• Réunion précédente
• Pad de la réunion

Présences :

• HgO
• Tharyrok
• Célo

Jitsi: https://conf.domainepublic.net/neutrinet

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

FIN: 17h30

• Créer le playbook Ansible pour Keycloak → Tharyrok et Célo → pour que Célo ait un aperçu d'une autre manière d'utiliser Ansible.
• Créer le playbook Ansible pour oauth2-proxy (dépend de Keycloak)
• Créer le playbook Ansible pour Netbox (dépend de Keycloak)
• Créer le playbook Ansible pour Peering Manager (dépend de Keycloak)
• Créer le message de bienvenue pour Mattermost → Célo https://doc.neutrinet.be/Z8CmtsoFSm6HIuNF0_j-Vg?view#
• Agresser à nouveau le support Mattermost pour avoir la licence sur 3 ans et pas 1 ans → Tharyrok
• Créer un Neutriton sur la question du suivi des differentes versions logicielles
• Faire l'article de blog sur le chiffrement des serveur → Célo
• Créer un utilisateur spécifique sur le Grav pour HgO et Célo → HgO
• Chiffré les disques de 1To de Backup → Tharyrok
• Voir comment backuper les pfsense
  • Peut se faire vers Nextcloud
• Ajouter dans ansible la persistance des logs systemd → HgO
• Tharyrok doit copier le playbook pour le mail qu'il avait fait de son côté.
• Faire un sondage après octobre pour faire le switch vers ispng buster.

On a remarqué que c'était assez compliqué quand on faisait des sondages, car cela prend pas mal d'énergie pour mobiliser les gens, et au final on se retrouve assez peu nombreux…

On ne va pas refaire de sondages pour le moment. On va plutôt décider entre les personnes présentes d'une prochaine date, et celles et ceux qui peuvent venir viendront.

https://doc.neutrinet.be/Z8CmtsoFSm6HIuNF0_j-Vg?view#

De mémoire, il se configure sur le serveur, et il faut un plugin welcome-bot

https://github.com/mattermost/mattermost-plugin-welcomebot/blob/master/README.

On devrait l'ajouter à la config Ansible

On peut faire une nouvelle équipe pour tester ou alors Célo teste de son côté ?

Célo réclame les droits d'admin de Mattermost ! Cela lui est accordé

TODO: Célo va tester de son côté le plugin welcome-bot

HgO aimerait encore faire quelques modifications à l'article. En attendant Célo a reçu les accès pour modifier directement le site web sans devoir passer par git.

https://gitlab.domainepublic.net/Neutrinet/website-grav/-/merge_requests/10

TODO: Créer un utilisateur spécifique sur le Grav pour HgO et Célo → HgO

On a fait une réunion pour voir ce qu'il y a à faire et se répartir les tâches : https://doc.neutrinet.be/mobilizon-2022-11-10

Pour les extensions PostgreSQL, il faut regarder dans postgresql-contrib. Ce n'est pas un problème de le rajouter.

Mobilizon n'a rien de magique pour l'export ou l'import de la db. Il faudra faire un dump et l'importer. Il faudra aussi copier le dossier média.

Il faut regarder quelle version est utilisée actuellement.

Mobilizon v3 étant sorti, on peut en profiter pour faire la mise à jour juste après, voire la tester avant la migration.

https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/194

Pour le géocoder c'est Nominatim qui semble être utilisé pour le moment. On gardera probablement tel quel dans un premier temps, mais par la suite, on pourrait voir pour héberger aussi ce service.

TODO: Récupérer l'accès au domaine mobilizon.be → HgO
TODO: Création d’un playbook Ansible pour Mobilizon → Célo
TODO: Création de la VM dans Patata → Célo
TODO: Migration de la db Mobilizon → HgO et Célo
TODO: Switch de Mobilizon → plus tard

HgO est un excellent professeur.

On avait fait deux ateliers en septembre et puis un troisième le 11/11/2022. On a vu :

• Vagrant
• Installation et usage d'Ansible
• Création d'un playbook
• Création d'un rôle
• Molécule

Il reste encore à faire:

• Vault et secrets
• Review playbook Mobilizon

On doit encore choisir une date. On s'est dit que ce serait chouette de faire la migration Mobilizon pour Noël

On s'est dit que ce serait cool d'avoir une réunion pour le setup de l'espace de travail.

TODO: En décembre, on se définit une date pour le prochain atelier.

Il faut faire attention à ne pas monter trop vite en version d'Ansible.

La v2.13 est sortie en mai, mais mitogen n'était pas prêt.

Si on veut utiliser mitogen, il vaut mieux être une version en arrière. Ce qui n'est pas grave car les versions d'Ansible sont supportées assez longtemps.

Mais avec l'ancienne version d'Ansible, il y avait des soucis avec ansible-lint.

On a fini de configurer les différentes probes provenant de membres de la FFDN.

On a celle chez rezel qui ne fonctionne toujours pas.

TODO: On va la retirer du monitoring pour éviter les alertes → HgO

Rezel fera une maintenance du 14 au 18 novembre, on verra avec eux après.

https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/193

Il n'y a pas de metrics de PBS pour les backups, où on tout cas on ne l'a pas trouvé.

https://forum.proxmox.com/threads/proxmox-backup-server-metrics.86418/

A priori cela se configure au même niveau que pour les proxmox, mais dans PBS.

TODO: Ne plus supprimer le mdp root pour PBS, comme pour les Proxmox TODO: Configurer les alertes mails si les alertes via metrics ne fonctionnent pas

https://gitlab.domainepublic.net/Neutrinet/infra-ansible/-/issues/192

On avait parlé du vmagent + node_exporter qui remplacerait Telegraf. Ça demande un réagencement de ce qu'on fait en termes de monitoring.

On a un plugin dans proxmox, qui permet aux proxmox de parler à un vmagent, qui pourra parler ensuite influxdb à victoriametric.

Donc proxmox va parler à vmagent qui lui va parler à victoriametrics.

VMagent peut écrire ses metrics en local lorsqu'il perd la connexion avec le serveur VictoriaMetrics.

On va d'abord tester et voir comment ça fonctionne sur les proxmox avant d'éventuellement remplacer complétement telegraf par ça.

On va faire en sorte que tous les exporter, en commançant par Proxmox, écoutent sur l'IP 127.0.0.42 pour éviter les conflits portuaires.

Tharyrok s'occupe de migrer la VM pour début décembre.

Sinon, on regardera pour réduire les ressources de la VM.

Draft → pas draft → review

Est-ce qu'on se met une limite de temps pour les reviews ?

Comment on fait quand quelque chose a été mergé alors qu'on avait des remarques ? Comment éviter les frustrations ?

Demander si c'est ok de merger sur Mattermost ? Ou alors voir ça au moment des réunions infra. Au moment des réunions infra, on pourrait faire un tour des PR en cours.

Donc le workflow ce serait:

• On demande une review
• Si c'est approuvé, on merge
• Sinon, on regarde lors de la prochaine réu infra

Si cela pose toujours problème, on pourra étendre la discussion lors des install party.

Si c'est un fix, cela n'a pas forcément besoin d'être review. Cela reste à l'appréciation de la personne qui fait la MR.

On a déjà des VM qui utilisent Redis.

Est-ce qu'on ferait un cluster redis ? (il faut 2 serveur pour faire un cluster). Est-ce qu'on prendrait une alternative ?

https://docs.keydb.dev/

C'est du master-master.

Redis n'intègre pas la haut disponibilité. Il faut des sentinelles pour répliquer entre les deux DB.

Keydb c'est un fork de Redis, qui gère le multithread mais ça Redis le fait maintenant, et gère de base la HA.

Il y a aussi Dragonfly qui existe : https://dragonflydb.io/

Dans le kernel linux, on a une nouvelle API d'accès I/O, et pas mal de nouveaux programme utilisent cette API. Mais comme ça demande pas mal de réécrire du code, un service comme Redis ne l'a pas encore implémenté. Mais Dragonfly, qui est nouveau, oui. Mais la réplication est dans les early access… donc probablement pas dispo dans la licence community.

À voir aussi quelle est la license de ces logiciels.

On peut faire un Neutriton là-dessus. Ce n'est pas du tout urgent car on peut garder les Redis standalone qui sont utilisés par le serveur mail et le discourse.

TODO: Décider d'une date pour le Neutriton Redis

Il ne faut que deux redis.

NetBox permet de créer des graphes de dépendences de services, donc on pourra regarder à une vue plus détaillée quand on l'aura mis en place.

Tout est prêt, à la limite on peut faire une refonte du réseau pour éviter que ISPng se prenne une full view, mais ce n'est pas bloquant.

Donc on n'est pas pressé par une quelconque urgence.

On en parle en 2023.

On arrive tout doucement à la date d'expiration du certificat root CA du serveur VPN. Quand celui-ci expire, les gens ne pourront plus se connecter au VPN même si leur certificat est encore validé.

La fin du certificat est le 26 mars 2024, il faut donc qu'on le renouvelle idéalement le 26 mars 2023 pour que les VPN qui renouvellent ou crée leur certificat aient un certificat valable 1 an.

En gros, fin mars 2023, il faut avoir renouvelé le certificat.

Passé cette date, on peut encore rattraper le coût avec l'application Neutrinet qui se chargerait de regénérer le certificat du client VPN si c'est le mauvais CA.

À noter qu'il y a des comptes qui ont des certificats valident plus d'1 an… il faudra les contacter pour les prévenir.

Un truc dégueulasse, ce serait d'étendre manuellement la durée de validité du certificat Root CA. Il faut voir si on a encore les clés ahah, et il faudra alors modifier le keystore de ISPng.

Dans tous les cas, cela demande une petite modification du script de renew des certificats VPN, pour prendre en compte le passage de la date limite en 2024.

Le client se connecte à OpenVPN qui gère très bien deux CA. Par contre on ne sait pas si ISPng gère deux CA.

Ce sera l'occasoin d'utiliser la VM ISPng qui est actuellement en test.

Tharyrok a envoyé un mail à Verixi pour le 2ème badge à destination de Célo.

https://support.neutrinet.be/#ticket/zoom/10271

Donc c'est en cours.

Tharyrok a compris des trucs.

Aquilenet, Gitoyen et d'autres ont commandé 1 seul port reseler 10Gbps et chacun aura un câble d'un giga. Ils vont bientôt apparaître sur le NLIX, mais comme ils ont un port reseler, ils ne peuvent pas faire de vlan privé, et on ne peut donc pas faire de transit entre nous.

L'idée était de commander un vlan privé et de faire du transit dessus.

C'est toujours prévu de le faire avec Scani, mais en tout cas ce ne sera pas faisable avec Aquilenet.

Tharyrok essaie de relancer de temps en temps scani.

Tharyrok à demander d'avoir de l'ipv6 sur la collecte:

https://support.neutrinet.be/#ticket/zoom/10271

On a reçu quelques questions pour la collecte, c'est l'occasion de préciser ce qu'il en est pour le moment: https://support.neutrinet.be/#ticket/zoom/10284

Est-ce que cela signifie que par rapport au point:

1°- on pourra souscrire un abonnement internet chez vous? -

Serait-ce VDSL? Fibre? 5G? WiMax? Satellite?

Oui pour VDSL, cela dépendra pour la fibre. Voir la carte élligibilité de Proximus

- Quels techniciens s'occuperaient de l'installation, la maintenance, ...?

Pour l'installation, ce sera le technicien de Verixi, mais cela pourra dépendre selon les cas. https://www.proximus.be/fr/id_cr_vdsl2check/particuliers/abonnements-internet-pour-tous/disponibilite-de-vdsl2.html#/input

À voir si on sera présent pour les installations ou pas, en fonction de notre énergie.

Pour la maintenance réseau, ce sera Proximus via Verixi, mais le support ce sera Neutrinet, mais actuellement, Neutrinet c'est peu de personnes. On fera le lien entre le membre et le reste. Donc ce sera quelque chose du style Neutrinet > Verixi > Proximus.

2°- se procurer chez vous un modem/routeur libre & open-source...- agréé par l'IBPT?

Pour le moment, on est pas encore décidé sur le modem qu'on utilisera. On est à un stade où on test et il reste beaucoup de questions qu'on doit aborder et trancher pour que le service puisse être opérationnel.

Donc pour le moment on ne sait pas encore.

1 & 2 & 3°- à quels tarifs?

Pour le moment on n'a pas encore décidé d'un prix, nous sommes en train de justement revoir nos finances.

Vu le nombre d'acteurs FOSS en Belgique¹ potentiellement intéressés par une offre internet vraiment neutre, ne serait-il pas opportun d'envisager la création d'une coopérative pour la FAI (plutot que de solliciter des dons) à l'image de Neibo² pour la téléphonie? Ou même envisager une joint-venture?

Nous sommes aussi en réflexion si nous voulons faire une autre entité sur le côté (asbl, coopérative, etc) ou bien si nous gardons cela dans l'asbl Neutrinet.

À savoir que cela demanderait peut-être qu'on soit assujetti à la TVA, donc cela implique beaucoup de réflexions.

Donc pour le moment, on est vraiment à un stade où la collecte est un projet, techniquement possible pour nous, mais sur lequel beaucoup de réflexion, tant technique que non-technique (administratif, support, …) doivent avoir lieu.

https://git.domainepublic.net/Neutrinet/matrix-alertbot

https://pypi.org/project/matrix-alertbot/

Support des salons chiffrés

Un souci avec alertbot, c'était qu'il ne parvenait pas à lire les salons chiffrés. HgO a pu corriger cela. En fait, il suffisait de suivre le tuto

HgO doit encore bosser sur la doc et les commandes d'aide pour utiliser le bot.

On aimerait proposer à la Fédé de monitorer l'infra des membres qui le veulent, et proposer le neutribot dans un salon matrix pour eux.

S'ils veulent lancer le bot dans leur propre infra avec leur alertmanager, c'est possible.

ras

L'objectif est de faire une première version en alpha juste pour les gens du hub infra pour créer nos VMs.

La question c'est aussi de savoir comment on pourrait aider Tharyrok ? Il y a des questions d'implémentation, et Tharyrok n'est pas obligé de devoir y répondre seul.

Pour le moment Tharyrok continue dans le dev de ketupa, car c'est encore trop tôt pour avoir quelque chose de stable.

Une fois qu'il y aura l'équivalent d'une alpha (même si pas encore d'interface, que c'est juste en ligne de commande pour créer, redémarrer la VM), on pourra commencer à avoir des VMs entre nous. Une beta ne sera pas avant fin 2023, où là on pourra commencer à donner des VM plus largement.

Bien sûr, le timing dépendra aussi du hub-admin.

Prochaine réunion hub infra : dimanche 22/01/2023 à 14h

Prochaine réunion keycloak : 27/11 à 14h

Lieu : Jitsi & Caldarium

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.