今まではLet's Encryptで local.example.com とかのグローバルサブドメインを設定して、それをrsyncで持ってきてローカル用に使ってた。
これを自動化する。

test.example.comドメインに対する test.local.example.com は空でいい。

version: '3'
services:
  proxy:
    image: steveltn/https-portal:1.4.2
    ports:
      - '80:80'
      - '443:443'
    restart: always
    environment:
      DOMAINS: >-
        test:example@test.example.com #production,
        test:example@test.local.example.com #production
    volumes:
      - '/srv/https-portal/certs:/var/lib/https-portal'
      - '/srv/https-portal/vhosts:/var/www/vhosts'

これをテストサーバーで立ち上げ。

ansibleのタスク

---
- name: copy ssh keys
  copy:
    src: "~/.ssh/{{ item }}"
    dest: "/root/.ssh/{{ item }}"
    mode: 0600
  with_items:
    - id_rsa
    - id_rsa.pub
  when: inventory_hostname == 'test.local.example.com'

- name: debug
  debug: "msg={{inventory_hostname}}"

- name: rsync certs from remote local
  synchronize:
    src: /srv/https-portal/certs/
    dest: /srv/https-portal/certs/
    mode: pull
    recursive: yes
  when: inventory_hostname == 'test.example.com'
  delegate_to: test.local.example.com

inventoryにipやポートを書いて

ansible-playbook -i local -u root -v playbook.yml
ansible-playbook -i remote -u root -v playbook.yml

既にsshの公開鍵があり local => remote の sshが通るなら上側は不要。
synchronize の pull を delegate して実行する。（ややこしい）

docker-compose up -d の前にこのplaybookを実行すれば、証明書が更新されている場合はダウンロードしてくる。（予定）

最初の docker-composeの

        test:example@test.example.com #production,

の行を削除して、ローカルでもproductionで立ち上げる。linkとかあるなら test.local.example.com の方に移植する。

[追記]
下の設定は意味がなかった。

ブリッジに新しいNICを接続するとき、やはり別のMACアドレスが必要になる。
でもそのMACアドレスでは外に出れないので、ローカルネットワークと同じような状態になって意味がない…。

ブリッジに接続する新しいNICまで同じMACアドレスにするのは無理だし、結局仮想を動かすにはルーティングするかNIC共有するかのどちらかになるっぽい。
[/追記]

新しくbr0を作ってそこにeth0を繋げても動かなかったのでメモ。

manual.sakura.ad.jp
MACアドレスが固定らしい。

ブリッジ接続を新しく作ると、eth0のIPが消えてbr0にIPを設定する。
このときbr0は新しくMACアドレスが作られるので、それで通信できていない？

eth0と同じMACアドレスにすると通信できた。
同じMACアドレスでいいのかは分からないが…。
serverfault.com
KVMの場合だけど、ブリッジだと問題なさそうというか同じにするべきだというふうに読める。

unix.stackexchange.com
この辺の回答とコメントを読んだけどよく分からない。

bridge - wlan same mac adress - loop - MikroTik
こっちでは問題が起きてるっぽいけど、Maybe a bug? と言われている。

ネットワークの問題というよりもLinuxの仮想NIC実装の問題だろうか。
ネットワークのループは実機でも仮想でもやったことあるけど、その場合すぐ制御不能になるので今動いているということは大丈夫なんだろう。たぶん。

https://github.com/nishimura/vagrant-systemd-nspawn.git
ここに置いた。

Macでの環境。

Vagrant 2.0.1
ansible 2.6.4
VirtualBox 5.1.28
VMware Fusion 10.1.3

以前使ったときに

vagrant plugin install vagrant-hostsupdater
vagrant plugin install vagrant-vbguest

vagrant plugin install vagrant-persistent-storage

は実行済みとして。
固定環境で立ち上げるゲストが決まっているならhostsupdaterは入れずに手動でhost編集した方が楽かもしれない。

git clone https://github.com/nishimura/vagrant-systemd-nspawn.git host-debian9
cd host-debian9

source ./myenv-example-hostonly

cp ~/.ssh/id_rsa.pub data/authorized_keys

vagrant up


ansible-playbook -i playbook/env/hostonly/ -u root -v playbook/container-host.yml

ホストのネットワーク設定とゲストを（exampleの設定なら）三台作る。
run debootstrap のところでしばらく待つ。普通にコマンド実行したら逐次表示は出来ない…？

他のネットワークにブリッジする場合は myenv-example-vmware と playbook/env/vmware-bridge のような感じで。
VirtualBoxとVMwareを繋ぐ場合、初期値でいいなら

cp ~/.ssh/id_rsa.pub data/authorized_keys
source myenv-example-vmware
vagrant up
ansible-playbook -i playbook/env/vmware-bridge/ -u root -v playbook/container-host.yml

これですぐ動くはず。

host01という名前を変えるなら

• myenv*
• playbook/env/*/inventory

を変える。

myenv-example-hostonly の初期値のままなら、 host01.local.test というVagrantのゲストOSをsystemd-nspawnのホストとして作り、その中に guest01.local.test、(guest02, guest03) を作る。
IP は 192.168.1.3 がホストで、末尾 11, 12, 13 がゲスト。
ホストオンリーネットワークの中でブリッジ接続していてMacから直接

ssh root@192.168.1.3
ssh root@192.168.1.11

などで入れる。

systemd-nspawnのゲストOSを入れる領域は別途ディスクを追加して Btrfs でフォーマットしている。

何度も実行しているとよく忘れるんだけど、authorized_keysをコピーし忘れてエラーになった場合は、dataに置いてから

vagrant provision

で該当箇所だけ実行。停止やリスタートの必要は無い。

ゲストを増やす場合はenvの中の変数 guests を増やして

ansible-playbook -i playbook/env/vmware-bridge/ -u root -v playbook/container-host.yml --tags=guests

を実行。差分だけ反映された感じのログが出ていればOK。
rootで入っているので所々で警告は出る。

初期状態のOSなので、何かアプリを入れたりするときは別途でそれ用のAnsible設定を使えばいいかなという感じ。

自分の場合は作業用PCがDebianなので、Vagrantの部分を飛ばして

source myenv-example-localvm
cp ~/.ssh/id_rsa.pub data/authorized_keys
ansible-playbook -i playbook/env/localvm -u root -v playbook/container-host.yml

という感じでssh root@localhost で入って同様の操作をしている。
ホストの /etc/hosts は変更しないけど /etc/systemd/network は変わるので、既にsystemd-networkd で何かしら設定をしている場合は消えないように現状の設定に合わせる必要がある。

Vagrantのvmごと何度も消したり立ち上げたりするとめっちゃ時間がかかったので、仮想マシンからコンテナに移る流れは分かるような気がした。
あとネットワーク設定にハマるとなかなか抜け出せない。systemdに変わってるから予備知識ゼロだったしね…。

参考：
systemd-networkd - ArchWiki

qiita.com
qiita.com

9/27 追記：

guests:
  - { name: guest01, ip: 192.168.1.11/24 }
  - { name: guest02, ip: 192.168.1.12/24 }
  - { name: guest03, ip: 192.168.1.13/24 }

こういう変数があったとして、このセットがVagrant用、VMware用、ローカル用、みたいな感じで複数ある。
大抵の場合は変更しないのでデフォルト値として共有したい。

これを

guests:
  - { name: web, ip: 192.168.1.11/24 }
  - { name: app, ip: 192.168.1.12/24 }
  - { name: db, ip: 192.168.1.13/24 }

設定が進んでくるとこのセットを全て変えたりする。
このとき、IPは同じなので

guests:
  - { name: web }
  - { name: app }
  - { name: db }

名前だけ変えたい。

また、Vagrant用とVMware用の設定が異なったとして、このときは名前が同じなので

guests:
  - { ip: 192.168.11.11/24 }
  - { ip: 192.168.11.12/24 }
  - { ip: 192.168.11.13/24 }

ipだけ変えたい。

それから、既存環境と干渉するってときに

guests:
  - ？
  - { ip: 192.168.11.111/24 }
  - ？

一部だけ変えたい。

変えた後も、個別設定した箇所以外は共通設定の変更が反映されるようにしたい。
プログラムならすぐなんだけどAnsibleではどうやるのか全然思い付かなくて今迷ってる。
group_varsに書くのかinventoryに書くのかincludeで読むのか、また設定ファイルの中の配列や連想配列の一部だけ書き換えるのはどうすればいいのか、わからん…。