Repositórios do FWFLEX, instalação e provisionamento do software

Instalação

A instalação do FWFLEX é feita através de ISO customizada do Almalinux com kickstart para automação da instalação. Procedimento como construir a ISO: Build da ISO Kickstart KS iTFLEX.

A seção de pós-instalação da ISO configura os repositórios RPM da iTFLEX, instala o EPEL e o itflex-core. O servidor é reiniciado após instalação.

Provisionamento

O pacote itflex-core contém o Ansible de provisionamento do produto. Após iniciar o servidor pela primeira vez, ele irá executar o itflex-provision. Uma sequência de playbooks necessárias para provisionamento inicial do servidor. Logs disponíveis em /etc/itflex/packages/logger/initial.log. Após a finalização do itflex-provision, o servidor é reiniciado novamente e exibe os dados para acesso ao Wizard.

A interface base de administração do FWFLEX / Wizard já vem no pacote itflex-core. Os demais módulos requerem instalação pelo Wizard.

Ao habilitar novo módulo no Wizard, o FWFLEX instala o pacote RPM do módulo e depois executa o playbook de provisionamento do módulo. Logs disponíveis em /etc/itflex/packages/logger/itflex.log.

Repositórios

Os pacotes RPM do FWFLEX ficam hospedados no servidor https://repo02.itflex.com.br/ com autenticação. Os principais repos são https://repo02.itflex.com.br/centos/8/v3/stable/ onde ficam os pacotes RPM dos módulos da iTFLEX e https://repo02.itflex.com.br/centos/8/v3/3rdparty/ onde ficam pacotes terceiros empacotados pela iTFLEX.

O build e deploy desses pacotes é feito através das pipelines do Gitlab. Mais informações em: Gitlab CI/CD Pipelines. Detalhes de como esses pacotes são construídos em: Como criar um RPM.

Repositório de dados de aplicações

No repo02 também há outros dados que são baixados pelo FWFLEX:

  • Firewall
    • Aplicações (Office 365 e outros endereços IPs, usados para regras de firewall)
  • Webfilter
    • Categories (Categorias de acesso do webfilter atualizadas dinamicamente)
  • itflex-access
    • Chaves de acessos dos colaboradores da iTFLEX
  • tiflux
    • Lista simples de usuários que não requerem instalar TIFLUX

O deploy das Aplicações do firewall é feito pelo CI, no diretório abaixo: https://git.itflex.com.br/itflex/itflex/-/tree/master/tasks/

Especificamente os IPs do Office365 são atualizados dinamicamente por uma rotina configurada no servidor intranet. Demais aplicações são listas de IPs estáticos.

Para adicionar nova Aplicação (lista fixa de IPs no Firewall), basta configurar os confs no diretório abaixo no formato YML. https://git.itflex.com.br/itflex/itflex/-/tree/master/tasks/confs/applications

As categorias do Webfilter também são atualizadas automaticamente, baixadas do site francês https://dsi.ut-capitole.fr/blacklists/download/ . Configurado em: https://git.itflex.com.br/itflex/itflex/-/tree/master/tasks/categories

As rotinas de atualização dinâmicas são executadas na crontab do servidor intranet diariamente. O script faz deploy para o repo02.

No FWFLEX há uma crontab client que faz download das aplicações e categorias diariamente.

Copyright © iTFLEX Tecnologia Ltda 2019