|
Backup BuckUTT | Infra | Very High | Assigned | |
François Lancien | 26.03.2020 |
Task Description
no task description |
|
Setup logs | Infra | Very High | Assigned | |
Jonas DOREL | 20.11.2019 |
Task Description
no task description |
|
Backup VMs | Infra | High | Confirmed Task | |
Christian d'AutumeJonas DOREL | 15.05.2019 |
Task Description
Scheduler:
- Depuis Ansible, déploiment de Cron/Timer Systemd
- (+) Randomisation of timers
- (+) Indépendant d'un système externe
- (-) Logs et alertes à mettre en place séparement (mais théoriqement à faire de toute façon)
- (-) Risque d'artéfacts (anciens timers/service/scripts/config non supprimés | dépend du bon dévellopement du rôle)
- Depuis AWX, jobs
- Interface ?
- Logs intégrés (non centralisés)
- Alertes intégrées
- Push button backup ?
- (-) Tous les backups démarrés en même temps ?
- (-) Dépendance à un système tiers pour le fonctionnement
- Depuis OpenShift: CronJobs
- (-) Dépendance à un système tiers pour le fonctionnement (qui plus est très complexe)
- (-) Logs ?
Software: BorgBackup
- Déduplication (moins d'espace utilisé)
- Incrémental (seul les données modifiés sont envoyées)
- Compression
- Gestion de la politique de rétention intégré
- Vérification de l'intégrité des backups
Implémentation serveur
- Un repo par VM
- évite d'avoir à reload le cache sur la VM --> plus rapide
- permet potentiellement de limiter l'accès à certains path pour chaque VM
- Utilisateur 'backup' unique
- facilité de gestion
- emplacement unique pour toutes les backups de VMs
- filtrage par clé SSH possible (compliqué à gérer)
Implémentation clients
- Installation d'une clé SSH sur chaque VM
- différente selon chaque hôte si l'on souhaite faire du filtrage
- Utilisateur executant le backup: root (assure un accès à tout le système de fichier)
Ansible playbooks
- Détection des hôtes pour les backups
- Groupe spécifique ('backup')
- Groupes existant (VM, machines physiques)
- Variable hôte
- Initialisation
- Création des repos
- Déploiment des clés SSH (EC)
- (si scheduler systemd timers) Déploiment des timers + services (+ script)
- (si scheduler CronJobs) Déploiement du CronJob
- Exécution
- (si scheduler AWX) Exécution d'un script de backup
- Update
- /!\ Ne pas laisser d'artéfact sur les hôtes (script, services systemd)
- Si suppression d'un dossier, suppression du dossier dans l'archive ?
Variables Ansible:
- Liste des paths par hôtes (+ par défaut)
- Liste des serveurs de backup
- Politique de rétention par hôte (+ par défaut)
Questionnements
- Filesystem snapshot ? or LVM ?
- Possibilité de backup vers deux systèmes différents depuis le client très facile (simple ajout d'URL)
|
|
Deploy VMs backup alerting | Infra | High | Confirmed Task | |
| 05.05.2019 |
Task Description
Conformément aux principes des alertes, il est possible de monitorer avec les objectifs suivants:
Symptomes:
- Backup non crée sur le(s) serveur(s) de backup
Causes:
- Echec / Erreur du service
- Service systemd non présent
Dans un premier temps (par souci de rapidité); seul l'erreur du service déclenchera une alerte, depuis le node-exporter de prometheus. |
|
Migration des routeurs | Infra | High | Confirmed Task | |
Christian d'AutumeFrançois Lancien | 26.03.2020 |
Task Description
no task description |
|
Créer un utilisateur rescue sur Openshift | Infra | High | Confirmed Task | |
| 08.06.2020 |
Task Description
Actuellement, les utilisateurs sont synchronisés via le LDAP, mais il n'existe pas d'utilisateur rescue dans le cas où le LDAP tombe.
Cela peut se voir avec un `oc get users`.
Il est impératif de créer un utilisateur de fallback et de l'indiquer dans le keepass |
|
Ajout d'une zone DNS par VLAN | Infra | Medium | Discussion | |
Jonas DORELIvann LARUELLE | 21.06.2020 |
Task Description
Question: devrait-on mettre les noms de VLANs dans le nom de domaine ?
Par exemple:
machine.prod.uttnetgroup.net
machine.admin.uttnetgroup.net
Cela concernerait-il uniquement le réseau interne ?
Cela implique de rajouter des search-domain pour les différents VLANs (potentiellement selon le profil d'utilisateur)
Met-on en place des CNAME vers les services en production et les machines du VLAN admin ?
Comment gère-t-on les NDD (nom de domaine) externe (uttnetgroup.fr). |
|
Remplacement disques datastores | Infra | Medium | Discussion | |
| 08.05.2019 |
Task Description
Datastore 1:
- sdh: Raw_Read_Error_Rate: 11485
Datastore 2:
- sda ?: Raw_Read_Error_Rate: 163
Datastore 2 n'a pas l'air de tester ses disques régulièrement
Vérification: smartctl -a /dev/sdX |
|
Déploiment SMART sur serveurs | Infra | Medium | Discussion | |
| 21.04.2019 |
Task Description
Avec Ansible, mise en place sur les hôtes
- Installation smartmontools
- Activation smartd (systemd)
- Alertes (erreur smart)
- Alerte (service non installé erreur)
- enregistrement de l'hôte dans la liste des machines à surveiller
|
|
Wiki - Ajout de fonctionnalitées | Infra | Medium | Discussion | |
| 27.10.2019 |
Task Description
Ce qu'il manque au wiki actuel: notifications, copy and paste images
Features:
- Notifications (Missing Slack ?)
- No DB ? (fichiers textes direct)
- UI:
- CLI Edits (git ?)
- WebUI (+live preview)
- Copy and paste images (Missing): https://www.dokuwiki.org/plugin:imgpaste
- RBAC
- Intégration LDAP / SSO
- Git backend (https://www.dokuwiki.org/plugin:gitbacked)
- Section editing
|
|
Déploiments VMs depuis Ansible | Infra | Medium | Discussion | |
| 24.05.2019 |
Task Description
L'objectif est de déployer les VMs depuis Ansible, afin de mettre en place un PRA. Cela implique donc la création des VMs sur Proxmox, l'installation des logiciels, et la restauration des backups.
Listes des VMs:
- FreeIPA (https://github.com/freeipa/ansible-freeipa)
- HA-Proxy
- Wiki
- ZoneMinder
- Prometheus (+ Alertmanager et PushGateway)
Il serait intéressant de visualiser les VMs déployées depuis Ansible vs déployées manuellement |
|
Mise en place d'un serveur proxy pour apt / yum / docke... | Infra | Medium | Discussion | |
| 26.05.2019 |
Task Description
Le but est de mettre en place un proxy des depots apt / yum afin de fluidifier les opérations de maj/installation.
Plusieurs projets opensources permettent de simplifier le job:
- Nexus3 https://github.com/ansible-ThoTeam/nexus3-oss
- Pulp3 |
|
Openshift: serveur de logs | Infra | Medium | Discussion | |
| 27.10.2019 |
Task Description
Transférer les Logs Openshift vers le serveur de logs |
|
Add prometheus staging environment | Infra | Medium | Discussion | |
| 28.10.2019 |
Task Description
no task description |
|
Montage seconde salle serveur | Infra | Medium | Discussion | |
| 26.01.2020 |
Task Description
Objectifs:
- Assurer un fonctionnement d'urgence du SIA
- Emplacement de backup suplémentaire (proche en terme de réseau, distant en terme d'alimentation et de climatisation)
Elements:
- Virtualisation: Proxmox
- Stockage: ? (NFS [NetAPP] + Ceph)
Services:
- Logs
- Repo Git
- AWX
- Netbox |
|
Fix openshift "lost connection to pod" | Infra | Medium | Discussion | |
| 26.01.2020 |
Task Description
DONE - Timeout dû à HA-Proxy sur Openshift
On nodes configure '/etc/origin/node/node-config.yaml' like:
-------------------
kubeletArguments:
streaming-connection-idle-timeout:
- "120m"
https://bugzilla.redhat.com/show_bug.cgi?id=1382730
Timeout dû à HA-Proxy (reverse-proxy principal)
https://www.haproxy.com/blog/websockets-load-balancing-with-haproxy/
Besoin de mettre à jour le rôle Ansible HA-Proxy: https://github.com/Oefenweb/ansible-haproxy |
|
Update rôle Ansible pour HA-Proxy | Infra | Medium | Discussion | |
| 26.01.2020 |
Task Description
/!\ Consider setting up staging haproxy env before
https://github.com/Oefenweb/ansible-haproxy
Besoins de considérer les modifications custom faites (https://github.com/ungdev/ansible-infra/commits/master/roles/haproxy) :
- Upgrade page
- Maintenance page
- OSO Error page
- Fix module error with dirty integration
- Disable firewalld integration (Already removed in latest versions)
|
|
Revue de la politique de sécurité du SIA | Infra | Medium | Discussion | |
| 02.02.2020 |
Task Description
Gestion des comptes locaux
Monitoring des machines
Alertes
Accès root
Modification de la configuration depuis la machine (VS Ansible)
Monitoring réseau (IDS)
Gestion des logs des paquets
Alertes sur firewall rule 'block'
Vulnerability scanner
WAF
Idée en vrac:
Transmettre la liste des administrateurs du SIA au CRI
Liste des timers (utilisateurs)
Liste des crons (utilisateurs)
Liste des cronjobs |
|
Ansible: gestion des comptes locaux | Infra | Medium | Discussion | |
| 02.02.2020 |
Task Description
Compte Root
- SSH Public Key: clés SSH des admins (sur le LDAP)
- Password: Unique ou généré aléatoirement ?
utile en cas de soucis de règle sudo)
Comptes administrateurs
- Sync des comptes FreeIPA du groupe `admins`:
- Username: <ldap_username>_admin
- SSH public key: public key from ldap
- Password: hash from ldap
- Accès sudo passwordless
Compte ansible
- Password: ?
- Clé SSH: Clé sur LDAP
|
|
Netbox: migrate ansible tags to custom field | Infra | Medium | Discussion | |
| 11.02.2020 |
Task Description
Custom field has been created for:
- device_ansible_groups
- vm_ansible_groups
Need to update:
- netbox inventory script
- netbox sync playbook
|
|
Redirection wiki.bde.utt.fr vers etu.utt.fr/wiki/view/b... | Infra | Medium | Discussion | |
| 21.06.2020 |
Task Description
Besoin de demander le NDD au CRI |
|
Ajouter une synchronisation LDAP osticket pour les admi... | Infra | Medium | Discussion | |
Thomas de Lachaux | 21.06.2020 |
Task Description
Il est possible de se connecter sur osticket avec le ldap, mais il n'y a pas de gestion des groupes administrateurs.
Il faut donc faire une synchronisation entre le serveur ldap et la db d'osticket. |
|
Ajouter des urls de staging sur haproxy | Infra | Medium | Discussion | |
| 23.02.2020 |
Task Description
Conf DNS
* -> haproxy sur uttnetgroup.net
*.staging -> haproxy sur uttnetgroup.net
*.staging -> haproxy sur uttnetgroup.fr avec un header d'authentification relié en statique puis à terme au LDAP |
|
Restore Gitlab | Infra | Medium | Discussion | |
| 11.06.2020 |
Task Description
no task description |
|
Openshift backup | Infra | Medium | Discussion | |
| 07.03.2020 |
Task Description
Make openshift-backup remove projects not present on the cluster anymore. |
|
Update DNS zone _acme-challenge from Ansible | Infra | Medium | Discussion | |
Ivann LARUELLE | 07.03.2020 |
Task Description
no task description |
|
IPA Load Balancing | Infra | Medium | Discussion | |
| 16.04.2020 |
Task Description
Loadbalancing IP |
|
Invesstiguer sur l'osd33 | Infra | Medium | Discussion | |
| 08.06.2020 |
Task Description
L'OSD 33 est tombé début avril 2020.
Il serait interessant d'investuguer dessus, voire éventuellement de le remplacer. |
|
CRI : Accès SSH | Infra | Medium | Discussion | |
| 19.09.2020 |
Task Description
Négocier un accès SSH au CRI, en passant par un bastion dont ils auraient le contrôle.
Faire un prototype avant pour leur montrer. |
|
Add wiki.assos.utt.fr | Infra | Medium | Discussion | |
| 29.09.2020 |
Task Description
Host on Openshift
One section per association, with ACLs per association |
|
Setup readonly SIA wiki on secondary system | Infra | Medium | Discussion | |
| 29.09.2020 |
Task Description
no task description |
|
Implement communication system with roles | Service | Medium | Discussion | |
| 17.10.2020 |
Task Description
Solutions possibles :
- Mattermost : Pas d'intégration LDAP, possible de passer par gitlab
- Zulip : Nice threading feature
- Rocketchat |
|
Change issue tracker/task manager | Infra | Medium | Discussion | |
| 17.10.2020 |
Task Description
Needs to implement :
- notifications
- roles throught LDAP / SSO
Possible solutions
- Redmine
- Openproject
- Kanboard only entreprise feature
- Kanboard ?
|
|
Implement SSO | Infra | Medium | Discussion | |
| 17.10.2020 |
Task Description
Implement SSO
Solution : Keycloak |
|
Ajouter une alerte sur Openshift : container creating s... | Infra | Medium | Discussion | |
| 24.10.2020 |
Task Description
no task description |
|
Redéfinition de l'infrastructure globale du service DNS | Infra | Medium | Discussion | |
| 24.10.2020 |
Task Description
no task description |
|
Deploy Kube-hunter | Infra | Medium | Discussion | |
| 26.10.2020 |
Task Description
https://github.com/aquasecurity/kube-hunter |
|
Monitoring SNMP a ajouter sur prometheus | Infra | Medium | Confirmed Task | |
| 08.05.2019 |
Task Description
no task description |
|
Création du playbook + roles pour gérer le routeur | Infra | Medium | Confirmed Task | |
Christian d'Autume | 10.05.2019 |
Task Description
no task description |
|
Monitor prometheus from outside | Infra | Medium | Confirmed Task | |
| 12.10.2019 |
Task Description
Actuellement, prometheus n'est pas monitoré, cela implique que si aucune alerte n'apparaît, cela peut être parce que prometheus est down.
Déployer un prometheus sur vps1 semble être la solution la plus adéquate |
|
Rename switches | Infra | Medium | Confirmed Task | |
Thomas Guzal | 09.03.2020 |
Task Description
Rename switches to a better naming system (location, usage), in DNS + Hostname
- switch
- switch1
- switch2
- switch3
|
|
Ansible: gestion des logs | Infra | Medium | Confirmed Task | |
| 25.10.2019 |
Task Description
Faire un playbook Ansible pour déployer le système de logs:
- installation du serveur de log ? (sauf si déployé sur Openshift)
- configuration des hôtes et des VMs pour centraliser les logs
|
|
Forbid openshift access by default | Infra | Medium | Confirmed Task | |
| 25.10.2019 |
Task Description
no task description |
|
Give read only access to sia nouveaux | Infra | Medium | Confirmed Task | |
| 25.10.2019 |
Task Description
no task description |
|
Staging environment | Infra | Medium | Confirmed Task | |
| 26.10.2019 |
Task Description
Mise en place d'un environnement de testb
- Branche staging sur ansibleinfra
- prometheus.stage.uttnetgroup.net (prometheus + alertmanager)
- monitor prod environment |
|
Backup git repos | Infra | Medium | Confirmed Task | |
| 26.01.2020 |
Task Description
Effectuer des backups régulier des repos git ( herbergés au SIA, sur Github et sur Gitlab)
Serveurs git sur les serveurs de backup |
|
Deploy Ansible SSH roles on production | Infra | Medium | Confirmed Task | |
| 03.02.2020 |
Task Description
WARNING: Don't deploy before setting root password through Ansible |
|
Migration du portail captif | Infra | Medium | Confirmed Task | |
François Lancien | 21.02.2020 |
Task Description
L'objectif est de migrer le portail captif du réseau UNG vers une VM dédiée.
Besoins :
- Support des groupes LDAP
- Authorisation MAC
- Attribution IP en fonction du groupe LDAP
La première étape est de déployer une solution de portail captif intégrant un DHCP sur le VLAN CRI_UNG
La deuxième étape est soit de:
- mettre la gateway par défaut dans le DHCP comme étant le portail captif, et de n'authoriser (par le firewall) sur le routeur UNG que les paquets issus du portail captif
- mettre un réseau dédié entre le routeur UNG et le portail captif, et enlever le routeur UNG du réseau CRI_UNG
|
|
Rajout d'une zone slave pour campus3.fr | Infra | Medium | Confirmed Task | |
Arnaud GORCE | 06.03.2020 |
Task Description
Rajout de la zone DNS campus3.fr en tant que slave sur VPS1 |
|
Openshift: rename sia to sia-prod | Infra | Medium | Confirmed Task | |
Thomas Guzal | 07.03.2020 |
Task Description
no task description |