Projet

Général

Profil

Reunions »

tags: aquilenet

Aquilenet Ateliers d'Admins Aquilenet - Session fin 2024 <3

Chantiers pour les ateliers d'admins à la Mezzanine (20 rue Tourat Bordeaux)
Date: le 23-24/11 et le 7-8/12 (vote: https://framadate.org/admin-aquilenet )

23-24/11 :

  • samedi à partir de 14h (pas avant 18h pour Samuel, jusqu'à pas d'heure pour Sacha)
  • dimanche après-midi

7-8/12:

  • samedi à partir de 10h
  • dimanche

Apétence / prio pour Aquilenet

Hébergement ?

Tagada : je cherche un canapé pour un des deux weekend, ou les deux

Présentation de l'infra et des outils

Pour les nouveaux admins, on répond à toutes les questions et on améliore le wiki admin avec les infos qui manquent

Wiki Jardinage

Le wiki vit depuis plus de 10 ans, il a besoin qu'on le cultive, pour toi pour moi et les suivants
Des parties privées pourraient être publiques

Séparer les IPv6

Les serveurs de mail se retrouvent blacklistés par les comportement des autres machines d'un même /64

-> déplacer Tor dans un autre /64
-> déplacer les VMS des adhérents dans leur propre /64 séparé

Plutôt que d'embêter tous les posseseurs de VM, on peut commencer par changer de /64 seulement le serveur mail

Supervision

La supervision donne l'état de santé du commun maintenu par les admins.
L'intelligence sur le bon fonctionnement technique de l'asso est dedans.

  • Formation ?

sonde usure des disques SSD

Mini-formation sur les tickets Axione et Netwo quand il y a une coupure

rspamd manque sur angelie

du coup les gestionnaires de listes se reçoivent des tas d'alerte d'adresse en erreur dès qu'un seul spam se retrouve laissé passer par sympa mais flaggué par hera

rate-limiter les mails envoyés par un adhérent donné

sinon si son passwd leak on se retrouve à envoyer des tas de spams et se faire flagguer

Correction alertes

Il y a plein d'alertes, sont-elles utiles ? Normalement la règle d'or de la supervision est une alerte = une action

  • pas forcément, c'est parfois difficile d'atteindre ça, e.g. les alertes sur les débits de transit/peering

Migration de la supervision

Notre version de Shinken est obsolète ! Nagios ou Prometheus à évaluer le coût

Etat des services Aquilenet

Avoir des couleurs pour l'état des services FTTH / Mobile / VPN
Une API que les FAI fédérés utlisant en marque blanche nos services puissent utiliser genre: https://github.com/ivbeg/awesome-status-pages?tab=readme-ov-file#opensource

redev de db.ffdn.org

Le code Python de l'appli utilisée pour notre fédé db.ffdn.org a besoin d'être recodé (dépendances plus maintenues, pas possible de le faire évoluer en l'état)
https://code.ffdn.org/ffdn/ffdn-db
Sebbaz sur l'affaire

Nouvel hyperviseur sous Proxmox

Un hyperviseur sur lequel les possesseurs de VM pourraient avoir accès pour la redémarrer si besoin

Upgrades Bookworm

Discussions : statut des admins dans l'association

  • Doivent-ils faire partie de la collégiale ?
  • Doivent-ils participer à la collégiale ?
  • Doivent-ils être actifs ?
  • Que manque-t-il aux nouveaux admins ?

Wireguard

  • Mise prod avec plus d'automatisation scripts ou interface web
  • Redondance des serveurs VPN

Migration du site Aquilenet sur SPIP

Demandes de passage d'admin padawan en jedi

C'est bon tu as fait ton temps de padawan, fais ta demande... :smile:

C'est fait :smile:

Cours sur le fonctionnement d'Internet

  • peering/transit, porte de collecte, ...
  • assez spécifique comme demande, répond au besoin de peut-être un unique padawan
  • au moins deux, je (Korbak) suis aussi intéressé (+1 cassou)

Versionner les configurations des machines

Permet de savoir qui a fait quoi quand pourquoi

Relier un maximum de services au LDAP

aide.aquilenet.fr : Présentation de Zammad

Avoir des sondes Nagios pour les mises à jour des services

FFDN

Hermes la vm FFDN est en Jessie ! Hermes2 avait été créé à cet effet, il faudrait migrer les différentes services vers elle

Ajout d'admin

Comment ajouter un admin en utilisant Aquilansible

Superviser la bande passante des utilisateurs FTTH

Il y a un affichage sur https://dolibarr.aquilenet.fr/aquilenet/adsl-stats.php

TODO: mesurer les lignes axione aussi, voir à automatiser des alertes

Éligibilité

https://www.mail-archive.com/frnog@frnog.org/msg77070.html

Dupliquer la collecte de TH2 à Cogent

Samedi 23/11 ouverture 14h40 - fin ~22h

Présents: Sacha, pamplemousse, Olivier (cassou), M, phsw, youpi

Ce qu'on a fait

  • Revue des accès aux outils et d'une page "démarrer en tant qu'admin" sur le wiki (https://atelier.aquilenet.fr/projects/aquilenet/wiki/D%C3%A9marrer_en_tant_qu'administrateurice)

  • Enlevé les mails sur les Warning de la supervision A FAIRE voir l'usure des disques qui font du warning

  • phsw est passé jedi \o/

  • Ajouté un bookmark dans Thruk pour les Padawans

  • Commencé à préparer un serveur Proxmox

    • Son petit nom, c'est artemis.
    • Redistribution des barrettes (A1, A2, A3, A4 et A5, idem pour l'autre processeur, voir le manuel du propriétaire) on a maintenant bien les 80 Go attendus.
    • J'ai remis la carte réseau sur le riser pour vérifier les vitesses de connexion. La retirer avant de mettre artemis au DC du Cogent fait lors du deuxième WE d'admin.
    • pour l'instant on a deux disques de 1 To
    • on crée une partition de 50 Go sur chaque disque qu'on assemble en RAID 1 pour installer le système dessus
    • je n'ai pas créé de swap (ça me perturbe, 80 Go de RAM =)
    • boot en bios (l'UEFI crée des difficultés pour la redondance)
    • grub installé sur chacun des disques
    • Pour l'installation au Cogent, les infos sont dans netbox (IP principale, emplacement dans la baie, ...)
    • connexion IPMI sur 10.1.1.120 : ssh root@10.1.1.120 puis start system1 pour lancer le serveur
    • pour se connecter en html il faut dire à firefox d'accepter le TLS 2 :
      • security.tls.version.min
      • security.tls.version.enable-deprecated
    • mise à jour du logiciel du contrôleur de carte mère (iDRAC 7) à la dernière version supportée : 2.65.65.65 (2020-03-16) Ah, ben non, retour à la version 1.66.65 sinon il se plaint que les alim' sont mal configurée. Faire et défaire...
    • les 950 Go restants sur chaque disque sont assemblés en un zpool en miroir
    • proxmox installé
    • grub configuré avec : GRUB_TERMINAL_INPUT="console serial" GRUB_TERMINAL_OUTPUT="console serial" GRUB_SERIAL_COMMAND="serial --unit=1 --speed=115200" GRUB_CMDLINE_LINUX="console=tty0 console=ttyS1,115200" ajouté au fichier /etc/default/grub et grub-mkconfig -o /boot/grub/grub.cfg ce qui permet d'avoir le menu grub et les messages de démarrage sur la sortie "serial on lan" de l'iDRAC
    • Prévoit-on un vlan dédié pour les vm/containers proxmox ?

    * Une première machine virtuelle "test-01" est créée. Il reste... beaucoup de boulot :)

Dimanche 24/11

Présents: cassou, phsw, pamplemousse, youpi, sacha, pgp

phsw a simplifié la doc pour le vaultwarden et rapporté un problème d'utilisateur bitwarden inexistant

phsw a ajouté une doc pour devenir jedi

phsw a précisé dans Aquilansible comment se passer d'un vault et comment tester si la commande ansible fonctionne

cassou est maintenant jedi \o/

On a ajouté un système de sonde nrpe/shinken pour les upgrades de services non packagés debian, cf par exemple sur sisyphe etherpad

On a continué à configurer l'IPMI (màj firmware) du futur serveur Proxmox et nous sommes posés des question du comment on le rendait accessible: réponse avant le login proxmox un user/pass générique via htaccess nginx

Samedi 07/12 ouverture 10h

Présents: Sacha, pamplemousse, Sebbaz, phsw, youpi

examen des sauvegardes backupninja des bdd, pour postgresql il n'y a pas forcément le script qui a été mis en place. Il est en place au moins sur alcyon. Sur mnemosyne le backup postgres est bien généré mais il semble qu'il ne soit pas envoyé sur le serveur de sauvegarde.

Au passage, on a vu que sur zephyr, il y a un psql alors qu'a priori unifi n'en a pas besoin. On a désactivé le service pour vérifier avant de supprimer https://aide.aquilenet.fr/#ticket/zoom/1171/3853

sur gaia, il y a des résolutions qui échouent avec timeout. Peut-être qu'elle est simplement un peu débordée par des demandes externes. Peut-être que ça serait aps plus mal de séparer dns cache pour nos abonné et dns cache pour le reste du monde (avec rate-limit)

Résolution de quelques tickets

Début d'investigation pour avoir des IPv6 sur les VPNs Wireguard : on dédit le préfixe 2a0c:e300:13::/48. L'idée est de pouvoir fournir plusieurs /64 à chaque abonnement Wireguard. On s'est arrêté avant d'avoir quelque chose de fonctionnel.

Dimanche 08/12 ouverture 9h45

Présents: Sebbaz, pamplemouss, cassou, youpi, dam64, xals, Sacha, Korbak

Artemis : mise en place de kexec mais ça fait planter zfs qui fonctionne quand on lui donne le bon noyau/ramdisk :).

Cours réseau : l'histoire du paquet IP entre le membre Aquilenet et internet

Installation d'OpenBSD 7.6 sur un firewall Supermicro

  • nom : cerbere13 (il est prévu d'installer cerbere12 sur une machine identique)