Outils pour utilisateurs

Outils du site


fr:rapports:2020:08-01

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
Prochaine révisionLes deux révisions suivantes
fr:rapports:2020:08-01 [2020/08/03 10:33] – copie et correction du pad tiercefr:rapports:2020:08-01 [2020/08/05 09:15] tierce
Ligne 1: Ligne 1:
-====== 2020/08/01 (Hub infra) ======+====== 2020/08/08 (Hub infra) ======
  
-Sur d'autres pads...+Sur d'autres pages ou pads
  
   * [Nouvelle infra Neutrinet](https://pad.computhings.be/p/neutrinet-nouvelle-infra)   * [Nouvelle infra Neutrinet](https://pad.computhings.be/p/neutrinet-nouvelle-infra)
   * [Réflexions en 2019](https://pads.domainepublic.net/p/Neutrinet-infra-2019)   * [Réflexions en 2019](https://pads.domainepublic.net/p/Neutrinet-infra-2019)
-  * [Réunion précédente](https://wiki.neutrinet.be/fr/rapports/2020/07-04) +  * [Réunion précédente](https://wiki.neutrinet.be/fr/rapports/2020/08-01)
-  * [À mettre ensuite sur le wiki ici](https://wiki.neutrinet.be/fr/rapports/2020/08-01)+
  
 ===== Présences ===== ===== Présences =====
  
-    HgO +
-    tierce +
-    tharyrok +
-    Adrien +
-    Robert +
-    Célo +
-    ptr +
-    Alex +
-    ~nino +
-    fredux+
  
 ===== Météo ===== ===== Météo =====
Ligne 25: Ligne 15:
 Moment informel Moment informel
  
-===== Qu'est ce que l'infra pour vous ? ===== 
  
-Un ensemble de machines, de matériel qui fait fonctionner le réseau +===== Déplacement des IPs =====
- +
-Tout ce qui est installé sur le serveur central et qui fait fonctionner neutrinet +
- +
-Ça peut être plusieurs machines, peut-être virtuelles, avec des trucs comme le pare-feu +
- +
-Tout ce qu'on ne voit pas et qui par miracle fait marcher le système et des gens qui font que ça fonctionne +
- +
-Le matériel et le logiciel, la configuration des serveurs, etc. +
- +
-Une couche de base qui demande beaucoup de compétences avec lesquelles on fait des choses extraordinaires +
- +
-Une sorte de boite noir qui demande de fait des compétences pour s'occuper de cette sorte de Tamagoshi +
- +
-Un truc dont tout le monde à besoin et que tout le monde utilise mais dont peu de gens veulent ou peuvent s'occuper mais qu'il est possible de découvrir petit à petit. +
- +
- +
-===== Quelles sont nos attentes vis-à-vis de l'infra ? ===== +
- +
-Comprendre et avoir un petit café. +
- +
-Avoir des serveurs en Belgique avec des IP belges. +
- +
-Apprendre des choses parce que depuis la découverte de linux, il y a aussi plein d'opportunités pour apprendre. +
- +
-Que les serveurs fonctionnent avec des logiciels libres et que l'infra soit un groupe ouvert. +
- +
-Que sont petit serveur reste   "son" ou "sont" ?? Oui c'est tout à fait "mode" car la Lime1 ne consomme que très peu d'énergie . Donc bon "pour le climat" ... +
- +
-Que le VPN continue à fonctionner, en apprendre un peu plus et acquérir des compétences. +
- +
-Question = sur VPN qui est souligné : est-ce que VPN marche en Ipv4 et 6 ??? Oui :) +
- +
-Arriver à ce que le partage de connaissance permette à plus qu'une seule personne de porter cette infra. +
- +
-Poursuivre l'expérience que Neutrinet permets, mettre en lumière ces aspect technique. +
- +
-Moins sacraliser « l'infrastructure » pour sortir de l'idée que c'est un « truc magique dans le cloud ». Avoir d'autres personnes qui prennent part à l'infra. +
- +
- +
-===== Historique du hub-infra ===== +
- +
-D'où on part et vers où on veut aller. +
- +
-Au début quelques personnes comme Wannes ou Bram ou Kload on mis en place les outils. +
-En tout temps l'infra est un endroit très frustrant parce qu'on est content quand ça fonctionne mais quand on « passe les clés » les gens d'avant sont souvent épuisés et disparaîssent assez vite. +
- +
-En janvier 2019 il y a eu un passage d'info et de droits d'accès. +
-Et il serait bon de faire ce qu'on peut pour faire en sorte que ce soit moins effrayant. +
- +
-On a (ou on a eu ?) envie de faire une collocation de plusieurs serveurs dans une armoire (rack dans un datacenter). +
-Il y a eu aussi beaucoup de discussions. +
- +
-Les 2 serveurs qu'on a acheté en 2018 sont entrain de prendre la poussière et notre actuel serveur étant vieillissant, il est temps de mettre en place ces nouvelles machines (d'occasion) dans un datacenter, ici à Bruxelles. +
- +
-256 adresses ip annoncées sur Internet. +
- +
-Connexion physique (cable ethernet) aux autres fai ( belge et autre) -> datacenter, on place deux machines (redondance) +
- +
-Petit ajout d'un troisième mini PC (juste pour faciliter décisions entre machines). +
- +
-mMchines virtuels (installés sur ces deux serveurs) pour les fonctionnalités spécifique (auth, vpn, ...) sur les Proxmox (avec debian) +
- +
-===== Schémas réseau ===== +
- +
-==== Avec les edges BGP ==== +
- +
-{{ :fr:rapports:2020:config-network-neutrinet-bgp.svg?600 |}} +
- +
-  * As6696    (les ip verixi) +
-  * AS204059  (les ips neutri) marquées en rouge +
- +
-Dans l'idée de ne pas être réveillé à 3h00 du matin en cas de problème, on a en réseau, la notion d'adresse IP flottante. +
- +
-C'est le cas de EDGE1 et EDGE2 (qui ont chacun leur propre IP) qui se partage une 3ème adresse IP « qui peut flotter / passer » entre l'un ou l'autre des 2 EDGES. +
- +
-C'est le petit logiciel Keep AliveD qui permet ça et il utilise le protocole VRRP ( https://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol ) +
- +
-Ça permet en cas de problème sur, par exemple EDGE1 (qui serait considéré comme étant le routeur primaire), que EDGE2 prennent l'IP flotante et devienne le routeur primaire à la place de EDGE1. +
- +
-Comme ça on pourra plus tard aller voir pourquoi EDGE1 est tombé et résoudre son problème. +
- +
-Actuellement, EDGE1 et 2 seront des machines virtuelles et le jour où on ouvrira la baie à d'autres serveurs (c'est le projet Chez Mémé), on remplacera ces 2 VMs par des routeurs physiques. +
- +
-EDGE1 et EDGE2 seront partagée avec d'autres serveur si on partage la baie. +
- +
-Pfsense1 et Pfsense2 seront les machines virtuelles exposée pour Neutrinet uniquement. +
- +
-Pfsense est également une distribution gnu/linux libre qui est orientée réseau et firewall. +
- +
-On a choisi Pfsense parce que c'est un peu plus « user friendly » que iptables. +
- +
-Sur les 2 schéma qu'on propose ( https://wiki.neutrinet.be/fr/rapports/2020/08-01 ) l'un affiche la « gestion » de BGP (avec les Edges) et l'autre uniquement la partie Neutrinet (sans les Edges). +
- +
-Aujourd'hui (chez i3D à Rotterdam), on a 1 seule Gateway (sorte de EDGE) et dans la nouvelle infra on en aura 2 pour éviter d'être paralysé en cas de panne. +
- +
-Oui … on se rend compte qu'il y a beaucoup d'information et on essaie de résumer ça en une belle phrase ^_^ +
-la phrase viendra après :) +
- +
-==== Sans les edges BGP ==== +
- +
-{{ :fr:rapports:2020:config-network-neutrinet-network.svg?600 |}} +
- +
- +
-[ISP-NG](https://git.domainepublic.net/Neutrinet/vpn/ISP-ng) est un logiciel en Java que Wannes a écrit. +
- +
-Ce logiciel fait le routage, gère les certificats, les comptes utilisateur·ices mais c'est actuellement « une boîte noir ». +
-+
-près la migration de l'infrastructure on refera quelque chose pour le remplacer. +
- +
-Mais comment se passe la connexion VPN ? +
- +
-Quand une brique veut se connecter, elle crée un tunnel entre elle et le serveur de Neutrinet. +
- +
-Ce dernier (isp-ng) donne une IP à la brique (au tunnel) pour que la brique, en terme de réseau, soit « connectée » au même niveau que les pfsense de Neutrinet parce que nous ne filtrons rien. +
- +
-C'est un peu comme si, lorsque vos briques recoivent leur IP, elles était exposées au même niveau que les pfsense. +
- +
-Par exemple, les pfsense on comme IP 80.67.181.4 et .5 et si votre brique reçoit une IP comme 80.67.181.200, elle apparaîtra à côté des pfsense. +
- +
-Mais comment est-ce possible de se trouver au « même niveau » ? +
- +
-Neutrinet dispose d'un slash 24 (/24) en ipv4 (80.67.181.0/24) et on a donc 256 IP et avec ipv6 ca donne _beaucoup_ des ips. +
- +
-On les a séparées en 2 slash 25 (/25) : 80.67.181.1 à 128 et 80.67.181.129 à 256 et cette seconde tranche d'adresse est dédiée au VPN. +
- +
-Les adresse IP de vos brique commenceront à 80.67.181.130 sur un slash 25 (80.67.181.130/25) et auront comme passerelle 80.67.181.129/25. +
- +
-Cette IP 80.67.181.129 sera au même niveau que edge1 et edge2. +
- +
-Pfiou … c'est chaud. +
- +
-Ces histoire de slash, de routage et de gateway sont des notions de réseau ip. +
- +
-Quand un client se connecte, isp-ng ajoute une route (grâce à openvpn) sur le serveur (de Neutrinet mais aussi sur la brique) qui, elle-même est annoncée en BGP pour allez vers les Internets. +
-Openvpn vérifie les certificats et isp-ng vérifie le login /pass, crée la route dans sa propre table de routage et envois la configuration à la brique (son adresse (ipv4 et ipv6) et leurs gateway (ipv4 et ipv6). +
- +
-Il y a donc bien un nombre actuellement limité à 128 (moins le broadcast et la gateway, donc 126 … bien que, si je ne me trompe pas, le broadcast n'est pas utilisé) connexions VPN actives. +
-Que se passe-t-il si cette limite est atteinte ? +
- +
-Ben les adresses sont « réservée » puisque chaque client reçoit sa propre adresse … mais si après l'expiration de leur certificat et après 6 mois d'attente, une adresse non utilisée sera libérée et pourra être assignée à une autre personne. +
-Actuellement nous avons encore 16 adresses ipv4 de libre et 36 connexions actives au moment de la réunion. +
- +
-Le basculement vers l'ipv6 dépend de différents facteurs, techniques (faut changer les routeurs), économique (c'est une aubaine de vendre bien cher des ipv4@ et aussi politique parce que en ipv6 le NAT n'existe plus. +
- +
-Le NAT permet de « cacher son réseau local (obfuscation) » son réseau LAN « derrière » une IP exposée (celle du modem ou du routeur par exemple). +
- +
-En Ipv6 c'est plus le cas et les entreprises n'aiment pas trop cette idée, même si c'est discutable. +
- +
- +
-> Je n'y ai plus pensé lorsqu'il était question des cours en ligne pour Proxmox mais j'étais tombée [là-dessus](https://blog.zwindler.fr/2020/03/02/deploiement-de-proxmox-ve-6-pfsense-sur-un-serveur-dedie) //(j'ai juste lu le tutoriel, pas tenté de faire les choses pour le moment... je le poste à tout hasard même si ça va peut-être recouper des trucs qu'on va voir tout à l'heure :))// +
- +
-Miam et reprise à 14h00 +
- +
-===== Présentation de Proxmox et de l'infra ===== +
- +
-Avec un Big Blue Button, on a présenté le datacenter virtuel hébergé sur Troll, Orvall et Comptoire. +
- +
-===== Préparation du déménagement ===== +
- +
-Cf. [réunion précédente](https://wiki.neutrinet.be/fr/rapports/2020/07-04) +
- +
-===== Ce qui a déjà été fait ===== +
- +
-  - dans le whois ( $ whois as204059 ) vous verrez tout plein d'infos \o/ - https://paste.yunohost.org/sojekezivu.sql +
-  - tharyrok à contacté Gitoyen et Verixi pour mettre à jour les infos du whois qui peuvent être utilisées pour les sessions BGP +
-  - nous avons le badge du bâtiment et le badge du datacenter +
-  - côté Verixi, on a reçu les IPs nécessaires pour configurer les sessions BGP de edge1 et 2 +
-  - côté i3d on est bon jusqu'au 1er septembre et si on paie, on est bon jusqu'au 1er octobre.  On est sensé récupérer les serveurs pendant que le contrat / service est actif et si on ne le fait pas, on a 2 jours pour aller chercher les machines. +
- +
-===== Ce qu'il faut faire avant le déménagement physique =====+
  
 +{{ :fr:rapports:2020:config-network-neutrinet-migration.svg?600 |}}
  
 Déplacer les adresses IP, car la config réseau n'est plus du tout la même (edge 1 et 2 qui prennent chacune une IP,  Déplacer les adresses IP, car la config réseau n'est plus du tout la même (edge 1 et 2 qui prennent chacune une IP, 
Ligne 207: Ligne 27:
   - meta.neutri.net   - meta.neutri.net
  
-Annoncer aux membres les choses suivantes : 
-  - date d'interruption des services 
-  - changement d'adresse ip (surtout vpn.neutri.net qui passe de 80.67.181.3 à 80.67.181.6 
-  - adresse email de contact en cas de soucis / question : contact chez neutrinet point be (car chez hetzner) 
- 
-Envoyer le mail en reprenant les e-mails qui sont dans les comptes VPN + mailing list + mattermost 
- 
-Annoncer sur le site web le déménagement (soit bannière soit article ?) 
- 
-Annoncer à la radio que Neutrinet (vendredi prochain chez radio campus 92.1FM, à 18h) 
  
 ===== Calendrier déménagement ===== ===== Calendrier déménagement =====
  
-  Avant le 8 : mail + mattermost aux membres à propos des changements d'IP (8/8) et du déménagement (15/8) +  * <del>Avant le 8 : mail + mattermost aux membres à propos des changements d'IP (8/8) et du déménagement (15/8)</del> 
-  Samedi 8 : déménagement logique (IPs) + pitit downtime +  * <del>Samedi 8 : déménagement logique (IPs) + pitit downtime</del> 
-  Avant le 15 : mail + mattermost aux membres à propos du déménagement physique +  Avant le 15 : mail + mattermost aux membres à propos du déménagement physique 
-  Samedi 15 : déménagement physique chez Verixi + long downtime +  Samedi 15 : déménagement physique chez Verixi + long downtime 
-  Samedi 22 : rien à voir, déménagement des triplettes +  Samedi 22 : rien à voir, déménagement des triplettes 
-  Avant le 25 (5 jours ouvrables avant access) : enregistrer la plaque de la voiture et les cartes d'identités chez i3d +  Avant le 25 (5 jours ouvrables avant access) : enregistrer la plaque de la voiture et les cartes d'identités chez i3d 
-  Avant le 31 : récupérer les serveurs chez i3d +  Avant le 31 : récupérer les serveurs chez i3d 
-  Avant la fête : mail, mattermost, pigeons, sémaphores, radio et on fait la fête  +  Avant la fête : mail, mattermost, pigeons, sémaphores, radio et on fait la fête 
-  Après le 31 : double pendaison de crémaillère, méga fiesta, etc et ramener tous les anciens et les anciennes de NeutriCorp +  Après le 31 : double pendaison de crémaillère, méga fiesta, etc et ramener tous les anciens et les anciennes de NeutriCorp
  
 ===== Placement physique des nouveaux serveurs ===== ===== Placement physique des nouveaux serveurs =====
fr/rapports/2020/08-01.txt · Dernière modification : 2022/07/22 13:15 de 127.0.0.1