fr:rapports:2020:08-01
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
fr:rapports:2020:08-01 [2020/07/27 22:09] – ajout de tags tierce | fr:rapports:2020:08-01 [2022/07/22 13:15] (Version actuelle) – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== 2020/08/01 (Hub infra) ====== | ====== 2020/08/01 (Hub infra) ====== | ||
- | ===== Pad ===== | + | FIXME: À relire et peaufiner |
- | Le pad : https:// | + | Sur d' |
+ | |||
+ | * [Nouvelle infra Neutrinet](https:// | ||
+ | * [Réflexions en 2019](https:// | ||
+ | * [Réunion précédente](https:// | ||
+ | * [À mettre ensuite sur le wiki ici](https:// | ||
+ | |||
+ | Sur d' | ||
+ | |||
+ | * [[fr: | ||
+ | |||
+ | ===== Présences ===== | ||
+ | |||
+ | HgO | ||
+ | tierce | ||
+ | tharyrok | ||
+ | Adrien | ||
+ | Robert | ||
+ | Célo | ||
+ | ptr | ||
+ | Alex | ||
+ | ~nino | ||
+ | fredux | ||
+ | |||
+ | ===== Météo ===== | ||
+ | |||
+ | Moment informel | ||
+ | |||
+ | ===== Qu'est ce que l' | ||
+ | |||
+ | Un ensemble de machines, de matériel qui fait fonctionner le réseau | ||
+ | |||
+ | Tout ce qui est installé sur le serveur central et qui fait fonctionner neutrinet | ||
+ | |||
+ | Ça peut être plusieurs machines, peut-être virtuelles, avec des trucs comme le pare-feu | ||
+ | |||
+ | Tout ce qu'on ne voit pas et qui par miracle fait marcher le système et des gens qui font que ça fonctionne | ||
+ | |||
+ | Le matériel et le logiciel, la configuration des serveurs, etc. | ||
+ | |||
+ | Une couche de base qui demande beaucoup de compétences avec lesquelles on fait des choses extraordinaires | ||
+ | |||
+ | Une sorte de boite noir qui demande de fait des compétences pour s' | ||
+ | |||
+ | Un truc dont tout le monde à besoin et que tout le monde utilise mais dont peu de gens veulent ou peuvent s' | ||
+ | |||
+ | |||
+ | ===== Quelles sont nos attentes vis-à-vis de l' | ||
+ | |||
+ | Comprendre et avoir un petit café. | ||
+ | |||
+ | Avoir des serveurs en Belgique avec des IP belges. | ||
+ | |||
+ | Apprendre des choses parce que depuis la découverte de linux, il y a aussi plein d' | ||
+ | |||
+ | Que les serveurs fonctionnent avec des logiciels libres et que l' | ||
+ | |||
+ | Que sont petit serveur reste " | ||
+ | |||
+ | Que le VPN continue à fonctionner, | ||
+ | |||
+ | Question = sur VPN qui est souligné : est-ce que VPN marche en Ipv4 et 6 ??? Oui :) | ||
+ | |||
+ | Arriver à ce que le partage de connaissance permette à plus qu'une seule personne de porter cette infra. | ||
+ | |||
+ | Poursuivre l' | ||
+ | |||
+ | Moins sacraliser « l' | ||
+ | |||
+ | |||
+ | ===== Historique du hub-infra ===== | ||
+ | |||
+ | D'où on part et vers où on veut aller. | ||
+ | |||
+ | Au début quelques personnes comme Wannes ou Bram ou Kload on mis en place les outils. | ||
+ | En tout temps l' | ||
+ | |||
+ | En janvier 2019 il y a eu un passage d'info et de droits d' | ||
+ | Et il serait bon de faire ce qu'on peut pour faire en sorte que ce soit moins effrayant. | ||
+ | |||
+ | On a (ou on a eu ?) envie de faire une collocation de plusieurs serveurs dans une armoire (rack dans un datacenter). | ||
+ | Il y a eu aussi beaucoup de discussions. | ||
+ | |||
+ | Les 2 serveurs qu'on a acheté en 2018 sont entrain de prendre la poussière et notre actuel serveur étant vieillissant, | ||
+ | |||
+ | 256 adresses ip annoncées sur Internet. | ||
+ | |||
+ | Connexion physique (cable ethernet) aux autres fai ( belge et autre) -> datacenter, on place deux machines (redondance) | ||
+ | |||
+ | Petit ajout d'un troisième mini PC (juste pour faciliter décisions entre machines). | ||
+ | |||
+ | mMchines virtuels (installés sur ces deux serveurs) pour les fonctionnalités spécifique (auth, vpn, ...) sur les Proxmox (avec debian) | ||
===== Schémas réseau ===== | ===== Schémas réseau ===== | ||
Ligne 10: | Ligne 101: | ||
{{ : | {{ : | ||
+ | |||
+ | * As6696 | ||
+ | * AS204059 | ||
+ | |||
+ | Dans l' | ||
+ | |||
+ | C'est le cas de EDGE01 et EDGE02 (qui ont chacun leur propre IP) qui se partage une 3ème adresse IP « qui peut flotter / passer » entre l'un ou l' | ||
+ | |||
+ | C'est le petit logiciel Keep AliveD qui permet ça et il utilise le protocole VRRP ( https:// | ||
+ | |||
+ | Ça permet en cas de problème sur, par exemple EDGE01 (qui serait considéré comme étant le routeur primaire), que EDGE02 prennent l'IP flotante et devienne le routeur primaire à la place de EDGE01. | ||
+ | |||
+ | Comme ça on pourra plus tard aller voir pourquoi EDGE01 est tombé et résoudre son problème. | ||
+ | |||
+ | Actuellement, | ||
+ | |||
+ | EDGE01 et EDGE02 seront partagée avec d' | ||
+ | |||
+ | Pfsense1 et Pfsense2 seront les machines virtuelles exposée pour Neutrinet uniquement. | ||
+ | |||
+ | Pfsense est également une distribution gnu/linux libre qui est orientée réseau et firewall. | ||
+ | |||
+ | On a choisi Pfsense parce que c'est un peu plus « user friendly » que iptables ou nftables. | ||
+ | |||
+ | Sur les 2 schéma qu'on propose ( https:// | ||
+ | |||
+ | Aujourd' | ||
+ | |||
+ | Oui … on se rend compte qu'il y a beaucoup d' | ||
+ | la phrase viendra après :) | ||
==== Sans les edges BGP ==== | ==== Sans les edges BGP ==== | ||
{{ : | {{ : | ||
+ | |||
+ | |||
+ | [ISP-NG](https:// | ||
+ | |||
+ | Ce logiciel fait le routage, gère les certificats, | ||
+ | A | ||
+ | près la migration de l' | ||
+ | |||
+ | Mais comment se passe la connexion VPN ? | ||
+ | |||
+ | Quand une brique veut se connecter, elle crée un tunnel entre elle et le serveur de Neutrinet. | ||
+ | |||
+ | Ce dernier (isp-ng) donne une IP à la brique (au tunnel) pour que la brique, en terme de réseau, soit « connectée » au même niveau que les pfsense de Neutrinet parce que nous ne filtrons rien. | ||
+ | |||
+ | C'est un peu comme si, lorsque vos briques recoivent leur IP, elles était exposées au même niveau que les pfsense. | ||
+ | |||
+ | Par exemple, les pfsense on comme IP 80.67.181.4 et .5 et si votre brique reçoit une IP comme 80.67.181.200, | ||
+ | |||
+ | Mais comment est-ce possible de se trouver au « même niveau » ? | ||
+ | |||
+ | Neutrinet dispose d'un slash 24 (/24) en ipv4 (80.67.181.0/ | ||
+ | |||
+ | On les a séparées en 2 slash 25 (/25) : 80.67.181.1 à 128 et 80.67.181.129 à 256 et cette seconde tranche d' | ||
+ | |||
+ | Les adresse IP de vos brique commenceront à 80.67.181.130 sur un slash 25 (80.67.181.130/ | ||
+ | |||
+ | Cette IP 80.67.181.129 sera au même niveau que edge1 et edge2. | ||
+ | |||
+ | Pfiou … c'est chaud. | ||
+ | |||
+ | Ces histoire de slash, de routage et de gateway sont des notions de réseau ip. | ||
+ | |||
+ | Quand un client se connecte, isp-ng ajoute une route (grâce à openvpn) sur le serveur (de Neutrinet mais aussi sur la brique) qui, elle-même est annoncée en BGP pour allez vers les Internets. | ||
+ | Openvpn vérifie les certificats et isp-ng vérifie le login /pass, crée la route dans sa propre table de routage et envois la configuration à la brique (son adresse (ipv4 et ipv6) et leurs gateway (ipv4 et ipv6). | ||
+ | |||
+ | Il y a donc bien un nombre actuellement limité à 128 (moins le broadcast et la gateway, donc 126 … bien que, si je ne me trompe pas, le broadcast n'est pas utilisé) connexions VPN actives. | ||
+ | Que se passe-t-il si cette limite est atteinte ? | ||
+ | |||
+ | Ben les adresses sont « réservée » puisque chaque client reçoit sa propre adresse … mais si après l' | ||
+ | Actuellement nous avons encore 16 adresses ipv4 de libre et 36 connexions actives au moment de la réunion. | ||
+ | |||
+ | Le basculement vers l'ipv6 dépend de différents facteurs, techniques (faut changer les routeurs), économique (c'est une aubaine de vendre bien cher des ipv4@ et aussi politique parce que en ipv6 le NAT n' | ||
+ | |||
+ | Le NAT permet de « cacher son réseau local (obfuscation) » son réseau LAN « derrière » une IP exposée (celle du modem ou du routeur par exemple). | ||
+ | |||
+ | En Ipv6 c'est plus le cas et les entreprises n' | ||
+ | |||
+ | |||
+ | > Je n'y ai plus pensé lorsqu' | ||
+ | |||
+ | Miam et reprise à 14h00 | ||
+ | |||
+ | ===== Présentation de Proxmox et de l' | ||
+ | |||
+ | Avec un Big Blue Button, on a présenté le datacenter virtuel hébergé sur Troll, Orvall et Comptoire. | ||
+ | |||
+ | ===== Préparation du déménagement ===== | ||
+ | |||
+ | Cf. [réunion précédente](https:// | ||
+ | |||
+ | ===== Ce qui a déjà été fait ===== | ||
+ | |||
+ | - dans le whois ( $ whois as204059 ) vous verrez tout plein d' | ||
+ | - on (mais devinez qui?) à contacté Gitoyen et Verixi pour mettre à jour les infos du whois qui peuvent être utilisées pour les sessions BGP | ||
+ | - nous avons le badge du bâtiment et le badge du datacenter | ||
+ | - côté Verixi, on a reçu les IPs nécessaires pour configurer les sessions BGP de edge01 et 02 | ||
+ | - côté i3d on est bon jusqu' | ||
+ | |||
+ | ===== Ce qu'il faut faire avant le déménagement physique ===== | ||
+ | |||
+ | |||
+ | Déplacer les adresses IP, car la config réseau n'est plus du tout la même (edge 01 et 02 qui prennent chacune une IP, | ||
+ | - web.neutri.net | ||
+ | - dns.neutri.net | ||
+ | - gw.neutri.net | ||
+ | - vpn.neutri.net | ||
+ | - meta.neutri.net | ||
+ | |||
+ | Annoncer aux membres les choses suivantes : | ||
+ | - date d' | ||
+ | - changement d' | ||
+ | - adresse email de contact en cas de soucis / question : contact chez neutrinet point be (car chez hetzner) | ||
+ | |||
+ | Envoyer le mail en reprenant les e-mails qui sont dans les comptes VPN + mailing list + mattermost | ||
+ | |||
+ | Annoncer sur le site web le déménagement (soit bannière soit article ?) | ||
+ | |||
+ | Annoncer à la radio que Neutrinet (vendredi prochain chez radio campus 92.1FM, à 18h) | ||
+ | |||
+ | ===== Calendrier déménagement ===== | ||
+ | |||
+ | * Avant le 8 : mail + mattermost aux membres à propos des changements d'IP (8/8) et du déménagement (15/8) | ||
+ | * Samedi 8 : déménagement logique (IPs) + pitit downtime | ||
+ | * Avant le 15 : mail + mattermost aux membres à propos du déménagement physique | ||
+ | * Samedi 15 : déménagement physique chez Verixi + long downtime | ||
+ | * Samedi 22 : rien à voir, déménagement des triplettes | ||
+ | * Avant le 25 (5 jours ouvrables avant access) : enregistrer la plaque de la voiture et les cartes d' | ||
+ | * Avant le 31 : récupérer les serveurs chez i3d | ||
+ | * Avant la fête : mail, mattermost, pigeons, sémaphores, | ||
+ | * Après le 31 : double pendaison de crémaillère, | ||
+ | |||
+ | ===== Placement physique des nouveaux serveurs ===== | ||
+ | |||
+ | On souhaite aller placer les serveurs avant le 20 août chez Verixi. | ||
+ | |||
+ | Pour rappel, lors de la dernière réunion : | ||
+ | |||
+ | - Avoir une date de la part de Verixi -> on a les accès, donc on va quand on décide | ||
+ | - Prévenir Verixi car config BGP a faire avec eux | ||
+ | - Combien de temps avant d' | ||
+ | - Il faut une voiture (probablement) parce que je (HgO) ne me vois pas trimbaler les serveurs dans le bus sous le bras, masqué | ||
+ | - deuxnixx a une voiture, mais en août ce ne sera pas possible pour lui | ||
+ | - la mère d'hgo a aussi une voiture, mais elle revient fin juillet | ||
+ | |||
+ | |||
+ | ===== Migrer l' | ||
+ | |||
+ | C'est préparé et on fera ça le 15 août. | ||
+ | |||
+ | ===== Récupérer les serveur de i3d ===== | ||
+ | |||
+ | Tierce va s'en occuper :) | ||
+ | |||
+ | * Enregistrer la voiture | ||
+ | * récupéré le code de l’armoire | ||
+ | |||
+ | ===== Météo ===== | ||
+ | |||
+ | Moment informel | ||
{{tag> | {{tag> |
fr/rapports/2020/08-01.1595880545.txt.gz · Dernière modification : 2020/07/27 22:09 de tierce