rtc -> hiera role

keyring -> hiera role

weblog_destination -> hiera role

Every weblog provider except mirror-umn is a static_mirror_web.  So include weblog provider from static_mirror_web.  umn was one of those at one point but is not at the time.  this effectively drops it from the weblog providers

switch weblogsync to other ssh facter

insecure_ssl "role" -> ssl class parameter

salsa -> hiera role

sreview, veyepar -> hiera role

anonscm -> hiera role

no hosts (directly) in roles::archvsync_base

the ipsec role is no longer relevant.  both nodes in it load profile::ipsec::fasolo_storace

alioth_archive -> hiera role

We no longer need the roleaccounts staticsync fact, we are using the new ssh_keys_users fact instead

switch the statis hosts to hiera roles

replace some checks for roles::static_master with staticync::static_master

Switch to collected clients.conf

Merge branch 'staticsync-as-a-module'

* staticsync-as-a-module:
  Make staticsync a module and update references
  staticsync-ssh-wrap: drop wheezy compatible rsync call in allowed list
  move things from modules/roles/static* to modules/static*

Make staticsync a module and update references

staticsync-ssh-wrap: drop wheezy compatible rsync call in allowed list

move things from modules/roles/static* to modules/static*

Files and headers etc. have not yet been modified.  That's the next
step.  This was strictly a git mv.

rename dsa-puppet-stuff to puppet-crontab

Update manifests/static/ssh.pp to new authorized_key_add interface

Copy updated and documented authorized_key_add from Tor

The interface changed slightly:
 - from_hosts is from
 - restrict is now an options array that defaults to ['restrict']

callers will be updated with the next commit.

authorized_key_collect: do away with manual ordering, and set ensure_newline on the concat

Copy improved ssh::keygen from tor

This supports providing the name for the key (defaults to id_rsa).

It also uses a more generic facter, one that doesn't require us manually
listing every single role we care about.

Copy the ssh_keys_users facter from Tor

Split the web stuff out of the static_mirror role

re-enable puppet access

Try to avoid reserved site keyword; s///g would have been a good idea

Try to avoid reserved site keyword

disallow puppet access from clients for now

Drop unused file

Add wuiet volumes at UBC

split out onionmaster into its own role

Remove the pkglist fact.  It's a) unused and b) slightly buggy

Make static-master-ubc-01 a static-master

include static_master class using hiera

Retire unused ferm varible definitions for HOST_STATIC*

ssh between static hosts should be handled by the ssh::authkey storedconf stuff

We do not do bittorrent between static hosts (yet/these days)

restrict ssh to static-master-ubc-01 by default.  we really really should move this config out of the template

restrict ssh to static-master-grnet-01 by default.  we really should move this config out of the template

Add static-master-ubc-01 volumes

fix a typo

retire long obsolete file removals

remove stray file

fix undefined variable issue

get list of mirrors from puppet

Make static-components.conf.erb more readable, maybe

sort mirror names

Document static-components.yaml

static-components: rename variables

fix a fact name.  sed was too eager

make manziarly a static master

Tell apt to use ca-global for cdn-aws.deb.debian.org

autofs: manziarly is now ubc

Try to make resolv.conf options actual class parameters

Use https on deb.debian.org

The trick for merge options to work is to use lookup() rather than hiera()

temporarily hardcode debian.org and end of searchpaths

resolv.conf cleanup, fix 1

resolv.conf cleanup

volumes for manziarly at ubc

hoster.yaml: remove obsolete comments

remove debian mirrors from hoster.yaml

fix hiera lookup call

schroot: use hiera debian mirror

ferm::ftp_conntrack: remove jessie support

debian_org: remove jessie support

debian_org::apt: remove jessie support

get debian mirror for apt from hiera (not yet doing that for schroot)

use correct tag for ssh authkeys @@ferm::rule

remove retired hosters: carnet, freenet, helsinki, linaro, ugent, uni-karlsruhe, xs4all

hoster: sort alphabetically

move hoster hieradata into its own directory

Add a comment to hieradata/common.yaml/roles

debian_org::apt: Retire some <= Debian8(jessie) codepaths

retire rsync snapshot service for lw*

rsync::site: remove unused variables, define parameter types

move rsync stunnels also to dsa_systemd::socket_service.  This should be a nop

fix a variable name

move rsync service/socket setup into a dsa_systemd::socket_service

Remove re-statement of default mode, owner, and group

rsync::site cleanup: try to fix ordering when we remove a service

rsync::site cleanup: move file and service names into variable

rsync::site dependency cleanup, part 1

We define three things: a .service file, a .socket file, and a service.

Previously, the service would require the two files, and the .socket
file would also notify the service.  Change that to the service
subscribing to the files, so it gets a) applied after the files, and
b) refreshed if either changes.

This seems cleaner.  The net change should be that the service gets
also notified if the .service file changes.

Revert "rsync::site dependency cleanup, part 1"

This reverts commit e18adfd6c665a99d3e5cde12b9cac516c39bda6b.

The commit contained unrelated changes.  Will re-commit the relevant
ones soon.

rsync::site dependency cleanup, part 1

We define three things: a .service file, a .socket file, and a service.

Previously, the service would require the two files, and the .socket
file would also notify the service.  Change that to the service
subscribing to the files, so it gets a) applied after the files, and
b) refreshed if either changes.

This seems cleaner.  The net change should be that the service gets
also notified if the .service file changes.

remove snapshot rsync service on lw* snapshot storage nodes

This service was not published and it's unlikely to be useful in any
sane way these days.

rsync::site: typecheck $ensure parameter

restrict,pty is a better way to get pty and disable everything else than listing all the current else things now

anarcat points out that maybe Optional[String] is better to use here

No idea if it works, but we'll find out eventually

the dsa user on the draghi pushes compiled nagios config (nrpe) to the puppet master

whitespace change only

authorized_key_add: allow undef value for key

the letsencrypt user on the dns primary pushes certs to the puppet master

roleaccounts: add dsa, letsencrypt

roleaccounts: reformat user list

no pg on sibelius

ganeti-reboot-cluster: describe what it does, and a license