fr:rapports:2020:08-01
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:rapports:2020:08-01 [2020/08/03 10:35] – [Calendrier déménagement] tierce | fr:rapports:2020:08-01 [2020/08/05 09:15] – tierce | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== 2020/08/01 (Hub infra) ====== | + | ====== 2020/08/08 (Hub infra) ====== |
- | Sur d' | + | Sur d' |
* [Nouvelle infra Neutrinet](https:// | * [Nouvelle infra Neutrinet](https:// | ||
* [Réflexions en 2019](https:// | * [Réflexions en 2019](https:// | ||
- | * [Réunion précédente](https:// | + | * [Réunion précédente](https:// |
- | * [À mettre ensuite sur le wiki ici](https:// | + | |
===== Présences ===== | ===== Présences ===== | ||
- | HgO | + | |
- | tierce | + | |
- | tharyrok | + | |
- | Adrien | + | |
- | Robert | + | |
- | Célo | + | |
- | ptr | + | |
- | Alex | + | |
- | ~nino | + | |
- | fredux | + | |
===== Météo ===== | ===== Météo ===== | ||
Ligne 25: | Ligne 15: | ||
Moment informel | Moment informel | ||
- | ===== Qu'est ce que l' | ||
- | Un ensemble de machines, de matériel qui fait fonctionner le réseau | + | ===== Déplacement |
- | + | ||
- | Tout ce qui est installé sur le serveur central et qui fait fonctionner neutrinet | + | |
- | + | ||
- | Ça peut être plusieurs machines, peut-être virtuelles, avec des trucs comme le pare-feu | + | |
- | + | ||
- | Tout ce qu'on ne voit pas et qui par miracle fait marcher le système et des gens qui font que ça fonctionne | + | |
- | + | ||
- | Le matériel et le logiciel, la configuration des serveurs, etc. | + | |
- | + | ||
- | Une couche de base qui demande beaucoup de compétences avec lesquelles on fait des choses extraordinaires | + | |
- | + | ||
- | Une sorte de boite noir qui demande de fait des compétences pour s' | + | |
- | + | ||
- | Un truc dont tout le monde à besoin et que tout le monde utilise mais dont peu de gens veulent ou peuvent s' | + | |
- | + | ||
- | + | ||
- | ===== Quelles sont nos attentes vis-à-vis de l' | + | |
- | + | ||
- | Comprendre et avoir un petit café. | + | |
- | + | ||
- | Avoir des serveurs en Belgique avec des IP belges. | + | |
- | + | ||
- | Apprendre des choses parce que depuis la découverte de linux, il y a aussi plein d' | + | |
- | + | ||
- | Que les serveurs fonctionnent avec des logiciels libres et que l' | + | |
- | + | ||
- | Que sont petit serveur reste " | + | |
- | + | ||
- | Que le VPN continue à fonctionner, | + | |
- | + | ||
- | Question = sur VPN qui est souligné : est-ce que VPN marche en Ipv4 et 6 ??? Oui :) | + | |
- | + | ||
- | Arriver à ce que le partage de connaissance permette à plus qu'une seule personne de porter cette infra. | + | |
- | + | ||
- | Poursuivre l' | + | |
- | + | ||
- | Moins sacraliser « l' | + | |
- | + | ||
- | + | ||
- | ===== Historique du hub-infra ===== | + | |
- | + | ||
- | D'où on part et vers où on veut aller. | + | |
- | + | ||
- | Au début quelques personnes comme Wannes ou Bram ou Kload on mis en place les outils. | + | |
- | En tout temps l' | + | |
- | + | ||
- | En janvier 2019 il y a eu un passage d'info et de droits d' | + | |
- | Et il serait bon de faire ce qu'on peut pour faire en sorte que ce soit moins effrayant. | + | |
- | + | ||
- | On a (ou on a eu ?) envie de faire une collocation de plusieurs serveurs dans une armoire (rack dans un datacenter). | + | |
- | Il y a eu aussi beaucoup de discussions. | + | |
- | + | ||
- | Les 2 serveurs qu'on a acheté en 2018 sont entrain de prendre la poussière et notre actuel serveur étant vieillissant, | + | |
- | + | ||
- | 256 adresses ip annoncées sur Internet. | + | |
- | + | ||
- | Connexion physique (cable ethernet) aux autres fai ( belge et autre) -> datacenter, on place deux machines (redondance) | + | |
- | + | ||
- | Petit ajout d'un troisième mini PC (juste pour faciliter décisions entre machines). | + | |
- | + | ||
- | mMchines virtuels (installés sur ces deux serveurs) pour les fonctionnalités spécifique (auth, vpn, ...) sur les Proxmox (avec debian) | + | |
- | + | ||
- | ===== Schémas réseau ===== | + | |
- | + | ||
- | ==== Avec les edges BGP ==== | + | |
- | + | ||
- | {{ : | + | |
- | + | ||
- | * As6696 | + | |
- | * AS204059 | + | |
- | + | ||
- | Dans l' | + | |
- | + | ||
- | C'est le cas de EDGE1 et EDGE2 (qui ont chacun leur propre IP) qui se partage une 3ème adresse IP « qui peut flotter / passer » entre l'un ou l' | + | |
- | + | ||
- | C'est le petit logiciel Keep AliveD qui permet ça et il utilise le protocole VRRP ( https:// | + | |
- | + | ||
- | Ça permet en cas de problème sur, par exemple EDGE1 (qui serait considéré comme étant le routeur primaire), que EDGE2 prennent l'IP flotante et devienne le routeur primaire à la place de EDGE1. | + | |
- | + | ||
- | Comme ça on pourra plus tard aller voir pourquoi EDGE1 est tombé et résoudre son problème. | + | |
- | + | ||
- | Actuellement, | + | |
- | + | ||
- | EDGE1 et EDGE2 seront partagée avec d' | + | |
- | + | ||
- | Pfsense1 et Pfsense2 seront les machines virtuelles exposée pour Neutrinet uniquement. | + | |
- | + | ||
- | Pfsense est également une distribution gnu/linux libre qui est orientée réseau et firewall. | + | |
- | + | ||
- | On a choisi Pfsense parce que c'est un peu plus « user friendly » que iptables. | + | |
- | + | ||
- | Sur les 2 schéma qu'on propose ( https:// | + | |
- | + | ||
- | Aujourd' | + | |
- | + | ||
- | Oui … on se rend compte qu'il y a beaucoup d' | + | |
- | la phrase viendra après :) | + | |
- | + | ||
- | ==== Sans les edges BGP ==== | + | |
- | + | ||
- | {{ : | + | |
- | + | ||
- | + | ||
- | [ISP-NG](https:// | + | |
- | + | ||
- | Ce logiciel fait le routage, gère les certificats, | + | |
- | A | + | |
- | près la migration de l' | + | |
- | + | ||
- | Mais comment se passe la connexion VPN ? | + | |
- | + | ||
- | Quand une brique veut se connecter, elle crée un tunnel entre elle et le serveur de Neutrinet. | + | |
- | + | ||
- | Ce dernier (isp-ng) donne une IP à la brique (au tunnel) pour que la brique, en terme de réseau, soit « connectée » au même niveau que les pfsense de Neutrinet parce que nous ne filtrons rien. | + | |
- | + | ||
- | C'est un peu comme si, lorsque vos briques recoivent leur IP, elles était exposées au même niveau que les pfsense. | + | |
- | + | ||
- | Par exemple, les pfsense on comme IP 80.67.181.4 et .5 et si votre brique reçoit une IP comme 80.67.181.200, | + | |
- | + | ||
- | Mais comment est-ce possible de se trouver au « même niveau » ? | + | |
- | + | ||
- | Neutrinet dispose d'un slash 24 (/24) en ipv4 (80.67.181.0/ | + | |
- | + | ||
- | On les a séparées en 2 slash 25 (/25) : 80.67.181.1 à 128 et 80.67.181.129 à 256 et cette seconde tranche d' | + | |
- | + | ||
- | Les adresse IP de vos brique commenceront à 80.67.181.130 sur un slash 25 (80.67.181.130/ | + | |
- | + | ||
- | Cette IP 80.67.181.129 sera au même niveau que edge1 et edge2. | + | |
- | + | ||
- | Pfiou … c'est chaud. | + | |
- | + | ||
- | Ces histoire de slash, de routage et de gateway sont des notions de réseau ip. | + | |
- | + | ||
- | Quand un client se connecte, isp-ng ajoute une route (grâce à openvpn) sur le serveur (de Neutrinet mais aussi sur la brique) qui, elle-même est annoncée en BGP pour allez vers les Internets. | + | |
- | Openvpn vérifie les certificats et isp-ng vérifie le login /pass, crée la route dans sa propre table de routage et envois la configuration à la brique (son adresse (ipv4 et ipv6) et leurs gateway (ipv4 et ipv6). | + | |
- | + | ||
- | Il y a donc bien un nombre actuellement limité à 128 (moins le broadcast et la gateway, donc 126 … bien que, si je ne me trompe pas, le broadcast n'est pas utilisé) connexions VPN actives. | + | |
- | Que se passe-t-il si cette limite est atteinte ? | + | |
- | + | ||
- | Ben les adresses sont « réservée » puisque chaque client reçoit sa propre adresse … mais si après l' | + | |
- | Actuellement nous avons encore 16 adresses ipv4 de libre et 36 connexions actives au moment de la réunion. | + | |
- | + | ||
- | Le basculement vers l'ipv6 dépend de différents facteurs, techniques (faut changer les routeurs), économique (c'est une aubaine de vendre bien cher des ipv4@ et aussi politique parce que en ipv6 le NAT n' | + | |
- | + | ||
- | Le NAT permet de « cacher son réseau local (obfuscation) » son réseau LAN « derrière » une IP exposée (celle du modem ou du routeur par exemple). | + | |
- | + | ||
- | En Ipv6 c'est plus le cas et les entreprises n' | + | |
- | + | ||
- | + | ||
- | > Je n'y ai plus pensé lorsqu' | + | |
- | + | ||
- | Miam et reprise à 14h00 | + | |
- | + | ||
- | ===== Présentation de Proxmox et de l' | + | |
- | + | ||
- | Avec un Big Blue Button, on a présenté le datacenter virtuel hébergé sur Troll, Orvall et Comptoire. | + | |
- | + | ||
- | ===== Préparation du déménagement ===== | + | |
- | + | ||
- | Cf. [réunion précédente](https:// | + | |
- | + | ||
- | ===== Ce qui a déjà été fait ===== | + | |
- | + | ||
- | - dans le whois ( $ whois as204059 ) vous verrez tout plein d' | + | |
- | - tharyrok à contacté Gitoyen et Verixi pour mettre à jour les infos du whois qui peuvent être utilisées pour les sessions BGP | + | |
- | - nous avons le badge du bâtiment et le badge du datacenter | + | |
- | - côté Verixi, on a reçu les IPs nécessaires pour configurer les sessions BGP de edge1 et 2 | + | |
- | - côté i3d on est bon jusqu' | + | |
- | + | ||
- | ===== Ce qu'il faut faire avant le déménagement physique | + | |
+ | {{ : | ||
Déplacer les adresses IP, car la config réseau n'est plus du tout la même (edge 1 et 2 qui prennent chacune une IP, | Déplacer les adresses IP, car la config réseau n'est plus du tout la même (edge 1 et 2 qui prennent chacune une IP, | ||
Ligne 207: | Ligne 27: | ||
- meta.neutri.net | - meta.neutri.net | ||
- | Annoncer aux membres les choses suivantes : | ||
- | - date d' | ||
- | - changement d' | ||
- | - adresse email de contact en cas de soucis / question : contact chez neutrinet point be (car chez hetzner) | ||
- | |||
- | Envoyer le mail en reprenant les e-mails qui sont dans les comptes VPN + mailing list + mattermost | ||
- | |||
- | Annoncer sur le site web le déménagement (soit bannière soit article ?) | ||
- | |||
- | Annoncer à la radio que Neutrinet (vendredi prochain chez radio campus 92.1FM, à 18h) | ||
===== Calendrier déménagement ===== | ===== Calendrier déménagement ===== | ||
- | * Avant le 8 : mail + mattermost aux membres à propos des changements d'IP (8/8) et du déménagement (15/8) | + | * <del>Avant le 8 : mail + mattermost aux membres à propos des changements d'IP (8/8) et du déménagement (15/8)</ |
- | * Samedi 8 : déménagement logique (IPs) + pitit downtime | + | * <del>Samedi 8 : déménagement logique (IPs) + pitit downtime</ |
* Avant le 15 : mail + mattermost aux membres à propos du déménagement physique | * Avant le 15 : mail + mattermost aux membres à propos du déménagement physique | ||
* Samedi 15 : déménagement physique chez Verixi + long downtime | * Samedi 15 : déménagement physique chez Verixi + long downtime |
fr/rapports/2020/08-01.txt · Dernière modification : 2022/07/22 13:15 de 127.0.0.1