CransWiki:

Réunion du Collège Technique

Présents

Ordre du jour

Devis

On a un devis pour le nouveau serveur, la ram pour ft et les disques de la baie, à valider.

On valide le devis pour le nouveau serveur 4900€ TTC, 600€ TTC de RAM pour ft.

Pour les disques, il faut du SAS v2 2To, Anne peut pas les prendre, on les prends sur ldlc. On commence par en prendre un.

Multicast wifi

Le Multicast wifi pose des problèmes de perf, il faut envisager de bloquer le multicast entre WLAN/LAN. https://help.ubnt.com/hc/en-us/articles/115001529267-UniFi-Managing-Broadcast-Traffic https://sysctl-explorer.net/net/ipv4/proxy_arp_pvlan/

On commence par le mettre à la Kfet pour tester, et on passe à l'échelle si ça marche.

Parefeu

Présentation et plan d'attaques.

Vu qu'il n'y as plus de filtrage mac/ip, on peut juste régénerer quand on ouvre des ports. Il y a un fonction delinblacklisthard dans le parefeu, qu'il faudrait appeller quand on retire une bl. On peut aussi regen le parefeu plus régulièrement.

Attention, le pare feu a laissé "parfois" passer la note de test. C'est chelou, et on sait pas d'où ça vient...

Deux grosse étapes:

Fin de la migration des ipv4 ?

Il y a encore 27 machines fixes avec des ip Crans-ENS.

Problèmes de VLAN

Actuellement les switches ne peuvent détaguer qu'un seul vlan sur leurs prises, ce qui posent des problèmes lorsqu'un adhérent ou un club branche à la fois des machines à ip publique et des machines à ip privée dans sa chambre/local.

Chirac propose d'utiliser une fonctionnalité des switches pour détager plusieurs vlan (http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg/content/ch06s13.html) mais cela casse plus ou moins le broadcast (qui pose problème pour les ip v6), mais cela n'a pas fonctionné lors de la mise en prod (ou bien ça n'était pas activé ?).

Options :

  1. fusion des vlans
  2. switchs manageable à la Kfet et a servens, et par défault un personne qui a une machine publique a toutes ses machines publiques
  3. dhcpv6
  4. vlan tagged sur les prises

On envoie le vlan ip publique en tagged

Certificat wildcard

Benjamin propose d'utiliser un certificat wildcard pour les services webs, c'est possible d'utiliser un challenge DNS (voir https://certbot.eff.org/docs/using.html#manual) en tirant le paquet (https://packages.debian.org/stretch-backports/certbot) depuis stretch-backports et d'écrire un script pour l'automatiser.

On le garde en tête, re2o ?

Mise à jour des serveurs

Mise en prod de kiwi ?

On met kiwi en prod, (il faut vérifier que la création de compte wiki fonctionne en ip pub et privé), on migre juste le wiki en laissant tourner niomniom. On annonce un downtime une semaine à l'avance avec un bandeau sur le wiki. Il faudra aussi remettre en place le rsync vers soyouz pour wiki2.

Mise à jour de redisdead

Maintenant que le feu de la migration est passée, on aura peut-être du temps pour terminer les upgrade. Faut-il prévoir une interruption de service ?

Il faut le faire, et prévenir les gens. On est pas particulièrement pressé, on essayera de prévoir une maintenance, ptet faire en même temps que odlyd2 et owl, omnomnom, zephir.

Problèmes de connexion

Des gens ont fait remonter des pb de connexions. On ne sait pas pourquoi, il faut trouver des moyens de diagnosatiquer. On parle de pb de pings, de pb de paquets perdus. On a déjà augmenté les coeurs de ipv6-zayo, ça a amélioré un peu le ping en v6.

La limite de débit retiré pourrait être une piste, mais l'uplink serait saturé en GB, ce qui n'est pas le cas.

Des questions de QOS, etc.

Bref, on sait pas ce qu'il se passe, il faut trouver des moyens d'investiguer.

Questions re2o

Repoussé à la prochaine fois.


CransWiki: ComptesRendusCrans/Mercredi16Mai2018 (dernière édition le 2018-06-11 08:38:49 par Benjamin)