2023/04/08 (hub-infra)

• Réunion précédente
• Pad de la réunion

Heure de début : 13h

Présences :

• HgO
• Célo
• Tharyrok

Galène: https://talk.src.brussels/group/source/

Moment informel durant lequel on exprime en peu de mots comment on se sent et si l'on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

FIN: 15h30

• Créer le playbook Ansible pour Keycloak → Tharyrok
• Créer le playbook Ansible pour oauth2-proxy (dépend de Keycloak)
• Créer le playbook Ansible pour Netbox (dépend de Keycloak)
• Créer le playbook Ansible pour Peering Manager (dépend de Keycloak)
• Créer un Neutriton sur la question du suivi des differentes versions logicielles
• Faire l'article de blog sur le chiffrement des serveur → Célo et HgO : https://git.domainepublic.net/Neutrinet/website-grav/-/merge_requests/10
• Créer un utilisateur spécifique sur le Grav pour HgO et Célo → HgO
• Voir comment backuper les pfsense
• Tharyrok doit copier le playbook pour le mail qu'il avait fait de son côté.
• Décider d'une date pour le Neutriton Redis
  • Après les ateliers Keycloak
• Ne plus supprimer le mdp root pour PBS, comme pour les Proxmox
  • https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/197
  • Ajouter dans ansible le test du dossier /etc/proxmox-backup
  • Continuer l'enquête sur les metrics de PBS
• Configurer les alertes mails des backups Proxmox si les alertes via metrics ne fonctionnent pas
  • https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/193
• Continuer le playbook Mobilizon → Célo
  • https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/merge_requests/236
• Faire en sorte que accounting se déploie automagiquement avec un pipeline → HgO voit ça avec tbalthazar
• Contacter verixi pour le 2eme bouton → Tharyrok
• Rajouter la config matterbridge dans Ansible → Tharyrok

https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/merge_requests/248 A voir pour les headers… peut-être que l'API de ISPng ne va pas bien se comporter. Tester sur les applications custom de Neutrinet

Il faut voir s'il ne vaut pas mieux gérer ces règles au niveau applicatif plutôt qu'au niveau de ha_proxy. Les mettres au niveau de caddy n'est pas forcément évident et ça complique aussi les playbook. Mais on peut voir en fonction.

Il y a des headers qui permettent de dire qu'il n'y aura jamais de javascript, ou encore qu'il n'y aura aucune requête externe au domaine. On pourrait les mettre sur les Caddy.

TODO:

• HgO fait un test sur les applications avec les header dans les haproxy et on y revient quand on a le temps.

https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/merge_requests/247/diffs

En gros, on utilise node exporter pour récupérer les métriques (plutôt que par telegraf comme avant), et en fait, un souci est que pour vérifier la validité du certificat, si l'on met quelque chose pour vérifier ça, on va l'avoir pour tous les sites. Du coup, si un des certificats a expiré, on aura beaucoup d'alertes. Donc il y a un label en plus configuré dans telegraf pour savoir si ce certificat doit être monitoré sur son expiration ou non.

Une autre notion introduite dans la MR c'est dans l'alerting avec des inhibiter qui permet de ne pas avoir une alerte par probe mais une alerte générale. Un point d'attention c'est de ne pas auto silencé les alertes.

Communication : https://doc.neutrinet.be/2023-04-08-Mail-Maintenance-Avril-2023#

TODO:

• Célo poste le message de maintenance sur Général et sur la mailing liste en fin de réunion.

Comment va-t-on procéder ? On avait fait pas mal de modifs… on peut peut-être repartir du snapshot que l'on avait fait.

Apparemment on passe par Gandi pour les mails lors de la création d'un VPN. Cela ne marche pas avec le nouveau serveur.

À faire :

• Nouvelle CA
• Config keystore ispng
• Merge les 2 CA pour OpenVPN
• Config HAproxy · Certbot let's encrypt
• Bascule des IPs
• Scripts de nettoyage du VPN (après la bascule)

À tester :

• Connexion d'une brique avec nouveau compte VPN
• Connexion avec ancien compte VPN
• Renouvellement certificat
• HAProxy 2.x
• Serveur mail neutri.net
• Redémarrer la VM ispng pour voir le temps de latence

On décide de commencer le matin (10h) pour pouvoir commencer l'apéro très tôt dans le pire des cas !

Est-ce que ce serait intéressant d'avoir un Vaultwarden public ? Parce que le gopass est assez austère.

Par contre, le SSO est payant.

un autre exemple: https://www.passbolt.com/ et on peut se faire sponsoriser pour le SSO

Une manipulation possible c'est d'appliquer : https://community.hpe.com/t5/proliant-servers-ml-dl-sl/gen8-dmar-firmware-bug-your-bios-is-broken-bad-rmrr/m-p/7177731

TODO:

• HgO aimerait appliquer une solution dans le bios/uefi mais ne pas le faire seul, Célo est intéressée aussi.

https://wiki.neutrinet.be/fr/rapports/2023/03-21#hub_admin

Ça pourrait peut-être servir pour les reverse DNS, mais à voir : https://github.com/octodns/octodns

Ce serait bien de threader les alerte quand elles arrivent en groupe.

À voir si c'est disponible dans la librairie python.

Toutefois, cela signifie voir comment grouper les alertes. Réfléchissons comment le faire.

Est-ce que c'est intéressant de grouper ? Parce que pour le moment, il envoie 10 alertes firing. Puis une alerte est résolue, mais il envoie quand même 10 alertes car ça fait partie du même groupe.

TODO:

• Tester les alerte dans matrix sans les groupes → HgO
• Créer des threads pour les alertes matrix groupées, si les groupes sont nécessaires → HgO

En gros on fait toutes les VM en avance et puis on les configure selon le besoin.

Ce seraient des VM standards avec par ex. 2Go de RAM et 20Go de disque et puis chacun peut modifier dans Proxmox en fonction de ces besoins. Comme ça, il n'y a pas besoin d'attendre que Ketupa soit prêt.

On a un /26, donc 58 machines possibles.

TODO: Tharyrok crée une multitude de VM standards

Prochaine réunion : 11 juin à 14h Lieu : Jitsi et Caldarium

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tensions est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.