Ajout CR janvier et février
korenstin
parent
508f7a9d00
commit
e83ee78c52
|
|
@ -0,0 +1,105 @@
|
|||
= Réunion IN =
|
||||
|
||||
* Date : Dimanche 19 Janvier 2025
|
||||
* Lieu : MB87 et Galène (https://galene.crans.org/group/IN)
|
||||
* Début : 17h30
|
||||
* Fin : 18h45
|
||||
|
||||
=== présent⋅es ===
|
||||
|
||||
* antonin
|
||||
* [[WikiBleizi|bleizi]]
|
||||
* Chiaroush
|
||||
* ds-ac
|
||||
* Gabo
|
||||
* korenst1
|
||||
* Lzebulon
|
||||
* Lyes
|
||||
* [[WikiPigeonMoelleux|Pigeon Moelleux]]
|
||||
* viadezo1er (Président de Federez, ancien de ViaRézo)
|
||||
|
||||
=== Ordre du jour ===
|
||||
|
||||
* podman fail, que fait-on ? suppression ?
|
||||
* centralisation de la configuration du dns (dans le LDAP)
|
||||
* ferle (VM a disposition du RIPE) est éteinte et grub panic quand elle demarre
|
||||
* borgmatic plante régulièrment à cause de ProtectSystem=full
|
||||
* spamassassin : semble configurer pour chaque utilisateur⋅ices -> pourrait-on
|
||||
proposer une configuration par défaut ?
|
||||
* Déploiement nouvelle infrastructure Matrix
|
||||
* vulnérabilité rsync sur mirror ?
|
||||
* le kanban mentionné à la dernière IN est en place
|
||||
* quels sont les conditions pour une alternative à moinmoin...
|
||||
* sops -> agenix
|
||||
* Serveur de build Nix
|
||||
|
||||
== Podman ==
|
||||
|
||||
Déjà désinstallé
|
||||
|
||||
== Centralisation du DNS ==
|
||||
|
||||
Le DNS est configuré dans le LDAP adh et adm (les deux à la fois). Dans le LDAP
|
||||
adm, les alias des VMs définis à plusieurs endroits (notamment hodaur).
|
||||
|
||||
On range mieux + [faire de la documentation](https://gitlab.crans.org/nounous/documentation/-/issues/13)
|
||||
|
||||
== ferle ==
|
||||
|
||||
VM à disposition du RIPE. Elle grub-panic lorsqu'elle démarre. Il faudrait les
|
||||
contacter par mail / voir dans leur documentation si on peut réinstaller la VM.
|
||||
|
||||
Pigeon Moelleux est délégué pour s'en charger.
|
||||
|
||||
== Borgmatic ==
|
||||
|
||||
Crash de borgmatic à cause de l'option systemd ProtectSystem=full.
|
||||
Modifier le fichier directement poserais des problèmes lors des mises à jour de
|
||||
borgmatic. Il est possible de créer un nouveau fichier systemd dans /etc pour
|
||||
overwrite la configuration.
|
||||
|
||||
== Spamassassin ==
|
||||
|
||||
Configuration par utilisateurice -> on valide et on met un message indiquant de
|
||||
la documentation.
|
||||
|
||||
== Vulnérabilité rsync sur tealc ==
|
||||
|
||||
On est pas impacté car on a une version antérieure à celle mise en cause.
|
||||
Il faudrait mettre tout à jour, mais ça demanderait de tout redémarrer.
|
||||
|
||||
== Matrix ==
|
||||
|
||||
Ça avance (déploiement très prochainement).
|
||||
|
||||
== Kanban ==
|
||||
|
||||
Meilleure visibilité de ce qu'il y a à faire au Crans
|
||||
(https://gitlab.crans.org/nounous/kanban/)
|
||||
|
||||
== Wiki ==
|
||||
|
||||
Moinmoin -> python 2 donc on aimerait migrer
|
||||
Quels sont les critères à remplir pour une potentielle migration sur un autre
|
||||
service ?
|
||||
|
||||
== Gestion des secrets sur NixOS ==
|
||||
|
||||
Age -> SSH / Sops -> GPG
|
||||
Age -> plus simple à configurer
|
||||
On passe sur age -> on mettra les clefs SSH des gens qui veulent.
|
||||
|
||||
== Serveur de build nix ==
|
||||
|
||||
On va checker Hydra (https://wiki.nixos.org/wiki/Hydra).
|
||||
On fera une VM un peu boostée.
|
||||
|
||||
== Zero bin ==
|
||||
|
||||
Zero a été mis à jour par ds-ac.
|
||||
Enfin assez mal : le template est à revoir.
|
||||
|
||||
== belenios ==
|
||||
|
||||
Déjà packagé en nix par Lzebulon
|
||||
Lyes s'est porté volontaire pour faire le service systemd.
|
||||
|
|
@ -0,0 +1,192 @@
|
|||
= Réunion IN =
|
||||
|
||||
* Date : Dimanche 19 Janvier 2025
|
||||
* Lieu : MB87 et Galène (https://galene.crans.org/group/IN)
|
||||
* Début : 16h
|
||||
* Fin : 18h30
|
||||
|
||||
=== Présent⋅es ===
|
||||
|
||||
* [[WikiBleizi|bleizi]]
|
||||
* Chiaroush
|
||||
* Erdnaxe
|
||||
* Gabo
|
||||
* Hachino
|
||||
* korenst1
|
||||
* Lyes
|
||||
* Ohime
|
||||
* [[WikiPigeonMoelleux|Pigeon Moelleux]]
|
||||
* [[WikiRDB|RDB]]
|
||||
|
||||
== Ordre du jour ==
|
||||
|
||||
* Quie faire de vieilles ML ? 25ans@, respbats@ ? Brûler ?
|
||||
* suppression de rsyslog
|
||||
* AptObsolete, que peut-on supprimer dans les packets en question ?
|
||||
* Qemu-guest-agent (option non activée sur de nombreuses vm mais le paquet est
|
||||
installé sur toute), au prochain redémarrage, les activons-nous ?
|
||||
* getty@ttyS0 fail car on n'a pas rajouté les ports séries dans l'interface de
|
||||
proxmox (les rajouter au redémarrage des serveurs / nixos)
|
||||
* openipmi fail sur routeur-daniel, mais ne semble pas installé sur sur
|
||||
routeur-jack et routeur-sam... pourquoi ? doit-on le désinstaller ? (question
|
||||
similaire pour hodaur, ce n'est pas dans ansible)
|
||||
* retour sur le problème serveur du 11 février
|
||||
* Rachat de nouveaux serveurs ? Un Gen10 se trouve à 400-600 € pièce et les Gen8
|
||||
du Crans datent de 2012-2015.
|
||||
* MAJ de Nextcloud -> passage sur NixOS pour que ce soit plus simple à maintenir
|
||||
ou on reste sur debian ?
|
||||
* Setup d'un serveur de build pour NixOS
|
||||
* Fin de mise en place Matrix -> Il y a un problème dans la précédente
|
||||
configuration du bridge, que fait-on ?
|
||||
* Remettre en marche Belenios avant l'AG BDE ?
|
||||
* wiki (historique de modification)
|
||||
* excalidraw
|
||||
|
||||
=== Que faire de vieilles ML ? 25ans@, respbats@ ? Brûler ? ===
|
||||
|
||||
La ML respbats pourrait être encore utilisée de rare fois.
|
||||
|
||||
Pour 25ans, la décision est de conserver les mails mais de drop tout les
|
||||
nouveaux mails. Pour respbat, on ne change rien (ou alors suppression des
|
||||
ancien⋅nes responsables).
|
||||
|
||||
=== suppression de rsyslog ===
|
||||
|
||||
Aujourd'hui, on n'utilise plus rsyslog mais on utilise journald. Si rsyslog est
|
||||
utilisé quelque part, on peut remplacer par journald.
|
||||
|
||||
=== AptObsolete, que peut-on supprimer dans les packets en question ? ===
|
||||
|
||||
On a des logs sur roots/logs de services qui se plaignent de services qu'ils ont
|
||||
des paquets installés orphelins/obsolete.
|
||||
|
||||
Sur Galène, il y a avait probablement un paquet orphelin qui servait à quelque
|
||||
chose. On peut donc les supprimer et si ça casse quelque chose, on réparera.
|
||||
|
||||
Erdnaxe signale que orphelin signifie plus de source APT. Il dit qu'il faut
|
||||
faire gaffe avant suppression à ce que ça ne soit pas "juste" une source APT
|
||||
virée quelque part. (Exemple avec Docker : ajout source, apt install docker,
|
||||
virer source et Docker devient orphelin, pourtant on a pas envie de le
|
||||
supprimer.)
|
||||
|
||||
=== Qemu-guest-agent ===
|
||||
|
||||
qemu-guest-agent est un logiciel qui permet une communication entre proxmox et
|
||||
la vm et remonter des métadonnées (usage CPU, etc). Cependant, Il s'agit aussi
|
||||
d'une back door car permet l'execution de commande en root.
|
||||
|
||||
Puisqu'il s'agit d'une fail de sécurité, on désactive l'option sur promox et on
|
||||
le retire de ansible.
|
||||
|
||||
=== getty@ttyS0 fail ===
|
||||
|
||||
ttyS0 permet d'avoir un terminal série sur proxmox typiquement un terminal avec
|
||||
copier-coller.
|
||||
|
||||
On le rajoute lors du redémarrage des serveurs sur toutes les vm et sur nixos.
|
||||
|
||||
=== openipmi fail ===
|
||||
|
||||
Ce serait une dépendance de exporter-prometheus.
|
||||
S'il n'a pas de dépendance, on peut supprimer le paquet.
|
||||
|
||||
=== Retour sur le problème serveur du 11 février ===
|
||||
|
||||
Il y a eu des erreurs avant mais un crash est arrivé le 11 février vers 15h
|
||||
(Wiki a eu un bug). Les serveurs ont été utilisé à 100%. Tealc a visiblement eu
|
||||
un problème de cpu et ne répondait plus. Toutes les vms attendaient tealc qui ne
|
||||
répondait pas.
|
||||
|
||||
Après discussion, les serveurs ont été poweroff ou éteint violemment. Lors du
|
||||
redémarrage, sam a refusé de redémarrer à cause de 2 ventilateurs
|
||||
dysfonctionnels qui ont donc été changés.
|
||||
|
||||
=== Rachat de nouveaux serveurs ? ===
|
||||
|
||||
L'infra du crans est viellissante et on a l'argent. Proposition d'achat de
|
||||
nouveau serveur pour renouveler l'infra/avoir un serveur de secours. Pour les
|
||||
vielles versions, les pièces sont moins chères.
|
||||
|
||||
Les gros ssd commencent à être rentables.
|
||||
|
||||
Des études seront menées afin de déterminer le budget et la procédure qui sera
|
||||
suivie pour la transition. (visiblement 100€ pour un ssd de 2 To)
|
||||
|
||||
=== MAJ de Nextcloud -> passage sur NixOS ou on reste sur debian ? ===
|
||||
|
||||
Nextcloud a quelques(=2) mises à jour majeure de retard. Nextcloud est
|
||||
actuellement sur debian mais c'est pénible à mettre à jour et installer à la
|
||||
main. Sur nixos, les mises à jour sont beaucoup plus simple.
|
||||
|
||||
Soit on ne fait pas les mises à jours (mauvaise idée), soit on ansibelise, soit
|
||||
on passe sur nixos.
|
||||
|
||||
Sur nixos, on peut copier-coller la configuration de debian.
|
||||
|
||||
Plus agréable vs plus sécurisé ? Si des personnes sont intéressés, on peut
|
||||
mettre en place de l'OIDC
|
||||
|
||||
Projet apprentis :
|
||||
|
||||
* pour uniformiser la page d'identification.
|
||||
* script de mise à jour ou passage sur nixos ?
|
||||
|
||||
Le passage sur nixos est privilégié.
|
||||
|
||||
La migration sera effectué lorsqu'il y aura des apprentis et des gens motivés
|
||||
|
||||
=== Setup d'un serveur de build pour NixOS ===
|
||||
|
||||
On peut mettre le serveur de build sur cephiroth directement (pas sur des vm).
|
||||
Le serveur de build permettra d'optimiser les build en ne recompilant pas tout
|
||||
et en utilisant la puissance de calculs sur le serveur de build.
|
||||
|
||||
Proposition d'utiliser hydra et cachix. Alternative, dire au serveur de rebuild
|
||||
la conf d'un autre serveur, dans ce cas rien à faire à part de la doc
|
||||
(pigeonmoelleux s'en chagre).
|
||||
|
||||
=== Fin de mise en place Matrix -> Il y a un problème dans la précédente
|
||||
configuration du bridge, que fait-on ? ===
|
||||
|
||||
2 choses à mettre en place :
|
||||
|
||||
* client web (element)
|
||||
* connexion en OIDC par note kfet
|
||||
|
||||
Lzebulon et pigeonmoelleux ont regardé la configuration de matrix et il faut
|
||||
changer le bridge irc/matrix. Le serveur matrix a été pensé pour faire
|
||||
uniquement du bridge donc le namespace (nom de channel gérer par le bridge) des
|
||||
serveurs matrix doivent être des salons irc. Ils proposent de remapper les noms
|
||||
des salons irc sur matrix mais tout les salons sont déjà mappé sur matrix et
|
||||
donc pigeonmoelleux a drop les noms des salons mais les anciens salons existent
|
||||
encore. La chose la plus simple à faire est de drop la base de données de
|
||||
matrix. Cela signifie que tout l'historique sera perdu. (ce qui n'est pas un
|
||||
problème car ni en prod ni beaucoup utilisé). Les personnes que ça dérangerait
|
||||
seront potentiellement les personnes de Aurore. On préviendra les membres de
|
||||
Aurore.
|
||||
|
||||
Les administrateur⋅ices seront les nounous.
|
||||
|
||||
=== Remettre en marche Belenios avant l'AG BDE ? ===
|
||||
|
||||
c'est compliqué :
|
||||
|
||||
* Soit remet debian avec ansible : c'est compliqué, pas à jour et la compilation
|
||||
ne marche pas.
|
||||
* Soit on passe sur nixos : Est en train de se faire packager sur nixos par
|
||||
Lzebulon/Lyes
|
||||
|
||||
=== Wiki (historique de modification) ===
|
||||
|
||||
La page modification récente a été cassée et devrait refonctionner mais
|
||||
visiblement ne fonctionne pas dans certains cas.
|
||||
|
||||
Est-ce que le crans décide de mettre en place WikiStalk ?
|
||||
|
||||
On peut garder WikiStalk et on le met sur zamok.
|
||||
|
||||
=== Escalidraw ===
|
||||
|
||||
https://excalidraw.com/
|
||||
|
||||
Pas primordiale mais pas d'objection.
|
||||
Loading…
Reference in New Issue