30.2. 创建一个带有 PSK 身份验证的主机到主机的 IPsec VPN，并使用 vpn RHEL 系统角色分隔数据和控制平面

流程

1. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   ---
   - name: Configuring VPN
     hosts: managed-node-01.example.com, managed-node-02.example.com
     tasks:
       - name: IPsec VPN with PSK authentication
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.vpn
         vars:
           vpn_connections:
             - name: control_plane_vpn
               hosts:
                 managed-node-01.example.com:
   	        hostname: 203.0.113.1  # IP address for the control plane
                 managed-node-02.example.com:
   	        hostname: 198.51.100.2 # IP address for the control plane
               auth_method: psk
               auto: start
             - name: data_plane_vpn
               hosts:
                 managed-node-01.example.com:
   	        hostname: 10.0.0.1   # IP address for the data plane
                 managed-node-02.example.com:
   	        hostname: 172.16.0.2 # IP address for the data plane
               auth_method: psk
               auto: start
           vpn_manage_firewall: true
           vpn_manage_selinux: true

   示例 playbook 中指定的设置包括如下：

   hosts: <list>

   定义一个 YAML 字典，其中包含您想要在它们之间配置 VPN 的主机。连接被命名为 <name>-<IP_address_A>-to-<IP_address_B>，例如 control_plane_vpn-203.0.113.1-to-198.51.100.2。

   角色在每个受管节点上配置 VPN 连接。请注意，角色不能在外部（未管理的）节点上配置 Libreswan。您必须在这些主机上手动创建配置。

   auth_method: psk

   在主机之间启用 PSK 身份验证。角色在控制节点上使用 openssl 来创建预共享密钥。

   auto: <start-up_method>

   指定连接的启动方法。有效值是 add、ondemand、start 和 ignore。详情请查看安装了 Libreswan 的系统上的 ipsec.conf (5) 手册页。此变量的默认值为 null，这意味着没有自动启动操作。

   vpn_manage_firewall: true

   定义角色在受管节点上的 firewalld 服务中打开所需的端口。

   vpn_manage_selinux: true

   定义角色在 IPsec 端口上设置所需的 SELinux 端口类型。

   有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 文件。

2. 验证 playbook 语法：

   $ ansible-playbook --syntax-check ~/playbook.yml

   请注意，这个命令只验证语法，不会防止错误但有效的配置。

3. 运行 playbook：

   $ ansible-playbook ~/playbook.yml