Natuurlijk! Hieronder vind je een advies over het structureren van je Ansible playbook voor het beheer van Docker-omgevingen met focus op container lifecycle, beveiliging en monitoring. **Structuur van het Playbook** 1. **Inventaris en Groepen** Maak groepen voor bijvoorbeeld: - `docker_hosts` (servers met Docker) - `web_containers` en `db_container` (indien nodig per host) 2. **Playbook Opsplitsing** Gebruik een gestructureerde structuur met verschillende rollen of takenbestanden: - **setup.yml**: Installeer en configureer Docker, zet SELinux in juiste modus, configureer firewallregels - **network.yml**: Creëer en beheer interne overlay netwerk, bijvoorbeeld met Docker networks - **containers.yml**: Deployment en beheer van de containers (web en database) - **update.yml**: Rolling updates met minimale downtime - **security.yml**: Beveiligingsinstellingen, rechten, SELinux policies - **monitoring.yml**: Integratie van monitoringtools (bijv. Prometheus, Grafana, cAdvisor) **Container Lifecycle Beheer** - **Deploy**: Gebruik `docker_container` module om containers te starten, te stoppen, te herstarten of te verwijderen - **Updates**: Implementeren met rolling update strategie: - Stop de container zonder downtime door nieuwe container naast de oude te starten en verkeer te wisselen - Gebruik `docker_image` met `pull: yes` voor altijd up-to-date images - **Scaling**: Bijvoorbeeld door meerdere webcontainers te draaien en load balancing te configureren **Beveiligings- en Monitoringtools Integratie** - **Beveiliging**: - Gebruik SELinux policies via `setsebool` en aangepaste policies voor Docker - Beperk het gebruik van privileges binnen containers (`--privileged` vermijden) - Configureer firewallregels via `firewalld` of `iptables` modules - Gebruik Docker security options zoals `seccomp`, `apparmor` profiles en user namespaces - **Monitoring**: - Voeg containers toe die monitoringtools bevatten (bijv. cAdvisor, Prometheus node exporters) - Verzamel logs en metrics, en stuur deze naar centrale opslag (bijv. ELK of Grafana) - Automatisering van health checks en alerting **Aanbevolen Workflow** 1. **Initialisatie**: Installeer Docker, configureer netwerk en beveiligingsinstellingen 2. **Deployment**: Rollende uitrol van containers volgens de strategie 3. **Beveiliging**: Continu controleren en bijstellen van policies en firewallregels 4. **Monitoring**: Regelmatig verzamelen en analyseren van metrics en logs 5. **Updates**: Periodiek uitvoeren van updates met minimale downtime **Voorbeeld van een beknopt structuur** ```yaml - name: Docker omgeving configureren hosts: docker_hosts become: yes vars: web_image: mywebapp:latest db_image: mydatabase:latest roles: - docker_setup - network_setup - security_config - containers_deploy - monitoring_tools ``` **Samenvatting** - Gebruik gescheiden taken/rollen voor modulariteit - Automatiseer container lifecycle met `docker_container` en `docker_image` modules - Implementeer rolling updates door nieuwe containers naast oude te starten en verkeer te switchen - Beveilig je omgeving via SELinux, firewallregels en Docker security opties - Integreer monitoringtools voor zichtbaarheid en proactief beheer Wil je dat ik je een voorbeeld playbook of specifieke taken uitwerk?

Zeker, ik help je graag een gestructureerd Ansible playbook te ontwerpen voor het beheren van je Docker containeromgeving. Hier is een uitgebreid advies in het Nederlands: ## 1. Playbook Structuur ``` ansible-docker-management/ ├── inventories/ │ ├── production/ │ └── staging/ ├── group_vars/ │ ├── all.yml │ └── webservers.yml ├── host_vars/ │ └── docker-host.yml ├── roles/ │ ├── common/ │ ├── docker-setup/ │ ├── network/ │ ├── database/ │ ├── webserver/ │ ├── security/ │ └── monitoring/ ├── site.yml ├── rolling-update.yml └── requirements.yml ``` ## 2. Hoofd Playbook (site.yml) ```yaml --- - name: Configureer Docker host en beveiliging hosts: docker_hosts roles: - common - docker-setup - security - name: Implementeer netwerkconfiguratie hosts: docker_hosts roles: - network - name: Deploy database container hosts: docker_hosts roles: - database - name: Deploy web containers hosts: docker_hosts roles: - webserver - name: Configureer monitoring hosts: docker_hosts roles: - monitoring ``` ## 3. Rol: Docker Setup (roles/docker-setup/tasks/main.yml) ```yaml --- - name: Installeer Docker package: name: docker-ce state: present - name: Start en enable Docker service systemd: name: docker state: started enabled: yes - name: Voeg gebruiker toe aan docker groep user: name: "{{ ansible_user }}" groups: docker append: yes - name: Maak directories voor Docker file: path: "{{ item }}" state: directory owner: root group: docker mode: '0755' loop: - /opt/docker/volumes - /opt/docker/configs ``` ## 4. Rol: Network (roles/network/tasks/main.yml) ```yaml --- - name: Creëer overlay netwerk docker_network: name: app-overlay driver: overlay ipam_config: - subnet: 10.0.1.0/24 attachable: yes - name: Configureer firewall regels firewalld: zone: public service: "{{ item }}" permanent: yes state: enabled immediate: yes loop: - docker - http - https ``` ## 5. Rol: Database (roles/database/tasks/main.yml) ```yaml --- - name: Deploy database container docker_container: name: database-container image: postgres:13 state: started restart_policy: always networks: - name: app-overlay env: POSTGRES_DB: "{{ db_name }}" POSTGRES_USER: "{{ db_user }}" POSTGRES_PASSWORD: "{{ db_password }}" volumes: - /opt/docker/volumes/postgres:/var/lib/postgresql/data security_opts: - "label=type:docker_container_t" read_only: true tmpfs: - /tmp - /run ``` ## 6. Rol: Webserver (roles/webserver/tasks/main.yml) ```yaml --- - name: Deploy web containers met rolling update strategie docker_container: name: "web-container-{{ item }}" image: "{{ web_image }}:{{ web_version }}" state: started restart_policy: always networks: - name: app-overlay ports: - "808{{ item }}:80" env: DATABASE_URL: "postgresql://{{ db_user }}:{{ db_password }}@database-container:5432/{{ db_name }}" security_opts: - "label=type:docker_container_t" read_only: true tmpfs: - /tmp - /var/run loop: "{{ range(1, 4) }}" async: 45 poll: 0 - name: Wacht op containers om gezond te worden wait_for: host: "{{ ansible_default_ipv4.address }}" port: "808{{ item }}" state: started delay: 10 timeout: 60 loop: "{{ range(1, 4) }}" ``` ## 7. Rol: Security (roles/security/tasks/main.yml) ```yaml --- - name: Configureer SELinux voor Docker selinux_permissive: name: docker_t permissive: false - name: Maak aangepaste SELinux policy voor containers seboolean: name: container_manage_cgroup state: yes persistent: yes - name: Configureer Docker daemon security copy: content: | { "userns-remap": "default", "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" }, "default-ulimits": { "nofile": { "Name": "nofile", "Hard": 64000, "Soft": 64000 } } } dest: /etc/docker/daemon.json notify: restart docker - name: Installeer en configureer auditd package: name: auditd state: present ``` ## 8. Rolling Update Playbook (rolling-update.yml) ```yaml --- - name: Rolling update voor web containers hosts: docker_hosts serial: 1 tasks: - name: Update web container 1 docker_container: name: web-container-1 image: "{{ web_image }}:{{ new_version }}" state: started restart: yes async: 45 poll: 0 - name: Wacht op gezondheid container 1 wait_for: host: "{{ ansible_default_ipv4.address }}" port: "8081" state: started timeout: 60 - name: Update web container 2 docker_container: name: web-container-2 image: "{{ web_image }}:{{ new_version }}" state: started restart: yes async: 45 poll: 0 - name: Wacht op gezondheid container 2 wait_for: host: "{{ ansible_default_ipv4.address }}" port: "8082" state: started timeout: 60 - name: Update web container 3 docker_container: name: web-container-3 image: "{{ web_image }}:{{ new_version }}" state: started restart: yes async: 45 poll: 0 - name: Wacht op gezondheid container 3 wait_for: host: "{{ ansible_default_ipv4.address }}" port: "8083" state: started timeout: 60 ``` ## 9. Variabelen Bestand (group_vars/all.yml) ```yaml --- # Docker configuratie docker_version: "20.10" web_image: nginx web_version: "1.21" new_version: "1.22" # Database configuratie db_name: mijnapp db_user: appuser db_password: "{{ vault_db_password }}" # Netwerk configuratie overlay_subnet: "10.0.1.0/24" # Beveiliging selinux_state: enforcing ``` ## 10. Monitoring Integratie Voeg deze taak toe aan een monitoring rol: ```yaml - name: Deploy Prometheus node exporter docker_container: name: node-exporter image: prom/node-exporter:latest state: started restart_policy: always ports: - "9100:9100" security_opts: - "label=type:docker_container_t" read_only: true ``` ## Belangrijke Best Practices: 1. **Ansible Vault**: Gebruik voor gevoelige data zoals wachtwoorden 2. **Tags**: Implementeer tags voor specifieke rollouts 3. **Handlers**: Gebruik voor service restarts 4. **Foutafhandeling**: Implementeer `failed_when` en `rescue` blokken 5. **Idempotentie**: Zorg dat playbook meerdere keren kan draaien ## Uitvoering: ```bash # Volledige deploy ansible-playbook -i inventories/production site.yml # Rolling update ansible-playbook -i inventories/production rolling-update.yml --extra-vars "new_version=1.22" # Alleen security updates ansible-playbook -i inventories/production site.yml --tags "security" ``` Deze structuur biedt een solide basis voor het beheren van je Docker omgeving met focus op beveiliging, betrouwbaarheid en minimale downtime tijdens updates.