From f3b7e90693bf2b51a53a23d98a60bbf04065103a Mon Sep 17 00:00:00 2001 From: Quentin Dufour Date: Wed, 1 Mar 2023 19:45:01 +0100 Subject: rework infrastructures --- content/infrastructures/machines/_index.md | 51 ------------------ content/infrastructures/machines/developpement.md | 32 ------------ content/infrastructures/machines/production.md | 64 ----------------------- content/infrastructures/machines/support.md | 48 ----------------- content/infrastructures/machines/xp.md | 35 ------------- 5 files changed, 230 deletions(-) delete mode 100644 content/infrastructures/machines/_index.md delete mode 100644 content/infrastructures/machines/developpement.md delete mode 100644 content/infrastructures/machines/production.md delete mode 100644 content/infrastructures/machines/support.md delete mode 100644 content/infrastructures/machines/xp.md (limited to 'content/infrastructures/machines') diff --git a/content/infrastructures/machines/_index.md b/content/infrastructures/machines/_index.md deleted file mode 100644 index 84fc012..0000000 --- a/content/infrastructures/machines/_index.md +++ /dev/null @@ -1,51 +0,0 @@ -+++ -title = "Serveurs" -description = "Serveurs" -weight = 10 -sort_by = "weight" -+++ - -# Rôles - -Nous avons identifié 4 rôles pour nos serveurs, en fonction de la criticité des charges de travail -et des données qu'ils auront à gérer. - -[Production](./production/) - Les serveurs de productions sont ceux qui font tourner les services accédés par les usager·es (eg. Plume, Matrix, Cryptpad). -Si ils sont innaccessibles, alors les services ne fonctionnent plus. Et si une personne malveillante y accède, elle peut avoir accès à des données -personnelles des usager·es. C'est donc le rôle le plus critique. - -[Support](./support/) - Les serveurs de support servent pour les sauvegardes et la supervision des serveurs de production (eg. Grafana, Minio). -De par leur rôle, ils participent au bon fonctionnement de la production. -Ils n'ont pas de données personnelles brutes mais les métriques collectées peuvent refléter certains comportement des usager·es -et les sauvegardes, bien qu'elles soient chiffrées, contiennent tout de même des données personnelles. - -[Développement](./developpement/) - Les serveurs de développement hébergent les outils qui nous permettent de travailler sur le logiciel, -les configurations, les tickets, ou la compilation. Ils ne contiennent pas de données personnelles mais peuvent être utilisés pour -des attaques de chaine d'approvisionnement (*supply chain attack*). À terme, ce rôle pourrait être fusionné avec la production. - -[Expérimentation](./xp/) - Les serveurs d'expérimentation servent à tester les nouvelles configurations, les nouveaux logiciels, -et le nouveau matériel. Ils permettent aux opérateur·ices de se familiariser avec leurs modifications et de minimiser l'impact d'un changement sur les serveurs de production, -et donc sur la disponibilité des services. Ces machines ne contiennent pas de données personnelles et ne sont pas critiques, elles n'ont pas besoin de rester tout le temps allumées. -Il n'est pas nécessaire d'être opérateur·ice pour gérer une de ces machines. - -# Zones - -En fonction des propriétés voulues, nous pouvons être amenés à répartir les serveurs d'un rôle spécifique entre plusieurs lieux géographiques, -que nous appelons des zones. - -Nous avons 3 zones pour la production : - - Orsay (Neptune) - - Lyon (Orion) - - Bruxelles (Bespin) - -Nous avons 2 zones pour le support : - - Suresnes (Mercure) - - Rennes (Jupiter) - -Nous avons 1 zones pour le développement : - - Bruxelles (Bespin) - -Nous avons plusieurs zones pour l'expérimentation : - - Orsay (Neptune) - - Rennes (Jupiter) - diff --git a/content/infrastructures/machines/developpement.md b/content/infrastructures/machines/developpement.md deleted file mode 100644 index 2d5193f..0000000 --- a/content/infrastructures/machines/developpement.md +++ /dev/null @@ -1,32 +0,0 @@ -+++ -title = "Développement" -description = "Développement" -weight = 30 -+++ - -Les serveurs de développement hébergent les outils qui nous permettent de travailler sur le logiciel, -les configurations, les tickets, ou la compilation. Ils ne contiennent pas de données personnelles mais peuvent être utilisés pour -des attaques de chaine d'approvisionnement (*supply chain attack*). - -# Bruxelles (Bespin) - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| Forge Gitea | VM | x1 | ? | -| Runner Drone | VM | x1 | 16 cœurs, 8Go RAM, 25Go + 25Go + 50Go| -| | | | `ssh 2a02:1811:3612:b300:e99c:c591:a17f:210` | - -# Autres runners Drone - -## Rennes (Jupiter) - -(information à rajouter) - -## Lyon (Aurora) - -![Photo d'illustration du PC portable utilisé](/img/serv_easynotebg46.jpg) - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| Packard Bell EasyNote BG46 (2007) | Serveur | x1 | Intel T5750 @ 2.00Ghz (2 cœurs), 3Go RAM, HDD 500Go | -| Freebox Mini 4k | Routeur | x1 | 4 ports @ 1Gbit/s, WAN Fibre 1 Gbit/s symétrique | diff --git a/content/infrastructures/machines/production.md b/content/infrastructures/machines/production.md deleted file mode 100644 index 6f65752..0000000 --- a/content/infrastructures/machines/production.md +++ /dev/null @@ -1,64 +0,0 @@ -+++ -title = "Production" -description = "Production" -weight = 10 -+++ - -Les serveurs de productions sont ceux qui font tourner les services accédés par les usager·es (eg. Plume, Matrix, Cryptpad). -Si ils sont innaccessibles, alors les services ne fonctionnent plus. Et si une personne malveillante y accède, elle peut avoir accès à des données -personnelles des usager·es. C'est donc le rôle le plus critique. - -**Feuille de route :** Bien que nous disposions aujourd'hui de 3 sites pour le cluster de production, -la résilience des services publiquement n'est pas assurés lorsque l'un des sites recevant du traffic -(Neptune, Orion) devient indisponible. La prochaine étape est de rendre ces deux sites mutuellement -redondants en assurant une bascule automatisée de l'un à l'autre par une mise à jour du DNS en cas -d'indisponibilité. - -# Orsay (Neptune) - -![Photo des 3 serveurs à Orsay](/img/serv_neptune.jpg) - -Les serveurs sont situés à domicile derrière une connexion FTTH SFR (la photo montre une box Free qui date d'avant le changement de FAI). -Cette grappe gère certains services de manière exclusive: Jitsi, CryptPad. -D'autres services comme Garage sont répartis entre les grappes. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| ThinkCentre M710q Tiny | Serveur | x1 | 2 cœurs, 4Go RAM, HDD 500Go | -| | | | `ssh celeri.machine.deuxfleurs.fr` | -| ThinkCentre M73 Tiny | Serveur | x2 | 2 cœurs, 8Go RAM, HDD 500Go | -| | | | `ssh concombre.machine.deuxfleurs.fr` | -| | | | `ssh courgette.machine.deuxfleurs.fr` | -| ThinkCentre M73 Tiny | Bridge IPv6 | x1 | 2 cœurs, 4Go RAM, HDD 500Go | -| D-Link DGS-108gl | Switch | x1 | 8 ports ethernet @ 1Gbit/s | -| Box SFR | Routeur | x1 | N/A | - -# Lyon (Orion) - -![Photo des 3 serveurs à Lyon](/img/serv_orion.jpg) - -Les serveurs sont situés à domicile derrière une connexion FTTH Free. -Cette grappe gère certains services de manière exclusive: E-mails, Matrix, Guichet, Plume. -D'autres services comme Garage sont répartis entre les grappes. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| ThinkCentre M710q Tiny | Serveur | x3 | 2 cœurs, 4Go RAM, SSD 500Go + HDD 500Go | -| | | | `ssh dahlia.machine.deuxfleurs.fr` | -| | | | `ssh doradille.machine.deuxfleurs.fr` | -| | | | `ssh diplotaxis.machine.deuxfleurs.fr` | -| Freebox | Routeur | x1 | N/A | - - -# Bruxelles (Bespin) - -![Photo des 3 serveurs à Bruxelles](/img/serv_bespin.jpg) - -Cette grappe ne gère aucun service accessible publiquement, mais elle fait partie intégrante du cluster Garage. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| ThinkCentre M710q Tiny | Serveur | x3 | 2 cœurs, 8Go RAM, SSD 500Go + HDD 500Go | -| | | | `ssh df-ymk.machine.deuxfleurs.fr` | -| | | | `ssh df-ymf.machine.deuxfleurs.fr` | -| | | | `ssh df-ykl.machine.deuxfleurs.fr` | diff --git a/content/infrastructures/machines/support.md b/content/infrastructures/machines/support.md deleted file mode 100644 index d816fae..0000000 --- a/content/infrastructures/machines/support.md +++ /dev/null @@ -1,48 +0,0 @@ -+++ -title = "Support" -description = "Serveurs en support" -weight = 20 -+++ - -Les serveurs de support servent pour les sauvegardes et la supervision des serveurs de production (eg. Grafana, Minio). -De par leur rôle, ils participent au bon fonctionnement de la production. -Ils n'ont pas de données personnelles brutes mais les métriques collectées peuvent refléter certains comportement des usager·es -et les sauvegardes, bien qu'elles soient chiffrées, contiennent tout de même des données personnelles. - -**Feuille de route :** Il est prévu de rationaliser l'usage de ces serveurs, c'est à dire voir si on peut mobiliser moins de ressources matériels tout en continuant -d'assurer le service de support. - -# Suresnes (Mercure) - -![Image d'illustration du serveur](/img/serv_dellr710.jpg) - -Ce serveur est situé à domicile derrière une connexion FTTH Free. -Il est en charge de la surveillance de la production (métrologie, etc.) et des sauvegardes des systèmes de fichier et base de données. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| [Microtik RB4011iGS+RM](https://mikrotik.com/product/rb4011igs_rm) | Routeur | x1 | Routeur et pare-feu, ports 1x10G SFP+ et 10x1G | -| Serveur Dell R710 | Hyperviseur | x3 | 2 socket, Xeon E5520 (4c8t @ 2.26Ghz)
80Go RAM, 500GB NVMe, 1TB RAID matériel, réseau LACP 2x1G | - -Seulement une partie du serveur est mise à dispsition de Deuxfleurs : - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| metro.mercure.site | LXC | x1 | 2 CPU, 2Go RAM, 25 GB NVMe | -| bkp.mercure.site (deprecated) | VM | x1 | 4 vCPU, 8Go RAM, 40 GB Block Storage | -| minio | S3 | x1 | Sert pour les sauvegardes | - -# Rennes (Jupiter) - -![Photo de la tour à Rennes](/img/serv_io.jpg) - -Le serveur est situé à domicile derrière une connexion FTTH Free. -Il est en charge des sauvegardes de Garage. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| Tour un peu vieille | Serveur | x1 | AMD Phenom II X4 955 @ 3.2 GHz (4 cœurs)
4Go RAM, SSD 250Go + HDD 2To | -| | | | `ssh io.machine.deuxfleurs.fr` | -| Freebox Mini 4k | Routeur | x1 | 4 ports ethernet @ 1Gbit/s, WAN Fibre 1 Gbit/s symétrique | - - diff --git a/content/infrastructures/machines/xp.md b/content/infrastructures/machines/xp.md deleted file mode 100644 index 853e222..0000000 --- a/content/infrastructures/machines/xp.md +++ /dev/null @@ -1,35 +0,0 @@ -+++ -title = "Expérimentation" -description = "Expérimentation" -weight = 40 -+++ - -Les serveurs d'expérimentation servent à tester les nouvelles configurations, les nouveaux logiciels, -et le nouveau matériel. Ils permettent aux opérateur·ices de se familiariser avec leurs modifications et de minimiser l'impact d'un changement sur les serveurs de production, -et donc sur la disponibilité des services. Ces machines ne contiennent pas de données personnelles et ne sont pas critiques, elles n'ont pas besoin de rester tout le temps allumées. -Il n'est pas nécessaire d'être opérateur·ice pour gérer une de ces machines. - -# Orsay (Neptune) - -![Photo d'illustration du Lenovo Tiny](/img/serv_m73tiny.jpg) - -Cluster staging: expérimentations avec NixOS et de nouveaux déploiements dans Nomad, avant de les mettre en service sur le cluster de production. -Cluster de test de Garage. - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| ThinkCentre M73 Tiny | Serveur | x1 | 2 cœurs, 8Go RAM, HDD 500Go | -| | | | `ssh caribou.machine.deuxfleurs.fr` | -| ThinkCentre M73 Tiny | Serveur | x2 | 4 cœurs, 8Go RAM, SSD 240Go | -| | | | `ssh carcajou.machine.deuxfleurs.fr` | -| | | | `ssh cariacou.machine.deuxfleurs.fr` | - - -# Rennes (Jupiter) - -Cluster staging (idem). - -| Désignation | Rôle | Quantité | Détails | -| -- | -- | -- | -- | -| ThinkCentre M73 Tiny | Serveur | x1 | 2 cœurs, 4Go RAM, HDD 500Go | -| | | | `ssh origan.df.trinity.fr.eu.org` | -- cgit v1.2.3