Hier is een gestructureerde aanpak voor het ontwerpen van een Ansible playbook dat infrastructuurschaling en load balancing op AWS EC2 automatiseert, inclusief monitoring, autoscaling, load balancer configuratie met HAProxy, en beveiligingsmaatregelen. 1. Overzicht van de structuur - Inventaris: Definieer je EC2-instances en AWS resources. - Rollen: Maak rollen voor: - EC2-instanties beheren (aanmaken, termineren) - Load balancer configuratie (HAProxy) - CloudWatch monitoring en autoscaling - Security groups en TLS configuratie - Playbooks: - Initiële deployment - Monitoring en autoscaling - Load balancer setup en beveiliging 2. Stap-voor-stap structuur A. Inventaris en AWS resources Gebruik de `ec2` en `aws` modules of de `boto3`-library via Ansible voor resourcebeheer. B. EC2-instanties aanmaken en configureren ```yaml - name: Launch initial EC2 instances hosts: localhost gather_facts: false tasks: - name: Launch EC2 instances community.aws.ec2: key_name: jouw-key instance_type: t2.medium image: ami-xxxxxxxx wait: yes count: 3 security_groups: sg-xxxxxxxx exact_count: yes region: eu-west-1 assign_public_ip: yes # Tag voor identificatie instance_tags: Name: my-app-instance register: ec2_instances ``` C. Load balancer met HAProxy - Installeer HAProxy op een aparte instantie of configureer het op elke node. - Zorg voor TLS met certificaten (bijvoorbeeld Let's Encrypt). - Configureer strikte firewallregels via security groups: ```yaml - name: Configure security groups community.aws.ec2_group: name: my-security-group description: Beveiligingsgroep voor mijn app region: eu-west-1 rules: - proto: tcp from_port: 80 to_port: 80 cidr_ip: 0.0.0.0/0 - proto: tcp from_port: 443 to_port: 443 cidr_ip: 0.0.0.0/0 ``` - Load balancer setup (bijvoorbeeld via een EC2 met HAProxy): ```yaml - name: Installeren en configureren van HAProxy hosts: loadbalancer become: yes tasks: - name: Installeer HAProxy apt: name: haproxy state: present - name: Configureer HAProxy template: src: haproxy.cfg.j2 dest: /etc/haproxy/haproxy.cfg notify: Restart haproxy - name: Start en enable HAProxy service: name: haproxy state: started enabled: yes handlers: - name: Restart haproxy service: name: haproxy state: restarted ``` D. Monitoring en autoscaling - Gebruik CloudWatch alarms om CPU-gebruik te monitoren: ```yaml - name: Creëer CloudWatch alarm voor CPU boven 70% community.aws.cloudwatch_alarm: name: high-cpu-alarm metric: CPUUtilization namespace: AWS/EC2 statistic: Average period: 300 evaluation_periods: 1 threshold: 70 comparison: GreaterThanOrEqualToThreshold alarm_actions: - arn:aws:autoscaling:region:account:autoScalingGroupName/your-auto-scaling-group ``` - Auto Scaling Group (ASG) maken die automatisch instaat voor het toevoegen of verwijderen van EC2-instances: ```yaml - name: Creëer Auto Scaling Group community.aws.ec2_asg: name: my-asg launch_configuration_name: my-launch-config min_size: 3 max_size: 10 desired_capacity: 3 vpc_zone_identifier: subnet-xxxxxx,subnet-yyyyyy region: eu-west-1 ``` - Zorg dat de launch configuration of template automatisch nieuwe nodes configureert en registreert bij HAProxy (via scripts of health checks). E. Failoverstrategie - Configureer health checks in HAProxy die op regelmatige basis de nodes controleren. - Automatische uitschakeling van niet-levende nodes door de ASG. - Gebruik SNS of andere notificaties voor escalatie indien nodig. 3. Samenvatting - De basisstructuur bestaat uit initialisatie van EC2-instances, installatie en configuratie van HAProxy met TLS, beveiliging via security groups, monitoring met CloudWatch, en autoscaling gebaseerd op CPU-activiteit. - Gebruik Ansible-rollen en templates voor herbruikbaarheid. - Automatiseer het gehele proces met CI/CD pipelines indien gewenst. Wil je dat ik je help met het schrijven van volledige voorbeeld-playbooks, templates of het opzetten van specifieke onderdelen?

Zeker! Ik help je bij het ontwerpen van een Ansible playbook voor AWS EC2 met HAProxy. Hier is een gestructureerde aanpak: ## 1. Playbook Structuur ``` infrastructuur/ ├── group_vars/ │ ├── all.yml │ ├── haproxy.yml │ └── webservers.yml ├── host_vars/ │ └── haproxy-server.yml ├── roles/ │ ├── common/ │ ├── haproxy/ │ ├── webserver/ │ └── monitoring/ ├── site.yml ├── scale-up.yml ├── scale-down.yml └── templates/ ├── haproxy.cfg.j2 └── cloudwatch-alarm.json.j2 ``` ## 2. Hoofd Playbook (site.yml) ```yaml --- - name: Configureer complete infrastructuur hosts: localhost connection: local gather_facts: false tasks: - name: Maak CloudFormation stack aan cloudformation: stack_name: "web-app-stack" template: "templates/infrastructure.yml" region: "eu-west-1" register: stack - name: Configureer HAProxy load balancer hosts: haproxy become: yes roles: - common - haproxy - name: Configureer web servers hosts: webservers become: yes roles: - common - webserver ``` ## 3. HAProxy Role (roles/haproxy/tasks/main.yml) ```yaml --- - name: Installeer HAProxy apt: name: haproxy state: present when: ansible_os_family == "Debian" - name: Configureer HAProxy template: src: haproxy.cfg.j2 dest: /etc/haproxy/haproxy.cfg notify: restart haproxy - name: Zet HAProxy aan systemd: name: haproxy state: started enabled: yes - name: Configureer firewall ufw: rule: "{{ item }}" loop: - { port: 80, proto: tcp } - { port: 443, proto: tcp } - { port: 8404, proto: tcp } # Stats pagina ``` ## 4. HAProxy Template (roles/haproxy/templates/haproxy.cfg.j2) ```jinja2 global daemon log 127.0.0.1 local0 maxconn 4096 tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull retries 3 timeout connect 5000 timeout client 50000 timeout server 50000 frontend http_front bind *:80 bind *:443 ssl crt /etc/ssl/certs/mydomain.pem default_backend http_back backend http_back balance roundrobin option forwardfor http-request set-header X-Forwarded-Port %[dst_port] {% for host in groups['webservers'] %} server {{ hostvars[host].inventory_hostname }} {{ hostvars[host].ansible_default_ipv4.address }}:80 check {% endfor %} listen stats bind *:8404 stats enable stats uri /stats stats refresh 30s ``` ## 5. Auto Scaling Playbook (scale-up.yml) ```yaml --- - name: Schaal infrastructuur op hosts: localhost connection: local vars: desired_capacity: "{{ current_instances | length + 1 }}" tasks: - name: Start nieuwe EC2 instance ec2_instance: key_name: "my-key" instance_type: "t3.medium" image_id: "ami-12345678" security_group: "web-sg" network: assign_public_ip: true tags: Environment: Production Role: WebServer register: new_instance - name: Wacht op SSH beschikbaarheid wait_for: host: "{{ new_instance.instances[0].public_ip_address }}" port: 22 delay: 10 timeout: 300 delegate_to: localhost - name: Voeg nieuwe host toe aan inventory add_host: name: "web-{{ new_instance.instances[0].id }}" ansible_host: "{{ new_instance.instances[0].public_ip_address }}" groups: webservers - name: Configureer nieuwe webserver hosts: "web-{{ new_instance.instances[0].id }}" become: yes roles: - common - webserver - name: Update HAProxy configuratie hosts: haproxy become: yes tasks: - name: Herlaad HAProxy config template: src: haproxy.cfg.j2 dest: /etc/haproxy/haproxy.cfg notify: reload haproxy ``` ## 6. CloudWatch Monitoring (roles/monitoring/tasks/main.yml) ```yaml --- - name: Maak CloudWatch alarm aan voor CPU community.aws.cloudwatch_metric_alarm: state: present region: "eu-west-1" name: "HighCPUUsage" metric: "CPUUtilization" namespace: "AWS/EC2" statistic: "Average" comparison: ">" threshold: 70.0 period: 300 evaluation_periods: 1 alarm_actions: "arn:aws:sns:eu-west-1:123456789012:scale-up" dimensions: AutoScalingGroupName: "web-asg" ``` ## 7. Beveiligingsconfiguratie (group_vars/all.yml) ```yaml --- # TLS Configuratie tls_cert_path: "/etc/ssl/certs/mydomain.pem" tls_key_path: "/etc/ssl/private/mydomain.key" # Firewall regels firewall_rules: - { port: 22, proto: tcp, src: "10.0.0.0/16" } - { port: 80, proto: tcp, src: "0.0.0.0/0" } - { port: 443, proto: tcp, src: "0.0.0.0/0" } # AWS Configuratie aws_region: "eu-west-1" vpc_id: "vpc-12345678" subnet_ids: - "subnet-12345678" - "subnet-87654321" ``` ## 8. Failover Strategie ```yaml # roles/haproxy/templates/healthcheck.yml - name: Configureer health checks uri: url: "http://{{ item }}/health" method: GET status_code: 200 timeout: 5 register: health_result until: health_result.status == 200 retries: 3 delay: 10 with_items: "{{ groups['webservers'] }}" ``` ## 9. Uitvoering ```bash # Initiele deployment ansible-playbook site.yml # Handmatige scaling ansible-playbook scale-up.yml -e "current_instances={{ groups['webservers'] }}" # Monitoring ansible-playbook monitoring.yml --tags "cloudwatch" ``` ## Belangrijke Overwegingen: 1. **Security Groups**: Beperk toegang tot HAProxy stats pagina 2. **TLS Certificaten**: Gebruik AWS Certificate Manager of Let's Encrypt 3. **Backup Strategy**: Regelmatige backups van HAProxy configuratie 4. **Logging**: Centraliseer logs met CloudWatch Logs 5. **Testing**: Test failover scenario's regelmatig Deze structuur biedt een solide basis voor automatische schaling met goede beveiliging en monitoring!