Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire
Soquoi ? À quoi ça sert ?
Tharyrok nous montre la nouvelle édition de la Bible du réseau : https://www.decitre.fr/livres/les-reseaux-9782416014338.html
Il nous fait comprendre qu'on devrait avoir cela sur notre table nuit.
On va mettre en place des réseaux cantiques avec la chorale de Célo.
Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.
Fin: 17h30
Il n'y a pas de MR prêtes à être fusionnées
Tharyrok a avancé, mais il y a quelque chose qui bloque. Le suspens est insoutenable. L'homme pianotte sur son clavier. Ah on va savoir ! Il se prend la tête dans ses mains, de désespoir…
Initialement, le réseau par défaut de la VM aurait du être le réseau interne au cluster patata. Pour se faire, il faut qu'OpenVPN écoute dans le VRF routing et que ISPng lise des tables de routage du VRF routing. Il faut aussi que l'interface de management d'OpenVPN soit dans le réseau interne et qu'ISPng se connecte sur le réseau par défaut. Comme ça il peut se connecter à la base de donnée, au HA proxy.
Pour rappel, on voudrait avoir un minimum de chose dans le VRF routing. Par défaut, c'est le VRF patata qui est utilisé. Mais tous les services qui ont besoin de routing doivent être configuré pour utiliser routing.
En gros, rien ne fonctionne. C'est seulement à partir d'OpenVPN 2.5 qu'on a les VRF. C'est moche, parce qu'on est bloqué en 2.3, à cause d'ISPng qui ne parle à l'interface de management que jusqu'à OpenVPN 2.3 inclus.
Du coup, il faut refaire le réseau tel qu'il est sur la VM vpn actuelle, c'est-à-dire avoir la VM uniquement dans le VLAN routing.
Et donc avoir postgresql et ldap en local.
Est-ce qu'on attent la refonte du réseau pour faire ça ? Il faut surtout avoir le temps de le faire. Car il faut reconfigurer toute la VM.
La différence c'est qu'il y aura bird2 sur la nouvelle VM, donc il faut adapter la config.
TODO : Tharyrok doit refaire la config BGP sur New ISPng comme sur VPN
Il y a un repo git: https://gitlab.domainepublic.net/Neutrinet/neutrinet-vpn-exporter
Le code s'explique par lui-même (avec l'aide des commentaires ).
Un dashboard grafana : https://grafana.neutrinet.be/d/f322724e-6fd0-42bd-88d9-c5f4ab8eea1d/neutrinet-vpn?orgId=1
À partir de là, on peut faire plein de trucs:
HgO a reconfiguré le mail.
Les inscriptions sont fermée en raison du spam. Il faudrait en discuter avec Alyve qui est encore aussi modératrice. Pour le moment, il n'est en effet pas possible de supprimer tous les comptes spam d'un coup, donc ça peut prendre du temps de le faire séparément…
Il faut voir si la version 4 améliore les choses…
Dans tous les cas, il faudrait un petit message qui indique que si quelqu'un·e veut créer une compte, iel peut nous envoyer un mail.
Une boîte mail a été créée pour mobilizon, et un groupe dédié a été créé dans Zammad.
Attention, ici l'utilisateur pour l'envoi de mail est no-reply, mais c'est pas une bonne idée de faire ça. Il vaut mieux créer une autre mailbox, et ajouter no-reply dans les autorisations d'envoi. Cela évite d'avoir des mails qui arrivent sur no-reply.
TODO:
ssh mobilizon.patata.louise.neutri.net sudo -u mobilizon-be -s bash cd ~/dist MIX_ENV=prod bin/mobilizon_ctl users.new "address@mail"
Cela génère un mot de passe, et on va voir si cela envoie un mail.
An user has been created with the following information: - email: <address@mail> - password: <secret> - Role: user The user will be prompted to create a new profile after login for the first time.
C'est la cata, la catastrophe.
Historiquement, Neutrinet ne gérait pas de mails. On utilisait Gandi pour tout. Y compris ISPng. Or, dans ISPng, le port d'envoi de mail est hardcodé. C'est le port 465… du coup c'est du SSL et pas du STARTTLS, ce qui est la norme aujourd'hui.
Autre souci : les cipher suite supportés par le client sont SSLv2 voir moins.
Conclusion : il faut buter ISPng
Tharyrok a tenté de faire que notre serveur mail s'adapte à ça. Mais ça n'a pas fonctionné. Il faudrait donc un SMTP qui écoute sur le port 465 avec un ssl pété du Q sur la VM ISPng, qui relaie ensuite au SMTP de neutricorp.
Re Conclusion : il faut buter ISPng
TODO:
Zammad et GPG sont sur un bateau. GPG tombe à l'eau…
Ici se trouve un exemple de mail chiffré grâce à GPG → https://support.neutrinet.be/#ticket/zoom/16577
On a une clé GPG pour l'adresse secure mais elle n'est utilisée que pour cette adresse, donc si on annonce qu'on peut nous contacter de manière chiffrée, il faut préciser aux gens d'utiliser cette adresse-là.
Lorsque quelqu'un nous contacte en nous joignant sa clé, on doit manuellement rajouter sa clé publique ici : https://support.neutrinet.be/#system/integration/pgp
Est-ce qu'on veut permettre d'utiliser la clé GPG de secure sur d'autres boîtes mail ?
Est-ce que la boite secure fait sens ?
L'inconvénient, pas négligeable : il faut désactiver les notifications car dans les notifications, on a le corps du message déchiffré…
Si on l'utilise, il faudrait renommer l'adresse secure, parce que ce n'est pas le terme approprié.
TODO: trouver un nom de boite mail cohérant
On a migré notre premier domaine chez OVH ! On est super heureux…
On a aussi vu l'interface de BookMyName, et peut-être qu'on va rester chez Gandi en fait
Même Kyra est effrayé, elle hurle après avoir vu l'interface.
Pour le rôle letsencrypt il faudra ajouté les clés API de OVH, detecter si c'est un domaine géré par ovh, si oui supprimer complétement la config de ce domaine et récréer le domaine avec la config ovh.
TODO:
## Hub DC
Tout est sous contrôle ! On n'est pas du tout à la bourre ! Ah ah ah !
Notre conducteur est disponible, il a juste un contrôle technique la veille mais on n'a pas du tout peur. Célo va lui répondre pour lui indiquer le temps de mise à disposition du chauffeur, négocier ses honoraires, etc.
Rendez-vous au Caldarium entre 9h et 9h30, arrivée à LouiseDC à 10h. Visite privée du DC pour jmg, il sera libéré délivré vers 10h30.
Matériel à transporter:
TODO : Célo réponds à jmg ce soir
Tharyrok a préparé le switch Mikrotik ainsi que la partie réseau des serveurs. Merci à lui !
HgO et Célo vont se réunir demain pour installer les trois Proxmox avec du chiffrement.
Sur place, il faudra installer Ceph, faire les mon, mds. Pour les osd, comme on n'a pas les disques de données (ils sont sur les serveurs HP), on devra d'abord couper un des serveurs HP, créer un nouveau cluster proxmox et ceph, on migre les VM cross cluster proxmox.
Utiliser le watchdog de l'idrac, càd utiliser le watchdog matériel. Le watchdog, c'est un compteur qui permet de redémarrer en cas de kernel panic. En gros, si le compteur tombe à zéro, c'est que le serveur est dans un état bizarre, et donc il vaut mieux redémarrer.
Attention sur dell l'interface série est sur le COM2 et pas sur le COM1 comme pour les HP.
https://wiki.neutrinet.be/fr/rapports/2022/06-11
L'iso a mettre dans l'idrac : abu.home.caldarium.be:/media/data/publique/tharyrok/debian-live-12.5.0-amd64-standard.iso
TODO: Rappel public de la maintenance : https://doc.neutrinet.be/maintenance-q1-2024
RÀS \o/
https://doc.neutrinet.be/backoffice-cahier-des-charges# https://doc.neutrinet.be/vpn-cahier-des-charges
On n'a pas avancé sur le cahier des charges depuis la dernière fois.
Inquiétude du fait qu'on en soit au même point lors de la prochaine réunion hub infra.
C'est toujours le même problème : il faut pouvoir se cloner.
On se propose de se réunir avec Alyve, HgO et Célo pour co-construire le cahier des charges. D'ici-là, on se fait une liste de Noël avec TOUT ce qu'on aimerait avoir.
TODO:
HgO a appliqué les changements en cours comme le multi instance.
Comme il y a des soucis sur certaines instances publiques de matrix, l'idée est d'avoir un pool d'instance matrix. L'idée est que ce soit résilient puisque c'est notre outil de monitoring principal.
Le souci principal, c'est que quand une instance qui a été down revient à la vie, elle reprend tout ce qu'il y a à traiter. Du coup, il faut que les bots puissent se synchroniser, que ce ne soit qu'un bot qui poste à la fois.
Tester c'est douter, mais cela permet de tout casser.
Une fois les tests unitaires terminés, HgO pourra donc tout casser et repartir sur des bases saines.
Et surtout, avancer sur la fonctionnalité d'alertes dans des salons privés. Après ça, on pourra avancer sur les alertes pour les briques internet.
Note: les salons privés, il n'y aura sans doute qu'un seul bot qui rejoindra le salon privé. Le mieux ce serait d'avoir tous les bots dans le salon privé, mais il faut vérifier que cela reste bien un salon privé pour l'utilisateur.
Question sur le chiffrement: est-ce qu'on l'active par défaut dans les salons privés ? Cela pourrait générer des disfonctionnements pour l'utilisateur.
Pour convertir une room en message privé dans element (chaque client doit exécuter cette commande) : /converttodm et l'inverse /converttoroom
RAS
Mémé fait du café
Prochaine réunion :
Neutriton DNS: 10/03 à 14h
Hub comm: (12/03, 13/03, 14/03) → soirée
Hub infra: 4/05 à 14h
Lieu: Caldarium
Garde-Pad: Tharyrok
Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.