (the reverse is true).

However, since draghi makes for a useful fallback jumphost, we now
explictly allow it.  We need to figure something out for the other role
based ferm rules.

do not use role-based ssh restrict

For now we fall back to and continue to use hostnames, but we should
switch this to something more sane longterm.

whitespace/quoting: modules/roles/manifests/dbpp (make lint happy)

hiera -> hiera role; explicitly include apache2

api.ftp-master -> hiera role; explicitly include apache2

piuparts* -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/piuparts* (make lint happy)

tracker -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/tracker.pp (make lint happy)

whitespace/quoting: modules/roles/manifests/vote.pp (make lint happy)

vote -> hiera role; explicitly include apache2

debconf_wafer -> hiera role

debconf_wafer: explicitly include apache2

whitespace/quoting: modules/roles/manifests/debconf_wafer.pp (make lint happy)

apache2: merge ipv4 and ipv6 ferm rule

and note that casulana's apache is not public

cdbuilder_local_mirror role cleanup

whitespace/quoting: modules/roles/manifests/cdbuilder_local_mirror.pp (make lint happy)

bugs role cleanup

Make apache nproc rlimit not depend on role memberships

Fix bugs_mirror role include for beach

Make apache worker config not depend on role memberships

whitespace change only: modules/apache2/manifests/init.pp (make lint happy)

Make the lists class include apache2

roles/lists: whitespace change

lists -> hiera role

postfix: whether or not we touch main.cf is not dependent on membership in the lists role

postfix/init: whitespace change

bugs_mirror -> hiera role

Make the bugs_mirror class include apache2

Do tcp bbr and fq scheduling not only on busy hosts but all of them

rtc -> hiera role

keyring -> hiera role