30.3. 使用 vpn RHEL 系统角色配置具有 PSK 身份验证的 IPsec 站点到站点 VPN

流程

1. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   ---
   - name: Configuring VPN
     hosts: managed-node-01.example.com, managed-node-02.example.com
     tasks:
       - name: IPsec VPN with PSK authentication
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.vpn
         vars:
           vpn_connections:
             - hosts:
                 managed-node-01.example.com:
                   subnets:
                     - 192.0.2.0/24
                 managed-node-02.example.com:
                   subnets:
                     - 198.51.100.0/24
                     - 203.0.113.0/24
               auth_method: psk
               auto: start
           vpn_manage_firewall: true
           vpn_manage_selinux: true

   示例 playbook 中指定的设置包括如下：

   hosts: <list>

   使用您要配置 VPN 的网关定义一个 YAML 字典。如果条目不是一个 Ansible 管理的节点，您必须在 hostname 参数中指定其完全限定域名(FQDN)或 IP 地址，例如：

             ...
             - hosts:
                 ...
                 external-host.example.com:
                   hostname: 192.0.2.1

   角色在每个受管节点上配置 VPN 连接。连接名为 <gateway_A>-to-<gateway_B>，例如 managed-node-01.example.com-to-managed-node-02.example.com。请注意，角色无法在外部（未管理的）节点上配置 Libreswan。您必须在这些对等点上手动创建配置。

   subnets: <yaml_list_of_subnets>

   定义通过隧道连接的无类别域间路由(CIDR)格式的子网。

   auth_method: psk

   在对等点之间启用 PSK 身份验证。角色在控制节点上使用 openssl 来创建 PSK。

   auto: <startup_method>

   指定连接的启动方法。有效值是 add、ondemand、start 和 ignore。详情请查看安装了 Libreswan 的系统上的 ipsec.conf (5) 手册页。此变量的默认值为 null，这意味着没有自动启动操作。

   vpn_manage_firewall: true

   定义角色在受管节点上的 firewalld 服务中打开所需的端口。

   vpn_manage_selinux: true

   定义角色在 IPsec 端口上设置所需的 SELinux 端口类型。

   有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 文件。

2. 验证 playbook 语法：

   $ ansible-playbook --syntax-check ~/playbook.yml

   请注意，这个命令只验证语法，不能防止错误的、但有效的配置。

3. 运行 playbook：

   $ ansible-playbook ~/playbook.yml