crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity

Ajout CR janvier et février

ajout_cr
korenstin 2025-03-04 08:43:54 +01:00
parent 508f7a9d00
commit e83ee78c52
2 changed files with 297 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

105
compte_rendus/2025_01_19.md 100644
View File

@ -0,0 +1,105 @@
= Réunion IN =
* Date : Dimanche 19 Janvier 2025
* Lieu : MB87 et Galène (https://galene.crans.org/group/IN)
* Début : 17h30
* Fin : 18h45
=== présent⋅es ===
* antonin
* [[WikiBleizi|bleizi]]
* Chiaroush
* ds-ac
* Gabo
* korenst1
* Lzebulon
* Lyes
* [[WikiPigeonMoelleux|Pigeon Moelleux]]
* viadezo1er (Président de Federez, ancien de ViaRézo)
=== Ordre du jour ===
* podman fail, que fait-on ? suppression ?
* centralisation de la configuration du dns (dans le LDAP)
* ferle (VM a disposition du RIPE) est éteinte et grub panic quand elle demarre
* borgmatic plante régulièrment à cause de ProtectSystem=full
* spamassassin : semble configurer pour chaque utilisateur⋅ices -> pourrait-on
proposer une configuration par défaut ?
* Déploiement nouvelle infrastructure Matrix
* vulnérabilité rsync sur mirror ?
* le kanban mentionné à la dernière IN est en place
* quels sont les conditions pour une alternative à moinmoin...
* sops -> agenix
* Serveur de build Nix
== Podman ==
Déjà désinstallé
== Centralisation du DNS ==
Le DNS est configuré dans le LDAP adh et adm (les deux à la fois). Dans le LDAP
adm, les alias des VMs définis à plusieurs endroits (notamment hodaur).
On range mieux + [faire de la documentation](https://gitlab.crans.org/nounous/documentation/-/issues/13)
== ferle ==
VM à disposition du RIPE. Elle grub-panic lorsqu'elle démarre. Il faudrait les
contacter par mail / voir dans leur documentation si on peut réinstaller la VM.
Pigeon Moelleux est délégué pour s'en charger.
== Borgmatic ==
Crash de borgmatic à cause de l'option systemd ProtectSystem=full.
Modifier le fichier directement poserais des problèmes lors des mises à jour de
borgmatic. Il est possible de créer un nouveau fichier systemd dans /etc pour
overwrite la configuration.
== Spamassassin ==
Configuration par utilisateurice -> on valide et on met un message indiquant de
la documentation.
== Vulnérabilité rsync sur tealc ==
On est pas impacté car on a une version antérieure à celle mise en cause.
Il faudrait mettre tout à jour, mais ça demanderait de tout redémarrer.
== Matrix ==
Ça avance (déploiement très prochainement).
== Kanban ==
Meilleure visibilité de ce qu'il y a à faire au Crans
(https://gitlab.crans.org/nounous/kanban/)
== Wiki ==
Moinmoin -> python 2 donc on aimerait migrer
Quels sont les critères à remplir pour une potentielle migration sur un autre
service ?
== Gestion des secrets sur NixOS ==
Age -> SSH / Sops -> GPG
Age -> plus simple à configurer
On passe sur age -> on mettra les clefs SSH des gens qui veulent.
== Serveur de build nix ==
On va checker Hydra (https://wiki.nixos.org/wiki/Hydra).
On fera une VM un peu boostée.
== Zero bin ==
Zero a été mis à jour par ds-ac.
Enfin assez mal : le template est à revoir.
== belenios ==
Déjà packagé en nix par Lzebulon
Lyes s'est porté volontaire pour faire le service systemd.

192
compte_rendus/2025_02_22.md 100644
View File

@ -0,0 +1,192 @@
= Réunion IN =
* Date : Dimanche 19 Janvier 2025
* Lieu : MB87 et Galène (https://galene.crans.org/group/IN)
* Début : 16h
* Fin : 18h30
=== Présent⋅es ===
* [[WikiBleizi|bleizi]]
* Chiaroush
* Erdnaxe
* Gabo
* Hachino
* korenst1
* Lyes
* Ohime
* [[WikiPigeonMoelleux|Pigeon Moelleux]]
* [[WikiRDB|RDB]]
== Ordre du jour ==
* Quie faire de vieilles ML ? 25ans@, respbats@ ? Brûler ?
* suppression de rsyslog
* AptObsolete, que peut-on supprimer dans les packets en question ?
* Qemu-guest-agent (option non activée sur de nombreuses vm mais le paquet est
installé sur toute), au prochain redémarrage, les activons-nous ?
* getty@ttyS0 fail car on n'a pas rajouté les ports séries dans l'interface de
proxmox (les rajouter au redémarrage des serveurs / nixos)
* openipmi fail sur routeur-daniel, mais ne semble pas installé sur sur
routeur-jack et routeur-sam... pourquoi ? doit-on le désinstaller ? (question
similaire pour hodaur, ce n'est pas dans ansible)
* retour sur le problème serveur du 11 février
* Rachat de nouveaux serveurs ? Un Gen10 se trouve à 400-600 € pièce et les Gen8
du Crans datent de 2012-2015.
* MAJ de Nextcloud -> passage sur NixOS pour que ce soit plus simple à maintenir
ou on reste sur debian ?
* Setup d'un serveur de build pour NixOS
* Fin de mise en place Matrix -> Il y a un problème dans la précédente
configuration du bridge, que fait-on ?
* Remettre en marche Belenios avant l'AG BDE ?
* wiki (historique de modification)
* excalidraw
=== Que faire de vieilles ML ? 25ans@, respbats@ ? Brûler ? ===
La ML respbats pourrait être encore utilisée de rare fois.
Pour 25ans, la décision est de conserver les mails mais de drop tout les
nouveaux mails. Pour respbat, on ne change rien (ou alors suppression des
ancien⋅nes responsables).
=== suppression de rsyslog ===
Aujourd'hui, on n'utilise plus rsyslog mais on utilise journald. Si rsyslog est
utilisé quelque part, on peut remplacer par journald.
=== AptObsolete, que peut-on supprimer dans les packets en question ? ===
On a des logs sur roots/logs de services qui se plaignent de services qu'ils ont
des paquets installés orphelins/obsolete.
Sur Galène, il y a avait probablement un paquet orphelin qui servait à quelque
chose. On peut donc les supprimer et si ça casse quelque chose, on réparera.
Erdnaxe signale que orphelin signifie plus de source APT. Il dit qu'il faut
faire gaffe avant suppression à ce que ça ne soit pas "juste" une source APT
virée quelque part. (Exemple avec Docker : ajout source, apt install docker,
virer source et Docker devient orphelin, pourtant on a pas envie de le
supprimer.)
=== Qemu-guest-agent ===
qemu-guest-agent est un logiciel qui permet une communication entre proxmox et
la vm et remonter des métadonnées (usage CPU, etc). Cependant, Il s'agit aussi
d'une back door car permet l'execution de commande en root.
Puisqu'il s'agit d'une fail de sécurité, on désactive l'option sur promox et on
le retire de ansible.
=== getty@ttyS0 fail ===
ttyS0 permet d'avoir un terminal série sur proxmox typiquement un terminal avec
copier-coller.
On le rajoute lors du redémarrage des serveurs sur toutes les vm et sur nixos.
=== openipmi fail ===
Ce serait une dépendance de exporter-prometheus.
S'il n'a pas de dépendance, on peut supprimer le paquet.
=== Retour sur le problème serveur du 11 février ===
Il y a eu des erreurs avant mais un crash est arrivé le 11 février vers 15h
(Wiki a eu un bug). Les serveurs ont été utilisé à 100%. Tealc a visiblement eu
un problème de cpu et ne répondait plus. Toutes les vms attendaient tealc qui ne
répondait pas.
Après discussion, les serveurs ont été poweroff ou éteint violemment. Lors du
redémarrage, sam a refusé de redémarrer à cause de 2 ventilateurs
dysfonctionnels qui ont donc été changés.
=== Rachat de nouveaux serveurs ? ===
L'infra du crans est viellissante et on a l'argent. Proposition d'achat de
nouveau serveur pour renouveler l'infra/avoir un serveur de secours. Pour les
vielles versions, les pièces sont moins chères.
Les gros ssd commencent à être rentables.
Des études seront menées afin de déterminer le budget et la procédure qui sera
suivie pour la transition. (visiblement 100€ pour un ssd de 2 To)
=== MAJ de Nextcloud -> passage sur NixOS ou on reste sur debian ? ===
Nextcloud a quelques(=2) mises à jour majeure de retard. Nextcloud est
actuellement sur debian mais c'est pénible à mettre à jour et installer à la
main. Sur nixos, les mises à jour sont beaucoup plus simple.
Soit on ne fait pas les mises à jours (mauvaise idée), soit on ansibelise, soit
on passe sur nixos.
Sur nixos, on peut copier-coller la configuration de debian.
Plus agréable vs plus sécurisé ? Si des personnes sont intéressés, on peut
mettre en place de l'OIDC
Projet apprentis :
* pour uniformiser la page d'identification.
* script de mise à jour ou passage sur nixos ?
Le passage sur nixos est privilégié.
La migration sera effectué lorsqu'il y aura des apprentis et des gens motivés
=== Setup d'un serveur de build pour NixOS ===
On peut mettre le serveur de build sur cephiroth directement (pas sur des vm).
Le serveur de build permettra d'optimiser les build en ne recompilant pas tout
et en utilisant la puissance de calculs sur le serveur de build.
Proposition d'utiliser hydra et cachix. Alternative, dire au serveur de rebuild
la conf d'un autre serveur, dans ce cas rien à faire à part de la doc
(pigeonmoelleux s'en chagre).
=== Fin de mise en place Matrix -> Il y a un problème dans la précédente
configuration du bridge, que fait-on ? ===
2 choses à mettre en place :
* client web (element)
* connexion en OIDC par note kfet
Lzebulon et pigeonmoelleux ont regardé la configuration de matrix et il faut
changer le bridge irc/matrix. Le serveur matrix a été pensé pour faire
uniquement du bridge donc le namespace (nom de channel gérer par le bridge) des
serveurs matrix doivent être des salons irc. Ils proposent de remapper les noms
des salons irc sur matrix mais tout les salons sont déjà mappé sur matrix et
donc pigeonmoelleux a drop les noms des salons mais les anciens salons existent
encore. La chose la plus simple à faire est de drop la base de données de
matrix. Cela signifie que tout l'historique sera perdu. (ce qui n'est pas un
problème car ni en prod ni beaucoup utilisé). Les personnes que ça dérangerait
seront potentiellement les personnes de Aurore. On préviendra les membres de
Aurore.
Les administrateur⋅ices seront les nounous.
=== Remettre en marche Belenios avant l'AG BDE ? ===
c'est compliqué :
* Soit remet debian avec ansible : c'est compliqué, pas à jour et la compilation
ne marche pas.
* Soit on passe sur nixos : Est en train de se faire packager sur nixos par
Lzebulon/Lyes
=== Wiki (historique de modification) ===
La page modification récente a été cassée et devrait refonctionner mais
visiblement ne fonctionne pas dans certains cas.
Est-ce que le crans décide de mettre en place WikiStalk ?
On peut garder WikiStalk et on le met sur zamok.
=== Escalidraw ===
https://excalidraw.com/
Pas primordiale mais pas d'objection.