crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2019_06_04.md

329 lines
12 KiB
Markdown
Raw Blame History

# Réunion du Collège Technique
* Date : Mardi 04 Juin 2019
* Début : 19h52
* Fin : 21h57
* Lieu : 2B
* <<Pad>>
## Présents
* Esum
* Mikachu
* Erdnaxe
* Vulcain
* Pollion
* 20-100
* Solal
* Raida
* PAC
## Ordre du Jour
### Liste de tête des choses à faire
* Pare-feu
* IP Zayo
* Soyouz2
* Routage
* Baie
### Maintenance baie
Il faut changer le switch temporaire de la baie de disques par les petits
switchs qu'on a achetés
Il faudrait essayer d'avoir le maximum de gens pour le faire, ce serait
formateur d'avoir des gens et de faire des choses en même temps
On la fait quand ? En juillet ?
Pollion est dispo à partir de début juillet (genre >= 5 Juillet)
Quid des mails ?
solution temporaire de esum: virer les % réservés à root dans la
partition /var/mail (qu'on devrait virer partout, ça sert ~à rien sur des
partitions où root a pas à écrire)
solution à long terme: agrandir la partition lors de la maintenance de la baie
### Apparté RENATER
Ça a coupé, on a été avertis, les gens se demandent qui sont sur la ML
DSI-Cr@ns. Il s'avère que c'est plein de gens random dont des dinosaures. Oups,
on rajoute le bureau.
### soyouz2
Quand est-ce que les apprentis sont dispo ? Ce serait bien de l'installer avant
cet été.
Je suis libre dans la semaine
Vulcain, Raida, Benjamin sont chauds pour l'installer et tout déployer avec
Ansible.
### Mettre à jour les serveurs de backup
{{{omnomnom}}} et {{{zephyr}}}
ASAP, Pollion et Vulcain s'en occupe après ses oraux sauf si vous voulez vous
en charger avant.
### Titanic
Achevez le. Il est à l'agonie et le rapelle un peu de temps en temps, le pont
il fait des choses cheloues.
Est-ce qu'il faudrait pas le réinstaller ? Si on le fait, il faudrait le faire
en même temps que soyouz2.
Pollion explique ce que fait titanic : il fait passer un minimum vital via la
Freebox. Mais cette feature a été laissée tombée il y a longtemps, ça n'est pas
vraiment utile.
Le gros intérêt est pour les membres actifs de rentrer sur le campus via la
freebox quand les autres routes (Renater, Zayo) tombent.
Une nouvelle VM a été créée pour que les apprentis jouent avec, et tentent une
installation en coordination avec soyouz2 (= Spoutnik). Ce serveur s'appelle
Boeing.
### Cableuse
Pas grand chose à dire à part qu'elle marche et que on va sûrement la mettre à
la Kfet avec Windows 10 / Ubuntu 18.04 en dual boot (Erdnaxe : "Je voulais
brûler Windows avec /dev/null mais on m'a convaincu que des câbleurs en aurait
besoin et puis on a une licence")
Elle fait beaucoup de bruit, quasiment autant que le bruit ambiant Kfet d'un
jour calme. Si les gens l'utilisent beaucoup, il faudra ptetre investir dans un
vrai ventilo >8€.
Erdnaxe il a tout réparé, Erdnaxe il est trop bien, on aime Erdnaxe.
Elle est à disposition des câbleurs.
### Prometheus et fy
Monitoring des bornes et des switchs, notamment.
Besoin d'un coup de main sur les MIBs SNMP mais sinon avec un peu de temps tout
y sera.
Est-ce que l'on formatte fy à terme sur buster avec Prometheus ? +1 pour le
formatage une fois qu'on a une POC de Prometheus qui fait bien tout ce qu'on
veut :)
Et on reinstalle quoi dessus ? Que prometheus.
Le souci du stockage qui grossit à l'infini a été résolu ? A priori, avec
prometheus 2 (donc sous buster), c'est mieux géré, il droppe ce qui est plus
vieux que $jours (mais il ne sait pas faire de downsampling (= sur les données
plus anciennes, ne garder que des tendances et pas toutes les données)
Est-ce qu'on peut avoir des mails plus utiles ? Changer le template HTML des
mails ferait qu'on divergerait d'une install classique. Essayer de les passer
en raw text ?
> envoyer le monitoring sur un channel IRC, plutôt ? Du coup erdnaxe fera un
chan #monitoring accessible pour tout le monde (munin l'est, grafana aussi).
Éviter d'y discuter
Ça en est où niveau parité d'utilisation avec les solutions éxistantes ?
* A priori, tout ce que fait munin, prometeus sait le faire. Sauf l'historique.
Est-ce qu'on a une page alerte comme dans munin ?
On peut avoir le CAS pour se loguer sur grafana ? Ce serait cool parceque ça
permet de faire du Single Sign On, grafana le supporte par le proxy.
On peut peut-être continuer à garder Munin s'il fait du downsampling, et que
les vieux s'en servent ça peut aider à proposer un diagnostic non ?
### Knot
Il y a eu des soucis avec Knot depuis qu'il a été mis en place, et il
semblerait que certaines feature de Bind ne soient pas supportées correctement.
Proposition : Revenir à Bind. Des gens sont motivés pour le faire, donc
pourquoi pas. On fera ça dans l'été, il n'y a pas urgence.
### RFC2136 avec knot/bind
On pourrait utiliser certbot en wildcard avec cette RFC.
On pourrait réécrire le service re2o DNS pour utiliser cette RFC.
On pourrait drop le service re2o DNS et laisser le serveur DHCP remplir le DNS
quand un client se connecte avec cette RFC.
On pourrait expérimenter des choses fun quoi... avec cette RFC.
Marrant, mais pas urgent. On le rajoute dans la file d'attente mais avec une
priority low
On envoie un mail.
Mika met en garde, on peut perdre des trucs au reboot, faut voir.
### Mailman 3
Faut motiver qqun dessus mais c'est critique et stressant.
Pendant l'été
TOUT PENDANT L'ETE !
On peut faire plein de choses pendant l'été.
### Proxmox et le stockage
Est-ce qu'on essaie de faire un truc plus propre ? pourquoi s'embeter avec du
LVM et pas faire gentiment du qcow2 ?
(proposition: on exporte la baie en iscsi et on fait juste des disques
qcow2 dedans, pas besoin de lvm, pas besoin de quoi que ce soit de relou...)
> Erdnaxe : ça semble + maintenable que la solution actuelle donc je suis pour.
Attention à ne pas mettre trop de trucs en place en même temps tout de même.
Chaque chose en son temps.
Voir le tableau des stockages supportés
ici : <https://pve.proxmox.com/wiki/Storage>
Certains types de stockage ont été testés sur la baie de Servens, comme prétest
avant le Crans. Cours résumé ici :
Qu'est-ce qui a été testé à servens ?
ZFS over iSCSI
ZFS puis export en NFS de pools zfs
ZFS puis export en iscsi de volumes lvm dans la pool
Question : Pourquoi ne pas faire directement du iSCSI
* Parcequ'on avait envie de s'amuser avec ZFS
Erdnaxe propose du Ceph en achetant du stockage, mais c'est plutot une solution
pour Aurore ça…
Mikachu précise que bien que Ceph semble interessant, c'est seulement dans le
cas où il y a plusieurs serveurs de stockage, et accessoirement avec une baie
comme la notre, il faut mettre un serveur en plus si on veut faire plus que
juste exporter en iscsi
Erdnaxe répond qu'on pourrait mettre des disques dans chaque virtu et faire du
ceph dessus (l'idée est de garder la baie que pour les mails/homes)
Mikachu : Euh ça semble relou/20, ça veut dire que la mort d'un virtu implique
aussi la mort d'une partie de ton stockage, mais ça peut se faire, je sais
qu'en général les gens aiment bien séparer le compute (des hyperviseurs avec
peu de disque et beaucoup de cpu/ram) et le storage (des baies avec plein de
disques (et des ssd potentiellement pour faire du cache) et pas beaucoup de
cpu/ram)
oh ok :)
On coupe court à cette discussion : Ça ne sert pas à grand chose dans ces
conditions. Il vaut mieux faire un thread sur la ML nounou@ pour que les gens
aient le temps de regarder pour donner leur avis.
Lien vers l'issue phabricator : <https://phabricator.crans.org/T434>
### Runner gitlab
Ça en est ou ? Ça semble tourner sur {{{vulcain}}} mais on n'en fait pas la
pub. Est-ce que le souci d'espace disque a été résolu ?
Il suffit de pull une deuxième image LaTeX différente pour saturer la CI.
Normalement la ci est censée faire le ménage dans les images peu utilisées mais
c'est pas trop le cas.
Après je trouve que l'on a été radin sur l'espace disque ici.
Solution :
Augmenter un peu le /var/docker
Mettre un cron qui `docker image prune` régulièrement. Erdnaxe propose de
chercher ce que fait Gitlab, car pour le moment il crashe quand ça sature
plutôt que de nettoyer.
### Migration des serveurs sur les ip RIPE
Un certain nombre de serveurs sont encore sur le / d'ip de l'ENS. Ça serait
bien de tout passer sur les IP Crans
sur 185.230.79.0/24 (voir [l'issue
phabricator](https://phabricator.crans.org/T323)), vlan qui a été nommé DMZ
l'an dernier.
On rappelle ce qu'est une DMZ : Il s'agit plus d'un sous-réseau séparé du
réseau local. On y met les machines qui doivent être accessibles depuis
Internet, mais qui sont susceptibles d'être attaquées, et n'ont pas besoin
d'avoir un pied sur le réseau local.
Actuellement Adm est le contraire d'une DMZ : Il s'agit d'un VLAN
d'administration sur lequel on a mis tous les serveurs crans. Les ip derrière
ADM ne sont pas accessibles depuis Internet.
A-t-on vraiment envie de faire une DMZ ?
### Mise en avant des services crans et statistique d'utilisation
On a plein de service cool mais souvent aucune pub n'est faite pour et on ne
sait pas ce que les gens utilisent ou pas. Ça serait cool de regarder pour
faire des stats sur ça réfléchir à la mise en avant de service. Du maintien ou
non de service (coucou les news)
Erdnaxe dit que pour la plupart des services on peut facilement exporter
l'utilisation s'ils sont derrière un nginx (prometheus).
Réponse : Alors non ça ne fait pas tout, mais ça sera déjà un début, par
exemple tu peux vouloir avoir le nombre de pad créé et ça je ne pense pas que
le fait qu'il soit derrière nginx t'aide.
Erdnaxe : Gitlab exporte de base en prometheus, django a un module pour
esum rappelle aussi que l'on peut faire des livrets
On envoie ce problème au CA
### Séminaires à la rentrée
Git le retour , Django, howtobasic du Crans (PAC, qui n'as pas encore choisi)
> Django Contrib (erdnaxe) mais ptetre trop avancé pour un premier séminaire
il faut commencer par python puis django peut être
Pour la rentrée il vaut mieux des séminaires faciles : Introduction à Linux,
shell, ssh, comment marche le crans, internet c'est magique ? Le !BaBa de la
sécurité & co. Python basique ça rentre dans les séminaires de rentrée oui.
Après vu que Pac part en germanie on peut aussi faire d'autre types de
séminaires
### Ansible
On fait le bilan d'Ansible. Ce qui a déjà été fait, quelle est la prochaine
étape.
Erdnaxe, avec l'aide d'autres membres du CT, a mis en place un certain nombre
de playbooks Ansible. L'objectif à court terme est de remplacer BCFG2 qui
viellit un peu.
Actuellement c'est toujours plus ou moins en phase de test, et seuls les
serveurs les plus récents ont été mis en place avec Ansible. Peu de gens sont
formés pour l'instant.
On propose d'avancer durant l'été dessus, ça serait cool de faire une
transition depuis BCFG2.
### Le portail captif
Le portail captif fonctionne au Villon.
### Le Wifi
Chirac a mis à jour les bornes et ça a cassé le wifi.
Bilan :
* Le SNMP ne marche toujours pas dans les nouvelles versions du coup monitoring
is not coming !
* Le Wifi a violemment diminué de portée.
* Il faut bidouiller pour pouvoir se reconnecter.
On rappelle aux nounous que c'est bien de faire des tests avant de mettre à
jour des services assez critiques comme les bornes. Surtout quand une simple
recherche sur la mise à jour indique une forte instabilité. Pour les bornes par
exemple, celle du 2b est entre autre là pour ça. Par ailleurs, il faut vérifier
que tout fonctionne correctement après la mise à jour.
On rappelle aussi qu'il faut arrêter de rager dès que quelqu'un fait quelque
chose qui casse un truc ; ça peut arriver. On rappelle (encore une fois) aux
gens qui ont l'habitude de casser des trucs qu'il faut se coordonner avec le
reste de l'équipe technique et ne pas tout faire seul dans son coin. Personne
n'est infaillible.
On va donc downgrade vers une mise à jour stable pour récupérer un meilleur
wifi.
### Commission achat Crans - AURORE
Le CT doit désigner 2 membres pour le représenter à la commission achat
crans-AURORE.
Ce sera Mikachu et Erdnaxe
Reference in New Issue View Git Blame Copy Permalink