Mask openipmi service on dell hosts

Switch the wb-buildd ssh keys to collected snippets

roles/manifests/buildd_master: whitespace change only

Upgrade some notifies to warnings

Remove temporary DC19 rules for roles::sreview

Finish migrating to /etc/ssh/puppetkeys/ for exported ssh authkeys

Continue migrating to /etc/ssh/puppetkeys/ for exported ssh authkeys

Start migrating to /etc/ssh/puppetkeys/ for exported ssh authkeys

Make an /etc/ssh/puppetkeys for future use, and have sshd read keys from there already

Switch /etc/ssh/userkeys/buildd-uploader to collected snippets

roles/manifests/ssh_upload: whitespace change only

masters also talk to themselves

Only setup ssh in static_source if we are not also a static_master

rename a file correctly

Attempt to partition staticsync ssh setup

In the old setup, every host that is involved with staticsync can ssh to
every other host.

In this new setup:
 - sources can only reach masters (not mirrors),
 - mirrors can only reach masters (not sources), and
 - masters still can talk to all other sources and mirrors
   (but not other masters).

Move the non-roles static_base and static_srvdir to static/<foo>

Allow providing multiple tags to authorized_key_add

Of course just restoring the default symlink is not sufficient -- we also have to retire our own

Revert "want systemd-timesyncd from multi-user.target"

This reverts commit 443aa81b256b615c55d4fe987a556c663ad4589d.

By default, systemd-timesyncd.service is installed/wanted-by
sysinit.target.  We changed that to multi-user.target about three
years ago, but it's not clear why we did that.

Revert to the defaults and see if it blows up.  If yes, we have a chance
to find out exactly why we moved it.  If not, we have one less thing
that gets messed with at every point release.

staticsync requires a pty

collect staticsync ssh authkeys

base::public_addresses: handle v4 only hosts like fasolo

export staticsync ssh keys, but do not yet collect

static: whitespace changes and turn double quotes into single quotes if they have no variables to expand

store ssh auth key snippets for buildd wb and upload access, but do not collect just yet

fix class names

Split buildd class into small pieces

remove long dead and commented out code in munin

add a comment saying which host a key comes from

ssh setup for weblog sync

switch ssh-keygens to ssh::keygen

ssh authkeys: Put hostname in exported ferm rule

And maintain the geodnssync authkeys file on the primary in puppet too

stop using virtual resources for ferm::rule

They serve no purpose and make it needlessly difficult to properly
deploy exported firewall rules, as they then realize where they
shouldn't.

put collect tag into ferm rule name

do not hardcode dns primary ssh key for syncing to secondaries

ssh::authorized_key_add: warn if the key does not exist

Make a roles::dns_geodns

Add sshkey for dnsadm

If we do not have a fact, notify out early

facter for geodnssync

Create ssh keys for user geodnssync

Add an ssh::keygen to create userkeys

Remove irqbalance on buster

make wuiet be buildd_master via a hiera class include

Remove unused buildd_master from local.yaml

Move broken-rtc from a localinfo "role" defined in local.yaml to a class included via hiera

remove arm-arm-02 from broken-rtc in local.yaml -- the host no longer exists

Try to retire the site module: move site::aptrepo to base

Try to retire the site module: move site::alternative to base

remove unused site::limit

Try to retire the site module: move sysctl to base

Try to retire the site module: move linux_module to base

remove barriere volumes at bytemark, the VM has been moved away

ssh restrict dns geo and dns primary hosts

no longer need to manually whitelist adayevskaya on denis

correctly spell username

and gitolite ssh triggers to the dns host

gitolite pushes puppetmaster

split includes out of base class so things are included a bit later and things like classes.include?("puppetmaster") work

make puppetmaster a role included via hiera

Nothing cares about the $dbpassword variable we set on handel.  Remove it

unify roleaccount facter for staticsync, weblogsync, buildd, portforwarder

postgresql_key -> postgres_key

prepare unifying roleaccount facter

adayevskaya is the dsa_gitolite host, dillon the dsa_wiki buildhost

Add roles for the dsa gitolite host and the dsa wiki buildhost

The gitolite host ssh triggers the buildhost.

Add puppet classes to store and collect ssh authkeys information

Define public IP addresses in base since we cannot trust facter

facter for git key

remove adayevskaya volume from bm multipath config

Move adayevskaya from bm to manda

Only install intel microcode on amd64

Some other-arch hosts don't seem to have a "processor0" fact, so bypass
that.

Also install intel-microcode

Install iucode-tool on physical machines with Intel CPUs

Use mail port 2025 for new-klecker

sudo: add new-klecker to dell hosts list

Set up serial console on new-klecker

Install libxslt1.1 on dell hosts

omreport: error while loading shared libraries: libxslt.so.1: cannot open shared object file: No such file or directory

nagios-plugins-standard was renamed to monitoring-plugins-standard in 2014

And in buster the transitional package is gone.

Keep postgresql-client-9.6 on storace

Fix postgres-make-one-base-backup for pg 11

The default was changed to -X stream, which doesn't work when sending to
stdout.  There's no way to disable WAL that works with both 9.6 and 11,
so instead backup redundant WAL files with -X fetch.

Keep postgresql-client-9.6 on backuphost

buxtehude is on postgresql 11

consolidate and expand ensure_packages on backup server

whitespace change only -- replace tabs with 2 spaces

Move backup_server:: globals, register_backup_cluster, register_backup_clienthost into their own files

Install ncurses-term everywhere for terminal infos like rxvt-unicode-256color which is in -term on stretch (it is in -base on buster)

Add syncproxy name for smit

add spam filters for community alias RT#7924

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

smit as syncproxy

Delete stray .orig file

Now that we have site included before hiera things, we can do this again

having a module named site is really annoying

Move the single ipsec tunnel we have to my new system.

There are named ipsec "networks".  And any host that is in a named
network will set up ipsec to all the other hosts on that network.

A host can be on more than one network at a time.

Currently we only have the fasolo-storace tunnel, though.  It is
configured in modules/profile/manifests/ipsec/fasolo_storace.pp.

remove olin from bmdb1 access

olin does not need access to a postgres cluster.  It was in the list
since its old IP address was in the list.  That IP address was
previously used by oyens.debian.org, which was the openstack keystone
host before it was retired.  It seems the IP address was not removed
from the access list, and then olin inherited it.

multipath: remove olin (moved to csail)

move loghost from a "role" in hieradata/common.yaml to a role that is included via hiera

dsa_lvm is empty.  remove it

The previos LVM config for the ppc cluster did not have issue_discards.  Let's keep it that way.