¶ Compte rendu du CT du 2021-11-16
Sont présent·e·s :
- Elkmaennchen
- Otthorn
- Roxanne
- Jeltz
- Pz2891
- Histausse
- Felicity
- Xendor
- Sid
- Erdnaxe
La séance débute à 18h38 et est levée à 21h00.
¶ Actions engagées récemment
¶ Matériel usagé
Il a été décidé de se débarrasser du matériel technique (switchs, onduleurs, serveurs, …) ancien et inutilisé.
Un inventaire a été réalisé, notamment du matériel présent dans les locaux des résidences Fleming, la Pacaterie et Émilie du Châtelet.
Les disques durs non utilisés, ou présents dans des serveurs non utilisés sont en cours d'effacement (via shred).
Du matériel cassé a été déposé en déchetterie (onduleurs notamment).
Il va être procédé à la mise à la vente de ce matériel, dans la mesure du possible. Des courriels ont été envoyés à Techbuyer, qui n'était pas intéressé (matériel trop ancien) et à Federez, sans pour l'instant de résultat.
Le matériel sera aussi proposé (après réhaussement des prix) via la liste de diffusion FRnOG, ainsi qu'à des associations du collectif Chatons.
¶ Installation de Miniflux
L'installation a été effectuée rapidement, au moyen d'un conteneur Docker.
L'application souffre d'une latence importante, qui ne sera pas corrigée avant la migration vers le nouveau cluster de services.
¶ Installation de Keycloak
Cette « plateforme d'authentification centralisée » a été installée, elle aussi au moyen d'un conteneur Docker.
La configuration actuelle est fonctionnelle, mais très minimale.
¶ Déplacements de serveurs
Le local nord de la Pacaterie a un problème de climatisation (fuite). Le Crous ne souhaite donc pas que cette dernière reste allumée. La solution dégagée précédemment était de maintenir la fenêtre du local ouverte en permanence.
Néanmoins, cette solution a des désavantages (pluie par exemple). Donc, il a été décidé de déplacer une majorité des serveurs présents dans ce local afin de diminuer les dégagements de chaleur, et ainsi permettre de fermer la fenêtre.
Deux serveurs ont été déplacés :
merlin, vers le VDI A de George Sand ;thor, vers le local serveurs d'Émilie du Châtelet.
La température des locaux n'a pas augmenté de façon significative, cela reste néanmoins à surveiller.
Les deux anciens onduleurs d'Émilie du Châtelet ont été déplacés à Fleming (local perceval) et à George Sand (VDI A).
L'autonomie est médiocre (environ 10 min), mais apporte néanmoins une certaine protection.
Un switch « serveurs » supplémentaire a été installé à Fleming, afin de connecter perceval, son iLO et l'interface d'administration de l'onduleur.
¶ Cluster de services
Un cluster Proxmox VE à 3 nœuds va être mis en place, avec :
merlin(Gen10) à George Sand ;thor(Gen8) à Émilie du Châtelet ;freya(Gen8) à Fleming.
Du matériel doit être reçu afin d'uniformiser les configurations matérielles des nœuds :
- 64 Go de RAM (1600 MHz si DDR3, 2333 MHz si DDR4) ;
- 5 × 1.2 To de HDD pour les OSD (stockage des images des VM) ;
- 1 × 128 Go de SSD pour le stockage du WAL Ceph ;
- 2 × 64 Go de SSD pour le stockage du système d'exploitation.
Des cartes PCIe LSI 9207-8i ont été installées sur les 2 Gen8 afin de permettre de configurer le disque de démarrage en mode HBA.
La documentation afférente est en cours de rédaction. Il sera nécessaire de documenter en détails les diverses procédures de maintenance de Ceph.
Par ailleurs, il conviendra aussi de s'assurer qu'à tout instant, au moins 2 responsables techniques actifs disposent de connaissances suffisantes pour réparer le cluster.
Le collège technique est d'accord avec :
- la localisation des nœuds ;
- l'uniformisation des caractéristiques matérielles ;
- l'utilisation des cartes HBA.
¶ Migration des VM de services
Une fois le cluster correctement installé et configuré, il conviendra de migrer le machines virtuelles existantes (actuellement en grande partie hébergées par escalope et horus).
Le collège décide de procéder à la migration de la plupart des machines virtuelles « telles quelles », i.e. sans réinstaller entièrement le système d'exploitation, et ce afin d'accélérer la migration.
Une migration vers bullseye pourra être envisagée ultérieurement.
Il sera tout de même nécessaire de réinstaller certains services dont l'architecture va évoluer.
C'est le cas de docker-ovh, qui héberge actuellement plusieurs conteneurs.
Dans un premier temps, le collège décide, lorsque c'est possible (i.e. lorsque le service est installable aisément sur Debian), de préférer l'utilisation des machines virtuelles. Cela concerne notamment Grafana, Alertmanager, Miniflux et Gitea.
Ensuite, un cluster Docker Swarm sera mis en place, avec une machine virtuelle dédiée sur chaque nœud du cluster Proxmox.
Le collège remarque que le script de déploiement automatisé de Debian n'est toujours pas fonctionnel.
Par ailleurs, le collège recherche des volontaires pour aider à la migration des services (configuration de Docker Swarm, réinstallation de Debian, déplacement des machines virtuelles conservées, …).
Le rôle sur le long terme des NAS est discuté :
- les dépôts
gitseront stockés directement via Ceph ; - pour l'instant, les données utilisateur Nextcloud restent sur
perceval; caradoccontinue à héberger les sauvegardesborgbackup.
¶ Cluster PostgreSQL
Actuellement, Aurore héberge 3 instances du serveur PostgreSQL (en omettant les réplicats pour RADIUS) :
bdd, hébergée à Saclay, et utilisée par de multiples services ;bdd-ovh, hébergée chez OVH, et utilisée par les services chez OVH ;re2o-db, hébergée à Saclay, et utilisée parre2o.
Toutes les bases hébergées par ces 3 serveurs seront hébergées par le cluster.
Il paraît cependant intéressant d'installer une instance du serveur PostgreSQL sur 3 machines virtuelles, hébergées sur les 3 nœuds.
Il faut alors mettre en place une synchronisation entre ces instances, selon un mécanisme restant à déterminer.
Par ailleurs, la majorité des services ne supportant pas l'utilisation en actif-passif ou actif-actif de plusieurs bases de données, l'utilisation d'une application telle que pgbouncer, installée sur chaque machine virtuelle hébergeant un service utilisateur est envisagée.
À terme, il n'y aura plus de base de données PostgreSQL à Roubaix.
Pourra alors être envisagée la résiliation de la location du serveur, afin d'utiliser une machine virtuelle hébergée par le Crans, ViaRézo, ou une offre moins coûteuse d'OVH.
¶ Mise en conformité
¶ Quantité de données consommées et gaz à effet de serre
1 bis. A compter du 1er janvier 2022, et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les personnes mentionnées au 1 informent également leurs abonnés de la quantité de données consommées dans le cadre de la fourniture d'accès au réseau et indiquent l'équivalent des émissions de gaz à effet de serre correspondant.
Les équivalents d'émissions de gaz à effet de serre correspondant à la consommation de données sont établis suivant une méthodologie mise à disposition par l'Agence de l'environnement et de la maîtrise de l'énergie.
— Loi n° 2004-575 du 21 juin 2004, art. 6, I
La mise en place de la méthodologie a été déléguée par l'ADEME au consortium NegaOctet.
Celui-ci organise le 2021-11-25 à 11:00 (UTC+1) un webinaire (sic) de présentation, auquel un membre du collège assistera.
Cela sera probablement l'occasion de savoir si les équivalents d'émissions sont calculés sur la base du trafic individuel ou du trafic agrégé de tous les adhérents.
¶ Conservation des données de connexion
Suite à un imbroglio mêlant le Conseil d'État, la Cour de justice de l'Union Européenne, la Quadrature du Net et la fédération French Data Network, certaines dispositions règlementaires prises pour application du code des postes et des communications électroniques et de la loi pour la confiance dans l'économie numériques ont été réécrites. Il s'agit des décrets nᵒˢ 2021-1361, 2021-1362 et 2021-1363 du 21 octobre 2021.
Des modifications de re2o sont nécessaires afin d'assurer la conformité d'Aurore, notamment afin de collecter les date et lieu de naissance des membres personnes physiques (et celles des représentants pour les membres personnes morales).
La gestion des personnes morales peut-être réalisée manuellement. En effet, très peu de personnes morales sont membres d'Aurore.
Par ailleurs, le collège demande comment collecter ces informations pour les adhérents après la création du compte.
Le collège recherche des volontaires pour procéder à ces modifications. À défaut, Jeltz s'en chargera.
Le collège étudie les précisions apportées par la nouvelle rédaction de l'article R. 10-13 du CPCE relativement aux données de connexion à conserver.
¶ Travaux électriques
Des travaux électriques sont à effectuer à George Sand (dans les VDI du sous-sol), et cela depuis longtemps.
C'est un point bloquant majeur dans le cadre des communications avec le Crous de Versailles, il est donc urgent de le traiter.
Les travaux se décomposent en 2 points :
- Installation de 2 prises de type E/F en sortie des boîtiers électriques Aurore dans chaque VDI ;
- Connexion de l'onduleur Dell (APC) au VDI A
L'autorisation du Crous sera nécessaire (notamment afin de permettre à l'électricien mandaté de rentrer dans le local TGBT).
Le collège renouvelle son appel à volontaires pour effectuer les démarches pour ces travaux (établissement d'un devis par un électricien, demande d'autorisation auprès du Crous), déjà partiellement engagées par d'autres membres du collège.
¶ The call of Chtulu tickets
Plusieurs tickets sont encore ouverts dans re2o, dont certains assez anciens.
Certains sont anciens et sans doute obsolètes, d'autres sont liés à la trésorerie et seraient sans doute mieux traités par les trésoriers (quand cela n'est pas même une obligation statutaire).
Le collège décide que tous les tickets n'ayant pas reçu de réponse à une demande de précision de la part d'un membre de l'association pendant une durée de 2 semaines sera clôturé.
Par ailleurs, le collège appelle d'éventuels volontaires pour effectuer du support à se manifester (afin qu'ils soient abonnés à la liste de diffusion idoine, et attribués les permissions re2o nécessaires).
Enfin, la mise en place d'une réponse automatique (attention aux courriels envoyés par re2o) à tout message envoyé à la liste de diffusion de support, notifiant le demandeur de la bonne réception du message, et l'invitant à consulter la FAQ du site vitrine.
¶ Mots de passe
Le logiciel de gestion des mots de passe pass (alias password-store), choisi comme successeur de Passbolt est présenté au collège.
Le collège se questionne sur la pertinence de la migration des mots de passe à destination de personnes « non techniques ». Il décide de migrer ces mots de passes, la plupart des membres étant capables de configurer pass. En cas de difficultés, une alternative sera envisagée.
Une potentielle alternative à Passbolt, Bitwarden, est mentionnée avec des retours positifs.
Le collège s'engage à rédiger une documentation claire et simple d'utilisation de pass, en mettant l'emphase sur l'utilisation via WSL.
Par ailleurs, le responsable technique en chef (qui trouve toujours cet intitulé de poste beaucoup trop pompeux) signale la nécessité pour lui d'avoir vérifié les clefs publiques de tous les membres du bureau et du collège technique, ce qui n'est actuellement pas le cas.
Certains membres seront présents lors des nocturnes de Federez, ce qui permettra d'effectuer la signature. D'autres seront disponibles aux alentours de Noël. Faute de mieux des séances de signature pourront être organisées en visioconférence.
Enfin, le collège étudie la pertinence de conserver l'extension à pass permettant un chiffrement avec une granularité au mot de passe. En effet, pass intègre nativement la possibilité de chiffrer un répertoire entier.
Le collège étudie dans ce cadre la possibilité de simplifier les groupes utilisés, et de les réduire à 2 groupes : « responsables techniques » et « membres du bureau (incluant le responsable technique en chef) ».
Le collège s'accorde sur le fait que l'extension n'est pas très utile, et qu'elle sera probablement supprimée dans le futur.
Le responsable technique en chef est responsable de chiffrer les mots de passe à destination de tous les utilisateurs.
¶ Site web vitrine by erdnaxe
Erdnaxe présente le nouveau site web qu'il propose (une version de démonstration est disponible à l'adresse https://perso.crans.org/erdnaxe/aurore_site/).
Le collège accepte cette proposition de site ainsi que sa mise en production.
¶ Inventaire du parc
Les serveurs « physiques » d'Aurore sont nommés selon des conventions diverses (cycle arthurien, divinités, nourriture, …). Cela n'aide pas les techniciens (nouveaux ou non) lors des maintenances (car il est nécessaire de mémoriser la fonction de chaque serveur). Il serait bien plus aisé de nommer les serveurs selon leur fonction.
Le collège technique est d'accord, et définit la nomenclature suivante :
- hyperviseurs de services :
services-{1..3}.pve.auro.re; - NAS :
{main,backup}.nas.auro.re; - hyperviseurs de résidence :
{gs,edc,…}.pve.auro.re; - hyperviseurs de tests :
test-{1..2}.pve.auro.re.
Par ailleurs, dans un élan de conservatisme, le collège souhaite conserver pendant un temps l'ancienne nomenclature au moyen d'alias (CNAME).
L'installation de l'instance Netbox sera effectuée lorsque le cluster de services sera fonctionnel.
Dès que cela sera le cas, il sera nécessaire de terminer et mettre à jour l'inventaire, notamment en mentionnant les jarretières et panneaux de brassage.
Erdnaxe se propose de procéder à l'inventaire, et le collège technique appelle des volontaires à se manifester.
¶ Collecte des adhérents
¶ Wi-Fi
Il est proposé de mettre en place 2 SSID :
Aurore, équivalent au SSID actuellement annoncé (802.1x) ;Aurore-Legacy, en WPA2-Personal et une PSK différente pour chaque chambre.
Par ailleurs, il est proposé d'affecter un VLAN distinct à chaque chambre. Tous les appareils connectés (en Wi-Fi dans toutes les résidences et en filaire) au moyen d'authentifiants associés à une chambre appartiendraient alors à ce VLAN, et pourraient donc communiquer entre eux librement. Le trafic inter-VLAN serait par défaut bloqué, mais pourrait être autorisé au cas par cas.
Des modifications du logiciel hostapd afin de supporter ce mécanisme de VLAN distincts en fonction de la PSK renseignée sont en cours d'écriture et de soumission aux mainteneurs.
Des difficultés qui semblent insurmontables (sans modification du protocole) existent néanmoins pour WPA3.
Par ailleurs, une limitation du protocole RADIUS (tag pour les attributs de tunnels pouvant prendre uniquement 31 valeurs) restreint le nombre de PSK candidates face auxquelles la borne Wi-Fi pourra « comparer » les PSK soumises par les stations. Il sera donc sans doute nécessaire de limiter la portée des PSK par chambre aux environs de la chambre associée, et aussi de procéder à la localisation de toutes les bornes en service.
¶ Limite du nombre de VLAN
Il est porté à la connaissance du collège d'éventuels problèmes liés au nombre maximal de VLAN qu'un switch peut « gérer » simultanément. Ce nombre (qui semble être inférieur à 1024) semble insuffisant pour propager jusqu'à tous les switchs de collecte un VLAN pour chaque chambre. Une configuration statique des VLAN pour les ports filaires est envisageables, où RADIUS serait utilisé uniquement afin d'autoriser ou d'interdire le trafic. Relativement aux switchs des bornes Wi-Fi, la situation est plus complexe, mais pourrait être résolue au moyen de tunnels divers. La configuration dynamique des VLAN (au moyen de GVRP par exemple) pourra également être envisagée.
¶ Vente de matériel
Le collège indique qu'il souhaite vendre rapidement le matériel non utilisé et pour lequel aucun usage dans un futur proche n'est prévisible, afin d'éviter une perte de valeur trop importante lors des reventes.
Dans ce cadre, le collège étudie d'éventuels usages qu'il pourrait avoir de viviane, un serveur HPE Proliant Gen8.
En l'absence de cas d'usage, il décide qu'il sera mis à la vente.
De même, yggdrasil, switch de cœur de réseau Aruba 3810M à 16 ports SFP+ sera remplacé par un switch Quanta LB6M beaucoup moins cher.
Le collège demande à ce que plusieurs switchs Quanta LB6M de rechange soient commandés, s'ils sont disponibles à des prix abordables.
¶ Supervision
La supervision des iLO est utile (entre autres pour les ventilateurs ou batteries), et peut s'effectuer via IPMI ou SNMP.
Des tests ont été effectués pour intégrer à l'infrastructure Prometheus une supervision des iLO via IPMI. La configuration semble fonctionnelle, mais l'exporteur IPMI via IP pour Prometheus requiert des droits d'administration sur le serveur Debian.
Par ailleurs, de nombreux équipements d'Aurore sont actuellements supervisés via SNMP. Il pourrait donc être plus simple d'utiliser SNMP pour les iLO aussi.
Le collège note néanmoins qu'il faut s'assurer que toutes les informations intéressantes accessibles via IPMI le sont aussi via SNMP avant de migrer à SNMP.
¶ Services
¶ Gestion des impressions
Un service d'impression en ligne doit être mis en place, et fonctionner avec les imprimantes présentes à la Pacaterie et à Émilie du Châtelet.
Il devrait permettre d'envoyer des fichiers à imprimer (JPEG, PDF, …) au moyen d'une interface web et de spécifier l'imprimante de destination.
Un mécanisme d'impression « sécurisée » (au moyen d'un code pour démarrer l'impression) pourrait être envisagé.
Il faut que le bureau définisse une politique tarifiaire pour les impressions.
Par ailleurs, il sera sans doute nécessaire de « nettoyer » les fichiers avant impression, afin de limiter les différences entre le nombre de pages « apparentes » et imprimées. Les modalités techniques de ce nettoyage restent à étudier.
¶ Généralisation et configuration de Keycloak
De nombreux services web utilisent l'annuaire LDAP des adhérents, et une mire d'authentification interne.
Il serait intéressant de les configurer afin qu'ils utilisent Keycloak.
Cela permettrait notamment de déployer de l'authentification forte et de conserver des journaux d'évènements de meilleure qualité.
Il est important de fusionner les comptes authentifiés via LDAP et les comptes authentifiés via Keycloak.
Le collège recherche des volontaires pour procéder à la configuration des services web.
¶ Comptes utilisateurs LDAP pour les ordinateurs des foyers
Aurore fournit des ordinateurs de bureau, entre autres au foyer d'Émilie du Châtelet et à la salle informatique de la Pacaterie.
Il pourrait être utile de configurer l'authentification via LDAP sur ces ordinateurs, et gérer les mises à jour correctement.
Cette gestion mériterait d'être automatisée au moyen d'Ansible. Cela pourrait constituer un projet introductif à Ansible.
¶ Cartes HBA
Le collège indique souhaite progressivement éliminer le RAID matériel du parc serveurs de l'association.
Par ailleurs, il est proposé de débrancher ou désactiver logiciellement les contrôleurs P420i remplacées par des contrôleurs LSI. Cela sera fait, au moins pour la désactivation logicielle. La revente ne semble néanmoins pas pertinente.
Le processus de downgrade des micrologiciels des contrôleurs LSI sera documenté, afin de permettre l'installation aisée d'autres cartes. Il ne faut pas oublier de mettre à dispositions les images fonctionnelles, ainsi que l'outil permettant d'écrire l'image dans la mémoire du contrôleur.
Le choix des serveurs Gen8 destinataires des 2 cartes LSI 9207-8i supplémentaires sera effectuée au moment de la réinstallation du prochain Gen8.
¶ Fibre optique
Tout d'abord, les discussions et démarches entreprises avec ViaRézo sont rapidement résumés. Certains délais sont à prévoir, mais le bureau d'Aurore fait son possible pour accélérer les choses.
Ensuite, le collège étudie la possibilité de mise en place d'un système basé sur CWDM afin de permettre au backbone réseau de continuer à fonctionner en cas de coupure électrique de George Sand (en cas d'innondation par exemple).
Un tel système pourrait prendre la forme suivante :
Cette architecture prend tout son sens si l'on suppose qu'à l'expiration du contrat liant Aurore à Zayo, un nouveau contrat soit mis en place avec une arrivée à la résidence des jardins de Fleming.
Du point de vue financier, l'achat des composants (transceivers SFP+ et mux CWDM) auprès de FS coûterait environ 3000 €. Il serait cependant possible d'acheter des composants pour un coût bien moindre, par exemple en s'adressant directement à des constructeurs via Alibaba ou équivalent. Une estimation rapide a permis d'établir un coût légèrement inférieur à 1500 €. Des achats « de test » seront sans doute nécessaires afin de s'assurer de la qualité du matériel et de sa compatibilité avec l'infrastructure existante de l'association.
Le collège accepte d'étudier la mise en place d'un système CWDM et l'achat de quelques transceivers et mux de test.
Par ailleurs, le collège propose d'acheter des mux pour la liaison entre George Sand et Fleming disposant de quelques canaux supplémentaires afin d'anticiper d'éventuelles évolutions.
L'hypothèse de la mise en place d'un système CWDM entre les villages de la résidence Fleming est aussi étudiée, mais elle semble être mise à mal par le fait que les villages sont reliés au moyen de fibres multimodes (OM2 et OM3), qui sont incompatibles avec CWDM.
¶ Questions diverses
Un aller-retour entre le plateau de Saclay et les jardins de Fleming sera effectué afin de procéder à l'installation du matériel de freya (nœud du nouveau cluster).