SIA

SummaryCategoryPriorityStatusProgressAssigned ToLast Edited
Backup BuckUTTInfraVery HighAssigned
80%
François Lancien26.03.2020 Task Description

no task description

Setup logsInfraVery HighAssigned
0%
Jonas DOREL20.11.2019 Task Description

no task description

Backup VMsInfraHighConfirmed Task
60%
Christian d'AutumeJonas DOREL15.05.2019 Task Description

Scheduler:

  • Depuis Ansible, déploiment de Cron/Timer Systemd
    • (+) Randomisation of timers
    • (+) Indépendant d'un système externe
    • (-) Logs et alertes à mettre en place séparement (mais théoriqement à faire de toute façon)
    • (-) Risque d'artéfacts (anciens timers/service/scripts/config non supprimés | dépend du bon dévellopement du rôle)
  • Depuis AWX, jobs
    • Interface ?
    • Logs intégrés (non centralisés)
    • Alertes intégrées
    • Push button backup ?
    • (-) Tous les backups démarrés en même temps ?
    • (-) Dépendance à un système tiers pour le fonctionnement
  • Depuis OpenShift: CronJobs
    • (-) Dépendance à un système tiers pour le fonctionnement (qui plus est très complexe)
    • (-) Logs ?

 

Software: BorgBackup

  • Déduplication (moins d'espace utilisé)
  • Incrémental (seul les données modifiés sont envoyées)
  • Compression
  • Gestion de la politique de rétention intégré
  • Vérification de l'intégrité des backups

 

Implémentation serveur

  • Un repo par VM
    • évite d'avoir à reload le cache sur la VM --> plus rapide
    • permet potentiellement de limiter l'accès à certains path pour chaque VM
  • Utilisateur 'backup' unique
    • facilité de gestion
    • emplacement unique pour toutes les backups de VMs
    • filtrage par clé SSH possible (compliqué à gérer)

Implémentation clients

  • Installation d'une clé SSH sur chaque VM
    • différente selon chaque hôte si l'on souhaite faire du filtrage
  • Utilisateur executant le backup: root (assure un accès à tout le système de fichier)

 

Ansible playbooks

  • Détection des hôtes pour les backups
    • Groupe spécifique ('backup')
    • Groupes existant (VM, machines physiques)
    • Variable hôte
  • Initialisation
    • Création des repos
    • Déploiment des clés SSH (EC)
    • (si scheduler systemd timers) Déploiment des timers + services (+ script)
    • (si scheduler CronJobs) Déploiement du CronJob
  • Exécution
    • (si scheduler AWX) Exécution d'un script de backup
  • Update
    • /!\ Ne pas laisser d'artéfact sur les hôtes (script, services systemd)
    • Si suppression d'un dossier, suppression du dossier dans l'archive ?

Variables Ansible:

  • Liste des paths par hôtes (+ par défaut)
  • Liste des serveurs de backup
  • Politique de rétention par hôte (+ par défaut)

Questionnements

  • Filesystem snapshot ? or LVM ?
  • Possibilité de backup vers deux systèmes différents depuis le client très facile (simple ajout d'URL)
Deploy VMs backup alertingInfraHighConfirmed Task
0%
05.05.2019 Task Description

Conformément aux principes des alertes, il est possible de monitorer avec les objectifs suivants:

Symptomes:

  • Backup non crée sur le(s) serveur(s) de backup

Causes:

  • Echec / Erreur du service
  • Service systemd non présent

Dans un premier temps (par souci de rapidité); seul l'erreur du service déclenchera une alerte, depuis le node-exporter de prometheus.

Migration des routeursInfraHighConfirmed Task
0%
Christian d'AutumeFrançois Lancien26.03.2020 Task Description

no task description

Créer un utilisateur rescue sur OpenshiftInfraHighConfirmed Task
0%
08.06.2020 Task Description

Actuellement, les utilisateurs sont synchronisés via le LDAP, mais il n'existe pas d'utilisateur rescue dans le cas où le LDAP tombe.

Cela peut se voir avec un `oc get users`.

Il est impératif de créer un utilisateur de fallback et de l'indiquer dans le keepass

Ajout d'une zone DNS par VLANInfraMediumDiscussion
0%
Jonas DORELIvann LARUELLE21.06.2020 Task Description

Question: devrait-on mettre les noms de VLANs dans le nom de domaine ?

Par exemple:

machine.prod.uttnetgroup.net
machine.admin.uttnetgroup.net

 

Cela concernerait-il uniquement le réseau interne ?

Cela implique de rajouter des search-domain pour les différents VLANs (potentiellement selon le profil d'utilisateur)

Met-on en place des CNAME vers les services en production et les machines du VLAN admin ?

 

Comment gère-t-on les NDD (nom de domaine) externe (uttnetgroup.fr).

Remplacement disques datastoresInfraMediumDiscussion
0%
08.05.2019 Task Description

Datastore 1:

  • sdh: Raw_Read_Error_Rate: 11485

Datastore 2:

  • sda ?: Raw_Read_Error_Rate: 163

 

Datastore 2 n'a pas l'air de tester ses disques régulièrement

 

Vérification: smartctl -a /dev/sdX

Déploiment SMART sur serveursInfraMediumDiscussion
0%
21.04.2019 Task Description

Avec Ansible, mise en place sur les hôtes

  • Installation smartmontools
  • Activation smartd (systemd)
  • Alertes (erreur smart)
    • mails / prometheus
  • Alerte (service non installé erreur)
    • enregistrement de l'hôte dans la liste des machines à surveiller
Wiki - Ajout de fonctionnalitéesInfraMediumDiscussion
0%
27.10.2019 Task Description

Ce qu'il manque au wiki actuel: notifications, copy and paste images

 

Features:

  • Notifications (Missing Slack ?)
  • No DB ? (fichiers textes direct)
  • UI:
    • CLI Edits (git ?)
    • WebUI (+live preview)
  • Copy and paste images (Missing): https://www.dokuwiki.org/plugin:imgpaste
  • RBAC
  • Intégration LDAP / SSO
  • Git backend (https://www.dokuwiki.org/plugin:gitbacked)
  • Section editing
Déploiments VMs depuis AnsibleInfraMediumDiscussion
0%
24.05.2019 Task Description

L'objectif est de déployer les VMs depuis Ansible, afin de mettre en place un PRA. Cela implique donc la création des VMs sur Proxmox, l'installation des logiciels, et la restauration des backups.

 

Listes des VMs:

  • FreeIPA (https://github.com/freeipa/ansible-freeipa)
  • HA-Proxy
  • Wiki
  • ZoneMinder
  • Prometheus (+ Alertmanager et PushGateway)

 

Il serait intéressant de visualiser les VMs déployées depuis Ansible vs déployées manuellement

Mise en place d'un serveur proxy pour apt / yum / docke...InfraMediumDiscussion
0%
26.05.2019 Task Description

Le but est de mettre en place un proxy des depots apt / yum afin de fluidifier les opérations de maj/installation.

 

Plusieurs projets opensources permettent de simplifier le job:

- Nexus3 https://github.com/ansible-ThoTeam/nexus3-oss

- Pulp3

Remove static hosts in Ansible repoInfraMediumDiscussion
0%
27.02.2020 Task Description

Move all hosts declaration to netbox

Openshift: serveur de logsInfraMediumDiscussion
0%
27.10.2019 Task Description Transférer les Logs Openshift vers le serveur de logs
Upgrade Slack template for AlertmanagerInfraMediumDiscussion
0%
28.10.2019 Task Description

Include @channel for critical errors

Differentiate INFO, WARNING and ERROR

Add prometheus staging environmentInfraMediumDiscussion
0%
28.10.2019 Task Description

no task description

Montage seconde salle serveurInfraMediumDiscussion
0%
26.01.2020 Task Description

Objectifs:

  - Assurer un fonctionnement d'urgence du SIA

  - Emplacement de backup suplémentaire (proche en terme de réseau, distant en terme d'alimentation et de climatisation)

 

Elements:

  - Virtualisation: Proxmox

  - Stockage: ? (NFS [NetAPP] + Ceph)

 

Services:

  - Logs

  - Repo Git

  - AWX

  - Netbox

Fix openshift "lost connection to pod"InfraMediumDiscussion
0%
26.01.2020 Task Description

DONE - Timeout dû à HA-Proxy sur Openshift

 

On nodes configure '/etc/origin/node/node-config.yaml' like:
-------------------
kubeletArguments:
streaming-connection-idle-timeout:
- "120m"

https://bugzilla.redhat.com/show_bug.cgi?id=1382730

 

Timeout dû à HA-Proxy (reverse-proxy principal)

https://www.haproxy.com/blog/websockets-load-balancing-with-haproxy/

Besoin de mettre à jour le rôle Ansible HA-Proxy: https://github.com/Oefenweb/ansible-haproxy

Update rôle Ansible pour HA-ProxyInfraMediumDiscussion
0%
26.01.2020 Task Description

/!\ Consider setting up staging haproxy env before

https://github.com/Oefenweb/ansible-haproxy

Besoins de considérer les modifications custom faites (https://github.com/ungdev/ansible-infra/commits/master/roles/haproxy) :

Revue de la politique de sécurité du SIAInfraMediumDiscussion
0%
02.02.2020 Task Description

Gestion des comptes locaux

Monitoring des machines

  Alertes

    Accès root

    Modification de la configuration depuis la machine (VS Ansible)

Monitoring réseau (IDS)

  Gestion des logs des paquets

  Alertes sur firewall rule 'block'

Vulnerability scanner

WAF

 

 

Idée en vrac:

Transmettre la liste des administrateurs du SIA au CRI

 

Liste des timers (utilisateurs)

Liste des crons (utilisateurs)

Liste des cronjobs

Ansible: gestion des comptes locauxInfraMediumDiscussion
0%
02.02.2020 Task Description

Compte Root

  • SSH Public Key:  clés SSH des admins (sur le LDAP)
  • Password: Unique ou généré aléatoirement ?

utile en cas de soucis de règle sudo)

Comptes administrateurs

  • Sync des comptes FreeIPA du groupe `admins`:
    • Username: <ldap_username>_admin
    • SSH public key: public key from ldap
    • Password: hash from ldap
  • Accès sudo passwordless

Compte ansible

  • Password: ?
  • Clé SSH: Clé sur LDAP
Netbox: migrate ansible tags to custom fieldInfraMediumDiscussion
0%
11.02.2020 Task Description

Custom field has been created for:

  • device_ansible_groups
  • vm_ansible_groups

Need to update:

  • netbox inventory script
  • netbox sync playbook
Redirection wiki.bde.utt.fr vers etu.utt.fr/wiki/view/b...InfraMediumDiscussion
0%
21.06.2020 Task Description

Besoin de demander le NDD au CRI

Ajouter une synchronisation LDAP osticket pour les admi...InfraMediumDiscussion
0%
Thomas de Lachaux21.06.2020 Task Description

Il est possible de se connecter sur osticket avec le ldap, mais il n'y a pas de gestion des groupes administrateurs.

Il faut donc faire une synchronisation entre le serveur ldap et la db d'osticket.

Ajouter des urls de staging sur haproxyInfraMediumDiscussion
0%
23.02.2020 Task Description

Conf DNS
 * -> haproxy sur uttnetgroup.net
*.staging -> haproxy sur uttnetgroup.net
*.staging -> haproxy sur uttnetgroup.fr avec un header d'authentification relié en statique puis à terme au LDAP

Restore GitlabInfraMediumDiscussion
0%
11.06.2020 Task Description

no task description

Alertes sur CronjobInfraMediumDiscussion
0%
03.03.2020 Task Description

Mettre des alertes Prometheus sur les cronjobs Openshift

Openshift backupInfraMediumDiscussion
0%
07.03.2020 Task Description

Make openshift-backup remove projects not present on the cluster anymore.

Update DNS zone _acme-challenge from AnsibleInfraMediumDiscussion
0%
Ivann LARUELLE07.03.2020 Task Description

no task description

IPA Load BalancingInfraMediumDiscussion
0%
16.04.2020 Task Description

Loadbalancing IP

Invesstiguer sur l'osd33InfraMediumDiscussion
0%
08.06.2020 Task Description

L'OSD 33 est tombé début avril 2020.

 

Il serait interessant d'investuguer dessus, voire éventuellement de le remplacer.

Changement de l'infrastructure dns externeInfraMediumConfirmed Task
0%
Christian d'Autume06.02.2020 Task Description

Multimaster:

  - un maitre en interne

  - un maitre en externe

Configuré par Ansible (donc pas de méchanisme de réplication par le réseau en continu)

 

Slaves:

  - pluton.utt.fr

  - DNS de Campus3

Monitoring SNMP a ajouter sur prometheusInfraMediumConfirmed Task
0%
08.05.2019 Task Description

no task description

Création du playbook + roles pour gérer le routeurInfraMediumConfirmed Task
40%
Christian d'Autume10.05.2019 Task Description

no task description

Monitor prometheus from outsideInfraMediumConfirmed Task
0%
12.10.2019 Task Description

Actuellement, prometheus n'est pas monitoré, cela implique que si aucune alerte n'apparaît, cela peut être parce que prometheus est down.

 

Déployer un prometheus sur vps1 semble être la solution la plus adéquate

Rename switchesInfraMediumConfirmed Task
50%
Thomas Guzal09.03.2020 Task Description

Rename switches to a better naming system (location, usage), in DNS + Hostname

 

  • switch
  • switch1
  • switch2
  • switch3
Ansible: gestion des logsInfraMediumConfirmed Task
0%
25.10.2019 Task Description

Faire un playbook Ansible pour déployer le système de logs:

  • installation du serveur de log ? (sauf si déployé sur Openshift)
  • configuration des hôtes et des VMs pour centraliser les logs
Forbid openshift access by defaultInfraMediumConfirmed Task
0%
25.10.2019 Task Description

no task description

Give read only access to sia nouveauxInfraMediumConfirmed Task
0%
25.10.2019 Task Description

no task description

Staging environmentInfraMediumConfirmed Task
0%
26.10.2019 Task Description Mise en place d'un environnement de testb - Branche staging sur ansibleinfra - prometheus.stage.uttnetgroup.net (prometheus + alertmanager) - monitor prod environment
Backup git reposInfraMediumConfirmed Task
0%
26.01.2020 Task Description

Effectuer des backups régulier des repos git ( herbergés au SIA, sur Github et sur Gitlab)

 

Serveurs git sur les serveurs de backup

Deploy Ansible SSH roles on productionInfraMediumConfirmed Task
0%
03.02.2020 Task Description

WARNING: Don't deploy before setting root password through Ansible 

Migration du portail captifInfraMediumConfirmed Task
0%
François Lancien21.02.2020 Task Description

L'objectif est de migrer le portail captif du réseau UNG vers une VM dédiée.

Besoins :

  • Support des groupes LDAP
  • Authorisation MAC
  • Attribution IP en fonction du groupe LDAP

La première étape est de déployer une solution de portail captif intégrant un DHCP sur le VLAN CRI_UNG

La deuxième étape est soit de:

  • mettre la gateway par défaut dans le DHCP comme étant le portail captif, et de n'authoriser (par le firewall)  sur le routeur UNG que les paquets issus du portail captif
  • mettre un réseau dédié entre le routeur UNG et le portail captif, et enlever le routeur UNG du réseau CRI_UNG
Rajout d'une zone slave pour campus3.frInfraMediumConfirmed Task
50%
Arnaud GORCE06.03.2020 Task Description

Rajout de la zone DNS campus3.fr en tant que slave sur VPS1

Openshift: rename sia to sia-prodInfraMediumConfirmed Task
0%
Thomas Guzal07.03.2020 Task Description

no task description

Deploy databases on sia-tools on openshiftInfraMediumConfirmed Task
0%
07.03.2020 Task Description

Need to create sia-tools

Export VPNInfraMediumConfirmed Task
0%
François Lancien26.03.2020 Task Description

Export du VPN sur une VM dont le CRI aura les accès

Export du DHCPInfraMediumConfirmed Task
0%
François Lancien26.03.2020 Task Description

Export du DHCP du pfSense vers un VM ou un Docker

Monitor DNS resolutionInfraMediumConfirmed Task
0%
14.04.2020 Task Description

no task description

HA-Proxy high availabilityInfraMediumConfirmed Task
0%
16.04.2020 Task Description

no task description

Showing tasks 1 - 50 of 70 Page 1 of 21 - 2 -

Available keyboard shortcuts

Tasklist

Task Details

Task Editing