Réunion adminsys du 18 octobre 2015

De Wiki LDN
Aller à : navigation, rechercher


Présents

  • ju
  • slash
  • nah
  • sacrediou
  • Axelos
  • Émile
  • DaveNull
  • Sebian
  • petit

Excusés

  • Gabriel

Ordre du jour

À quels services se limite-t-on (mail, jabber, ML, vpn, adsl marque blanche ?)

  • Gabriel : (mail, jabber, vpn, adsl marque blanche) me semble bien et ML si on peut le faire sans trop se casser la tête.
  • Est-ce qu'on garde la possibilité de faire du mail/jabber avec altu.fr/acteurdu.net ? On a l'air de dire que oui, quand même, c'est utile
  • Pour les VPS : on annonce aucun service de ce type publiquement, mais on fait au cas par cas si y'a des gens/assos qui ont besoin
  • ML : qu'elle est la difficulté de création/suppression de listes ? (avec domaines personnalisés) -> en fonction de cette difficulté voir si on garde ou pas.
  • mail : préciser ce qu'on fait dans le domaine du mail. Exemple : zimbra => c'est vraiment un système propore, très utilisé par des gros comptes (free, yahoo, univ-lorraine, etc...)
    • /!\ 2 versions de zimbra : community (open-source) et pro. La différence principale semble se situer au niveau du système de sauvegarde (qu'il est possible de faire en cours de fonctionnement pour la version pro, et nécessite l'arrêt de zimbra pour la version open-source).
    • zimbra fait également calendrier (caldav? ), gestion de contact (carddav ?) et porte-document
    • problème de zimbra ? : les ressources consommées... (beaucoup de java :-)) : compter environ 8Gio de RAM.
Exemple avec l'instance de ju (2 users) :
             total        used        free      shared  buff/cache   available
 Mem:         7.6G        2.6G        587M        392M        4.4G        4.3G
 Swap:        8.0G         39M        8.0G

Quels choix fait-on pour la virtualisation (100% LXC ? 100% KVM ? les deux imbriqués ?)

Gabriel : Proposer du KVM me semble bien pour les VMs fournies pour les autres associations : ça leur laisse la possibilité de gérer leurs modules/noyaux/OS. Par exemple, pour faire du VPN, ils ont besoin d'avoir le module TAP/TUN qu'ils ne peuvent charger eux même dans un LXC : il faut qu'on le fasse pour eux. De ce que j'en comprends, l'isolation entre différents LXC n'étant pas idéale, ça peut être problematique de ne faire que du LXC. Par exemple hors LXC, on peut voir tous les process dans les LXC.

Sur l'infra de Strasbourg  :

  • router (machine physique)
    • LXC ldn-vpn
    • mta-relay (ça sert à quoi ?)
    • bird
    • looking-glass (monitoring bgp)
    • snmp (pour le looking glass)
    • serveur ntp
  • services (machine physique)
    • VM Zoidberg
      • ldap : très probablement à jeter
      • logger : syslog centralisé
      • monitoring : nagios et librenms
      • ns0 : DNS public
      • ns0-auth : DNS qui fait autorité
      • puppet : puppet et git
      • webdivers : sites statiques (e.g. as60197.net)
      • aptproxy (stopped) : cache APT qu'on a arrêté d'utiliser parce qu'on avait des problèmes de routage et qu'on a été faibles
    • VM bender
      • mutualisés avec de la data utilisateurs : en gros YunoHost

https://wiki.ldn-fai.net/wiki/Droits_et_acc%C3%A8s

Infra "Online" (chez free) :

  • ikarus (dom0)
  • bergamotte (mail, mailing, pfa)
  • chardon (reverse-proxy, firewall)
  • mirabelle (web, wiki, galerie, status, sondage limewire, papillon, jabber)
  • ouich (bureau, dolibarr, ldap)
  • adsl (abonnement adsl, adslv2)
  • adsl-dev (version dév du container adsl)
  • repo (redmine, gitweb, gitolite)
  • gregory (access ssh)
  • sql (mysql)

Quels choix fait-on pour la redondance (ganeti + drbd + ibgp ? pas de redondance et on vire Router ?)

http://pub.sebian.fr/pub/Adimes_devis.pdf (config1=router , config2=services)

  • 300€ HT chassis + alim
  • 150€ HT carte mère
  • 244€ HT 32Gio de RAM
  • 230€ HT proc i7
  • 600€ TTC pour 3 HDD
  • TOTAL 1764€ TTC pour une nouvelle machine "router" qui permettrait la redondance

Qui s'occupe actuellement de trouver un plan au lux

  • problème de la migration physique des machines de Strasbourg -> Lux : interruption de service

Comment procède-t-on pour la réinstallation (on s'emmerde à faire un lab ? que faut-il sauvegarder ?)

  • Gabriel : est-ce qu'on peut faire une migration en douceur plutôt qu'une réinstallation from scratch ? Je suppose c'est compliqué si on veut de la redondance.
  • procédures d'importation :
    • postfix -> zimbra (boites mail de slash et damien)
    • les VMs des utilisateurs (Grenode, TDCP et peut-être Neutrinet)
    • les confs jabber

Comment peut-on s'assurer que l'infra soit suffisamment simple, pour enfin réellement accueillir de nouveaux admins (niveau d'utilisation de puppet ?)

  • puppet (git, git-certifs, capistrano, hiera, librarian)
    • https://wiki.ldn-fai.net/wiki/Puppet
    • capistrano : pas obligé
    • git : indispensable
    • certificats à part + hiera : l'idée est de séparer les recettes des données, mais c'est même pas obligatoire
    • librarian : permet de récupérer des modules puppet à partir de puppetforge et sans le hook ça pourrait ne pas poser de problème
    • les hooks (c'est peut être ça qui pose le plus pb) : post-merge (librarian), pre-commit (vérif cohérence des données)

=> refaire une conf puppet de zero (puppet + git uniquement), reprendre les modules existants qui nous intéressent (si le besoin de librarian se fait sentir on remet du librarian mais SANS hooks) => J'ai jamais eu de problèmes de hooks en tout cas.

  • Gabriel : La suppression des netns va aider déjà.
  • Gabriel : Sinon, je ne vois pas du tout quel est le problème, on a à peine passé deux heures à faire marcher puppet l'autre jour avec Sacrediou ^^ (tout ça pour au final demander à Capistrano de faire un "sudo ssh $host puppet agent"). Plus sérieusement, je pense que si tout le monde utilise la procédure avec bundler (et que donc, elle est bien documentée) ça évitera les soucis. Capistrano est peut-être overkill pour ce qu'on fait : il faudrait qu'on décide si on pousse à fond l'approche (Capistrano+bundler) ou l'approche scripts-sh.

Comment recompose-t-on le plan d'adressage IP

Services à recréer sur la nouvelle infra

  • Machine principale Eternium (répliqué sur la machine de redondance Cannibalon)
    • Host
      • Bird (eBGP + iBGP)
      • Proxy LGœ
      • Serveur NTP (est-ce nécessaire pour le drbd ?)
      • Ganeti
      • DRBD
    • VM Amy (Web sensible)
      • PHP / MySQL
      • Dolibarr
      • Redmine
      • Mailma
      • LibreNMS
    • VM Leela (Web pas sensible)
      • PHP / MySQL
      • Wordpress
      • Wiki
      • Looking Glass
      • Services publics (framadate, etherpad, etc)
      • Sites statiques (as60197.net, labriqueinter.net, etc)
    • VM Zoidberg (Infra/VPN)
      • Bind (qui fait autorité)
      • AllKnowingDns
      • OpenVPN
      • Serveur Puppet
      • Gitolite
    • VM Bender (Services)
      • Ejabberd
      • Mumble
      • Bind (récursif)
      • Torrentd
    • VM Nibbler (Groupware mails)
      • Zimbra
    • VM TDCPB (pote)
    • VM Neutrinet (pote)
    • VM FDN (pote)
    • VM TTNN (pote)


  • VM extérieures :
    • VM Conrad (Monitoring/Secondaires chez Grenode)
      • CheckMK
      • Bind (secondaire)
      • Postfix (secondaire)
    • VM Zapp (backups chez TTNN)
      • Rsnapshot

Plus tard :

  • Firewall (surcouche iptables)
  • ImapSync
  • GitWeb
  • Syslog externalisé ?
  • SI de neutrinet pour la création de VPN (module java qui fait tout) ? hardcore


À sauvegarder :

  • mails (/opt de zimbra)
  • jabber
  • blog + wiki + dolibarr
  • dépôts Git
  • certifs VPN