# 2024/02/24 (Hub infra)
* [Réunion précédente](https://wiki.neutrinet.be/fr/rapports/2023/12-02)
* [Pad de la réunion](https://doc.neutrinet.be/hub-infra-2024-02-24)
Heure de début : 15h00
Présences :
- Tharyrok
- HgO
- Célo
## Météo
*Moment informel durant lequel on exprime **en peu de mots** comment on se sent et si on a une attente forte pour la réunion.*
**Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire :-)**
Soquoi ? À quoi ça sert ?
Tharyrok nous montre la nouvelle édition de la Bible du réseau : https://www.decitre.fr/livres/les-reseaux-9782416014338.html
Il nous fait comprendre qu'on devrait avoir cela sur notre table nuit.
On va mettre en place des réseaux cantiques avec la chorale de Célo.
### Attente(s) forte(s)
*Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.*
Fin: 17h30
## Anciens todo
- Créer le playbook Ansible pour Keycloak → Tharyrok
- Créer le playbook Ansible pour oauth2-proxy (dépend de Keycloak)
- Créer le playbook Ansible pour Netbox (dépend de Keycloak)
- Créer le playbook Ansible pour Peering Manager (dépend de Keycloak)
- Créer un Neutriton sur la question du suivi des différentes versions logicielles
- Faire l'article de blog sur le chiffrement des serveurs → Célo et HgO : https://git.domainepublic.net/Neutrinet/website-grav/-/merge_requests/10
- Ça n'avance plus, il faudrait prévoir un moment en janvier pour repasser sur l'article
- Voir comment backuper les pfsense
- Il y a deux possibilités : https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/211
- ~~Mettre à jour les pfsense, pour avoir borg -> fixer une date~~
- Tharyrok doit copier le playbook pour le mail qu'il avait fait de son côté.
- Ça avance lentement, calmement, doucement
- Décider d'une date pour le Neutriton Redis
- Après les ateliers Keycloak
- Tester Passbolt
- Alerting :
- Tester le plugin Mattermost pour Alertmanager
- Dupliquer l’envoi des alertes de Neutrinet sur Mattermost
- Désactiver la vue de l’alerting dans le grafana publique
- Faire le dashboard de monitoring interne des clients VPN, VM, …
- Mettre en place le résolveur DNS sur les pfsense pour nos doux membres
- Documenter les pfsense
- Modifier le role commun pour utiliser Chrony -> Tharyrok
- ~~Proposer la solution de backups via le san au hub admin~~
- HgO met en place la config logrotate pour dokuwiki
- Faire l'inventaire des switchs
- ~~Tester et mettre en place le plugin captcha pour dokuwiki~~
- ~~Trouver une date pour merger la MR sur Mobilizon~~
- ~~Tharyrok doit terminer la config BGP sur New ISPng~~
## Suivi des MR
Il n'y a pas de MR prêtes à être fusionnées
## Hub services
### ISPng sur bookworm
Tharyrok a avancé, mais il y a quelque chose qui bloque. Le suspens est insoutenable. L'homme pianotte sur son clavier. Ah on va savoir ! Il se prend la tête dans ses mains, de désespoir...
Initialement, le réseau par défaut de la VM aurait du être le réseau interne au cluster patata. Pour se faire, il faut qu'OpenVPN écoute dans le VRF routing et que ISPng lise des tables de routage du VRF routing. Il faut aussi que l'interface de management d'OpenVPN soit dans le réseau interne et qu'ISPng se connecte sur le réseau par défaut. Comme ça il peut se connecter à la base de donnée, au HA proxy.
Pour rappel, on voudrait avoir un minimum de chose dans le VRF routing. Par défaut, c'est le VRF patata qui est utilisé. Mais tous les services qui ont besoin de routing doivent être configuré pour utiliser routing.
En gros, rien ne fonctionne. C'est seulement à partir d'OpenVPN 2.5 qu'on a les VRF. C'est moche, parce qu'on est bloqué en 2.3, à cause d'ISPng qui ne parle à l'interface de management que jusqu'à OpenVPN 2.3 inclus.
Du coup, il faut refaire le réseau tel qu'il est sur la VM vpn actuelle, c'est-à-dire avoir la VM uniquement dans le VLAN routing.
Et donc avoir postgresql et ldap en local.
Est-ce qu'on attent la refonte du réseau pour faire ça ? Il faut surtout avoir le temps de le faire. Car il faut reconfigurer toute la VM.
La différence c'est qu'il y aura bird2 sur la nouvelle VM, donc il faut adapter la config.
TODO : Tharyrok doit refaire la config BGP sur New ISPng comme sur VPN
### Dashboard VPN Grafana
Il y a un repo git: https://gitlab.domainepublic.net/Neutrinet/neutrinet-vpn-exporter
Le code s'explique par lui-même (avec l'aide des commentaires :p).
Un dashboard grafana : https://grafana.neutrinet.be/d/f322724e-6fd0-42bd-88d9-c5f4ab8eea1d/neutrinet-vpn?orgId=1
À partir de là, on peut faire plein de trucs:
- Remplacer le besoin que remplissait le bot matrix
- Envoyer une alerte quand le certificat du VPN va expirer
- Envoyer une alerte quand le client VPN n'est plus connecté
- etc.
### Mobilizon
HgO a reconfiguré le mail.
Les inscriptions sont fermée en raison du spam. Il faudrait en discuter avec Alyve qui est encore aussi modératrice. Pour le moment, il n'est en effet pas possible de supprimer tous les comptes spam d'un coup, donc ça peut prendre du temps de le faire séparément...
Il faut voir si la version 4 améliore les choses...
Dans tous les cas, il faudrait un petit message qui indique que si quelqu'un·e veut créer une compte, iel peut nous envoyer un mail.
Une boîte mail a été créée pour mobilizon, et un groupe dédié a été créé dans Zammad.
Attention, ici l'utilisateur pour l'envoi de mail est no-reply, mais c'est pas une bonne idée de faire ça. Il vaut mieux créer une autre mailbox, et ajouter no-reply dans les autorisations d'envoi. Cela évite d'avoir des mails qui arrivent sur no-reply.
TODO:
- ~~Créer un compte pour Neutrinet qui soit admin (cela permet d'avoir un brise glasse)~~ -> fait !
- Mettre à jour en v4 -> Célo
- Regarder si en v4 la gestion des spams n'est pas meilleure
- En discuter avec Alyve -> HgO
- Mettre en place la mise à jour automatique du geoip
#### Ajout d'un compte
```
ssh mobilizon.patata.louise.neutri.net
sudo -u mobilizon-be -s bash
cd ~/dist
MIX_ENV=prod bin/mobilizon_ctl users.new "address@mail"
```
Cela génère un mot de passe, et on va voir si cela envoie un mail.
```
An user has been created with the following information:
- email:
- password:
- Role: user
The user will be prompted to create a new profile after login for the first time.
```
### Mail ISPng
C'est la cata, la catastrophe.
Historiquement, Neutrinet ne gérait pas de mails. On utilisait Gandi pour tout. Y compris ISPng. Or, dans ISPng, le port d'envoi de mail est hardcodé. C'est le port 465... du coup c'est du SSL et pas du STARTTLS, ce qui est la norme aujourd'hui.
Autre souci : les cipher suite supportés par le client sont SSLv2 voir moins.
Conclusion : il faut buter ISPng
Tharyrok a tenté de faire que notre serveur mail s'adapte à ça. Mais ça n'a pas fonctionné. Il faudrait donc un SMTP qui écoute sur le port 465 avec un ssl pété du Q sur la VM ISPng, qui relaie ensuite au SMTP de neutricorp.
Re Conclusion : il faut buter ISPng
TODO:
- Faire la config pété du Q pour ISPnQ (Tharyrok)
### Zammad et GPG
Zammad et GPG sont sur un bateau. GPG tombe à l'eau…
Ici se trouve un exemple de mail chiffré grâce à GPG -> https://support.neutrinet.be/#ticket/zoom/16577
On a une clé GPG pour l'adresse secure mais elle n'est utilisée que pour cette adresse, donc si on annonce qu'on peut nous contacter de manière chiffrée, il faut préciser aux gens d'utiliser cette adresse-là.
Lorsque quelqu'un nous contacte en nous joignant sa clé, on doit manuellement rajouter sa clé publique ici : https://support.neutrinet.be/#system/integration/pgp
Est-ce qu'on veut permettre d'utiliser la clé GPG de secure sur d'autres boîtes mail ?
Est-ce que la boite secure fait sens ?
L'inconvénient, pas négligeable : il faut désactiver les notifications car dans les notifications, on a le corps du message déchiffré...
Si on l'utilise, il faudrait renommer l'adresse secure, parce que ce n'est pas le terme approprié.
TODO: trouver un nom de boite mail cohérant
### Migration des domaines chez OVH
On a migré notre premier domaine chez OVH ! On est super heureux…
On a aussi vu l'interface de BookMyName, et peut-être qu'on va rester chez Gandi en fait :fearful:
Même Kyra est effrayé, elle hurle après avoir vu l'interface. :scream_cat:
Pour le rôle letsencrypt il faudra ajouté les clés API de OVH, detecter si c'est un domaine géré par ovh, si oui supprimer complétement la config de ce domaine et récréer le domaine avec la config ovh.
TODO:
- Installer le plugin pour renouveler les certificats d'OVH
- Refaire le rôle letsencrypt avant mai 2024
- Demander Your.online a rendre l'argent :moneybag:
## Hub DC
### Maintenance du 2 mars 2024
Tout est sous contrôle ! On n'est pas du tout à la bourre ! Ah ah ah !
Notre conducteur est disponible, il a juste un contrôle technique la veille mais on n'a pas du tout peur. Célo va lui répondre pour lui indiquer le temps de mise à disposition du chauffeur, négocier ses honoraires, etc.
Rendez-vous au Caldarium entre 9h et 9h30, arrivée à LouiseDC à 10h. Visite privée du DC pour jmg, il sera libéré délivré vers 10h30.
Matériel à transporter:
- 3 serveurs 1U
- 1 SAN 2U
- 1 petit switch 10Gbps pas du tout récalcitrant
- 2 à 3 humains
- 1 groswitch 1U pour le MDLP DC
- Des cables
- Les rails
TODO : Célo réponds à jmg ce soir
#### Journée préparation du 25/02
Tharyrok a préparé le switch Mikrotik ainsi que la partie réseau des serveurs. Merci à lui !
HgO et Célo vont se réunir demain pour installer les trois Proxmox avec du chiffrement.
Sur place, il faudra installer Ceph, faire les mon, mds. Pour les osd, comme on n'a pas les disques de données (ils sont sur les serveurs HP), on devra d'abord couper un des serveurs HP, créer un nouveau cluster proxmox et ceph, on migre les VM cross cluster proxmox.
Utiliser le watchdog de l'idrac, càd utiliser le watchdog matériel. Le watchdog, c'est un compteur qui permet de redémarrer en cas de kernel panic. En gros, si le compteur tombe à zéro, c'est que le serveur est dans un état bizarre, et donc il vaut mieux redémarrer.
Attention sur dell l'interface série est sur le COM2 et pas sur le COM1 comme pour les HP.
https://wiki.neutrinet.be/fr/rapports/2022/06-11
L'iso a mettre dans l'idrac : abu.home.caldarium.be:/media/data/publique/tharyrok/debian-live-12.5.0-amd64-standard.iso
TODO: Rappel public de la maintenance : https://doc.neutrinet.be/maintenance-q1-2024
### Maintenance du 6 avril 2024
RÀS \o/
## Hub Network
## Hub Dev
### Cahier des charges Backoffice et VPN
https://doc.neutrinet.be/backoffice-cahier-des-charges#
https://doc.neutrinet.be/vpn-cahier-des-charges
On n'a pas avancé sur le cahier des charges depuis la dernière fois.
Inquiétude du fait qu'on en soit au même point lors de la prochaine réunion hub infra.
C'est toujours le même problème : il faut pouvoir se cloner.
On se propose de se réunir avec Alyve, HgO et Célo pour co-construire le cahier des charges. D'ici-là, on se fait une liste de Noël avec TOUT ce qu'on aimerait avoir.
TODO:
- On se bouge pour avoir quelque chose le 31 juillet.
- Faire une réunion avec Alyve pour expliquer ce qu'une développeuse a besoin dans le cahier des charges
### Bot matrix
HgO a appliqué les changements en cours comme le multi instance.
Comme il y a des soucis sur certaines instances publiques de matrix, l'idée est d'avoir un pool d'instance matrix. L'idée est que ce soit résilient puisque c'est notre outil de monitoring principal.
Le souci principal, c'est que quand une instance qui a été down revient à la vie, elle reprend tout ce qu'il y a à traiter. Du coup, il faut que les bots puissent se synchroniser, que ce ne soit qu'un bot qui poste à la fois.
Tester c'est douter, mais cela permet de tout casser.
Une fois les tests unitaires terminés, HgO pourra donc tout casser et repartir sur des bases saines.
![](https://s3.neutrinet.be/hedgedoc/uploads/6a770bf7-04d9-4a94-bf39-d46418a5490e.png)
Et surtout, avancer sur la fonctionnalité d'alertes dans des salons privés. Après ça, on pourra avancer sur les alertes pour les briques internet.
Note: les salons privés, il n'y aura sans doute qu'un seul bot qui rejoindra le salon privé. Le mieux ce serait d'avoir tous les bots dans le salon privé, mais il faut vérifier que cela reste bien un salon privé pour l'utilisateur.
Question sur le chiffrement: est-ce qu'on l'active par défaut dans les salons privés ? Cela pourrait générer des disfonctionnements pour l'utilisateur.
Pour convertir une room en message privé dans element (chaque client doit exécuter cette commande) : /converttodm et l'inverse /converttoroom
## Hub Chez mémé
RAS
Mémé fait du café
## Prochaine réunion
Prochaine réunion :
Neutriton DNS: 10/03 à 14h
Hub comm: (12/03, 13/03, 14/03) -> soirée
Hub infra: 4/05 à 14h
Lieu: Caldarium
Garde-Pad: Tharyrok
## Météo de fin
*Moment informel durant lequel on exprime **en peu de mots** comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif.*
*Si une ou plusieurs **tension est née** durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.*
{{tag>infra}}