.\" Generated by scdoc 1.11.1 .\" Complete documentation for this program is not available as a GNU info page .ie \n(.g .ds Aq \(aq .el .ds Aq ' .nh .ad l .\" Begin generated content: .TH "INFRA" "7" "2022-04-23" "Infrastructure de Baguette" "Manuel de l'infra de Baguette" .P .SH Liste des machines .P Pour les services : \fBtrès important\fR, \fIplutôt important\fR .P .TS allbox;c c c c c c c l c l c c l c l c c l c l c c l c l c c l c l c c l c l. T{ \fBARN\fR T} T{ \fISystème\fR T} T{ \fIAdresse\fR T} T{ \fIPort SSH\fR T} T{ \fIServices\fR T} T{ \fBPhysique\fR T} T{ Alpine 3.\&15 T} T{ 89.\&234.\&141.\&125 T} T{ 22 T} T{ \fBfirewall\fR T} T{ team T} T{ OpenBSD 6.\&6 T} T{ 192.\&168.\&122.\&132 T} T{ 2210 T} T{ \fBgitea\fR \fImattermost\fR \fBsmtpd\fR T} T{ alpha T} T{ Alpine 3.\&15 T} T{ 192.\&168.\&122.\&84 T} T{ 2203 T} T{ \fIalpha\fR \fBwebsocketd\fR \fBnginx\fR todod arpenteurs T} T{ bsdbuild T} T{ OpenBSD 6.\&6 T} T{ 192.\&168.\&122.\&165 T} T{ 2265 T} T{ builds (weechat) T} T{ R&D T} T{ Alpine 3.\&1X T} T{ 192.\&168.\&122.\&211 T} T{ 2205 T} T{ expérimental T} T{ CEIUS T} T{ Alpine 3.\&1X T} T{ 192.\&168.\&122.\&30 T} T{ 2230 T} T{ CEIUS (?\&?\&) T} .TE .sp 1 .P .P \fINotes\fR : .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} Les machines pourraient être renommées.\& .br Les adresses et les ports sont aléatoires.\& .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} Le serveur physique a plusieurs disques, mais un seul est utilisé pour le moment.\& .br Un RAID serait envisageable.\& .RE .P .SH phy0 .P La machine `phy0` redémarre sur son disque `/dev/sdb`.\& .P .SS procédure après redémarrage .P Il faut supprimer la règle iptables empêchant les connexions extérieures vers les machines virtuelles.\& .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} iptables -D FORWARD 2 .RE .P .SH VM Alpha .P .SS NGINX .P .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} gère toutes les connexions entrantes sur les ports 80, 443 .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} configuration dans \fI/srv/root/nginx/\fR, attention au rewrite de service (voir \fBTODO\fR) .RE .P .TS allbox;c c c c c c c c c c c c c c c. T{ \fIDomaine\fR T} T{ \fIService\fR T} T{ \fIPort\fR T} T{ \fBgit.\&baguette.\&netlib.\&re\fR T} T{ gitea T} T{ 443 (80 redirigé) T} T{ \fBteam.\&baguette.\&netlib.\&re\fR T} T{ mattermost T} T{ 443 (80 redirigé) T} T{ \fItodo.\&baguette.\&netlib.\&re\fR T} T{ todo T} T{ 443 (80 redirigé), 9999 T} T{ arpenteurs.\&netlib.\&re T} T{ kemal T} T{ 80 T} .TE .sp 1 .SH VM team .P .SS {git,team}.baguette.netlib.re .P Les services `gitea` et `mattermost` sont \fIouvert\fR au public, notamment pour le projet `Baguette`.\& .P .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} gitea et mattermost utilisent \fIpostgresql\fR .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} gitea .RS 4 .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} configuration: \fI/etc/gitea/\fR = la base, \fI/var/gitea/\fR = les données + personnalisation .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} \fI/etc/gitea/gitea.\&conf\fR = psql, mails, droits .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} \fI/var/gitea/\fR = dépôts, avatars, personnalisation de l'apparence .RE .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} mattermost pour le développement .RE .P Les certificats ont été générés par \fIacme.\&sh\fR.\& Voir section \fBTODO\fR.\& .P .SS opensmtpd .P Le serveur smtpd gère les domaines : .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} baguette.\&netlib.\&re (requis par gitea et mattermost) .RE .P \fBDebug potentiel\fR .P En cas de \fB\fRAUTH LOGIN failed\fB\fR dans les logs, vérifier que \fBrspamd\fR est lancé.\& .P .P .SH VM bsdbuild (toujours active ?) .P Actuellement : zone de jeu, on peut tester des outils dessus, lancer des compilations.\& .P .P .SH TODO pour le développement d'outils à déployer sur l'infra .P .SS Pare-feu .P .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} pourrait imposer un rate limit .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} l'accès à un service depuis une autre VM est compromis pour l'instant, il faut des règles DNAT+SNAT .RE .P .SS Déploiement .P Le déploiement devrait être effectué de manière automatique depuis les sources.\& Actuellement un problème réseau nous en empêche : il faut se plonger dans `iptables`.\& .P \fBservice\fR .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} pourrait (devrait ?\&) être utilisé à terme .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} manque la gestion correcte des groupes au lancement d'un processus .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} lance actuellement nginx \fBmais sa configuration est réécrite avec de mauvaises valeurs\fR, à revoir .RE .P \fBlibipc\fR doit être patché pour les sockets unix qu'il crée : .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} changer le propriétaire et le groupe .RE .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} changer les permissions .RE .P .SS Certificats à maintenir .P .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .IP \(bu 4 .\} baguette.\&netlib.\&re (+ git, team et todo sur le même domaine) .RE .P .SS Adresse IPv6 .P Pour le moment tout est en v4, y compris sur la machine physique.\&