Merge branch 'mtatest'

* mtatest:
  Make an explicit use_smarthost setting
  Consider the empty string as no smarthost
  Setting to undef does not clear the hiera default :(
  undef is the value, Undef the type
  eximconf: drop bad quoting
  the class to include is roles::mta, not mta
  move exim vs. postfix, heavy vs. not, into hiera

Make an explicit use_smarthost setting

Consider the empty string as no smarthost

Setting to undef does not clear the hiera default :(

undef is the value, Undef the type

eximconf: drop bad quoting

the class to include is roles::mta, not mta

move exim vs. postfix, heavy vs. not, into hiera

Try to move to hiera5

move hiera.yaml into repo root

Drop ftp.ports.debian.org from klecker

also move roles::ports_mirror::onion_service to new-klecker

autofs: pinel is now at ubc

eximconf.erb: spell smarthost_port better

eximconf.erb: we want linebreaks after these variable includes

And fix the smarthost template somewhat

Remove smarthost_port from nodeinfo

All these files that we ignore on heavy exim hosts have not changed in the last 4+ years on the hosts I checked; stop ignoring them

Have the mailrelays store a firewall rule to allow incoming smtp on the other hosts

prefix dinis volumes at bm with OLD-

dinis is now at manda

prefix lindsay volumes with OLD-

static: change lintian.debian.org master to static-master-ubc-01.d.o

autofs: lindsay is now at ubc

add postgresql-manda-01

remove old-style ssh firewalling setup for mirrors/syncproxies

Add lindsay and pinel volumes at ubc

let ports mirrors get triggered from syncproxies

move syncproxy config into hiera

also, syncproxies ssh from their configured IP address.

Further, drop klecker from syncproxy role (that job is moving to smit).

mirror ssh firewalling setup from ferm/templates/me.conf.erb with roles

In particular:
  debian mirrors can be accessed from syncproxies
  debug mirrors can be accessed from ftp-master
  historical mirrors can be accessed from historical-master
  security mirrors can be accessed from security-master

And from the previous commits:
  syncproxies can be accessed from syncproxies, ftp-master, ports-master, and security-master

Add a minimal historical_master (archive.debian.org-master) role.

The master does not have any special rsync config that is not also
preesnt on the mirrors (and currently the historical master also is a
historical mirror).

So now we have ssh::server::from and ssh::server::to, hopefully making it more clear

I am still unsure how to do tags properly

whitespace/quoting: modules/roles/manifests/*mirror (make lint happy)

minor naming fixes

on ftp, ports, and security-master: store ssh allows to be collected on the syncproxies

whitespace/quoting: modules/roles/manifests/{ftp_master,security_master} (make lint happy)

syncproxy ssh firewalling

Drop OLD-picconi volumes from multipath-bm.conf

They do not exist anymore on the MSA

Rename unused volume on the bytemark MSA

The name matches the one of the MSA. They need to be zeroed at some
point, but we want to postpone that once the VM have been moved out of
bytemark.

Make ssh allow tag specific to the target (archvsync role in this case)

whitespace/quoting: modules/roles/manifests/syncproxy (make lint happy)

Decommission rusca (RT#7949)

retire old-style firewalling for mirrormaster sshing to the mirror nodes

Attempt to enable melartin(mirrormaster) to ssh to all the mirrors/syncproxies

archvsync_base: use group name rather than gid number

whitespace/quoting: modules/roles/manifests/archvsync_base (make lint happy)

Attempt to fix new-klecker as debian mirror

new-klecker as debian mirror

Revert "ferm: open ssh from mirror-master to ports mirror"

This reverts commit 2cdec8fac4eb9511d0e7d1a01523066cbd9d13f6.

ferm: open ssh from mirror-master to ports mirror

new-klecker as ports mirror

Add a new volume on a not so broken vdisk for backuphost

Retire unused extranrpeclient role -- the mini-nag host now pushes a storedconf to get nrpe access

And allow nrpe from the dns master

use correct class for concat fragment

use correct class for concat fragment

Switch nrpe allow-config to store/collect

Switch nrpe firewalling to store/collect

The da-backup on lw03 has not been useful in a long time, remove it

It was useful for backing up the morgue to storace, but since
lw03 ran out of disk space for morgue probably years ago, we should
not keep this around anymore.

Remove spec/octocatalog: its very out of date, and thus probably not as useful.  If we want something like this again, we should find a way that keeps things current and do not interfere with us maintaining this config base

onionbalance -> hiera role

Tor#27849 is fixed, remove workaround

multipath: remove manziarly* and wuiet* (moved to ubc)

planet static master is now ubc

add philp volume at ubc

Revert "Use static-master-grnet-01 for incoming.ports.d.o"

This reverts commit 7f82f7567d9685920a00a2ac0e888e891b966b7b.

We use /srv/static.debian.org as the source for rsync

Use static-master-grnet-01 for incoming.ports.d.o

And drop static_master role from porta

use static-master-grnet-01 for bootstrap.debian.net

It is located on the same ganeti cluster as boott and is less I/O
starved than dillon.

static: use static-master-ubc-01.d.o as a master for manpages.d.o

debconf19 is not static just yet

new-klecker: enable the static trigger and provide onion services

Enable more static components for new-klecker

Drop klecker from static_mirror_web

It will be replaced by new-klecker

As we are removing klecker from the static rotation, stop providing (static) onion services from it

Add new-klecker as a static mirror

(not yet triggered)

puppet still created /var/lib/misc/thishost/pkglist.  remove that

push debdeltas only to csail, isc, senfter; dropping klecker

wuiet is no longer a static_source.  apt.buildd.debian.org was retired months ago

ports/static mirror: if listen_addr are not explicitly set, use the host's public IPv4 address for onion purposes

Update wuiet IP address

wannabuild has been moved from bmdb1 to danzi

whitespace/quoting: modules/staticsync/manifests/static_mirror.pp (make lint happy)

Remove setting env vars in the static_mirror part of puppet-cron

This was re-setting MAILTO=root, which is already set at the top level,
and it was also setting PATH to only a subset of what it was before
(dropped the sbins).

slapd-ftmg.conf has credentials, lock down modes

disable root access to DB

Document initial database contents

Ship an initial ftmg slapd config

sso: add openssh-ldap.schema, re: RT#7454

whitespace/quoting: modules/roles/manifests/static_mirror_web (make lint happy)

static_mirror_web: replace the vhost_listen string with an Array of IP addresses

ports_mirror: replace the vhost_listen string with an Array of IP addresses

whitespace cleanup

make dns primary export and keyring host collect firewall rules for the openpgpkey zone transfer; retire old-style dns_primary role

shorter rule name

If the name is too long for netfilter, hash it

move 3rd party nameserver info from the ferm template to hiera, retire geodns old-style role

re-arrange hieradata/common slightly

publish, store and collect ferm rules for dns primary access

whitespace/quoting: modules/nagiosmanifests/ (make lint happy)

Try a new ferm rule class