Sont présent·e·s :
Le collège technique souhaitait depuis longtemps disposer d'un cluster de services. Il a finalement été mis en place !
Il permet d'héberger de façon plus robuste un certain nombre de services (forge Git, serveur de courriers électroniques, …).
Il est composé de 3 nœuds :
De la mémoire vive a été achetée afin que tous les nœuds disposent de 64 GiB de RAM.
Ils sont installés aux jardis de Fleming, à Émilie du Châtelet et à George Sand, ces localisations ayant été choisies en raison de contraintes de température, de praticité et de place.
Plusieurs services doivent encore être migrés, notamment le serveur Synapse, les conteneurs Docker et le site web vitrine.
Il faut garder un relai pour le courrier électronique et un serveur DNS autoritaire dans un autre AS, par exemple en conservant un serveur chez OVH.
Le serveur Passbolt et le réplicat LDAP seront supprimés.
Un cluster PostgreSQL sera aussi mis en place au moyen de machines virtuelles présentes sur chaque nœud (probablement en utilisant Patroni).
Ceph est un système de stockage distribué. Il permet d'agréger des disques distribués sur plusieurs nœud en un disque virtuel.
Il est utilisé pour le stockage des machines virtuelles du cluster de services.
Il n'est pas utilisé en configuration CephFS, mais RBD. Si un dépôt compatible S3, le collège pourra déployer une instance MinIO.
Une supervision des managers Ceph au moyen de Prometheus doit être mise en place.
Le RTC remarque qu'il ne connait pas tous les RT, certains n'étant plus actifs depuis longtemps.
Le collège décide donc d'envoyer un courrier électronique début janvier et demandant aux responsables techniques (RT) s'ils souhaient conserver leur titre.
En l'absence de réponse au bout de 2 semaines, le RT sera démis de ses fonctions.
Des arguments contre l'authentification via LDAP auprès des machines UNIX sont avancés.
Le collège propose alors d'utiliser le compte root pour l'administration distance, avec authentification par clés individuelles et nominatives, et une journalisation suffisante.
Il décide de mettre en place une autorité de certification SSH afin de permettre aux RT de s'authentifier auprès du parc UNIX.
La clé privée de l'autorité de certification des utilisateurs sera stockée dans une enclave de sécurité physique USB. Cette enclave sera stockée dans le trousseau de clés du RTC.
La validité des certificats signés par l'AC sera de 1 an et 4 semaines. Cela permettra de simplifier la procédure de renouvellement annuel des RT.
Un courrier électronique de notification aux RT dont les clés vont expirer doivent être envoyés au bout de 1 an et 2 semaines.
Ainsi, il n'est plus nécessaire aux RT de déployer leurs clés SSH publiques sur tous les serveurs. Il suffira de déployer le certificat via Ansible.
Une autorité de certification « serveurs » permettrait d'authentifier les serveurs distants.
L'autorité de certification des serveurs serait stockée dans le dépôt pass d'Aurore.
C'est une alternative au stockage des clés publiques des hôtes dans les zones DNS.
Ce n'est pas urgent, mais cela pourrait être intéressant à mettre en place.
Les canaux officiels de Federez sont sur Telegram.
Deux salons Matrix ont cependant été créés :
#federezgdt:matrix.org ;Le collège ne souhaite pas a priori s'investir la maintenance d'un bridge Matrix vers Telegram, XMPP et IRC par manque de volonté et de temps. Néanmoins, en cas de difficultés importantes rencontrées par FedeRez, il pourra apporter son aide.
Deux climatiseurs sur roulettes et deux ventilateurs sont disponibles à la Pacaterie.
Les deux climatiseurs étaient arrêtés. Il avait été indiqué aux RT que le climatiseur du local nord gouttait, et aucune raison n'avait été fournie pour celui du local sud.
Erdnaxe et Elkmaennchen ont essayé d'allumer la climatisation du local nord, mais elle a fait disjoncter la ligne (qui a pu être rejonctée avant que l'onduleur ne s'éteigne). Joyeux Noël !
La climatisation du local nord a également été rallumée pendant 30 minutes. Elle ne semble pas goutter.
Par ailleurs, des sacs de charbon présents au local sud devraient être déplacés à Émilie du Châtelet ou aux jardins de Fleming.
Enfin, le collège technique propose au CA de déterminer l'avenir passionnant des sapins de Noël présent à la Pacaterie.
L'existence d'un calendrier partagé regroupant les évènements (administratifs, techniques et festifs) de l'association serait très pratique.
Le collège technique décide d'utiliser l'instance Nextcloud d'Aurore à cette fin.
Le calendrier sera créé et partagé en écriture à partir du compte admin de l'instance NextCloud. Cette méthode est déjà utilisée pour les dossiers partagés de l'association.
Par ailleurs, il serait intéressant d'intégrer ce calendrier au site web vitrine d'Aurore, ainsi que dans la description de certains salons Matrix.
À titre d'exemple, la quadrature du Net a elle aussi mis en place un calendrier sur son site web à l'adresse https://www.laquadrature.net/agenda/.
Il pourrait être utile de disposer d'un registre local d'images docker (Docker registry), notamment afin :
Il serait alors possible de tirer une image via une commande de la forme :
$ docker pull auro.re/elkmaennchen/toto
Le collège exige qu'un tel registre, s'il est mis en place :
La solution Gitlab intègre un registre Docker local ainsi qu'une solution d'intégration continue. Elle pourrait donc remplacer Gitea et Drone. Néanmoins, Gitea est apprécié par plusieurs responsables techniques et permet dans sa version libre de créer des dépôts miroirs. De plus, Gitlab ne respecte pas les exigences précitées, car il ne permet pas de positionner des limitations de taille des images par utilisateur.
Elkmaennchen propose de se documenter plus avant sur les solutions libres de registres Docker respectant les critères souhaités.
Le collège technique rappelle que de nombreux projets sont proposés à destination de membres potentiellement intéressé·e·s, tels que :
De plus amples informations seront données aux personnes intéressées.
yggdrasilLe collège technique propose de remplacer yggdrasil par un switch Quanta, et revendre l'ancien switch rapidement (et à un prix intéressant).
Des sièges sont libres sur les listes pour le futur conseil d'administration.