Try to avoid reserved site keyword

disallow puppet access from clients for now

Drop unused file

Add wuiet volumes at UBC

split out onionmaster into its own role

Remove the pkglist fact.  It's a) unused and b) slightly buggy

Make static-master-ubc-01 a static-master

include static_master class using hiera

Retire unused ferm varible definitions for HOST_STATIC*

ssh between static hosts should be handled by the ssh::authkey storedconf stuff

We do not do bittorrent between static hosts (yet/these days)

restrict ssh to static-master-ubc-01 by default.  we really really should move this config out of the template

restrict ssh to static-master-grnet-01 by default.  we really should move this config out of the template

Add static-master-ubc-01 volumes

fix a typo

retire long obsolete file removals

remove stray file

fix undefined variable issue

get list of mirrors from puppet

Make static-components.conf.erb more readable, maybe

sort mirror names

Document static-components.yaml

static-components: rename variables

fix a fact name.  sed was too eager

make manziarly a static master

Tell apt to use ca-global for cdn-aws.deb.debian.org

autofs: manziarly is now ubc

Try to make resolv.conf options actual class parameters

Use https on deb.debian.org

The trick for merge options to work is to use lookup() rather than hiera()

temporarily hardcode debian.org and end of searchpaths

resolv.conf cleanup, fix 1

resolv.conf cleanup

volumes for manziarly at ubc

hoster.yaml: remove obsolete comments

remove debian mirrors from hoster.yaml

fix hiera lookup call

schroot: use hiera debian mirror

ferm::ftp_conntrack: remove jessie support

debian_org: remove jessie support

debian_org::apt: remove jessie support

get debian mirror for apt from hiera (not yet doing that for schroot)

use correct tag for ssh authkeys @@ferm::rule

remove retired hosters: carnet, freenet, helsinki, linaro, ugent, uni-karlsruhe, xs4all

hoster: sort alphabetically

move hoster hieradata into its own directory

Add a comment to hieradata/common.yaml/roles

debian_org::apt: Retire some <= Debian8(jessie) codepaths

retire rsync snapshot service for lw*

rsync::site: remove unused variables, define parameter types

move rsync stunnels also to dsa_systemd::socket_service.  This should be a nop

fix a variable name

move rsync service/socket setup into a dsa_systemd::socket_service

Remove re-statement of default mode, owner, and group

rsync::site cleanup: try to fix ordering when we remove a service

rsync::site cleanup: move file and service names into variable

rsync::site dependency cleanup, part 1

We define three things: a .service file, a .socket file, and a service.

Previously, the service would require the two files, and the .socket
file would also notify the service.  Change that to the service
subscribing to the files, so it gets a) applied after the files, and
b) refreshed if either changes.

This seems cleaner.  The net change should be that the service gets
also notified if the .service file changes.

Revert "rsync::site dependency cleanup, part 1"

This reverts commit e18adfd6c665a99d3e5cde12b9cac516c39bda6b.

The commit contained unrelated changes.  Will re-commit the relevant
ones soon.

rsync::site dependency cleanup, part 1

We define three things: a .service file, a .socket file, and a service.

Previously, the service would require the two files, and the .socket
file would also notify the service.  Change that to the service
subscribing to the files, so it gets a) applied after the files, and
b) refreshed if either changes.

This seems cleaner.  The net change should be that the service gets
also notified if the .service file changes.

remove snapshot rsync service on lw* snapshot storage nodes

This service was not published and it's unlikely to be useful in any
sane way these days.

rsync::site: typecheck $ensure parameter

restrict,pty is a better way to get pty and disable everything else than listing all the current else things now

anarcat points out that maybe Optional[String] is better to use here

No idea if it works, but we'll find out eventually

the dsa user on the draghi pushes compiled nagios config (nrpe) to the puppet master

whitespace change only

authorized_key_add: allow undef value for key

the letsencrypt user on the dns primary pushes certs to the puppet master

roleaccounts: add dsa, letsencrypt

roleaccounts: reformat user list

no pg on sibelius

ganeti-reboot-cluster: describe what it does, and a license

Don't use versioned pg_basebackup

Use the latest so we know we can pass -X none.  -X fetch causes the
debsources backup to fail with a "requested WAL segment has already been
removed" error.

Log exit code of make-one-base-backup

no longer let thijs run tcpdump on klecker

Split out jenkins sudoers entries

whitespace change only

sudoers: include /etc/sudoers.d/

Create and own /etc/sudoers.d

Install libpam-pwdfile

no longer try release-specific sudoers files

sudo: whitespace change only

Make jenkins a proper role

make a dsa_systemd::linger to enable or disable lingering consistently

Enable lingering for jenkins user for jenkins role

ignore old PG on snapshotdb-manda-01 until January.  Hopefully we will have upgraded by then

switch package{} in bacula::client to ensure_packages

switch package{} in bacula::director to ensure_packages

minor comments

Make all the settings parameters.  the (unused) bacula_fd_port from hiera is now bacula::bacula_client_port

cleanup old, commented out hiera info

bacula directori and storage: whitespace change only

retire not-bacula-client local.yaml "role"

turn buildd into a real role

make motd check for no-backups depend on bacula::not_a_client class rather than local.yaml

no longer necessary to list porterboxes explicitly in local.yaml not-bacula-client

Do not backup porterboxes

do bacula backups iff we do not include the bacula::not_a_client class, 2

do bacula backups iff we do not include the bacula::not_a_client class

bacula::client -- support present/absent

fix a spacing in also-used in motd